EuGH: Dynamische IP-Adressen (mit Zusatzwissen) personenbezogen und TMG teilweise europarechtswidrig

Grundsatzentscheidung des EuGH vom 19. Oktober 2016:  Dynamische IP-Adressen sind personenbezogene Daten, vorausgesetzt der verarbeitenden Stelle stehen „rechtliche Mittel“ zur Verfügung, die Identität der dahinterstehenden Person von dem jeweiligen Access-Provider zu erfahren. Außerdem dürfen Webseitenbetreiber die digitalen Informationen auch dann verarbeiten, wenn ein „berechtigtes Interesse“ besteht, um sich beispielsweise „gegen Cyberattacken zu verteidigen“. So heißt es in der Urteilsbegründung des Gerichtshofs der Europäischen Union.

Das Urteil des EuGHs

Das Urteil in der Sache C‑582/14 Breyer gegen die Bundesrepublik Deutschland wurde heute veröffentlicht. Patrick Breyer, Jurist, Datenschutzaktivist und Landtagsabgeordneter der Piratenpartei in Schleswig-Holstein, hatte sich gegen die Speicherung seiner IP-Adresse durch Webseiten von Einrichtungen des Bundes gewehrt.

In Datenschutzkreisen wurde das Urteil bereits sehnlichst erwartet. So wurden dem Gerichtshof zwei äußerst praxisrelevante Fragen vorgelegt:

  • Zum einen ging es darum, ob dynamische IP-Adressen (absolut) als personenbezogene Daten anzusehen sind, auch wenn die speichernde Stelle die dahinter stehende Person namentlich nicht identifizieren kann, sondern dieses Zusatzwissen nur der jeweilige Access Provider kennt.
  • Zum anderen wurde Klärung dahin gehend erbeten, ob eine Speicherung von Internetnutzungsdaten (etwa IP-Adressen) nur zulässig ist, soweit dies für die Erbringung des jeweiligen Internetdienstes zwingend erforderlich ist, oder auch eine zulässige Verarbeitung grundsätzlich möglich ist, wenn die jeweils verarbeitende Stelle ein berechtigtes Interesse daran geltend machen kann.

Der Gerichtshof geht davon aus, dass IP-Adressen jedenfalls dann von einem Webseitenbetreiber als personenbezogene Daten zu behandeln sind, sofern ihm „rechtliche Mittel“ zur Verfügung stehen, die „vernünftigerweise eingesetzt“ werden können, um die Identität der dahinterstehenden Person von dem jeweiligen Access-Provider zu erhalten. Des Weiteren erklärte der EuGH, dass IP-Adressen gleichwohl von Webseitenbetreibern auch dann verarbeitet werden dürfen, wenn dies zur Erbringung des jeweiligen Dienstes zwar nicht erforderlich sei, der Betreiber jedoch ein berechtigtes Interesse daran geltend machen könne. Dies etwa, um sich gegen Cyberattacken zu verteidigen. Die insoweit strengere Anforderungen aufstellende Regelung in § 15 Abs. 1 TMG erkärte das Gericht konsequent für europarechtswidrig.

Personenbeziehbarkeit von IP-Adressen / Übertragbarkeit auf andere Online-Kennungen?

Der ersten Frage liegt dogmatisch dabei der in Deutschland seit Langem geführte Streit zugrunde, ob die Personenbeziehbarkeit von Information absolut oder relativ zu bestimmen ist. Die Datenschutzaufsichtsbehörden vertraten dabei bislang den absoluten Begriff und ließen es demnach genügen, dass irgendjemand eine Information einer bestimmten Person zuordnen kann, auch wenn die tatsächlich verarbeitende Stelle kein solches Wissen hat. In Konsequenz bedeutete dies, dass verarbeitende Stelle (nach Meinung der Datenschutzbehörden) Angaben stets als personenbezogen zu behandeln hätten, auch wenn sie einen solchen Bezug selbst gar nicht herstellen konnten. Am Beispiel der IP-Adressen lässt sich dies verdeutlichen: Grundsätzlich kennt nur der Access Provider den Namen der unter einer dynamischen IP-Adresse surfenden Person, da er die Zuordnung der IP-Adresse vornimmt und über entsprechende Vertragsdaten seines Kunden verfügt. Webseitenbetreiber, welche die IP-Adresse erheben, um dieser Person den Zugriff auf die Webseite zu ermöglichen, haben dieses Wissen nicht. Sofern der Personenbezug von Daten nun absolut zu bestimmen gewesen wäre, wäre die Verarbeitung der (isoliert betrachtet nicht personenbezogenen) IP-Adresse auch seitens des Webseitenbetreibers datenschutzrechtlichen Bestimmungen unterfallen. Soweit der Personenbezug relativ zu bestimmen ist, wären die datenschutzrechtlichen Vorschriften lediglich dann zu befolgen, wenn der Webseitenbetreiber die IP-Adresse einer bestimmten Person (namentlich) zuordnen könnte und er die entsprechenden Angaben demnach vom Access Provider erhalten hätte.

Der EuGH hat in seinem Urteil die relative Sichtweise angenommen. So verlangt der Gerichtshof für einen Personenbezug, dass der verarbeitenden Stelle rechtliche Mittel zur Verfügung stehen, um (selbst) entsprechendes Zusatzwissen zu erlangen, das eine Identifizierung des Betroffen herbeiführt. Hierbei werden als Beispiel zwar staatsanwaltschaftliche Auskunftsverfahren genannt, so dass auch ein der Umweg über ein Gericht oder die Staatsanwaltschaft genügen kann. Das Gericht verlangt aber, dass der Personenbezug letztlich durch die mit den Daten umgehende Stelle hergestellt werden muss. Mit anderen Worten: Allein der Umstand, dass eine IP-Adresse für einen Access-Provider (oder einen anderen Dritten) Personenbezug aufweist, macht dieses Datum noch nicht automatisch auch für einen Webseitenbetreiber zu einem personenbezogenen Datum (Randziffer 38 des Urteils). Es braucht zusätzlich einer legalen Möglichkeit des Webseitenbetreibers zum Erhalt und der Zusammenführung dieser Daten.

