Dr. Christian Tinnefeld

Das von der Verbraucherzentrale NRW gegen die direkte Einbindung des Facebook „Like-Buttons“ geführte Klageverfahren geht in die nächste Runde: Mittlerweile beschäftigt sich das Oberlandesgericht (OLG) Düsseldorf im Berufungsverfahren mit der Rechtmäßigkeit der direkten Einbindung von Social Plugins wie des „Like-Buttons“. Durch Beschluss vom 19. Januar 2017 (Az. I-20 U 40/16) hat das Gericht das Verfahren jedoch ausgesetzt und sich mit mehreren Vorlagefragen an den Europäischen Gerichtshof gewendet. Dieser muss nun grundsätzlich klären, ob Website-Betreiber für die Einbindung des „Like-Buttons“ rechtlich verantwortlich sind. » Lesen Sie mehr

Am 10. Januar 2017 hat die Europäische Kommission ihr Gesetzespaket zur Verwirklichung des digitalen Binnenmarktes auch im Bereich des elektronischen Datenverkehrs der Öffentlichkeit vorgestellt (Pressemitteilung). In zwei Beiträgen haben wir die Eckpunkte dieses „Data Economy Packages“ wie auch die Mitteilung zur Schaffung einer europäischen Datenwirtschaft (COM(2017) 9 final) vorgestellt. Im Folgenden möchten wir nun den Verordnungsentwurf zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Institutionen der Europäischen Union. Jene Regelung soll an die Stelle der Verordnung 45/2001/EG vom 18. Dezember 2000 treten. » Lesen Sie mehr

Am 10. Januar 2017 hat die Europäische Kommission ihr lang ersehntes Gesetzespaket zur Verwirklichung des digitalen Binnenmarktes auch im Bereich des elektronischen Datenverkehrs der Öffentlichkeit vorgestellt (Pressemitteilung). In einem ersten Beitrag hierzu haben wir die die Eckpunkt dieses „Data Economy Packages“ näher beleichtet. Im Folgenden möchten wir speziell auf die Inhalte der Mitteilung zur Schaffung einer europäischen Datenwirtschaft (COM(2017) 9 final) eingehen. » Lesen Sie mehr

Am 10. Januar 2017 hat die Europäische Kommission ihr lang ersehntes Gesetzespaket zur Verwirklichung des digitalen Binnenmarktes auch im Bereich des elektronischen Datenverkehrs der Öffentlichkeit vorgestellt (Pressemitteilung). Die aktuelle Initiative umfasst erneut ein ambitioniertes Paket an Verordnungsentwürfen, Kommissionsmitteilungen und begleitenden Dokumenten. Man kann mit Fug und Recht von einem weiteren „Meilenstein“ in der Umsetzung der grundlegenden Binnenmarktstrategie (Digital Single Market – DSM) der Kommission vom Mai 2015 sprechen. Dem jetzigen Paket vorausgegangen ist eine Reihe von Konsultationen, die der breiten Öffentlichkeit 2016 die Möglichkeit zur Stellungnahme gegebenen haben, wie auch ein vertieftes Impact Assessment durch die Kommission. » Lesen Sie mehr

Mit seiner Entscheidung vom 19. Oktober 2016 (C-582/14) hat der Europäische Gerichtshof (EuGH) entschieden, dass dynamische IP-Adressen als personenbezogene Daten zu qualifizieren sein können, auch wenn die Identität des betreffenden Internetnutzers nur mit Hilfe Dritter (z.B. Access-Provider oder Ermittlungsbehörde) möglich ist. Zugleich hat das Gericht entschieden, dass eine enge Auslegung von § 15 Telemediengesetz (TMG) mit Art. 7 lit. f) der Datenschutzrichtlinie 95/46/EG nicht vereinbar ist und dass Webseitenbetreiber ein berechtigtes Interesse haben können, dynamische IP-Adressen (und andere Protokolldaten) zu speichern, um die Integrität des Systems sicherzustellen oder um eine Ermittlung von Cyberangriffen zu ermöglichen.

Worum geht es in der Entscheidung?

Der Entscheidung des EuGH liegt die Klage eines deutschen Internetznutzers zugrunde, der sich gegen die Speicherung der seinem Internetanschluss zugewiesenen IP-Adresse durch einen Webseitenbetreiber gewendet hat. Dieser betreibt unterschiedliche öffentlich zugängliche Webseiten mit Informationsangeboten.

Dynamische IP-Adressen = personenbezogene Daten?

Rechtlich geht es um die Frage, ob dynamische IP-Adressen als „personenbezogene Daten“ zu verstehen sind, mit der Folge, dass ihre Erhebung und Speicherung nur dann zulässig ist, wenn die betroffene Person (der Internetnutzer) in die Erhebung und Verarbeitung dieser Daten eingewilligt hat oder eine gesetzliche Vorschrift diese Datenverarbeitung anordnet oder erlaubt (§ 12 Abs. 1 TMG).

Einer Einordnung als personenbezogenes Datum hatte die Betreiberin der Webseiten mit der Begründung widersprochen, dass sie keine Kenntnis von der Identität des Inhabers der jeweiligen dynamischen IP-Adresse habe, sondern dass lediglich der Access-Provider über derartige Zusatzinformationen verfüge. Damit ging es in dem vorliegenden Rechtsstreit auch um eine Entscheidung über die sogenannte (überwiegend in Deutschland vertretene) Theorie der Relativität des personenbezogenen Datums.

Speicherung zu Sicherungszwecken zulässig?

