EuGH-Vorabentscheidungsersuchen zur Auslegung der EG-Datenschutz-Richtlinie: dynamische IP-Adressen als personenbezogenes Datum?
Die Frage danach, ob – und wenn ja inwieweit – dynamsiche IP-Adressen erhoben und gespeichert werden dürfen könnte nach jahrelangem Streit nun endlich geklärt werden. Sie liegt zurzeit dem EuGH zur Vorabentscheidung vor. In dem Streitfall ging es um die Tatsache, dass die Bundesrepublik Deutschland als Betreiberin mehrerer öffentlich zugänglicher Internetportale die Seitenzugriffe der Nutzer in Protokolldateien speicherte. Hierbei wurde neben dem Namen der abgerufenen Seite und dem Zeitpunkt des Abrufs auch die dynamische IP-Adresse des zugreifenden Rechners über das Ende des jeweiligen Nutzungsvorgangs hinaus gespeichert. Dynamische IP-Adressen sind bei jeder Einwahl über den vernetzten Computer neu zugewiesene Ziffernfolgen, die die Kommunikation im Internet erst ermöglichen. Ein Nutzer dieser Websites der Bundesrepublik sah in diesem Verhalten jedoch eine Verletzung seines Grundrechts auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 i.V.m. Art. 1 GG, sowie eine unzulässige Datenerhebung. Denn die Speicherung der Daten über den jeweiligen Nutzungsvorgang hinaus sei – ohne eine entsprechende Einwilligung des Betroffenen – gemäß §§ 12, 15 TMG allein zu Abrechnungszwecken erlaubt, was hier nicht der Fall sei. Er verklagte die Bundesrepublik deshalb auf Unterlassung dieser Art der Speicherung der Daten. Der Beklagten zufolge sei die von ihr getätigte Datenerhebung gerechtfertigt, da sie der Abwehr von Angriffen über das Internet diene. Sie bilde die Grundlage für die strafrechtliche Verfolgbarkeit solcher Angriffe. Die durch die Datenerhebung gewährleistete Strafverfolgbarkeit begründe zudem eine abschreckende Wirkung auf die Nutzer, sodass solchen Angriffen dadurch vorgebeugt werden könne. Während das Amtsgericht Tiergarten die Klage im Jahr 2008 noch vollumfänglich abgewiesen hatte (Az. 2 C 6/08), entsprach das Landgericht Berlin als Berufungsgericht mit seinem Urteil vom 31.01.14 (Az. 57 S 87/08) jedoch teilweise dem Klagebegehren und gab der Klage insoweit statt, als die Beklagte es zu unterlassen habe, die IP-Adresse des Klägers im Zusammenhang mit dem jeweiligen Nutzungszeitpunkt über das Ende des Nutzungsvorgangs hinaus zu speichern, wenn der Kläger während des Nutzungsvorgangs seine Personalien angegeben hat und soweit die Speicherung nicht im Störungsfall zur Wiederherstellung der Verfügbarkeit des Telemediums erforderlich ist. Für die Angabe der Personalien genüge auch die Angabe einer E-Mail-Anschrift, die die Personalien des Klägers ausweist. Demnach seien IP-Adressen normalerweise nicht personenbezogene Daten und dürften daher grundsätzlich gespeichert werden. Ausnahmsweise könne jedoch ein Personenbezug der IP-Adresse vorliegen, wenn Sie durch weitere Datenerhebungen flankiert werde, die zur Identifizierbarkeit des Nutzers führen. Insgesamt richtete das LG seine Entscheidung damit am Grundsatz des relativen Personenbezugs aus. Demnach kommt es für den Personenbezug einer IP-Adresse darauf an, ob die verarbeitende Stelle die Möglichkeit hat, die Adresse einer Person tatsächlich zuzuordnen. Gegen dieses Urteil haben beide Parteien Revision eingelegt. Der BGH jedoch beschloss am 28.10.2014 (VI ZR 135/13) zunächst den europäischen Gerichtshof anzurufen und legte diesem zwei Fragen hinsichtlich der Auslegung der EG-Datenschutz-Richtlinie vor. Die erste Frage betrifft den Umstand, dass eine Person während des Nutzungsvorgangs ihre Personalien nicht angegeben hat. Denn dann ist eine Identifizierung des Betroffenen durch den Betreiber der Website anhand der IP-Adresse im Regelfall nicht möglich, zumal auch der Zugangsdiensteanbieter normalerweise keine Auskunft über die Identität des Nutzers geben darf. Der BGH stellt daher die Frage, ob Art. 2 a der EG-Datenschutz-Richtlinie dahin auszulegen sei, dass eine dynamische IP-Adresse, die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Website speichert, für diesen bereits dann ein personenbezogenes Datum darstellt, wenn ausschließlich ein Dritter über das Zusatzwissen verfügt, das eine Identifizierung des Betroffenen ermöglicht. Der BGH sieht es ferner als fraglich an, ob – angenommen die Frage nach der Personenbezogenheit der der Daten werde bejaht – in dem Sinn und Zweck der Speicherung durch die Beklagte – der Gewährleistung und Aufrechterhaltung der Sicherheit und Funktionsfähigkeit ihrer Telemedien – eine Erlaubnis i.S.d. § 15 Abs. 1 TMG zu sehen sei. In systematischer Hinsicht sei die Norm zwar eher so zu verstehen, dass sie eine Datenerhebung und – speicherung nur erlaubt, um ein konkretes Nutzungsverhältnis zu ermöglichen und die Daten, sofern sie nicht Abrechnungszwecken dienen, mit Ende des Nutzungsvorgangs gelöscht werden müssen. Aus Art. 7 f der EG-Datenschutz-Richtlinie könnte sich aber das Gebot einer weiteren Auslegung ergeben. Daher fragt der BGH den europäischen Gerichtshof, ob nationale Vorschriften mit dem Inhalt des § 15 Abs. 1 TMG mit der EG-Datenschutz-Richtlinie unvereinbar sind. Nach § 15 Abs. 1 TMG darf der Diensteanbieter personenzogene Daten eines Nutzers ohne dessen Einwilligung nur dann erheben und verwenden, wenn dies erforderlich ist, um ihm, dem Nutzer, die Inanspruchnahme des Telemediums zu ermöglichen und abrechnen zu können und wonach der Zweck, die generelle Funktionsfähigkeit des Telemediums zu gewährleisten, keine Rechtfertigung für die Verwendung über das Ende des jeweiligen Nutzungsvorgangs hinaus darstellt. Die Entscheidung des EuGH bleibt also abzuwarten.