Header graphic for print
Datenschutz News & Trends
Rubrik: Compliance, Datenschutz Allgemein, Datensicherheit

Dynamische IP-Adressen als personenbezogenes Datum? – Vorlage des Bundesgerichtshofs an den Europäischen Gerichtshof

Stellen dynamische IP-Adressen, die Internetnutzern bei jeder Einwahl ins Internet aufs Neue zugewiesen werden, ein personenbezogenes Datum dar? Reicht es aus, dass die Ziffernfolge nach Rücksprache und mithilfe des Access-Providers einem bestimmten Nutzer zugeordnet werden kann – oder ist entscheidend, dass ein Webseiten-Betreiber nicht allein ermitteln kann, welcher Person eine bestimmte IP-Adresse zugewiesen ist, die beim Besuch eines Nutzers protokolliert wird? Und schließlich: kann es den Betreibern von Webseiten untersagt werden, die IP-Adressen ihrer Nutzer vorübergehend zu speichern, um für den Fall eines bemerkten Angriffs auf die Webseiten mögliche Angreifer identifizieren zu können? Diese Fragen sollen nach einer Vorlage durch den Bundesgerichtshof (BGH) nun vom Europäischen Gerichtshof (EuGH) geklärt werden.

Der Stein des Anstoßes

Geklagt hatte ein Mitglied der Piratenpartei gegen die Bundesrepublik Deutschland, weil diese als Betreiberin mehrerer Informationsportale im Internet automatisch Informationen über die Besucher der Seiten protokolliert hat, ohne zuvor eine Einwilligung der betroffenen Internetnutzer einzuholen. Zu den erhobenen Daten gehörten neben Informationen über die besuchten Internetseiten und dem Zeitpunkt ihres Abrufs auch die IP-Adressen der Internetnutzer, die das Informationsangebot des Bundes angesteuert haben.

Der Kläger verlangte von der Bundesrepublik Deutschland, es zu unterlassen, die ihm zugewiesenen (dynamischen) IP-Adressen über das Ende des Besuchs der Internetseiten hinaus zu speichern. Der Kläger hatte in der Vergangenheit mehrfach verschiedene solcher Internetseiten aufgerufen und dort Suchbegriffe eingegeben. Teilweise hatte der Kläger während seines Besuchs der Seiten in Web-Formularen seinen Klarnamen eingegeben. Mit seiner Klage begehrt er, die Beklagte zu verurteilen, es zu unterlassen, ihm zugewiesene IP-Adressen über das Ende des jeweiligen Nutzungsvorgangs hinaus zu speichern.

Die bisherigen Entscheidungen der Gerichte

Das Amtsgericht Tiergarten (Urteil vom 13. August 2008, Az.: 2 C 6/08) hatte die Klage noch wegen Unzuständigkeit als unzulässig abgewiesen.

Auf die Berufung des Klägers hin gab das Landgericht (LG) Berlin mit Urteil vom 31. Januar 2013 (Az.: 57 S 87/08) der Klage unter Zurückweisung teilweise statt und sprach dem Kläger den geltend gemachten Unterlassungsanspruch insoweit zu, als es zu Speicherungen seiner IP-Adressen in Verbindung mit dem Zeitpunkt des jeweiligen Nutzungsvorgangs gekommen war und der Kläger während des Nutzungsvorgangs seine Personalien angegeben hatte. In derartigen Konstellationen sei die dynamische IP-Adresse des Klägers ein „personenbezogenes Datum“ im Sinne des § 12 Telemediengesetz („TMG“) mit der Folge, dass eine Erhebung und Speicherung nur mit Einwilligung des Betroffenen zulässig sei. Das LG Berlin wies die Klage jedoch für die Fälle zurück, in denen der Kläger während des Nutzungsvorgangs seinen Klarnamen nicht angegeben hatte. Denn in diesem Fall sei die dynamisch zugeordnete IP-Adresse kein personenbezogenes Datum für den Betreiber der Webseite.

Die Entscheidung des BGH

Der BGH hat beschlossen, das Verfahren auszusetzen und dem EuGH zwei Fragen zur Auslegung der EG-Datenschutz-Richtlinie zur Vorabentscheidung vorzulegen.

Die IP-Adresse als personenbezogenes Datum?

