Nachdem der Europäische Gerichtshof im Rahmen eines Vorabentscheidungsersuchens des Bundesgerichtshofes im Fall Breyer/Bundesregierung (Rs. C-582/14 & C-582/14 REC) entschieden hatte (wir berichteten: „Sind IP Adressen personenbezogene Daten, die Zweite? – aus Sicht des EuGH“ vom Februar 2017) entschied der BGH mit Urteil vom 16.05.2017 – VI ZR 135/13, sich der Auffassung der europäischen Richter anzuschließen und dynamische IP-Adressen ebenfalls als personenbezogene Daten einzustufen.
Dynamische IP-Adressen sind die Kennungen, mit denen die Kommunikation im Internet stattfindet. Jeder Nutzer erhält bei der Einwahl ins Internet eine solche IP-Adresse vom Zugangsanbieter zugewiesen. An diese Adresse werden dann die aufgerufenen Seiten ausgeliefert. Deswegen müssen Website-Betreiber die IP-Adresse des Nutzers erheben und speichern, um seine Seite dem Nutzer überhaupt anzeigen zu können. Technisch zwingend ist die Speicherung der Adresse allerdings nur, solange noch Daten an den Nutzer ausgeliefert werden müssen, er also aktiv auf der Internetseite verweilt. Der vorliegende Fall bezieht sich auf die Zulässigkeit einer darüber hinausgehenden Speicherung. Denn die beklagte Bundesrepublik Deutschland speichert die IP-Adressen bei Besuchen auf ihren Webseiten auch noch nach Ende des Seitenbesuchs und damit länger als technisch erforderlich. Sie argumentiert, nur so technische Maßnahmen ergreifen zu können, wenn ihre Internetangebote angegriffen würden, um gegebenenfalls strafrechtliche Schritte gegen die Angreifer einzuleiten.
Zur Beurteilung der Rechtmäßigkeit dieser Speicherung muss jedoch zunächst die Frage des Personenbezugs von IP-Adressen beantwortet werden. Denn nur wenn dieser gegeben ist, findet Datenschutzrecht Anwendung. Personenbezogene Daten sind nach § 3 I Bundesdatenschutzgesetz „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“. Bei dynamischen IP-Adressen, also solchen, die bei jeder Internetverbindung variieren ist eine Identifizierung zwar möglich, aber ein genereller Personenbezug fraglich, da die Zuordnung zu einer Person ist nicht dauerhaft möglich ist.
Unterschiedliche Ansätze bei Beurteilung IP-Adresse
Nach dem europäischen Datenschutzrecht sind personenbezogene Daten jedoch auch schon Daten, die sich auf „bestimmbare“ Personen beziehen. Hierbei gibt es zwei unterschiedliche Ansichten. Der absolute Maßstab lässt die theoretische Möglichkeit, eine Person anhand der Daten zu identifizieren, sei es durch die verantwortliche Stelle (Webseitenbetreiber) oder durch einen Dritten (z.B. dem Provider), genügen. Demzufolge ist die Person zumindest auf indirektem Weg stets identifizierbar und die IP-Adresse folglich ein personenbezogenes Datum. Nach anderer Ansicht ist eine relative Betrachtung entscheidend: Es komme darauf an, ob der Website-Betreiber selbst eine konkrete Verknüpfung zwischen IP-Adresse und Nutzer herstellen könne.
Der BGH legte diese Frage dem Europäischen Gerichtshof vor, der einen Mittelweg wählte: Danach kann eine dynamische IP-Adresse für den Website-Betreiber ein personenbezogenes Datum darstellen, wenn der Betreiber über „rechtliche Mittel“ verfügt, mit denen er die betroffene Person bestimmen bzw. bestimmen lassen kann.
Soweit danach dynamische IP-Adressen personenbezogene Daten darstellen, dürfen Sie nur verarbeitet werden, wenn dies entweder gesetzlich gestattet ist oder der Betroffene eingewilligt hat. Eine gesetzliche Ermächtigung könnte sich in Deutschland aus § 15 Telemediengesetz ergeben. Diese Norm gestattet es, dass personenbezogene Daten durch den Website-Anbieter erhoben und gespeichert werden, soweit dies erforderlich ist, um die Website zu nutzen.
Im Vorabentscheidungsverfahren stellt der EuGH jedoch fest, dass dieser Regelungsgehalt zu eng und deswegen mit der europäischen Datenschutzrichtlinie (RL 95/46/EG) nicht vereinbar sei. Es müsse im Einzelfall eine Interessenabwägung möglich sein, wie dies in Art. 7 lit. f) der Datenschutzrichtlinie vorgesehen ist.
Die personenbezogenen Daten dürfen nur dann länger gespeichert werden, wenn nicht die Grundrechte und Grundfreiheiten der betroffenen Person die berechtigten Interessen des Website-Betreibers überwiegen. Auf Seiten des Website-Betreibers sei insbesondere das Interesse zu berücksichtigen, die generelle Funktionsfähigkeit des Internetangebots zu gewährleisten.
BGH übernimmt Auffassung des EuGH
Ausgehend von diesen Leitlinien hatte der BGH zu entscheiden, ob dem Website-Betreiber in Deutschland solche „rechtlichen Mittel“ zur Verfügung stehen, um den IP-Adressnutzer zu identifizieren, mithin also personenbezogene Daten vorliegen und ob die Speicherung der dynamischen IP-Adressen im konkreten Fall zulässig war.
Der BGH stellte fest, dass die dynamischen IP-Adressen für die Bundesrepublik als Betreiber der Webseiten ein personenbezogenes Datum darstellen. Als „rechtliches Mittel“ genüge es, wenn im Falle von Cyberattacken mit Hilfe der Strafverfolgungsbehörden die Nutzer hinter einer IP-Adresse identifiziert werden könnten.
Den konkreten Sachverhalt konnte und wollte der BGH nicht abschließend entscheiden. Das Berufungsgericht habe noch keine hinreichenden Feststellungen dazu getroffen, ob die Speicherung der IP-Adressen erforderlich gewesen sei, um die Funktionsfähigkeit der Website zu gewährleisten. Die Richter weißen jedoch darauf hin, dass auf Seiten des Website-Anbieters, also der Bundesrepublik, das Gefahrenpotenzial und der „Angriffsdruck“ berücksichtigt werden müssen. Bei der Abwägung mit den Grundrechten und Grundfreiheiten der Seitenbesucher seien sodann auch Gesichtspunkte der Generalprävention und der Strafverfolgung zu berücksichtigen.
Abzuwarten bleibt wie das Berufungsgericht entscheiden wird, da der BGH die endgültige Entscheidung im konkreten Fall an das Landgericht Berlin zurückverwies.
Haben Sie Fragen zum Thema personenbezogene Daten? Kontaktieren Sie gerne: RA Nicole Schmidt, LL.M. Leistung: Anwaltliche Beratung