Mit seiner Entscheidung vom 19. Oktober 2016 (C-582/14) hat der Europäische Gerichtshof (EuGH) entschieden, dass dynamische IP-Adressen als personenbezogene Daten zu qualifizieren sein können, auch wenn die Identität des betreffenden Internetnutzers nur mit Hilfe Dritter (z.B. Access-Provider oder Ermittlungsbehörde) möglich ist. Zugleich hat das Gericht entschieden, dass eine enge Auslegung von § 15 Telemediengesetz (TMG) mit Art. 7 lit. f) der Datenschutzrichtlinie 95/46/EG nicht vereinbar ist und dass Webseitenbetreiber ein berechtigtes Interesse haben können, dynamische IP-Adressen (und andere Protokolldaten) zu speichern, um die Integrität des Systems sicherzustellen oder um eine Ermittlung von Cyberangriffen zu ermöglichen.
Worum geht es in der Entscheidung?
Der Entscheidung des EuGH liegt die Klage eines deutschen Internetznutzers zugrunde, der sich gegen die Speicherung der seinem Internetanschluss zugewiesenen IP-Adresse durch einen Webseitenbetreiber gewendet hat. Dieser betreibt unterschiedliche öffentlich zugängliche Webseiten mit Informationsangeboten.
Dynamische IP-Adressen = personenbezogene Daten?
Rechtlich geht es um die Frage, ob dynamische IP-Adressen als „personenbezogene Daten“ zu verstehen sind, mit der Folge, dass ihre Erhebung und Speicherung nur dann zulässig ist, wenn die betroffene Person (der Internetnutzer) in die Erhebung und Verarbeitung dieser Daten eingewilligt hat oder eine gesetzliche Vorschrift diese Datenverarbeitung anordnet oder erlaubt (§ 12 Abs. 1 TMG).
Einer Einordnung als personenbezogenes Datum hatte die Betreiberin der Webseiten mit der Begründung widersprochen, dass sie keine Kenntnis von der Identität des Inhabers der jeweiligen dynamischen IP-Adresse habe, sondern dass lediglich der Access-Provider über derartige Zusatzinformationen verfüge. Damit ging es in dem vorliegenden Rechtsstreit auch um eine Entscheidung über die sogenannte (überwiegend in Deutschland vertretene) Theorie der Relativität des personenbezogenen Datums.
Speicherung zu Sicherungszwecken zulässig?
Außerdem hatte der Kläger in den Verfahren vor den deutschen Gerichten eingewandt, dass gem. § 15 Abs. 1 TMG die Erhebung und Verarbeitung personenbezogener Daten nur zulässig sei, soweit dies erforderlich ist, um den Zugang zu den Telemedien (Internetseiten) oder die Abrechnung der Internetnutzung zu ermöglichen. Den vom Webseitenbetreiber angegebenen Zweck, wonach die Speicherung der IP-Adresse erfolgt, um eine strafrechtliche Verfolgung von Cyberangriffen zu ermöglichen, war nach Ansicht des Klägers nicht von § 15 Abs. 1 TMG gedeckt. Somit ging es in dem Verfahren vor dem EuGH auch um die Frage, ob ein enges Verständnis von § 15 TMG mit der zugrundeliegenden Datenschutzrichtlinie (insbesondere Art. 7) vereinbar ist.
Entscheidung des EuGH
Mit seinem Urteil vom 19. Oktober 2016 (Patrick Breyer ./. Bundesrepublik Deutschland) hat der EuGH nun entschieden, dass dynamische IP-Adressen für den Betreiber einer Webseite auch dann ein personenbezogenes Datum im Sinne des Art. 2 der Datenschutzrichtlinie sein können, wenn er selbst nicht über die notwendigen Informationen verfügt, um die Identität des Anschlussinhabers festzustellen, solange er über rechtliche Mittel verfügt, die es ihm (dem Webseitenbetreiber) erlauben, die betreffende Person anhand von Zusatzinformationen, über die ein Dritter verfügt, bestimmen zu lassen.
Hierbei kann es sich nach Ansicht des EuGH um den Internetzugangsanbieter (Access-Provider) oder (Ermittlungs-)Behörden handeln (Rn. 48 der Entscheidung). Insoweit stellt das Gericht fest, dass es ausreichen würde, wenn der Webseitenbetreiber nach nationalen Vorschriften rechtliche Möglichkeiten hat, die es ihm erlauben, sich an die zuständige Behörde (z.B. im Fall von Cyberangriffen) zu wenden, um die fraglichen Informationen über die Identität des Inhabers der dynamischen IP-Adresse vom Access-Provider zu erlangen.
Nach dieser Feststellung war anschließend zu klären, ob die Speicherung dynamischer IP-Adressen durch Webseitenbetreiber mit der Begründung und dem Hinweis zulässig ist, dass dies aus Gründen der Systemsicherheit und zur Ermöglichung einer Strafverfolgung im Fall von Cyberangriffen erfolge.
Dies bejaht der EuGH in seiner Entscheidung vom 19. Oktober 2016 und stellt fest, dass gemäß Art. 7 lit. f) der Europäischen Datenschutzrichtlinie die Verarbeitung personenbezogener Daten auch zur Verwirklichung eines berechtigten Interesses des für die Verarbeitung Verantwortlichen (Webseitenbetreiber) zulässig sein kann, sofern die Datenverarbeitung erforderlich ist und keine überwiegenden Interessen des Betroffenen (Internetnutzer) entgegenstehen.
In der engen Auslegung von § 15 TMG des Klägers sieht das Gericht hingegen einen Verstoß gegen die europarechtlichen Vorlagen, da sie den Weg für die vom europäischen Richtliniengeber geforderte Interessenabwägung versperrt. Mit anderen Worten verlangt der EuGH eine richtlinienkonforme Auslegung von Art. 7 lit. f) der Datenschutzrichtlinie und gelangt zum Ergebnis, dass eine Speicherung personenbezogener Daten aus Gründen der Systemsicherheit von Webseiten und zur Ermittlung von Cyberangriffen oder sonstigen Störungen der Integrität der angebotenen Telemedien zulässig sein kann.
Zu dem Vorabentscheidungsersuchen des Bundesgerichtshofs (Entscheidung vom 28. Oktober 2014) siehe unseren vorherigen Blog-Beitrag.
Praxistipps
Betreiber von Webseiten sollten spätestens nach der aktuellen Entscheidung des EuGH prüfen, in welchem Umfang sie sogenannte Protokolldateien (hierunter auch dynamische IP-Adressen) speichern und ob sie Internetnutzer über den Umstand und den Zweck der Speicherung hinreichend informieren. Mit anderen Worten sollten die Betreiber von Webseiten ihre Datenschutzhinweise umgehend auf eine Vereinbarkeit mit der Entscheidung des EuGH prüfen, auch wenn eine finale Entscheidung des vorliegenden Rechtsstreits nach der Zurückverweisung an die deutschen Gerichte noch aussteht. Eine regelmäßige Überprüfung der rechtlichen Texte zur Erhebung und Verarbeitung personenbezogener Daten („Datenschutzhinweise“, „Datenschutzerklärung“, „Privacy Policy“) ist ohnehin unter dem Gesichtspunkt der Website Compliance in regelmäßigen Abständen zu empfehlen, um sicherzustellen, dass die rechtlichen Informationen und Rahmenbedingungen mit den technischen Entwicklungen und Funktionalitäten der Webseite Schritt halten.
