Analyse des EuGH-Urteils
Am 19. Oktober 2016 kam endlich die von allen Datenschützern lang ersehnte Entscheidung des EuGH (Az: C-582/14) zur Frage, ob dynamische IP-Adressen nun personenbezogene Daten sind. In der Presse wurden danach Meldungen laut wie „IP-Adressen sind personenbezogene Daten“, „EuGH lockert Verbot zur Speicherung von IP-Adressen“ und „Begrüßung der Verschärfung der Speicherung von IP-Adressen“. Aber wie ist die Rechtslage denn nun?
Hintergrund
Bei dem Besuch von Webseiten werden in aller Regel die IP-Adressen der Besucher von den Webseitenbetreibern zu statistischen – und Marketingzwecken gespeichert. Daher herrscht seit Jahren ein Streit zwischen Unternehmen und Landesdatenschutzbehörden über die Frage, ob IP-Adressen, insbesondere die wechselnden dynamischen IP-Adressen, personenbezogene Daten sind und daher nicht ohne Weiteres gespeichert werden dürfen. Virulent wurde dieser Streit vor kurzem bei der Problematik des internationalen Datentransfers nach Safe Harbor bzw. dem neuen Privacy Shield. Datenschützer forderten Auskünfte über die Speicherung und Transfer von personenbezogenen Daten, worunter auch IP-Adressen fielen. Unternehmen lehnten dies zumeist ab mit der Begründung, dass IP-Adressen keine personenbezogenen Daten seien, weil diese eine Person nicht bestimmbar machten.
Dynamische IP-Adressen
Hierbei handelt es sich um die Adressen, die aus Ziffern bestehen z. B. 194.77.157.243, und die an einen Computer automatisch vergeben werden, wenn er eine Verbindung zum Internet aufbaut. Mit jedem erneuten Zugang zum Internet wechseln diese Adressen. Da der Internetanschluss und der PC anhand einer IP-Adresse theoretisch einem Menschen zugeordnet werden kann, argumentierten viele, dass es sich bei IP-Adressen generell um personenbezogene Daten handele.
Eine andere Meinung stellte auf den Unterschied zwischen statischen, also nicht wechselnden, und dynamischen IP-Adressen ab. Bei statischen IP-Adressen kann tatsächlich jeder anhand allgemein zugänglicher Dateien den Inhaber ermitteln. Bei dynamischen IP-Adressen gibt es keine Dateien, die jedem erlauben, die Identität zu ermitteln. Hierzu ist nur der Internetprovider fähig. Daher wurde hier argumentiert, dass dynamische IP-Adressen keine personenbezogenen Daten seien, da diese gerade nicht jedem die Bestimmung der Identität des Nutzers erlaubten.
Urteil des EuGH
Grund für das Urteil des EuGH war eine Klage eines Piraten Politikers gegen die Bundesrepublik Deutschland, in der sich dieser gegen die Speicherung seiner IP-Adressen wehrte, die beim Besuch der Webseiten der Bundesbehörden erhoben und gespeichert werden. Nach Aussage der Behörden geschieht dies, um sich gegen Cyberattacken wehren und deren Täter verfolgen zu können. In Deutschland kann man bei einer solchen Straftat in einem strafrechtlichen Ermittlungsverfahren anhand von IP-Adressen die Daten des Inhabers von dem jeweiligen Provider herausverlangen. Die Klage ging bis zum BGH, der diese mit einigen Fragen dem EuGH vorlegte.
Der EuGH urteilte nun (s. Presseerklärung unter curia.europa.eu/jcms/upload/docs/application/pdf/2016-10/cp160112de.pdf) , dass es sich bei dynamischen IP-Adressen um personenbezogene Daten handele, wenn der Webseitenbetreiber über „rechtliche Mittel“ verfüge, die ihn berechtigten, die Identität des Anschlussinhabers hinter der IP-Adresse beim Provider zu ermitteln. Dies sei in Deutschland der Fall.
Zudem ist nach Ansicht des EuGH die Verarbeitung, also die Erhebung und Speicherung, solcher personenbezogener Daten rechtmäßig und mit dem EU-Recht vereinbar, wenn ein berechtigtes Interesse des Webseitenbetreibers die Verarbeitung erfordert und nicht die Interessen oder Grundfreiheiten des Inhabers der IP-Adresse überwiegen.
Letztlich urteilte der EuGH auch, dass im Klagefalle die Bundesbehörden ein berechtigtes Interesse daran haben könnten, über die normale Nutzungsmöglichkeit hinaus die Aufrechterhaltung der Funktionsfähigkeit der Webseiten sicherzustellen.
Diesbezüglich stellt nach Ansicht des EuGH § 15 TMG eine unzulässige Einschränkung insofern dar, als diese Vorschrift die Speicherung von IP-Adressen nur zur Gewährleistung der Nutzung der Webseite und zu Abrechnungszwecken erlaube, nicht jedoch auch zum Zwecke, die Funktionsfähigkeit der Webseite zu gewährleisten.
Fazit:
Der EuGH hat in dem Urteil festgestellt, dass je nach Rechtslage dynamische IP-Adressen ein personenbezogenes Datum darstellen können. Sie sind daher nicht generell als personenbezogene Daten anzusehen, sondern es kommt auf die Rechtslage in den einzelnen EU-Ländern an. In Deutschland gilt nun allerdings, dass dynamische IP-Adressen personenbezogene Daten sind, da die o. g. Ermittlungsmöglichkeit jedem durch eine Straftat Betroffenen zusteht. In anderen EU-Ländern kann dies jedoch anders sein.
Des Weiteren trifft das Urteil keine generelle Aussage darüber, ob die Verarbeitung dieser IP-Adressen nun zulässig ist. Es kommt im Einzelfall auf ein berechtigtes Interesse an, das gegen die Interessen des Betroffenen abgewogen werden muss. Dieses Interesse kann jedoch auch in der Aufrechterhaltung der Funktionsfähigkeit der Webseite liegen. Insofern bleibt abzuwarten, ob § 15 TMG nun geändert wird.
Das Urteil bedeutet daher definitiv keinen Freifahrtschein für die Verarbeitung von dynamischen IP-Adressen.
Falls Sie Fragen zum Datenschutzrecht haben, können Sie uns gerne kontaktieren.
Wir helfen Ihnen schnell und kompetent.
Ihr Ansprechpartner für weitere Fragen ist:
Rechtsanwältin Daniela Wagner-Schneider LL.M.
Fachanwältin für Gewerblichen Rechtsschutz
WAGNER Rechtsanwälte webvocat® - Small.Different.Better
