EuGH erlaubt IP-Logging durch Webseiten-Betreiber
§ 15 des Telemediengesetzes (TMG) verstößt gegen die Datenschutzrichtlinie (95/46/EG) - zumindest in seiner Auslegung nach herrschender Lehre. Dies hat der Europäische Gerichtshof mit Urteil vom 19. Oktober 2016 (Az. C-582/14) entschieden.
§ 15 TMG erlaubt Anbietern von Online-Medien die Verarbeitung von personenbezogenen Daten nur, wenn sie für die Inanspruchnahme des Dienstes oder zu Abrechnungszwecken erforderlich ist. Nach gängiger Lehrmeinung ist die Bestimmung so zu verstehen, dass sie die längerfristige Speicherung von Nutzerdaten ausschließlich für die Fakturierung zulässt. IP-Logging zum Schutz vor Cyber-Attacken ist indessen verboten. Ein solch pauschales Verbot verletzt nach Ansicht des obersten Gerichts der Union Art. 7 lit. f der Datenschutzrichtlinie, der vorschreibt, die berechtigten Interessen des Anbieters an der Datenspeicherung seien zu berücksichtigen.
Außerdem beschäftigt sich der EuGH in seiner Entscheidung mit der Frage, ob dynamisch zugeteilte IP-Adressen als personenbezogene Daten einzustufen sind. Sie stellt sich, weil der Nutzer hinter einer dynamischen IP-Adresse bloß seinem Internet-Provider bekannt ist, nicht aber dem Betreiber einer Webseite, auf die er zugreift. Die EU-Richter beantworten die Frage mit ja, sofern sich die Identifikation des Nutzers rechtlich erzwingen lässt.
Sachverhalt
Patrick Breyer, Vorsitzender der Piraten-Fraktion im schleswig-holsteinischen Landtag kämpft für einen besseren Datenschutz im Internet. Er will erreichen, dass Webseiten-Betreiber die IP-Adressen der Besucher nicht ohne deren Zustimmung in ihren Log-Files speichern dürfen. Zu diesem Zweck hat Breyer ein Pilotverfahren gegen die Bundesrepublik als Betreiberin verschiedener Internet-Portale angestrengt.
Das Amtsgericht Berlin-Tiergarten wies die Unterlassungsklage des Politikers aus formellen Gründen zurück. Im Berufungsprozess vor dem Landgericht Berlin konnte Breyer hingegen einen Teilerfolg erzielen. Das Landgericht untersagte dem Bund, die IP-Adresse des Klägers zu speichern, sofern dieser während des Zugriffs seine Personalien - beispielsweise seine Mail-Adresse - angegeben hat. Es war der Auffassung, zusammen mit den Personalien werde die IP-Adresse zu einem personenbezogenen Datum. Die Speicherung personenbezogener Daten über den Zugriff hinaus verstoße gegen § 15 TMG, da sie nicht notwendig sei, um die Inanspruchnahme des Angebots zu ermöglichen.
Gegen die landgerichtliche Entscheidung erhoben sowohl die Bundesrepublik als auch der Piraten-Politiker Revision. Der Bundesgerichtshof setzte das Verfahren aus und legte dem Europäischen Gerichtshof zwei Fragen zur Auslegung der Datenschutzrichtlinie vor. Erstens wollte er wissen, ob eine dynamisch vergebene IP-Adresse ein personenbezogenes Datum ist. Zweitens fragte der Bundesgerichtshof, ob § 15 TMG in der Auslegung, die längerfristige Speicherung von Nutzerdaten sei lediglich zu Abrechnungszwecken erlaubt, richtlinienkonform ist.
Aus den Gründen
Zur ersten Frage führt der Europäische Gerichtshof aus, Art. 2 lit. a der Datenschutzrichtlinie bezeichne alle Informationen über eine bestimmte oder bestimmbare natürliche Person als personenbezogene Daten. Bestimmbar sei eine Person nach der Richtliniennorm, wenn sie direkt oder indirekt zu identifizieren sei. Aufgrund des Begriffs "indirekt" sei nicht erforderlich, dass die Information für sich genommen zur Identifikation der Person führe. Vielmehr heiße es im Erwägungsgrund 26 der Datenschutzrichtlinie, es seien alle Mittel zu berücksichtigen, die vernünftigerweise eingesetzt werden könnten, um die betreffende Person zu bestimmen.
Der Europäische Gerichtshof sieht darin ein Indiz, dass sich die zur Identifizierung einer Person erforderlichen Informationen nicht in einer Hand befinden müssen. Er schließt daraus, dass eine dynamische IP-Adresse ein personenbezogenes Datum ist, wenn rechtliche Mittel existieren, den Internet-Provider zur Identifikation des Nutzers zu zwingen. Die rechtlichen Möglichkeiten, vom Provider die Herausgabe von Nutzerdaten zu verlangen, seien in Deutschland vorhanden. Dynamische IP-Adressen hätten deshalb in der Bundesrepublik nach Art. 2 lit. a der Datenschutzrichtlinie als personenbezogene Daten zu gelten.
In Bezug auf die zweite Vorlagefrage stellen die EU-Richter fest, dass § 15 TMG in der Auslegung nach herrschender Lehre nicht richtlinienkonform ist. Art. 7 lit. f der Datenschutzrichtlinie gebiete, bei der Verarbeitung personenbezogener Daten eine Abwägung zwischen den berechtigten Interessen des Verarbeiters und den Interessen und Grundrechten der Betroffenen vorzunehmen.