Mit der ersten vom BGH vorgelegten Frage soll geklärt werden, ob eine IP-Adresse schon dann ein personenbezogenes Datum darstellt, wenn während des Nutzungsvorganges zwar die IP-Adresse des Nutzers gespeichert, dessen Personalien jedoch nicht angegeben werden. Der EuGH wird also zu prüfen haben, ob Art. 2a der EG-Datenschutz-Richtlinie (95/46/EG) dahin auszulegen ist, dass eine IP-Adresse, die ein Dienstanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn lediglich ein Dritter (der Access-Provider) über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt.

Sollte der EuGH von „personenbezogenen Daten“ ausgehen, so wäre dem deutschen Recht nach für die Speicherung der IP-Adresse des Nutzers eine gesetzliche Erlaubnis nötig (§ 12 Abs. 1 TMG), soweit die Einwilligung des Nutzers in eine Speicherung nicht vorliegt. Denn dem Telemediengesetz zufolge darf der Dienstanbieter personenbezogene Daten ohne Einwilligung des Nutzers nur erheben und verarbeiten, soweit dies erforderlich ist, um die konkrete Inanspruchnahme des Dienstes durch die jeweilige Person zu ermöglichen und abzurechnen (§ 15 Abs. 1 TMG). Diese Voraussetzungen waren im zu entschiedenen Fall nicht erfüllt, weil die betroffenen Webseiten des Bundes kostenfrei zu nutzen waren.

Erforderlichkeit der Speicherung der IP-Adressen zu Sicherheitszwecken?

Die Bundesrepublik Deutschland hatte als Betreiberin der Webseiten argumentiert, dass die Speicherung der IP-Adressen der Besucher zur Gewährleistung und Aufrechterhaltung der Sicherheit und Funktionsfähigkeit ihrer Telemedien erforderlich sei. Als Seitenbetreiberin könnte sie in der Tat ein berechtigtes Interesse daran haben, dass für den Fall, dass eine Störung der Integrität der Webseiten festgestellt wird, mögliche Angriff durch die Nutzer mit bestimmten IP-Adressen zurückverfolgt werden können. Die rechtliche Grundlage für ein solches Interesse könnte Art. 7f) der EG-Datenschutzrichtlinie bieten, wonach die Verarbeitung personenbezogener Daten zur Verwirklichung eines berechtigten Interesses der verantwortlichen Stelle erfolgen darf, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten des Betroffenen überwiegen.

Vor diesem Hintergrund hat der BGH dem EuGH als zweite Frage zur Vorabentscheidung vorgelegt, ob Art. 7f der Richtlinie 95/46/EG einer Vorschrift des nationalen Rechts mit dem Inhalt des § 15 Abs. 1 TMG entgegen steht, wonach der Dienstanbieter personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur zu den dort genannten Voraussetzungen erheben und verwenden darf, und wonach der Zweck, die generelle Funktionsfähigkeit des Telemediums zu gewährleisten, die Verwendung nicht über das Ende des jeweiligen Nutzungsvorgangs hinaus rechtfertigen kann.

Bedeutung des Falls

Die Entscheidung des EuGH dürfte weitreichende Konsequenzen für die Praxis der Webseitenbetreiber in der gesamten Europäischen Union haben. Denn wie die Beklagte speichern die meisten Betreiber von Internetseiten bestimmte Informationen über die Nutzer der Seiten automatisch in Protokolldateien – hierunter neben Geräteinformationen, Zugriffseiten, Verweildauer und besuchten Seiten eben auch die IP-Adresse des Nutzers. Dies erfolgt in aller Regel, ohne dass vorher eine ausdrückliche Einwilligung der Seitenbesucher eingeholt wird.

Wie der EuGH entscheiden wird, ist derzeit noch offen. Erste Anzeichen können zwar in früheren Entscheidungen des Gerichts gesehen werden. So hatte das Gericht beispielsweise in dem Urteil vom 24. November 2011 – C-70/10, Rn. 51 (Scarlet Extended SA/SABAM) festgestellt, dass es sich bei IP-Adressen um personenbezogene Daten handele. Allerdings war dies seinerzeit keine zentrale Frage des Rechtsstreits, die auch nicht Gegenstand der seinerzeitigen Vorlagefragen war. Die Entscheidung des EuGH im vorliegenden Verfahren dürfte durch die damalige Feststellung jedenfalls nicht präkludiert sein.

Mit einer Entscheidung des EuGH dürfte im Laufe des kommenden Jahres zu rechnen sein. Wir halten Sie auf dem Laufenden.