Im Falle dynamischer IP-Adressen scheint der Fall damit zugunsten einer Personenbeziehbarkeit dieser Angaben entschieden zu sein. Gleichwohl hat der EuGH die weitere Beurteilung, ob es im deutschen Recht ein entsprechendes „rechtliches Mittel“ gibt, dem BGH überlassen. Fraglich wird dabei insbesondere sein, ob die bloße Existenz eines rechtlichen Mittels und die rein theoretische Möglichkeit dieses in Anspruch nehmen zu können, genügen wird, um einen Personenbezug zu bejahen, oder die jeweils verarbeitende Stelle vielmehr auch tatsächlich in der Lage sein muss, dieses Mittel einsetzen zu können (da etwa die Voraussetzungen vorliegen, um ein staatsanwaltschaftliches Verfahren einzuleiten). In diesem Zusammenhang ist die Entscheidung des EuGH leider unklar.

Inwiefern dies auf andere Online- bzw. Gerätekennungen wie Smartphone-IDs, Cookie-IDs oder MAC-Adressen oder gänzlich anderen Daten wie etwa Kreditkartennummern zu übertragen sein wird, ist fraglich. So wird es im Einzelfall wohl entscheidend darauf ankommen und dementsprechend zu prüfen sein, ob „rechtliche Mittel“ zur Verfügung stehen, entsprechendes zur Identifizierung erforderliches Zusatzwissen von einem Dritten zu erhalten. Insofern statuiert das Urteil ausdrücklich, dass IP-Adressen isoliert betrachtet eben kein personenbezogenes Datum darstellen, sondern dies lediglich durch entsprechendes Zusatzwissen werden können. Daraus folgt, dass der Gerichtshof es als nicht ausreichend zu erachten scheint, dass eine Person – ohne ihren Klarnamen zu kennen – individualisiert werden kann, um ein Datum als personenbezogen zu klassifizieren (vgl. Randziffern 38 i.V.m. 40, 41 des Urteils). Dies wird entsprechend auch für andere Online- bzw. Gerätekennungen gelten müssen.

Geltung des Urteils unter der DSGVO

Zu erwarten ist jedoch, dass die Sichtweise des EuGH im Bezug auf IP-Adressen valide bleiben wird, auch nachdem die Datenschutz-Grundverordnung (DSGVO) im Mai 2018 zur Anwendung gelangt. Die DSGVO enthält eine neue (und wohl auch weiterreichende) Definition von personenbezogenen Daten. Die DSGVO:

  • geht nunmehr davon aus, dass der Klarname lediglich eines von vielen möglichen Individualisierungsmerkmalen einer Person darstellt.
  • nennt explizit auch andere Online Identifier, die einen Personenbezug begründen können.
  • könnte deshalb eventuell schon dann anwendbar sein, wenn eine Person allein unter Verwendung einer IP-Adresse oder einer Cookie-ID individuell angesprochen werden kann, ohne dass es auf etwaiges Zusatzwissen ankäme, das von anderen Stellen wie z.B. einem Access Provider abgefragt werden könnte.

Unionsrechtswidrigkeit der deutschen Regelung

Rechtlicher Hintergrund der zweiten Frage war die Regelung des § 15 Abs. 1 des Telemediengesetzes (TMG), Erhebung und Verwendung von Internet-Nutzungsdaten auf Grundlage einer Interessenabwägung nicht vorsieht. Die durch § 15 TMG in deutsches Recht umgesetzte europarechtliche Regelung des Art. 7 lit. f der Datenschutz-Richtlinie (95/46/EG) sieht gleichwohl eine zulässige Verarbeitung solcher Daten grundsätzlich auch dann vor, wenn dies zur Verwirklichung eines berechtigten Interesses der verarbeitenden Stelle erforderlich ist.

Der EuGH erachtet die deutsche Regelung deshalb konsequent als europarechtswidrig. Demnach wird die Verarbeitung von Nutzungsdaten durch Internet-Provider zukünftig grundsätzlich auch auf Basis einer Interessenabwägung möglich sein. Unternehmen erhalten dadurch mehr Flexibilität bei der Verwendung solcher Nutzungsdaten. Nutzungsszenarien, in denen künftig eine solche Interessenabwägung als Rechtsgrundlage herangezogen werden könnte, stellen neben den im Urteil angesprochenen Verarbeitungen zur Gewährleistung der Funktionsfähigkeit der Dienste z.B. auch die Zusammenführung solcher Nutzungsdaten mit anderen Daten des Kunden in CRM-Systemen sein.

Sie haben Fragen zum Thema IP-Adressen und Datenschutz? Unser Expertenteam von EUDATAREG hilft Ihnen gerne weiter.

Tobias Rothkegel
Geposted von Tobias Rothkegel

Tobias Rothkegel ist Rechtsanwalt in unserem Büro in Hamburg. Der Schwerpunkt seiner Tätigkeit liegt im IT- und Datenschutzrecht. Hierbei berät er sowohl führende Unternehmen als auch Start-ups im Digital-Business-Sektor.

Kommentieren

Pflichtfelder sind markiert*