Sind IP-Adressen personenbezogene Daten? Die Sicht des EuGH

Wir hatten in der Vergangenheit bereits über diese Fragestellung aus Sicht der deutschen Rechtsprechung und des Generalanwalts des Europäischen Gerichtshofs zum Vorabentscheidungsersuchen des BGH im Fall Breyer/Bundesregierung (Rs. C-582/14 & C-582/14 REC) berichtet. Für nähere Details verweisen wir auf diesen Beitrag (Sind IP Adressen personenbezogene Daten? Vom 22. August 2016).

Der Streit bezieht sich auf die Zulässigkeit der Speicherung von IP-Adressen (Internetprotokoll-Adressen), zu dessen Beurteilung zunächst die Frage des Personenbezugs von IP-Adressen beantwortet werden muss. Es kam zu unterschiedlichen Ansichten bezüglich des Personenbezugs hinsichtlich dynamischer IP-Adressen.

Der EuGH hat in dieser Rechtssache entschieden. Nach einem Berichtigungsantrag des Klägers hat der EuGH das Urteil in der deutschen Sprachfassung in einem kleinen, aber entscheidenden Punkt wegen Schreib- beziehungsweise Übersetzungsfehlern berichtigt.

Vorab kurze Zusammenfassung

Statische (= unveränderliche, feste) IP-Adressen sind nach einhelliger Meinung personenbezogene Daten, da sie die Identifizierung des mit dem Netz verbundenen Geräts deshalb stets ermöglichen, weil sie stets die gleiche Internetverbindung aufweisen. Der Streitpunkt liegt hier hinsichtlich dynamischer IP-Adressen, d.h. die bei jeder Internetverbindung variieren. Eine Identifizierung ist zwar auch hier möglich, aber nur sofern der Dritte (Zugangs-, Telekommunikationsanbieter wie Telekom) mit Zusatzwissen ausgestattet ist.

Personenbezogene Daten sind nach § 3 I BDSG „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“. Eine direkte oder indirekte Identifizierbarkeit genügt dabei Art. 2a der Richtlinie 95/46/EG (DS-RL) zufolge.

Die Anwendung des Datenschutzrechts hängt von dem Umstand ab, ob ein personenbezogenes Datum gegeben ist oder nicht.

Ansätze

Zur Beurteilung, ob dynamische IP-Adressen Personenbezug aufweisen, gibt es zwei Meinungen.

  • Die absolute (auch objektive) Theorie lässt die theoretische Möglichkeit, eine Person anhand der Daten zu identifizieren, sei es durch die verantwortliche Stelle (Webseitenbetreiber) oder aber durch einen Dritten (z.B. dem Provider), genügen. Demzufolge ist die Person zumindest auf indirektem Weg stets identifizierbar und folglich ein personenbezogenes Datum.
  • Daraus folgt noch kein grundsätzliches Gebot oder Verbot der Datenverarbeitung i.S.e. Speicherung von IP-Adressen. Vielmehr hat die Zulässigkeit der Speicherung im Rahmen einer Interessenabwägung zu erfolgen (so der Generalanwalt des EuGH BeckRS 2016, 81027).
  • Die relative Theorie stellt dagegen lediglich auf den Kenntnisstand und die zur Verfügung stehenden Mitteln, sich die notwendigen Informationen unter verhältnismäßigem Aufwand zu verschaffen, der verantwortlichen Stelle ab.
  • Das hat zur Folge, dass sofern der Webseitenbetreiber nicht selbst die Person identifizieren kann, auch die Speicherung der dynamischen IP-Adresse zulässig ist, da es am Personenbezug fehlt. Es wird auch mit der Möglichkeit der Strafverfolgung durch die Speicherung von IP-Adressen argumentiert.

(Kartheuser, Gilsdorf MMR-Aktuell 2016, 382533)

  • Nach der Stellungnahme des Generalanwalts des EuGH folgt allerdings bei bestehendem Personenbezug noch kein grundsätzliches Gebot oder Verbot der Datenverarbeitung i.S.e. Speicherung von IP-Adressen. Vielmehr hat die Zulässigkeit der Speicherung im Rahmen einer Interessenabwägung zu erfolgen (Generalanwalt des EuGH BeckRS 2016, 81027).
EuGH

Der Europäische Gerichtshof geht den Weg der „verschärften“ relativen Theorie und schließt sich folglich den Anmerkungen des Generalanwalts an (Prof. Dr. Kühling ZD 2017, 24, 28). Er begründet seine Entscheidung dahingehend, dass die dynamische IP-Adresse nach den Umständen des Einzelfalles durchaus ein personenbezogenes Datum sein kann. Im ursprünglichen Urteil verwies der Gerichtshof darauf, welche Stelle betroffen sei. Wäre die betroffene Stelle (Webseitenbetreiber, Internetanbieter) in der Lage mit den gegebenen Mitteln ohne unverhältnismäßigem Aufwand die Person anhand der IP-Adresse zu identifizieren, so läge ein Personenbezug vor. In der sprachlich berichtigten Fassung wird der Personenbezug hingegen erst dann bejaht, wenn die zuständige Behörde (nicht der Anbieter der Online-Mediendienste selbst) die fraglichen Informationen vom lnternetzugangsanbieter erlangen und die Strafverfolgung einleiten kann. Dies war der tatsächliche Wille des Gerichts, welcher aus dem französischen Originalurteil, als auch der englischen Übersetzung klar hervortritt.

