home / Aktuelles

07.03.2017, Personenbezug einer dynamischen IP-Adresse | berechtigtes Interesse eines Betreibers eines Online-Medien Dienstes an der Speicherung einer IP-Adresse

EuGH, Urteil vom 19. Oktober 2016, C-582/14 (Breyer)

Der EuGH hatte sich mit zwei Vorlagefragen des deutschen BGH auseinanderzusetzen.

 

Einerseits ging es um die Frage, ob eine IP-Adresse, die von einem Online-Mediendiensteanbieter beim Besuch einer von ihm bereitgestellten Website gespeichert wird, schon dann ein personenbezogenes Datum darstellt, wenn lediglich ein Dritter (z.B. der Zugangsprovider) über das zur Identifizierung des Betroffenen nötige Zusatzwissen verfügt. Die Entscheidung wurde von vielen mit Spannung erwartet, sollte sie doch Klärung der strittigen Frage bringen, ob es sich beim Begriff der personenbezogenen Daten um einen objektiven oder um einen relativen Begriff handelt.

Hierbei geht es um die Frage, ob die gleichen Daten zum selben Zeitpunkt in der Hand des einen als personenbezogen gelten können und in der Hand des anderen als nicht personenbezogen (relativer Begriff) oder ob diese Differenzierung nach dem Dateninhaber nicht angebracht ist, sondern bestimmte Daten allgemein, also objektiv für jeden als personenbezogen gelten, solange nur irgendjemand in der Lage ist, den Personenbezug herzustellen (objektiver Begriff). In seiner Entscheidung tendiert der EuGH zum relativen Begriff und führt dazu aus, dass eine dynamische IP-Adresse, also eine IP-Adresse die sich bei jeder neuen Internetverbindung ändert, nicht stets ein personenbezogenes Datum darstellt, sondern nur dann, wenn der (die IP-Adresse) speichernde Online-Mediendiensteanbieter über rechtliche Mittel verfügt, die es ihm erlauben, die Identität des Nutzers der Website anhand der Zusatzinformationen, über die ein Dritter (hier: der Zugangsprovider) verfügt, bestimmen zu lassen. Solch ein rechtliches Mittel ist z.B. die Einschaltung der Strafverfolgungsbehörden bei strafrechtlich relevantem Verhalten des betroffenen Nutzers (z.B. bei Cyberattacken), wobei der Zugangsprovider einer Auskunftsverpflichtung gegenüber den Behörden unterliegt.

 

Andererseits wollte der BGH wissen, ob Art 7 lit f der Richtlinie 95/46 (betreffend die Grundsätze einer zulässigen Datenverarbeitung) dahingehend auszulegen ist, dass er einer Regelung eines Mitgliedstaates entgegensteht, nach der ein Online-Mediendiensteanbieter personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur verarbeiten darf, soweit dies für die Inanspruchnahme des Dienstes erforderlich ist, ohne dass der Zweck der generellen Funktionsfähigkeit des Dienstes eine längere Speicherung der Daten (über das Ende des Nutzungsvorgangs hinaus) rechtfertigen kann. Diesbezüglich stellt der EuGH fest, dass die Bestimmung des § 15 Abs 1 TMG zu eng und insgesamt unionsrechtswidrig ist, da auch der Zweck, die generelle Funktionsfähigkeit des Online-Mediums zu gewährleisten, zu einer Speicherung personenbezogener Daten berechtigen kann. Im zugrundeliegenden Fall hat der Online-Mediendiensteanbieter argumentiert, die gezielte Speicherung von IP-Adressen sei nötig, um Angriffe auf die Website strafrechtlich verfolgen zu können. Von Relevanz ist, dass es durch diese Rechtsprechung nun nicht zu einer verdachtsunabhängigen Speicherung von IP-Adressen für diffuse Sicherheitszwecke kommt. Allerdings differenziert hier der EuGH und fordert diesbezüglich eine Interessenabwägung im Einzelfall zwischen dem berechtigten Interesse des Diensteanbieters und dem Interesse oder den Grundrechten oder Grundfreiheiten der Nutzer, die gemäß Art 1 Abs 1 der Richtlinie 95/46 geschützt sind.