Dr. Christian Tinnefeld

Dr. Christian Tinnefeld

Datenschutz und Datensicherheit, IT-Recht, Internetrecht, Urheberrecht / Hamburg
12
Jan
2017
Europa
Dr. Christian Tinnefeld
Dr. Nils Rauer, MJI
Dr. Nils Rauer, MJI
  • E-Mail:
  • Telefon:
& Dr. Nils Rauer, MJI

Digitaler Binnenmarkt: EU Kommission veröffentlicht Paket zum digitalen Datenverkehr

Am 10. Januar 2017 hat die Europäische Kommission ihr lang ersehntes Gesetzespaket zur Verwirklichung des digitalen Binnenmarktes auch im Bereich des elektronischen Datenverkehrs der Öffentlichkeit vorgestellt (Pressemitteilung). Die aktuelle Initiative umfasst erneut ein ambitioniertes Paket an Verordnungsentwürfen, Kommissionsmitteilungen und begleitenden Dokumenten. Man kann mit Fug und Recht von einem weiteren „Meilenstein“ in der Umsetzung der grundlegenden Binnenmarktstrategie (Digital Single Market – DSM) der Kommission vom Mai 2015 sprechen. Dem jetzigen Paket vorausgegangen ist eine Reihe von Konsultationen, die der breiten Öffentlichkeit 2016 die Möglichkeit zur Stellungnahme gegebenen haben, wie auch ein vertieftes Impact Assessment durch die Kommission. » Lesen Sie mehr

19
Okt
2016
Internet (iStock_000005558176Small_quadrat)
Dr. Christian Tinnefeld

EuGH: Speicherung dynamischer IP-Adressen durch Webseitenbetreiber kann zulässig sein

Mit seiner Entscheidung vom 19. Oktober 2016 (C-582/14) hat der Europäische Gerichtshof (EuGH) entschieden, dass dynamische IP-Adressen als personenbezogene Daten zu qualifizieren sein können, auch wenn die Identität des betreffenden Internetnutzers nur mit Hilfe Dritter (z.B. Access-Provider oder Ermittlungsbehörde) möglich ist. Zugleich hat das Gericht entschieden, dass eine enge Auslegung von § 15 Telemediengesetz (TMG) mit Art. 7 lit. f) der Datenschutzrichtlinie 95/46/EG nicht vereinbar ist und dass Webseitenbetreiber ein berechtigtes Interesse haben können, dynamische IP-Adressen (und andere Protokolldaten) zu speichern, um die Integrität des Systems sicherzustellen oder um eine Ermittlung von Cyberangriffen zu ermöglichen.

Worum geht es in der Entscheidung?

Der Entscheidung des EuGH liegt die Klage eines deutschen Internetznutzers zugrunde, der sich gegen die Speicherung der seinem Internetanschluss zugewiesenen IP-Adresse durch einen Webseitenbetreiber gewendet hat. Dieser betreibt unterschiedliche öffentlich zugängliche Webseiten mit Informationsangeboten.

Dynamische IP-Adressen = personenbezogene Daten?

Rechtlich geht es um die Frage, ob dynamische IP-Adressen als “personenbezogene Daten” zu verstehen sind, mit der Folge, dass ihre Erhebung und Speicherung nur dann zulässig ist, wenn die betroffene Person (der Internetnutzer) in die Erhebung und Verarbeitung dieser Daten eingewilligt hat oder eine gesetzliche Vorschrift diese Datenverarbeitung anordnet oder erlaubt (§ 12 Abs. 1 TMG).

Einer Einordnung als personenbezogenes Datum hatte die Betreiberin der Webseiten mit der Begründung widersprochen, dass sie keine Kenntnis von der Identität des Inhabers der jeweiligen dynamischen IP-Adresse habe, sondern dass lediglich der Access-Provider über derartige Zusatzinformationen verfüge. Damit ging es in dem vorliegenden Rechtsstreit auch um eine Entscheidung über die sogenannte (überwiegend in Deutschland vertretene) Theorie der Relativität des personenbezogenen Datums.

