Dr. Christian Tinnefeld

Dr. Christian Tinnefeld

Datenschutz und Datensicherheit, IT-Recht, Internetrecht, Urheberrecht / Hamburg
19
Okt
2016
Internet (iStock_000005558176Small_quadrat)
Dr. Christian Tinnefeld

EuGH: Speicherung dynamischer IP-Adressen durch Webseitenbetreiber kann zulässig sein

Mit seiner Entscheidung vom 19. Oktober 2016 (C-582/14) hat der Europäische Gerichtshof (EuGH) entschieden, dass dynamische IP-Adressen als personenbezogene Daten zu qualifizieren sein können, auch wenn die Identität des betreffenden Internetnutzers nur mit Hilfe Dritter (z.B. Access-Provider oder Ermittlungsbehörde) möglich ist. Zugleich hat das Gericht entschieden, dass eine enge Auslegung von § 15 Telemediengesetz (TMG) mit Art. 7 lit. f) der Datenschutzrichtlinie 95/46/EG nicht vereinbar ist und dass Webseitenbetreiber ein berechtigtes Interesse haben können, dynamische IP-Adressen (und andere Protokolldaten) zu speichern, um die Integrität des Systems sicherzustellen oder um eine Ermittlung von Cyberangriffen zu ermöglichen.

Worum geht es in der Entscheidung?

Der Entscheidung des EuGH liegt die Klage eines deutschen Internetznutzers zugrunde, der sich gegen die Speicherung der seinem Internetanschluss zugewiesenen IP-Adresse durch einen Webseitenbetreiber gewendet hat. Dieser betreibt unterschiedliche öffentlich zugängliche Webseiten mit Informationsangeboten.

Dynamische IP-Adressen = personenbezogene Daten?

Rechtlich geht es um die Frage, ob dynamische IP-Adressen als “personenbezogene Daten” zu verstehen sind, mit der Folge, dass ihre Erhebung und Speicherung nur dann zulässig ist, wenn die betroffene Person (der Internetnutzer) in die Erhebung und Verarbeitung dieser Daten eingewilligt hat oder eine gesetzliche Vorschrift diese Datenverarbeitung anordnet oder erlaubt (§ 12 Abs. 1 TMG).

Einer Einordnung als personenbezogenes Datum hatte die Betreiberin der Webseiten mit der Begründung widersprochen, dass sie keine Kenntnis von der Identität des Inhabers der jeweiligen dynamischen IP-Adresse habe, sondern dass lediglich der Access-Provider über derartige Zusatzinformationen verfüge. Damit ging es in dem vorliegenden Rechtsstreit auch um eine Entscheidung über die sogenannte (überwiegend in Deutschland vertretene) Theorie der Relativität des personenbezogenen Datums.

Speicherung zu Sicherungszwecken zulässig?

Außerdem hatte der Kläger in den Verfahren vor den deutschen Gerichten eingewandt, dass gem. § 15 Abs. 1 TMG die Erhebung und Verarbeitung personenbezogener Daten nur zulässig sei, soweit dies erforderlich ist, um den Zugang zu den Telemedien (Internetseiten) oder die Abrechnung der Internetnutzung zu ermöglichen. Den vom Webseitenbetreiber angegebenen Zweck, wonach die Speicherung der IP-Adresse erfolgt, um eine strafrechtliche Verfolgung von Cyberangriffen zu ermöglichen, war nach Ansicht des Klägers nicht von § 15 Abs. 1 TMG gedeckt. Somit ging es in dem Verfahren vor dem EuGH auch um die Frage, ob ein enges Verständnis von § 15 TMG mit der zugrundeliegenden Datenschutzrichtlinie (insbesondere Art. 7) vereinbar ist.

Entscheidung des EuGH

Mit seinem Urteil vom 19. Oktober 2016 (Patrick Breyer ./. Bundesrepublik Deutschland) hat der EuGH nun entschieden, dass dynamische IP-Adressen für den Betreiber einer Webseite auch dann ein personenbezogenes Datum im Sinne des Art. 2 der Datenschutzrichtlinie sein können, wenn er selbst nicht über die notwendigen Informationen verfügt, um die Identität des Anschlussinhabers festzustellen, solange er über rechtliche Mittel verfügt, die es ihm (dem Webseitenbetreiber) erlauben, die betreffende Person anhand von Zusatzinformationen, über die ein Dritter verfügt, bestimmen zu lassen.

