EuGH zur Speicherung dynamischer IP-Adressen

Der deutsche Bundesgerichtshof reichte mit Entscheidung vom 28.10.2014 beim Europäischen Gerichtshof ein Vorabentscheidungsersuchen ein, welches die Auslegung der europäischen Datenschutzrichtlinie hinsichtlich der Aufzeichnung und Speicherung von IP-Adressen betraf. Die Bundesrepublik Deutschland stritt mit dem schleswig-holsteinischen Piratenabgeordneten Patrick Breyer über diese Frage, nachdem er auf mehreren Webseiten von Einrichtungen des Bundes zugegriffen hatte und seine IP-Adressen dabei aufgezeichnet und gespeichert worden waren. Dies erfolgte zu dem Zweck, Angriffe abzuwehren und die strafrechtliche Verfolgung von Angreifern zu ermöglichen.

Das Berufungsgericht differenzierte bei der Feststellung von „personenbezogenen Daten“
Nach Klageerhebung durch Patrick Breyer verurteilte das Berufungsgericht die BRD schließlich dazu, es zu unterlassen, die IP-Adresse des zugreifenden Hostsystems des Klägers über das jeweilige Ende des Nutzungsvorgangs hinaus zu speichern bzw. durch Dritte speichern zu lassen, sofern diese Adresse in Verbindung mit dem Zeitpunkt des über sie vorgenommenen Zugriffs gespeichert werde und der Kläger während dieses Zugriffs seine Personalien (z. B. in Form einer die Personalien ausweisenden E-Mail-Adresse) angegeben habe. Hingegen dürfe die BRD IP-Adressen speichern, sofern der Nutzer während des Nutzungsvorgangs seine Personalien nicht angegeben habe. Denn in diesem Fall handele es sich bei der IP-Adresse nicht um ein „personenbezogenes Datum“, da der Nutzer nicht konkret bestimmbar sei.

Der BGH legte die Frage nach der Zulässigkeit der Speicherung von IP-Adressen dem EuGH vor
Gegen diese Entscheidung legten sowohl der Kläger, als auch die beklagte BRD Revision ein. Der BGH führte daraufhin aus, dass es sich bei den gespeicherten IP-Adressen zumindest im Kontext mit weiteren gespeicherten Protokolldaten um Angaben handele, die Rückschlüsse über sachliche Verhältnisse des Klägers gäben. Für die Feststellung, ob es sich um personenbezogene Daten handele, komme es aber darauf an, ob die Identität des Klägers bestimmbar gewesen sei. Dabei stehe in Frage, ob auf ein objektives Kriterium (ein Dritter könnte die Identität feststellen) oder relatives Kriterium (für den Betreiber der besuchten Webseite ist die Identität nicht festzustellen) abzustellen sei. Für den Fall, dass die dynamische IP-Adresse des Computers des Klägers in Verbindung mit dem Zeitpunkt des über sie vorgenommenen Zugriffs als personenbezogenes Datum anzusehen sein sollte, wollte der BGH vom EuGH wissen, ob die Speicherung dieser IP-Adressen gemäß Art. 7f der Datenschutzrichtlinie zulässig sei.

Dynamische IP-Adresse können ein „personenbezogenes Datum“ sein
Mit Urteil vom 19.10.2016, Az.: C-582/14 stellte der EuGH zunächst fest, dass eine dynamische IP-Adresse keine Information darstelle, die sich auf eine bestimmte natürliche Person beziehe, da sich daraus weder die Identität der Person, noch der des genutzten Computers ergebe. Aus dem Wortlaut von Art. 2a der Datenschutzrichtlinie gehe aber hervor, dass nicht nur eine direkt, sondern auch indirekt identifizierbare Person als bestimmbar angesehen werde. Zudem stünden dem Anbieter von Online-Mediendiensten offenbar Mittel zur Verfügung, die vernünftigerweise eingesetzt werden könnten, um mit Hilfe Dritter, etwa der zuständigen Behörde und dem Internetzugangsanbieter, den Nutzer anhand der gespeicherten IP-Adresse bestimmen zu lassen. Eine dynamische IP-Adresse stelle daher dann für den Anbieter von Online-Mediendiensten beim Zugriff auf seine öffentlich zugängliche Webseite ein „personenbezogenes Datum“ dar, wenn ihm rechtliche Mittel zur Verfügung stehen, mit Hilfe derer er den betreffenden Nutzer anhand der Zusatzinformationen, über welche der Internetzugangsanbieter der Person verfüge, identifizieren könne. Insbesondere handele es sich um die Möglichkeit, sich bei einer Cyberattacke an die zuständige Behörde zu wenden, damit diese etwa die nötigen Schritte unternimmt, um Informationen zu erhalten und die Strafverfolgung einzuleiten.

§ 15 Abs. 1 Telemediengesetz sei nicht mit Unionsrecht vereinbar
Nach der deutschen Vorschrift des § 15 Abs. 1 Telemediengesetz darf ein Diensteanbieter personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Der EuGH entschied, dass das Unionsrecht einer derartigen Regelung entgegenstehe. Denn § 15 Abs. 1 Telemediengesetz schließe es aus, dass der Zweck, die generelle Funktionsfähigkeit des Online-Mediendienstes zu gewährleisten, Gegenstand einer Abwägung mit dem Interesse oder den Grundrechten und Grundfreiheiten der Nutzer sein könne. Die Einrichtungen des Bundes könnten durchaus ein berechtigtes Interesse daran haben, die Aufrechterhaltung der Funktionsfähigkeit ihrer allgemein zugänglichen Webseiten über ihre konkrete Nutzung hinaus zu gewährleisten.
 
EuGH, Urteil vom 19.10.2016, Az.: C-582/14