Speicherung zu Sicherungszwecken zulässig?

Außerdem hatte der Kläger in den Verfahren vor den deutschen Gerichten eingewandt, dass gem. § 15 Abs. 1 TMG die Erhebung und Verarbeitung personenbezogener Daten nur zulässig sei, soweit dies erforderlich ist, um den Zugang zu den Telemedien (Internetseiten) oder die Abrechnung der Internetnutzung zu ermöglichen. Den vom Webseitenbetreiber angegebenen Zweck, wonach die Speicherung der IP-Adresse erfolgt, um eine strafrechtliche Verfolgung von Cyberangriffen zu ermöglichen, war nach Ansicht des Klägers nicht von § 15 Abs. 1 TMG gedeckt. Somit ging es in dem Verfahren vor dem EuGH auch um die Frage, ob ein enges Verständnis von § 15 TMG mit der zugrundeliegenden Datenschutzrichtlinie (insbesondere Art. 7) vereinbar ist.

Entscheidung des EuGH

Mit seinem Urteil vom 19. Oktober 2016 (Patrick Breyer ./. Bundesrepublik Deutschland) hat der EuGH nun entschieden, dass dynamische IP-Adressen für den Betreiber einer Webseite auch dann ein personenbezogenes Datum im Sinne des Art. 2 der Datenschutzrichtlinie sein können, wenn er selbst nicht über die notwendigen Informationen verfügt, um die Identität des Anschlussinhabers festzustellen, solange er über rechtliche Mittel verfügt, die es ihm (dem Webseitenbetreiber) erlauben, die betreffende Person anhand von Zusatzinformationen, über die ein Dritter verfügt, bestimmen zu lassen.

Hierbei kann es sich nach Ansicht des EuGH um den Internetzugangsanbieter (Access-Provider) oder (Ermittlungs-)Behörden handeln (Rn. 48 der Entscheidung). Insoweit stellt das Gericht fest, dass es ausreichen würde, wenn der Webseitenbetreiber nach nationalen Vorschriften rechtliche Möglichkeiten hat, die es ihm erlauben, sich an die zuständige Behörde (z.B. im Fall von Cyberangriffen) zu wenden, um die fraglichen Informationen über die Identität des Inhabers der dynamischen IP-Adresse vom Access-Provider zu erlangen.

Nach dieser Feststellung war anschließend zu klären, ob die Speicherung dynamischer IP-Adressen durch Webseitenbetreiber mit der Begründung und dem Hinweis zulässig ist, dass dies aus Gründen der Systemsicherheit und zur Ermöglichung einer Strafverfolgung im Fall von Cyberangriffen erfolge.

Dies bejaht der EuGH in seiner Entscheidung vom 19. Oktober 2016 und stellt fest, dass gemäß Art. 7 lit. f) der Europäischen Datenschutzrichtlinie die Verarbeitung personenbezogener Daten auch zur Verwirklichung eines berechtigten Interesses des für die Verarbeitung Verantwortlichen (Webseitenbetreiber) zulässig sein kann, sofern die Datenverarbeitung erforderlich ist und keine überwiegenden Interessen des Betroffenen (Internetnutzer) entgegenstehen.

In der engen Auslegung von § 15 TMG des Klägers sieht das Gericht hingegen einen Verstoß gegen die europarechtlichen Vorlagen, da sie den Weg für die vom europäischen Richtliniengeber geforderte Interessenabwägung versperrt. Mit anderen Worten verlangt der EuGH eine richtlinienkonforme Auslegung von Art. 7 lit. f) der Datenschutzrichtlinie und gelangt zum Ergebnis, dass eine Speicherung personenbezogener Daten aus Gründen der Systemsicherheit von Webseiten und zur Ermittlung von Cyberangriffen oder sonstigen Störungen der Integrität der angebotenen Telemedien zulässig sein kann.

Zu dem Vorabentscheidungsersuchen des Bundesgerichtshofs (Entscheidung vom 28. Oktober 2014) siehe unseren vorherigen Blog-Beitrag.

