• #GrundgesetzStattFacebookAGB

    Wir bekämpfen Hasskriminalität in Sozialen Netzwerken mit juristischen Mitteln. Unter "Facebook Hatespeech" finden Sie alle Informationen zu unserem Engagement.
    Weiterlesen
  • Open Source im Unternehmen

    Gerne beraten wir Sie im differenzierten Umgang mit Open Source Software zur Vermeidung von rechtlichen Risiken. Informieren Sie sich auf unserer Homepage.
    Weiterlesen
  • JunIT | Kanzlei für IT- und Wirtschaftsrecht

    Wir sind Ihre spezialisierte Rechtsanwaltskanzlei für IT- und Wirtschaftsrecht. Informieren Sie sich über unser Team und Portfolio und kontaktieren Sie uns unverbindlich.
    Weiterlesen
  • 1
  • 2
  • 3

Dynamische IP-Adresse ein personenbezogenes Datum?

09.12.2016 - Mit Urteil vom 19.10.2016 (Az. C-582/14) in der Rechtssache Breyer ./. Bundesrepublik Deutschland konnte der EuGH endlich die seit langem unter Datenschützern umstrittene Frage klären, ob auch die dynamische IP-Adresse ein personenbezogenes Datum im Sinne des Datenschutzrechts ist. Wobei so ganz eindeutig ist das Urteil in diesem Zusammenhang nicht. Denn die Luxemburger Richter beantworten die Frage mit der nur für den Juristen gewohnten Antwort: „ Es kommt darauf an.“

Interessanter ist ein weiterer Aspekt der EuGH-Entscheidung, da Anbieter von Telemedien (z.B. Webportalbetreiber) wohl zukünftig technische Daten Ihrer Nutzer (u.a. die IP-Adresse) über einen längeren Zeitraum und in größerem Umfang speichern dürfen, um die Sicherheit ihres Angebot vor fremden Angriffen auf ihre IT und technischen Störungen gewährleisten zu können.

Was war in dem Rechtsstreit passiert?

Herr Patrick Breyer initiierte ein gerichtliches Verfahren mit der Zielsetzung, der Bundesrepublik Deutschland zu untersagen, die IP-Adresse seines zugreifenden Hostsystems über das Ende des Zugriffs auf allgemein zugängliche Websites für Online-Mediendienste der Einrichtungen des Bundes hinaus zu speichern oder durch Dritte speichern zu lassen, soweit die Speicherung nicht im Störungsfall zur Wiederherstellung der Verfügbarkeit des Telemediums erforderlich ist.

Der in dem Verfahren geltend gemachte Anspruch hing somit entscheidend davon ab, ob die dynamische IP-Adresse eines Internetnutzers, die vom Webseitenbetreiber auf eigenen IT-Systemen gespeichert wird, ein personenbezogenes Datum darstellt. Das Berufungsgericht hatte diesbezüglich noch angenommen, eine dynamische IP-Adresse sei in Verbindung mit dem Zeitpunkt des über sie vorgenommenen Zugriffs ein personenbezogenes Datum, sofern der Nutzer der Webseite während des Vorgangs seine Personalien angegeben habe, weil der Betreiber der Webseite den Nutzer dadurch ermitteln könne, dass er dessen Namen mit der IP-Adresse seines Computers verknüpfe. Da Herr Breyer bei Nutzung der Internetseiten des Bundes seine Personalien aber nicht angegeben hatte und daher nur der Internetzugangsanbieter die IP-Adresse einem bestimmten Anschlussinhaber zuordnen kann, kam das Berufungsgericht zu dem Schluss, dass die IP-Adresse kein personenbezogenes Datum sei. Der Nutzer der betreffenden Webseite sei insofern nicht bestimmbar. Der Klage wurde daher nur teilweise stattgegeben.

Vorlagefragen des BGH

Der BGH, zu dem sowohl Herr Breyer als auch die BRD Revision eingelegt hatten, legte dem EuGH folgende Fragen zur Vorabentscheidung vor:

  1. Stellt eine IP-Adresse, die ein Anbieter von Online-Mediendiensten im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum dar, wenn ein Dritter (hier: Zugangsanbieter) über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt?
  2. Darf der Anbieter von Online-Mediendiensten personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben und verwenden, soweit dies erforderlich ist, um die konkrete Inanspruchnahme des Telemediums durch den jeweiligen Nutzer zu ermöglichen und abzurechnen (§ 15 Abs. 1 TMG)? Oder kann dies über das Ende des jeweiligen Nutzungsvorgangs hinaus auch zu dem Zweck erfolgen, die generelle Funktionsfähigkeit des Telemediums zu gewährleisten?

Entscheidung des EuGH

Dynamische IP-Adresse kann personenbezogenes Datum darstellen

Art 2 Buchst. a der Datenschutz-Richtlinie (RiL 95/46/EG) definiert den Begriff „personenbezogene Daten“ als alle Informationen über eine bestimmte oder bestimmbare natürliche Person. Weiter heißt es dort, dass eine Person als bestimmbar angesehen wird, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologichen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind.

Trotz dieser recht weiten Auslegung des Begriffs der „personenbezogenen Daten“ hält sich in der deutschen Rechtslehre der Streit, ob die dynamische IP-Adresse einer Person als personenbezogenes Datum zugerechnet werden kann. Explizit besteht Uneinigkeit bezüglich der Frage, ob das erhaltene Datum aus sich heraus schon die Person des Betroffenen identifizieren muss, oder die Identifizierung erst im Zusammenspiel mit weiteren Angaben ausreichend ist, um dem Datum den Charakter von personenbezogenen Daten zu verleihen.

