EuGH erlaubt IP-Logging durch Webseiten-Betreiber

§ 15 des Telemediengesetzes (TMG) verstößt gegen die Datenschutzrichtlinie (95/46/EG) - zumindest in seiner Auslegung nach herrschender Lehre. Dies hat der Europäische Gerichtshof mit Urteil vom 19. Oktober 2016 (Az. C-582/14) entschieden.
 
§ 15 TMG erlaubt Anbietern von Online-Medien die Verarbeitung von personenbezogenen Daten nur, wenn sie für die Inanspruchnahme des Dienstes oder zu Abrechnungszwecken erforderlich ist. Nach gängiger Lehrmeinung ist die Bestimmung so zu verstehen, dass sie die längerfristige Speicherung von Nutzerdaten ausschließlich für die Fakturierung zulässt. IP-Logging zum Schutz vor Cyber-Attacken ist indessen verboten. Ein solch pauschales Verbot verletzt nach Ansicht des obersten Gerichts der Union Art. 7 lit. f der Datenschutzrichtlinie, der vorschreibt, die berechtigten Interessen des Anbieters an der Datenspeicherung seien zu berücksichtigen.
Außerdem beschäftigt sich der EuGH in seiner Entscheidung mit der Frage, ob dynamisch zugeteilte IP-Adressen als personenbezogene Daten einzustufen sind. Sie stellt sich, weil der Nutzer hinter einer dynamischen IP-Adresse bloß seinem Internet-Provider bekannt ist, nicht aber dem Betreiber einer Webseite, auf die er zugreift. Die EU-Richter beantworten die Frage mit ja, sofern sich die Identifikation des Nutzers rechtlich erzwingen lässt.
 
Sachverhalt
Patrick Breyer, Vorsitzender der Piraten-Fraktion im schleswig-holsteinischen Landtag kämpft für einen besseren Datenschutz im Internet. Er will erreichen, dass Webseiten-Betreiber die IP-Adressen der Besucher nicht ohne deren Zustimmung in ihren Log-Files speichern dürfen. Zu diesem Zweck hat Breyer ein Pilotverfahren gegen die Bundesrepublik als Betreiberin verschiedener Internet-Portale angestrengt.
 
Das Amtsgericht Berlin-Tiergarten wies die Unterlassungsklage des Politikers aus formellen Gründen zurück. Im Berufungsprozess vor dem Landgericht Berlin konnte Breyer hingegen einen Teilerfolg erzielen. Das Landgericht untersagte dem Bund, die IP-Adresse des Klägers zu speichern, sofern dieser während des Zugriffs seine Personalien - beispielsweise seine Mail-Adresse - angegeben hat. Es war der Auffassung, zusammen mit den Personalien werde die IP-Adresse zu einem personenbezogenen Datum. Die Speicherung personenbezogener Daten über den Zugriff hinaus verstoße gegen § 15 TMG, da sie nicht notwendig sei, um die Inanspruchnahme des Angebots zu ermöglichen.
 
Gegen die landgerichtliche Entscheidung erhoben sowohl die Bundesrepublik als auch der Piraten-Politiker Revision. Der Bundesgerichtshof setzte das Verfahren aus und legte dem Europäischen Gerichtshof zwei Fragen zur Auslegung der Datenschutzrichtlinie vor. Erstens wollte er wissen, ob eine dynamisch vergebene IP-Adresse ein personenbezogenes Datum ist. Zweitens fragte der Bundesgerichtshof, ob § 15 TMG in der Auslegung, die längerfristige Speicherung von Nutzerdaten sei lediglich zu Abrechnungszwecken erlaubt, richtlinienkonform ist.
 
Aus den Gründen
Zur ersten Frage führt der Europäische Gerichtshof aus, Art. 2 lit. a der Datenschutzrichtlinie bezeichne alle Informationen über eine bestimmte oder bestimmbare natürliche Person als personenbezogene Daten. Bestimmbar sei eine Person nach der Richtliniennorm, wenn sie direkt oder indirekt zu identifizieren sei. Aufgrund des Begriffs "indirekt" sei nicht erforderlich, dass die Information für sich genommen zur Identifikation der Person führe. Vielmehr heiße es im Erwägungsgrund 26 der Datenschutzrichtlinie, es seien alle Mittel zu berücksichtigen, die vernünftigerweise eingesetzt werden könnten, um die betreffende Person zu bestimmen.
 
Der Europäische Gerichtshof sieht darin ein Indiz, dass sich die zur Identifizierung einer Person erforderlichen Informationen nicht in einer Hand befinden müssen. Er schließt daraus, dass eine dynamische IP-Adresse ein personenbezogenes Datum ist, wenn rechtliche Mittel existieren, den Internet-Provider zur Identifikation des Nutzers zu zwingen. Die rechtlichen Möglichkeiten, vom Provider die Herausgabe von Nutzerdaten zu verlangen, seien in Deutschland vorhanden. Dynamische IP-Adressen hätten deshalb in der Bundesrepublik nach Art. 2 lit. a der Datenschutzrichtlinie als personenbezogene Daten zu gelten.
In Bezug auf die zweite Vorlagefrage stellen die EU-Richter fest, dass § 15 TMG in der Auslegung nach herrschender Lehre nicht richtlinienkonform ist. Art. 7 lit. f der Datenschutzrichtlinie gebiete, bei der Verarbeitung personenbezogener Daten eine Abwägung zwischen den berechtigten Interessen des Verarbeiters und den Interessen und Grundrechten der Betroffenen vorzunehmen.
§ 15 TMG verbiete die Speicherung personenbezogener Daten generell, sofern sie nicht der Inanspruchnahme des Telemediums durch den betroffenen Nutzer oder der Abrechnung dienten. Eine Berücksichtigung des berechtigten Interesses des Bundes am Schutz seiner Online-Dienste vor Cyber-Angriffen sei ausgeschlossen. Damit habe § 15 TMG eine geringere Tragweite als Art. 7 lit. f der Datenschutzrichtlinie. Die Richtliniennorm enthalte aber eine erschöpfende Aufzählung, wann die Verarbeitung von Personendaten zulässig sei. Es liege daher nicht im Ermessen der Mitgliedsstaaten, diese Grundsätze einzuschränken.
 
EuGH, Urteil vom 19.10.2016, Az. C-582/14