Praxistipps

Betreiber von Webseiten sollten spätestens nach der aktuellen Entscheidung des EuGH prüfen, in welchem Umfang sie sogenannte Protokolldateien (hierunter auch dynamische IP-Adressen) speichern und ob sie Internetnutzer über den Umstand und den Zweck der Speicherung hinreichend informieren. Mit anderen Worten sollten die Betreiber von Webseiten ihre Datenschutzhinweise umgehend auf eine Vereinbarkeit mit der Entscheidung des EuGH prüfen, auch wenn eine finale Entscheidung des vorliegenden Rechtsstreits nach der Zurückverweisung an die deutschen Gerichte noch aussteht. Eine regelmäßige Überprüfung der rechtlichen Texte zur Erhebung und Verarbeitung personenbezogener Daten (“Datenschutzhinweise”, “Datenschutzerklärung”, “Privacy Policy”) ist ohnehin unter dem Gesichtspunkt der Website Compliance in regelmäßigen Abständen zu empfehlen, um sicherzustellen, dass die rechtlichen Informationen und Rahmenbedingungen mit den technischen Entwicklungen und Funktionalitäten der Webseite Schritt halten.

14
Mrz
2016
Internet (iStock_000005558176Small_quadrat)
Dr. Christian Tinnefeld
Dr. Henrik Hanßen
Dr. Henrik Hanßen
  • E-Mail:
  • Telefon:
& Dr. Henrik Hanßen

Website Compliance: Wettbewerbsrechtliche Haftung für Social-Plugins

Das Landgericht Düsseldorf hat auf eine Klage der Verbraucherzentrale NRW hin kürzlich entschieden, dass die unmittelbare Einbindung von Social Plugins wie insbesondere des Facebook “Like”-Buttons datenschutzrechtlich unzulässig ist und zudem einen Wettbewerbsverstoß darstellt (Urteil vom 9. März 2016, Az. 12 O 151/15). Damit steht das Urteil im Einklang mit der Auffassung der Datenschutzbehörden und der Rechtsprechung mehrerer anderer Gerichte. Für Unternehmen, die auf ihren Online-Auftritten Social-Plugins verwenden, sollte spätestens diese gerichtliche Entscheidung Anlass sein, die Art und Weise der Einbindung der Social-Plugins rechtlich zu prüfen. » Lesen Sie mehr

14
Feb
2016
Internet (iStock_000005558176Small_quadrat)
Dr. Christian Tinnefeld
Dr. Henrik Hanßen
Dr. Henrik Hanßen
  • E-Mail:
  • Telefon:
& Dr. Henrik Hanßen

Website Compliance: Fehlende Datenschutzerklärung ist wettbewerbswidrig

Das Landgericht Köln hat in einem jüngst bekannt gewordenen Beschluss über eine einstweilige Verfügung entschieden, dass eine fehlende Datenschutzerklärung auf einer Website einen abmahnfähigen Wettbewerbsverstoß begründet. Damit reiht es sich in die Rechtsprechung zahlreicher anderer Gerichte ein, wonach die Verletzung von datenschutzrechtlichen Informationspflichten über das Wettbewerbsrecht angegriffen werden können. » Lesen Sie mehr

3
Feb
2016
Datenspeicherung
Dr. Christian Tinnefeld

Artikel 29-Datenschutzgruppe definiert Anforderungen künftiges “EU-US Privacy Shield”

Mit Spannung war das Ergebnis der Verhandlungen zwischen EU und USA über ein “Safe Harbor 2.0″-Abkommen erwartet worden. Gestern hatte die EU-Kommission dann die Eckpunkte für das geplante “EU-US Privacy Shield” der Öffentlichkeit vorgestellt, das zukünftig den internationalen Datentransfer zwischen der EU und den USA regeln soll. In ihrer Stellungnahme vom heutigen Tag teilte die Artikel 29-Gruppe daraufhin ihre Sicht auf das “EU-US Privacy Shield” mit und benannte die Anforderungen an den künftigen “Safe Harbor”-Nachfolger. » Lesen Sie mehr