Sind dynamische IP-Adressen personenbezogene Daten?


Sind dynamische IP-Adressen personenbezogene Daten?

Unter anderem diese seit einer „gefühlten Ewigkeit“ umstrittene Frage aus dem Datenschutzrecht hat der Bundesgerichtshof (BGH) dem Europäischen Gerichtshof (EuGH) zur Entscheidung vorgelegt.
Die Antwort auf diese Frage ist auch über das Datum der IP-Adresse hinaus für die zentrale Definition der „personenbezogenen Daten“ relevant.
Hier besagt § 3 Abs. 1 BDSG, dass personenbezogene Daten „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)“ sind.
Bei der Bestimmbarkeit ist es hierbei bislang umstritten, ob die datenverarbeitende Stelle die Zuordnung zu dem Betroffenen vornehmen kann oder ob es ausreichend ist, wenn irgendjemand die Daten dem Betroffenen zuordnen kann. Ersteres ist der sog. relative Ansatz, d.h. ein Datum kann für die eine datenverarbeitende Stelle (etwa aufgrund Sonderwissen) ein personenbezogenes Datum sein – und damit im Anwendungsbereich des Bundesdatenschutzgesetzes (BDSG) -, für eine andere verarbeitende Stelle (ohne das Sonderwissen) aber nicht. Nach letzterem Ansatz, sog. objektiver oder absoluter Ansatz – kann ein Datum bzgl. der Zuordnung zu einer Person zwar „nichtssagend“ sein. Da aber irgendeine Stelle die Zuordnung vornehmen kann, ist das betreffende Datum für alle verarbeitenden Stellen ein personenbezogenes Datum und damit im Fokus des BDSG.
Auf der Hand dürfte liegen, dass der absolute/objektive Ansatz zu einer massiven Ausweitung der Anwendung des Datenschutzrechts führen würde, da ja fast alle Merkmale zumindest von irgendwem einer Person zugeordnet werden können.
Klassische Beispiele: Dynamische IP-Adressen, Kfz-Kennzeichen.
Eine Entscheidung des EuGH ist damit von ganz zentraler Bedeutung für das gesamte Datenschutzrecht – dementsprechend warten wir die Entscheidung des EuGH mit Spannung ab.

RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe

Hier die Pressemitteilung des BGH vom 28.10.2014:
Der Kläger verlangt von der beklagten Bundesrepublik Deutschland Unterlassung der Speicherung von dynamischen IP-Adressen. Dies sind Ziffernfolgen, die bei jeder Einwahl vernetzten Computern zugewiesen werden, um deren Kommunikation im Internet zu ermöglichen. Bei den meisten allgemein zugänglichen Internetportalen des Bundes werden alle Zugriffe in Protokolldateien festgehalten mit dem Ziel, Angriffe abzuwehren und die strafrechtliche Verfolgung von Angreifern zu ermöglichen. Dabei werden unter anderem der Name der abgerufenen Seite, der Zeitpunkt des Abrufs und die IP-Adresse des zugreifenden Rechners über das Ende des jeweiligen Nutzungsvorgangs hinaus gespeichert. Der Kläger rief in der Vergangenheit verschiedene solcher Internetseiten auf.

Mit seiner Klage begehrt er, die Beklagte zu verurteilen, es zu unterlassen, ihm zugewiesene IP-Adressen über das Ende des jeweiligen Nutzungsvorgangs hinaus zu speichern. Das Amtsgericht hat die Klage abgewiesen. Auf die Berufung des Klägers hat das Landgericht dem Kläger den Unterlassungsanspruch nur insoweit zuerkannt, als er Speicherungen von IP-Adressen in Verbindung mit dem Zeitpunkt des jeweiligen Nutzungsvorgangs betrifft und der Kläger während eines Nutzungsvorgangs seine Personalien angibt. Gegen dieses Urteil haben beide Parteien die vom Berufungsgericht zugelassene Revision eingelegt.

Der Bundesgerichtshof hat beschlossen, das Verfahren auszusetzen und dem Europäischen Gerichtshof zwei Fragen zur Auslegung der EG-Datenschutz-Richtlinie zur Vorabentscheidung vorzulegen.