Allerdings wird auch auf die Frage eingegangen, ob durch „rechtliche“ Mittel durchsetzbare Zusatzinformationen i.S.d. Art. 2a) DS-RL (etwa Auskunftsanspruch aus § 101 II 1 Nr. 3, IX UrhG oder durch Umweg über die Behörden nach § 113 TKG) zur Bejahung einer Identifizierbarkeit und Herstellung eines Personenbezugs genügen (Kartheuser, Gilsdorf MMR-Aktuell 2016, 382533). Genauer geht es um die Frage, ob der Webseitenbetreiber gegenüber dem Internetanbieter einen Auskunftsanspruch, der ihm die Identifikation erlaubt, hat oder nicht hat. Das Gericht bejaht auch in diesem Fall das Bestehen eines Personenbezugs, wenn sich der Anbieter von Online-Mediendiensten insbesondere bei Cyberattacken an die zuständige Ermittlungsbehörde wenden kann. Dieser obliege es dann, „die nötigen Schritte“ zu unternehmen und die Strafverfolgung einzuleiten. Im Weiteren die Beantwortung der Frage, ob ein solcher Anspruch gegeben ist, dem BGH (Prof. Dr. Kühling ZD 2017, 24, 28).

Weiterhin wird festgestellt, dass § 15 I TMG mit Art. 7 f) DS-RL unvereinbar ist, da dieser keine Interessenabwägung bei der Verwendung und Erhebung personenbezogener Daten vorsehe, sondern lediglich unter bestimmten Voraussetzungen zulasse oder ausschlösse.

Folge

Sofern der Bezug fehlt, ist die Speicherung zulässig. Liegt ein Personenbezug vor, so ist noch nichts über die Zulässigkeit gesagt. Letztlich entscheidet darüber das Kriterium der Interessenabwägung. Eine genaue Aussage über Gebot oder Verbot lässt sich folglich nicht machen, was künftig zu mehr Rechtsunsicherheiten führen kann. Lediglich auf das Wissen der verantwortlichen Stelle ist abzustellen. Gesetzlich verbotene Mittel bleiben jedoch außer Betracht.

Klärungsbedarf besteht hier hinsichtlich der tatsächlichen Durchsetzbarkeit des „rechtlichen Mittels“, ob es bereits genügt, dass dieser abstrakt existiert oder nur unter unverhältnismäßigem Aufwand herstellbar ist, womöglich der Anspruchsgegner einer anderen Rechtsordnung unterliegt (Prof. Dr. Kühling ZD 2016, 24, 28) und deshalb der Personenbezug ausscheidet.

Zur Abwehr von „Denial-of-Service“-Cyberangriffen, „mit denen die Funktionsfähigkeit jener Websites durch gezieltes und koordiniertes Fluten einzelner Webserver mit einer Vielzahl von Anfragen lahm gelegt werden solle“, ist eine auf Anfrage durch die zuständige Behörde durchgeführte Speicherung der als „feindlich“ markierten IP-Adresse möglich und dann gilt diese auch als personenbezogenes Datum.

Allerdings ist damit noch keine Aussage bezüglich der Zulässigkeit getroffen und ein Streitende (noch) nicht in Sicht.

DSGVO

Die Streitigkeiten und offenen Fragen werden auch mit Einzug der Datenschutzgrundverordnung (DSGVO), ab Mai 2018, nicht beendet sein und gewähren einen Ausblick in die Zukunft. Die DS-RL und die DSGVO definieren den Begriff „personenbezogener Daten“ weitgehend gleich. Entgegenstehende nationale Regelungen werden zum einen von der DSGVO verdrängt und vor allem gilt die Interessenabwägung nach Art. 6 I f) DSGVO als Auffangtatbestand für diese Fälle (Kartheuser, Gilsdorf MMR-Aktuell 2016, 382533).

 

Haben Sie Fragen? Kontaktieren Sie gerne: RA Nicole Schmidt, LL.M.
Leistung: Beratung Datenschutzrecht

–––

Sie suchen einen erfahrenen Partner rund um das Thema Datenschutz? Setzen Sie sich mit uns in Verbindung.