Teilweise wird der Standpunkt vertreten, dass der Datenverarbeiter, alle Informationen, die zur Bestimmung der Person erforderlich sind, besitzen muss (relative Bestimmbarkeit). Das hat zur Folge, dass Daten, wie etwa die dynamische IP Adresse, welche erst im Zusammenspiel mit weiteren Informationen die Identifizierung der Person ermöglichen, nur für bestimmte datenerhebenden Stellen personenbezogene Daten darstellen.

Die alternative Auslegung des Begriffs lässt eine „absolute Bestimmbarkeit“ ausreichen. Das bedeutet, dass es sich bei dem abgerufenen Datum um personenbezogene Informationen handelt, wenn die theoretische Möglichkeit einer Identifizierung des Betroffenen besteht, unabhängig davon mit welchem Aufwand die Erlangung dieser Informationen für den Erhebenden verbunden ist.

Der EuGH beschreitet in seiner Entscheidung einen Mittelweg und legt eine „beschränkte absolute Bestimmbarkeit“ als maßgeblich fest. Hierbei beziehen sich die Luxemburger Richter auf den Erwägungsgrund 26 der Datenschutz-Richtlinie, in dem es heißt, dass bei der Entscheidung, ob eine Person bestimmbar ist, alle Mittel berücksichtigt werden sollen, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden können, um die betreffende Person zu bestimmen. Ausgeschlossen sind damit nur solche Maßnahme die gesetzlich verboten oder praktisch nicht durchführbar sind.

Nach erster Einschätzung des EuGH gibt es in Deutschland derartige „rechtliche Möglichkeiten“ für den Datenverarbeiter, sich etwa im Falle von Cyberattacken an die zuständigen Behörden zu wenden, um die für die Identifizierung der Person erforderlichen Informationen vom Internetzugangsanbieter zu erlangen. Welche Möglichkeiten hier genau gemeint sind, lässt der EuGH offen und verweist die abschließende Klärung dieser Frage zurück an den BGH.

Speicherung von personenbezogenen Daten muss auch außerhalb des Ausnahmenbereichs des § 15 Abs. 1 TMG möglich sein

§ 15 Abs. 1 TMG legt fest, dass Seitenbetreiber Daten nur speichern dürfen, wenn dies zu Abrechnungszwecken erforderlich ist oder der Nutzer seine Einwilligung gegeben hat. Der EuGH sah dieses grundsätzliche Verbot der Datenspeicherung mit seinen sehr eng umgrenzten Ausnahmen als zu streng an. Art. 7 Buchst. f der Datenschutz-Richtlinie (RiL 95/46/EG) fordert für die rechtmäßige Verarbeitung personenbezogener Daten eine umfangreiche Abwägung zwischen den berechtigten Interessen des Diensteanbieters an der Datenspeicherung und den Interessen und Grundrechten/Grundfreiheiten der betroffenen Person.

Diesen Grundsatz verletze § 15 Abs. 1 TMG, da die einzige dort genannte Ausnahme des Speicherverbots die in Art 7. der Datenschutzrichtlinie festgelegten berechtigten Interessen der Dienstanbieter nicht hinreichend wiedergibt. Vielmehr schließt § 15 Abs. 1 TMG kategorisch und ganz allgemein die Verarbeitung bestimmter Kategorien personenbezogener Daten aus, ohne Raum für eine Abwägung der im konkreten Einzelfall einander gegenüberstehenden Rechte und Interessen zu lassen.

Daraus schließt der EuGH, das § 15 Abs. 1 TMG nicht europarechtskonform angewendet werden kann und damit in seiner aktuellen Fassung ungültig ist.

Folgen für die Praxis: Mehr Rechtsunsicherheit statt erhoffter Klarheit

Durch die Entscheidung des EuGH wird zwar der seit langem herrschende Streit bezüglich des Grades der Bestimmbarkeit von personenbezogenen Daten geklärt, gleichzeitig jedoch die geltenden strikten, bisher klaren Vorgaben des Telemediengesetzes für die erlaubte Speicherung abgeschafft. Die eindeutige Regelung des TMG muss dem Prinzip der Interessenabwägung weichen, wodurch die Verantwortung in die Hände der abwägenden Richter gelegt wird. Bis eine überarbeitete und rechtmäßige gesetzliche Regelung vorliegt, muss daher abgewartet werden, wie sich die Gerichte zu dieser Frage positionieren.

Webseitenbetreiber sollten ihre Webseiten technisch untersuchen. Sollten dort bisher dynamische IP-Adressen dauerhaft und über den einzelnen Nutzungsvorgang hinaus gespeichert werden, kann dies in Zukunft datenschutzrechtlich problematisch sein. Außerdem muss geklärt werden, ob es gewichtige Gründe für eine über den Webseitenbesuch hinausgehende Speicherung gibt. Dies kann insbesondere zur Gewährleistung der IT-Sicherheit des eigenen Angebots zulässig sein, um Cyberattacken und andere sicherheitsrelevante Eingriffe von außen zu verhindern. Klarheit können vorübergehend die Gerichte, schlussendlich aber nur der Gesetzgeber schaffen.

Update: Die nachfolgende Entscheidung des Bundesgerichtshofs vom 16.05.2017

Die Besprechung der nachfolgenden Entscheidung des Bundesgerichtshofes vom 16.05.2017 in dieser Sache finden Sie hier.
Der Bundesgerichtshof bestätigt in dieser Entscheidung, dass dynamische IP-Adressen ein personenbezogenes Datum sind,

 


Thema: Hasskriminalität auf Facebook

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6

SITEMAP

  • KONTAKT

    JunIT | Kanzlei für IT- und Wirtschaftsrecht

    Salvatorstr. 21, DE-97074 Würzburg

    +49 931.6639.232

    +49 931.52235

    info@kanzlei-jun.de

    Mo-Do: 08.00 - 18.00 | Fr: 08.00 - 16.30