1. Der Unterlassungsanspruch setzt voraus, dass es sich bei den dynamischen IP-Adressen für die verantwortlichen Stellen der Beklagten, die die Adressen speichern, um „personenbezogene Daten“ handelt, die von dem durch die Richtlinie harmonisierten Datenschutzrecht geschützt werden. Das könnte in den Fällen, in denen der Kläger während eines Nutzungsvorgangs seine Personalien nicht angegeben hat, fraglich sein. Denn nach den getroffenen Feststellungen lagen den verantwortlichen Stellen keine Informationen vor, die eine Identifizierung des Klägers anhand der IP-Adressen ermöglicht hätten. Auch durfte der Zugangsanbieter des Klägers den verantwortlichen Stellen keine Auskunft über die Identität des Klägers erteilen. Der Bundesgerichtshof hat dem Europäischen Gerichtshof deshalb die Frage vorgelegt, ob Art. 2 Buchstabe a der EG-Datenschutz-Richtlinie*** dahin auszulegen ist, dass eine IP-Adresse, die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn lediglich ein Dritter über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt.

2. Geht man von „personenbezogenen Daten“ aus, so dürfen die IP-Adressen des Nutzers nicht ohne eine gesetzliche Erlaubnis gespeichert werden (§ 12 Abs. 1 TMG*), wenn – wie hier – eine Einwilligung des Nutzers fehlt. Nach dem für die rechtliche Prüfung maßgebenden Vortrag der Beklagten ist die Speicherung der IP-Adressen zur Gewährleistung und Aufrechterhaltung der Sicherheit und Funktionsfähigkeit ihrer Telemedien erforderlich. Ob das für eine Erlaubnis nach § 15 Abs. 1 TMG** ausreicht, ist fraglich. Systematische Erwägungen sprechen dafür, dass diese Vorschrift eine Datenerhebung und -verwendung nur erlaubt, um ein konkretes Nutzungsverhältnis zu ermöglichen, und dass die Daten, soweit sie nicht für Abrechnungszwecke benötigt werden, mit dem Ende des jeweiligen Nutzungsvorgangs zu löschen sind. Art. 7 Buchstabe f der EG-Datenschutz-Richtlinie**** könnte aber eine weitergehende Auslegung gebieten. Der Bundesgerichtshof hat dem Europäischen Gerichtshof deshalb die Frage vorgelegt, ob die EG-Datenschutz-Richtlinie einer Vorschrift des nationalen Rechts mit dem Inhalt des § 15 Abs. 1 TMG entgegen steht, wonach der Diensteanbieter personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben und verwenden darf, soweit dies erforderlich ist, um die konkrete Inanspruchnahme des Telemediums durch den jeweiligen Nutzer zu ermöglichen und abzurechnen, und wonach der Zweck, die generelle Funktionsfähigkeit des Telemediums zu gewährleisten, die Verwendung nicht über das Ende des jeweiligen Nutzungsvorgangs hinaus rechtfertigen kann.

* § 12 Telemediengesetz – Grundsätze

(1) Der Diensteanbieter darf personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.

(2) …

** § 15 Telemediengesetz – Nutzungsdaten

(1) Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten)…

*** Art. 2 EG-Datenschutz-Richtlinie – Begriffsbestimmungen

Im Sinne dieser Richtlinie bezeichnet der Ausdruck

a) „personenbezogene Daten“ alle Informationen über eine bestimmte oder bestimmbare natürliche Person […]; als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind; […]

**** Art. 7 EG-Datenschutz-Richtlinie

Die Mitgliedstaaten sehen vor, dass die Verarbeitung personenbezogener Daten lediglich erfolgen darf, wenn eine der folgenden Voraussetzungen erfüllt ist: […]

f) die Verarbeitung ist erforderlich zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person, die gemäß Art. 1 Abs. 1 geschützt sind, überwiegen.

Urteil vom 28. Oktober – VI ZR 135/13
Vorinstanzen: AG Tiergarten – Urteil vom 13. August 2008 – 2 C 6/08, LG Berlin – Urteil vom 31. Januar 2013 – 57 S 87/08

Quelle: Pressemitteilung des Bundesgerichtshofs vom 28.10.2014