§ 15 TMG verbiete die Speicherung personenbezogener Daten generell, sofern sie nicht der Inanspruchnahme des Telemediums durch den betroffenen Nutzer oder der Abrechnung dienten. Eine Berücksichtigung des berechtigten Interesses des Bundes am Schutz seiner Online-Dienste vor Cyber-Angriffen sei ausgeschlossen. Damit habe § 15 TMG eine geringere Tragweite als Art. 7 lit. f der Datenschutzrichtlinie. Die Richtliniennorm enthalte aber eine erschöpfende Aufzählung, wann die Verarbeitung von Personendaten zulässig sei. Es liege daher nicht im Ermessen der Mitgliedsstaaten, diese Grundsätze einzuschränken.
EuGH, Urteil vom 19.10.2016, Az. C-582/14
Ihr Ansprechpartner
Kommentare (1)
Patrick Breyer
dankenswerterweise berichten Sie über das EuGH-Urteil zur Aufzeichnung des Surfverhaltens anhand von IP-Adressen.
In einigen Reaktionen und Berichten zu dem EuGH-Urteil zu Surfprotokollierung und IP-Adressen bin ich allerdings auf drei irrtümliche Schlussfolgerungen gestoßen, vor denen ich warnen möchte.
Aus dem inzwischen vollständig vorliegenden Urteil ergibt sich:
1. Der Gerichtshof hat keineswegs entschieden, dass unser
Surfverhalten im Internet oder unsere IP-Adressen zur Abwehr von Angriffen, zur “Missbrauchsbekämpfung” oder zur Störungsbeseitigung” verdachtslos auf Vorrat gespeichert werden dürften.
In Abs. 60 des Urteils heißt es nur in der Möglichkeitsform, Anbieter von Internetportale “*könnten* … ein berechtigtes Interesse daran haben, die Aufrechterhaltung der Funktionsfähigkeit der von ihnen allgemein zugänglich gemachten Websites über ihre konkrete Nutzung hinaus zu gewährleisten.” Ob das tatsächlich der Fall ist und deswegen die Internetnutzung aller Bürger auf Vorrat gespeichert werden darf, werden die deutschen Gerichte entscheiden. Ich werde dafür kämpfen, dass rechtstreue Internetnutzer nicht aufgezeichnet werden und anonym surfen dürfen.
Allenfalls eine zielgerichtete Speicherung der Quelle eines Angriffs wäre akzeptabel, nicht aber die dauerhafte und flächendeckende Aufzeichnung des Surfverhaltens völlig ungefährlicher Nutzer. Auch bei einer Speicherdauer von beispielsweise sieben Tagen wäre es inakzeptabel, das Surfverhalten der gesamten Bevölkerung - also von Nutzern, die mit Angriffen nicht das Entfernteste zu tun haben - flächendeckend aufzuzeichnen und sie dadurch Fehler- und Missbrauchsrisiken auszusetzen.
Ein Gerichtsgutachten [2] und die Praxis vieler Internetportale (z.B. Bundesdatenschutzbeauftragter, Bundesjustizministerium) belegen, dass Internetangebote auch ohne totale Aufzeichnung des Nutzerverhaltens sicher betrieben werden können. Das Bundesverfassungsgericht hat entschieden [3], dass Internetnutzer vor einer Aufzeichnung ihres Nutzungsverhaltens geschützt sind.
2. Der Gerichtshof hat das deutsche Telemediengesetz nicht für
ungültig erklärt. Das Telemediengesetz darf nur nicht mehr so ausgelegt werden, dass es eine Datenverarbeitung zur Gewährleistung der generellen Funktionsfähigkeit eines Dienstes von vornherein ausschließt. Ob und inwieweit eine Surfprotokollierung dazu geeignet, erforderlich und verhältnismäßig ist, wurde vom EuGH nicht entschieden und wird der Bundesgerichtshof zu entscheiden haben. Das Telemediengesetz bestimmt nach wie vor (§ 15 TMG): “Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten).“
3. Der Gerichtshof hat keineswegs entschieden, dass das
Datenschutzrecht nur dann gelte, wenn die speichernde Stelle selbst den Betroffenen identifizieren könne (sogenannter relativer Begriff des Personenbezugs).
In Abs. 47 des Urteils wird vielmehr darauf abgestellt, dass sich Internet-Portalbetreiber anhand der in Surfprotokollen (Logfiles) enthaltenen IP-Adressen zulässigerweise – beispielsweise im Fall von “Cyberattacken” – “an die zuständige Behörde … wenden” können, damit diese die erforderlichen Informationen vom Internetzugangsanbieter anfordert und die Strafverfolgung einzuleitet. Die französische und englische Sprachfassung des Urteils ist an dieser Stelle deutlicher als die deutsche Übersetzung. Der Urteilsspruch stellt darauf ab, ob es dem Betreiber möglich ist, den Anschlussinhaber anhand der Verbindungsdaten des Zugangsanbieters “bestimmen zu lassen”. Dies ist – beispielsweise im Fall einer Strafanzeige – stets der Fall.
Nicht gefordert wird also, dass der Anbieter selbst eine IP-Adresse identifizieren oder die Identität in Erfahrung bringen kann. Gut so, denn das Recht auf informationelle Selbstbestimmung muss auch vor falschem Verdacht, unberechtigten Abmahnungen, Datenklau, Datenverlust und Datenmissbrauch schützen.
Beste Grüße
Patrick Breyer
Nachweise:
[1] http://dejure.org/dienste/vernetzung/rechtsprechung?Text=C-582/14
[2] http://www.daten-speicherung.de/wp-content/uploads/Surfprotokollierung_2011-07-29_Sachverst_an_LG.pdf
[3] http://www.servat.unibe.ch/dfr/bv125260.html#Rn270
[4] http://dejure.org/gesetze/TMG/15.html
Meine Pressemitteilung:
https://www.piratenpartei.de/2016/10/19/eugh-urteil-piraten-fordern-europaweites-verbot-der-surfprotokollierung/
antworten