Hierbei kann es sich nach Ansicht des EuGH um den Internetzugangsanbieter (Access-Provider) oder (Ermittlungs-)Behörden handeln (Rn. 48 der Entscheidung). Insoweit stellt das Gericht fest, dass es ausreichen würde, wenn der Webseitenbetreiber nach nationalen Vorschriften rechtliche Möglichkeiten hat, die es ihm erlauben, sich an die zuständige Behörde (z.B. im Fall von Cyberangriffen) zu wenden, um die fraglichen Informationen über die Identität des Inhabers der dynamischen IP-Adresse vom Access-Provider zu erlangen.

Nach dieser Feststellung war anschließend zu klären, ob die Speicherung dynamischer IP-Adressen durch Webseitenbetreiber mit der Begründung und dem Hinweis zulässig ist, dass dies aus Gründen der Systemsicherheit und zur Ermöglichung einer Strafverfolgung im Fall von Cyberangriffen erfolge.

Dies bejaht der EuGH in seiner Entscheidung vom 19. Oktober 2016 und stellt fest, dass gemäß Art. 7 lit. f) der Europäischen Datenschutzrichtlinie die Verarbeitung personenbezogener Daten auch zur Verwirklichung eines berechtigten Interesses des für die Verarbeitung Verantwortlichen (Webseitenbetreiber) zulässig sein kann, sofern die Datenverarbeitung erforderlich ist und keine überwiegenden Interessen des Betroffenen (Internetnutzer) entgegenstehen.

In der engen Auslegung von § 15 TMG des Klägers sieht das Gericht hingegen einen Verstoß gegen die europarechtlichen Vorlagen, da sie den Weg für die vom europäischen Richtliniengeber geforderte Interessenabwägung versperrt. Mit anderen Worten verlangt der EuGH eine richtlinienkonforme Auslegung von Art. 7 lit. f) der Datenschutzrichtlinie und gelangt zum Ergebnis, dass eine Speicherung personenbezogener Daten aus Gründen der Systemsicherheit von Webseiten und zur Ermittlung von Cyberangriffen oder sonstigen Störungen der Integrität der angebotenen Telemedien zulässig sein kann.

Zu dem Vorabentscheidungsersuchen des Bundesgerichtshofs (Entscheidung vom 28. Oktober 2014) siehe unseren vorherigen Blog-Beitrag.

Praxistipps

Betreiber von Webseiten sollten spätestens nach der aktuellen Entscheidung des EuGH prüfen, in welchem Umfang sie sogenannte Protokolldateien (hierunter auch dynamische IP-Adressen) speichern und ob sie Internetnutzer über den Umstand und den Zweck der Speicherung hinreichend informieren. Mit anderen Worten sollten die Betreiber von Webseiten ihre Datenschutzhinweise umgehend auf eine Vereinbarkeit mit der Entscheidung des EuGH prüfen, auch wenn eine finale Entscheidung des vorliegenden Rechtsstreits nach der Zurückverweisung an die deutschen Gerichte noch aussteht. Eine regelmäßige Überprüfung der rechtlichen Texte zur Erhebung und Verarbeitung personenbezogener Daten (“Datenschutzhinweise”, “Datenschutzerklärung”, “Privacy Policy”) ist ohnehin unter dem Gesichtspunkt der Website Compliance in regelmäßigen Abständen zu empfehlen, um sicherzustellen, dass die rechtlichen Informationen und Rahmenbedingungen mit den technischen Entwicklungen und Funktionalitäten der Webseite Schritt halten.

14
Mrz
2016
Internet (iStock_000005558176Small_quadrat)
Dr. Christian Tinnefeld
Dr. Henrik Hanßen
Dr. Henrik Hanßen
  • E-Mail:
  • Telefon:
& Dr. Henrik Hanßen

Website Compliance: Wettbewerbsrechtliche Haftung für Social-Plugins

Das Landgericht Düsseldorf hat auf eine Klage der Verbraucherzentrale NRW hin kürzlich entschieden, dass die unmittelbare Einbindung von Social Plugins wie insbesondere des Facebook “Like”-Buttons datenschutzrechtlich unzulässig ist und zudem einen Wettbewerbsverstoß darstellt (Urteil vom 9. März 2016, Az. 12 O 151/15). Damit steht das Urteil im Einklang mit der Auffassung der Datenschutzbehörden und der Rechtsprechung mehrerer anderer Gerichte. Für Unternehmen, die auf ihren Online-Auftritten Social-Plugins verwenden, sollte spätestens diese gerichtliche Entscheidung Anlass sein, die Art und Weise der Einbindung der Social-Plugins rechtlich zu prüfen. » Lesen Sie mehr