Außerdem hatte der Kläger in den Verfahren vor den deutschen Gerichten eingewandt, dass gem. § 15 Abs. 1 TMG die Erhebung und Verarbeitung personenbezogener Daten nur zulässig sei, soweit dies erforderlich ist, um den Zugang zu den Telemedien (Internetseiten) oder die Abrechnung der Internetnutzung zu ermöglichen. Den vom Webseitenbetreiber angegebenen Zweck, wonach die Speicherung der IP-Adresse erfolgt, um eine strafrechtliche Verfolgung von Cyberangriffen zu ermöglichen, war nach Ansicht des Klägers nicht von § 15 Abs. 1 TMG gedeckt. Somit ging es in dem Verfahren vor dem EuGH auch um die Frage, ob ein enges Verständnis von § 15 TMG mit der zugrundeliegenden Datenschutzrichtlinie (insbesondere Art. 7) vereinbar ist.

Entscheidung des EuGH

Mit seinem Urteil vom 19. Oktober 2016 (Patrick Breyer ./. Bundesrepublik Deutschland) hat der EuGH nun entschieden, dass dynamische IP-Adressen für den Betreiber einer Webseite auch dann ein personenbezogenes Datum im Sinne des Art. 2 der Datenschutzrichtlinie sein können, wenn er selbst nicht über die notwendigen Informationen verfügt, um die Identität des Anschlussinhabers festzustellen, solange er über rechtliche Mittel verfügt, die es ihm (dem Webseitenbetreiber) erlauben, die betreffende Person anhand von Zusatzinformationen, über die ein Dritter verfügt, bestimmen zu lassen.

Hierbei kann es sich nach Ansicht des EuGH um den Internetzugangsanbieter (Access-Provider) oder (Ermittlungs-)Behörden handeln (Rn. 48 der Entscheidung). Insoweit stellt das Gericht fest, dass es ausreichen würde, wenn der Webseitenbetreiber nach nationalen Vorschriften rechtliche Möglichkeiten hat, die es ihm erlauben, sich an die zuständige Behörde (z.B. im Fall von Cyberangriffen) zu wenden, um die fraglichen Informationen über die Identität des Inhabers der dynamischen IP-Adresse vom Access-Provider zu erlangen.

Nach dieser Feststellung war anschließend zu klären, ob die Speicherung dynamischer IP-Adressen durch Webseitenbetreiber mit der Begründung und dem Hinweis zulässig ist, dass dies aus Gründen der Systemsicherheit und zur Ermöglichung einer Strafverfolgung im Fall von Cyberangriffen erfolge.

Dies bejaht der EuGH in seiner Entscheidung vom 19. Oktober 2016 und stellt fest, dass gemäß Art. 7 lit. f) der Europäischen Datenschutzrichtlinie die Verarbeitung personenbezogener Daten auch zur Verwirklichung eines berechtigten Interesses des für die Verarbeitung Verantwortlichen (Webseitenbetreiber) zulässig sein kann, sofern die Datenverarbeitung erforderlich ist und keine überwiegenden Interessen des Betroffenen (Internetnutzer) entgegenstehen.

In der engen Auslegung von § 15 TMG des Klägers sieht das Gericht hingegen einen Verstoß gegen die europarechtlichen Vorlagen, da sie den Weg für die vom europäischen Richtliniengeber geforderte Interessenabwägung versperrt. Mit anderen Worten verlangt der EuGH eine richtlinienkonforme Auslegung von Art. 7 lit. f) der Datenschutzrichtlinie und gelangt zum Ergebnis, dass eine Speicherung personenbezogener Daten aus Gründen der Systemsicherheit von Webseiten und zur Ermittlung von Cyberangriffen oder sonstigen Störungen der Integrität der angebotenen Telemedien zulässig sein kann.

Zu dem Vorabentscheidungsersuchen des Bundesgerichtshofs (Entscheidung vom 28. Oktober 2014) siehe unseren vorherigen Blog-Beitrag.

Praxistipps

Betreiber von Webseiten sollten spätestens nach der aktuellen Entscheidung des EuGH prüfen, in welchem Umfang sie sogenannte Protokolldateien (hierunter auch dynamische IP-Adressen) speichern und ob sie Internetnutzer über den Umstand und den Zweck der Speicherung hinreichend informieren. Mit anderen Worten sollten die Betreiber von Webseiten ihre Datenschutzhinweise umgehend auf eine Vereinbarkeit mit der Entscheidung des EuGH prüfen, auch wenn eine finale Entscheidung des vorliegenden Rechtsstreits nach der Zurückverweisung an die deutschen Gerichte noch aussteht. Eine regelmäßige Überprüfung der rechtlichen Texte zur Erhebung und Verarbeitung personenbezogener Daten („Datenschutzhinweise“, „Datenschutzerklärung“, „Privacy Policy“) ist ohnehin unter dem Gesichtspunkt der Website Compliance in regelmäßigen Abständen zu empfehlen, um sicherzustellen, dass die rechtlichen Informationen und Rahmenbedingungen mit den technischen Entwicklungen und Funktionalitäten der Webseite Schritt halten.

Das Landgericht Düsseldorf hat auf eine Klage der Verbraucherzentrale NRW hin kürzlich entschieden, dass die unmittelbare Einbindung von Social Plugins wie insbesondere des Facebook „Like“-Buttons datenschutzrechtlich unzulässig ist und zudem einen Wettbewerbsverstoß darstellt (Urteil vom 9. März 2016, Az. 12 O 151/15). Damit steht das Urteil im Einklang mit der Auffassung der Datenschutzbehörden und der Rechtsprechung mehrerer anderer Gerichte. Für Unternehmen, die auf ihren Online-Auftritten Social-Plugins verwenden, sollte spätestens diese gerichtliche Entscheidung Anlass sein, die Art und Weise der Einbindung der Social-Plugins rechtlich zu prüfen. » Lesen Sie mehr