EuGH: Auch dynamische IP- Adressen können personenbezogene Daten sein, aber das TMG is zu eng.
von , veröffentlicht am 19.10.2016Der EuGH hat heute zu der Frage Stellung bezogen (Rechtssache C-582/14), ob dynamische IP-Adressen personenbezogenen Daten i.S. der EU Datenschutz-RiLi sind (vgl. hierzu u.a. MMR 2009,8). Das Urteil ist angesichts der Schlussanträge des Generalanwalts Campos Sánchez-Bordona vom 12.5.2016 nicht sehr überraschend (ausf. Analyse von Knocke in ZD-Aktuell 2016, 05206).
Initiiert hatte das Verfahren der Fraktionsvorsitzenden der schleswig-holsteinischen Piratenpartei, Patrick Breyer. Dessen Klage richtete sich gegen die Bundesrepublik Deutschland. Er behauptete, dass mehrere Bundesministerien und -behörden ungefragt und monatelang seine IP-Adresse gespeichert hatten, wenn er ihre Websites aufrief. Er rügt in dem nunmehr 8 Jahre andauernden Verfahren einen seiner Ansicht nach ungerechtfertigten Eingriff in sein Grundrecht auf informationelle Selbstbestimmung und einen Verstoß gegen das TMG. Nach § 15 TMG dürfen personenbezogene Daten eines Nutzers nur zu Abrechnungszwecken gespeichert werden, und um die konkrete, gerade laufende Nutzung eines Onlinedienstes sicherzustellen. Anders als statische IP-Adressen erlauben dynamische IP-Adressen es nicht, ohne Zusatzinformationen eine Verbindung zwischen einem Computer und dem vom Internetzugangsanbieter verwendeten physischen Netzanschluss herzustellen.
Wichtig ist u.a. folgendes im Urteil (erste Analyse):
-
Dynamische IP-Adressen, wie eine Ziffernfolge 123.45.678.912 ist nur dann ein personenbezogenes Datum, wenn der Anbieter von Online-Mediendiensten „über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen“ (Erwägung 49). Per se sind sie keine personenbezogene Daten.
-
In Deutschland gebe es „rechtliche Möglichkeiten […]die es dem Anbieter von Online-Mediendiensten erlauben, sich insbesondere im Fall von Cyberattacken an die zuständige Behörde zu wenden, um die fraglichen Informationen vom Internetzugangsanbieter zu erlangen und anschließend die Strafverfolgung einzuleiten" (Erwägung 47).
-
Das generelle Verbot im §15 TMG, IP-Adressen längerfristig zu speichern, sei u.a. mit Art. 7 Buchst. f der Richtlinie 95/46 nicht vereinbar, weil der EuGH der Ansicht ist, die Daten könnten bei der Abwehr von Hackerangriffen helfen. „Die Einrichtungen des Bundes, die Online-Mediendienste anbieten, könnten aber auch ein berechtigtes Interesse daran haben, die Aufrechterhaltung der Funktionsfähigkeit der von ihnen allgemein zugänglich gemachten Websites über ihre konkrete Nutzung hinaus zu gewährleisten“ (Erwägung 60).
Über den konkreten Fall, also ob die deutschen Ministerien ein berechtigtes Interesse an der IP-Adressen-Speicherung haben oder die Interessen der Nutzer überwiegen, muss der BGH entscheiden. Die DS-GVO enthält in Art. 6 Abs. 1 1 lit. f eine ähnliche Bestimmung, in der auch eine Interessenabwägung vorgesehen ist.
Was halten Sie von diesem Urteil? Welche praktische Konsequenzen hat es für Internetanbieter?
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
7 Kommentare
Kommentare als Feed abonnierenEin italienischer Kollege hat mich eben darauf hingewiesen, dass es eine aufschlussreiche neue Entscheidung des italienischen Obersten Gerichts zum Thema gibt, was alles personenbezogene Daten sind. Corte di cassazione, Entscheidung n. 20615/16. Das italienische Gericht vertritt eine engere Auffassung, nämlich dass zur Identifizierbarkeit selbst ein Vorname /Nachname auf einer Webseite einer Behörde dann nicht als personenbezogenes Datum anzusehen ist, wenn die Identifizierung des Individuums nur mit unverhältnismäßig großem Aufwand möglich ist.
http://blog.andreamonti.eu/?p=917
Nach dieser Auffassung wäre eine dynamische IP Adresse wohl in aller Regel kein personenbezogenes Datum.