14
Feb
2016
Internet (iStock_000005558176Small_quadrat)
Dr. Christian Tinnefeld
Dr. Henrik Hanßen
Dr. Henrik Hanßen
  • E-Mail:
  • Telefon:
& Dr. Henrik Hanßen

Website Compliance: Fehlende Datenschutzerklärung ist wettbewerbswidrig

Das Landgericht Köln hat in einem jüngst bekannt gewordenen Beschluss über eine einstweilige Verfügung entschieden, dass eine fehlende Datenschutzerklärung auf einer Website einen abmahnfähigen Wettbewerbsverstoß begründet. Damit reiht es sich in die Rechtsprechung zahlreicher anderer Gerichte ein, wonach die Verletzung von datenschutzrechtlichen Informationspflichten über das Wettbewerbsrecht angegriffen werden können. » Lesen Sie mehr

3
Feb
2016
Datenspeicherung
Dr. Christian Tinnefeld

Artikel 29-Datenschutzgruppe definiert Anforderungen künftiges “EU-US Privacy Shield”

Mit Spannung war das Ergebnis der Verhandlungen zwischen EU und USA über ein “Safe Harbor 2.0″-Abkommen erwartet worden. Gestern hatte die EU-Kommission dann die Eckpunkte für das geplante “EU-US Privacy Shield” der Öffentlichkeit vorgestellt, das zukünftig den internationalen Datentransfer zwischen der EU und den USA regeln soll. In ihrer Stellungnahme vom heutigen Tag teilte die Artikel 29-Gruppe daraufhin ihre Sicht auf das “EU-US Privacy Shield” mit und benannte die Anforderungen an den künftigen “Safe Harbor”-Nachfolger. » Lesen Sie mehr

3
Feb
2016
Europa
Dr. Christian Tinnefeld

Von “Safe Harbor” zum “EU-US Privacy Shield”

Verhandlungsführer von EU und USA einigen sich auf Eckpunkte für ein neues Safe Harbor 2.0 Abkommen

Als Reaktion auf die Safe Harbor-Entscheidung des Europäischen Gerichtshofs (EuGH) hatte die Artikel 29-Gruppe der EU-Kommission, den EU-Regierungen und der US-Regierung am 16. Oktober 2015 das Ultimatum gesetzt, den internationalen Datenaustausch zwischen USA und EU bis zum 31. Januar 2016 auf eine neue Rechtsgrundlage zu stellen. Vor zwei Tagen ist diese Frist verstrichen, ohne dass die Verhandlungsführer ein Ergebnis präsentieren konnten. Am 2. Februar 2016, haben die Justizkommissarin Vera Jourová und der Kommissar für den digitalen EU-Binnenmarkt Andrus Ansip nun verkündet, dass eine Einigung mit der USA erzielt worden sei. Es wird aber noch einige Wochen dauern, bis aus der “Einigung” ein tragfähige zukünftige Regelung wird.

Aus “Safe Harbor” wird das “EU-US Privacy Shield”

Trotz “intensiver Verhandlungen” in den letzten Wochen ist am vergangenen Sonntag die Schonfrist ausgelaufen, innerhalb derer die Vertreter von USA und EU den Auftrag hatten, eine neue verbindliche Grundlage für Übermittlung an und Verarbeitung von personenbezogenen Daten von EU-Bürgern durch US-amerikanische Unternehmen zu schaffen. Die Artikel 29-Gruppe hatte in ihrer Stellungnahme vom 16. Oktober 2015 angekündigt, dass die EU-Datenschutzbehörden verpflichtet seien, “erforderliche und geeignete Maßnahmen” zu treffen, wenn bis Ende Januar “keine geeignete Lösung mit den US-Behörden gefunden” wurden.

In einer Pressekonferenz in Straßburg haben nun die Justizkommissarin Vera Jourová und der Kommissar für den digitalen EU-Binnenmarkt Andrus Ansip heute, am 2. Februar 2016, die Eckpunkte der Einigung vorgestellt, die mit den Vertretern der USA zur Regelung des internationalen Datenaustauschs zwischen EU und USA erzielt werden konnten. Einen Tag zuvor hatte die Justizkommissarin den Stand der Verhandlungen dem LIBE-Ausschuss (Ausschuss für Bürgerliche Freiheiten, Justiz und Inneres) mitgeteilt. Das neue Regelwerk soll den Titel “EU-US Privacy Shield” tragen. » Lesen Sie mehr