Das Urteil geht wieder ein gutes Stück in Richtung einheitliche Handhabe in Europa und ist mE zu begrüßen. Interessant finde ich die unterschiedlichen Auslegungsansätze zum Thema IP-Adresse. So wird auf der einen Seite aus dem Urteil herausgelesen und festgestellt, dass dynamische IP-Adressen personenbezogen sind (https://www.janalbrecht.eu/presse/pressemitteilungen/europaeischer-gerichtshof-datenschutz-gilt-auch-fuer-dynamische-ip-adressen.html) und auf der anderen Seite das, dass sie grundsätzlich nicht personenbezogen sind und nur mit entsprechenden Zusatzinformationen Personenbezug haben.
Hier dürfte abzuwarten sein, ob Verbände und Unternehmen und auch Aufsichtsbehörden sich der Frage und Umsetzung von Möglichkeiten zum Ausschluss der "Verfügung über rechtliche Mittel" stellen.
Wichtig ist auch, dass der EuGH klarstellt, dass IP-Adressen für die Aufklärung von Cyberattacken u.ä. über den Nutzungsvorgang hinaus gespeichert werden können.
Bei der zweiten Frage zum Thema Nutzung von Telemediendaten greift der EuGH bereits der DSGVO vor. Mit der DSGVO wird auch eine Interessenabwägung für die Nutzung vorgeschrieben. Ein berechtigtes Interesse für die Nutzung kann nach Erwägungsgrund 47 der DSGVO auch der Zweck der Direktwerbung sein.
Ich halte das Urteil daher für einen guten Schritt hin zu einem gemeinsamen europäischen Datenschutz-Verständnis. Für Internet und APP-Anbieter bietet es unter Einhaltung einer datenschutzkonformen Interessenabwägung Chancen.
Wenn Brüssel und Berlin bereits die Verfolgung von Direktwerbungsinteresse als berechtigtes (rechtfertigendes) Interesse an einer Speicherung der Daten von namentlich nicht angemeldeten Internetsurfern bewerten, dann öffnen sie damit ein Scheunentor für die Speicherung von Daten von Bürgern, die eigentlich anonym surfen möchten und die mit der Speicherung ihrer IP-Adresse und ihres Browserverlaufes mutmaßlich nicht einverstanden sind.
Eine Speicherung durch rechtsstaatlich und datenschutzrechtlich kontrollierte Strafverfolgungs- und Gefahrenabwehrbehörden ginge wohl in Ordnung und wäre zu rechtfertigen bzw. gerechtfertigt, aber nur bis dahin und nicht weiter. Eine Speicherung der Daten durch staatlich nicht kontrollierte Private zu profit- bzw. kommerziellen Zwecken (wie ungebetene Direktwerbung) geht viel zu weit, und liefe in der Praxis wohl auf eine weitgehende Entwertung der Datentschutzrechte der Bürger hinaus.
Heute verhandelt wohl der BGH zu dem Thema?
Siehe dazu: http://www.tagesschau.de/inland/ip-adressen-faq-101.html
Im Grundsatz-Rechtsstreit des Piraten-Abgeordneten Patrick Breyer gegen die Vorratsspeicherung der Internetnutzung (auch Surfprotokollierung oder Internet-Tracking genannt) hat heute vor dem Bundesgerichtshof die mündliche Verhandlung stattgefunden (Az. VI ZR 135/13).[1] Wann der Gerichtshof sein Urteil fällt, ist noch offen.
http://www.patrick-breyer.de/?p=562956
Update: Im Rechtsstreit Breyer./.BRD wird der BGH sein Urteil über die #Surfprotokollierung am 16. Mai verkünden. Privatsphäre braucht Zeit!
https://twitter.com/patrickbreyer/status/831524729064476672
Danke für die Hinweise auf das BGH-Verfahren, dessen Ausgang viele mit Interesse verfolgen.