Breyer ./. Bundesrepublik Deutschland: Dynamische IP-Adressen sind personenbezogene Daten, aber… (Updates)

Patrick Breyer ist Jurist und [war] als Landtagsabgeordneter der Piratenpartei in Schleswig Holstein so etwas wie ein Aktivist für Bürgerrechte – und als solcher durchaus als streitbar bekannt (außerdem ist er mein Kolumnistenkollege in der sh.z-Netzwelt und wir sind seit neulich per “Du”, aber das hat keinen Einfluss auf diesen Text). Ihm missfiel, dass dass die Webseiten von Bundesbehörden unter anderem die dynamischen IP-Adresse von Nutzern der Webseiten speichern, wogegen er sich mit dem Argument zur Wehr setzte, dass es sich dabei um personenbezogene Daten handelte, für deren Speicherung keine Rechtsgrundlage existiere. Der zuständige Bundesgerichtshof legte die Frage im Wege des Vorabentscheidungsverfahrens dem EuGH zur Prüfung vor, der nunmehr entschied: Ja schon, aber.

Aus der Pressemitteilung zur Entscheidung ergibt sich zweierlei:

• Einerseits nämlich – und in soweit gab der EuGH Herrn Breyer Recht: IP-Adressen stellen dann ein personenbezogenes Datum für den Betreiber einer Website dar, wenn “er über rechtliche Mittel verfügt, die es ihm erlauben, den betreffenden Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen”. Das deutsche Recht kennt solche “rechtlichen Mittel”, zum Beispiel im Urheberrecht, Im TKG und in anderen Spezialgesetzen, die es ermöglichen, den Provider zu verpflichten, die hinter einer IP-Adresse stehende Person zu identifizieren.
• Andererseits aber sagt der EuGH auch, dass allein deshalb eine Speicherung der IP-Adresse ohne Einwilligung noch nicht rechtswidrig wird, wenn ein berechtigtes Interesse des Webseitenbetreibers an der Speicherung besteht:

Die Verarbeitung personenbezogener Daten ist nach dem Unionsrecht u. a. rechtmäßig, wenn sie zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, erforderlich ist, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Das ist in sofern spannend, als die maßgeblichen deutschen Vorschrift – § 15 des Telemediengesetzes – eine Speicherung solcher Daten von der Einwilligung des Nutzers abhängig machen. Hierzu der EuGH:

Zweitens antwortet der Gerichtshof, dass das Unionsrecht einer Regelung eines Mitgliedstaats entgegensteht, nach der ein Anbieter von Online-Mediendiensten personenbezogene Daten eines Nutzers dieser Dienste ohne dessen Einwilligung nur erheben und verwenden darf, soweit ihre Erhebung und ihre Verwendung erforderlich sind, um die konkrete Inanspruchnahme der Dienste durch den betreffenden Nutzer zu ermöglichen und abzurechnen, ohne dass der Zweck, die generelle Funktionsfähigkeit der Dienste zu gewährleisten, die Verwendung der Daten über das Ende eines Nutzungsvorgangs hinaus rechtfertigen kann.

Damit stellt er quasi nebenbei die Europarechtswidrigkeit der entsprechenden deutschen Regelungen fest – was nicht wirklich im Sinne Patrick Breyers sein dürfte, aber auch nicht völlig überraschend kommt, da der Generalanwalt beim EuGH in seinem Gutachten schon zu einem ähnlichen Ergebnis gekommen war.

Update: Der Volltext des Urteils ist jetzt ebenfalls verfügbar.

Update (II): Patrick Breyer hat die Berichtigung der deutschen Fassung des Urteils beantragt.

Update, 16.5.17:

Nach der EuGH-Entscheidung wandert die Sache nunmehr wieder zurück.Der Bundesgerichtshof hat die Sache an die Berufungsinstanz zurück verwiesen, da die erforderliche Abwägung (Grundrechte der Betroffenen / Aufrechterhaltung der Funktionsfähigkeit der Dienste) auf Grund der getroffenen Feststellungen nicht möglich sei:

Das Berufungsgericht hat keine hinreichenden Feststellungen dazu getroffen, ob die Speicherung der IP-Adressen des Klägers über das Ende eines Nutzungsvorgangs hinaus erforderlich ist, um die (generelle) Funktionsfähigkeit der jeweils in Anspruch genommenen Dienste zu gewährleisten. Die Beklagte verzichtet nach ihren eigenen Angaben bei einer Vielzahl der von ihr betriebenen Portale mangels eines “Angriffsdrucks” darauf, die jeweiligen IP-Adressen der Nutzer zu speichern. Demgegenüber fehlen insbesondere Feststellungen dazu, wie hoch das Gefahrenpotential bei den übrigen Online-Mediendiensten des Bundes ist, welche der Kläger in Anspruch nehmen will. Erst wenn entsprechende Feststellungen hierzu getroffen sind, wird das Berufungsgericht die nach dem Urteil des Europäischen Gerichtshofs gebotene Abwägung zwischen dem Interesse der Beklagten an der Aufrechterhaltung der Funktionsfähigkeit ihrer Online-Mediendienste und dem Interesse oder den Grundrechten und -freiheiten des Klägers vorzunehmen haben. Dabei werden auch die Gesichtspunkte der Generalprävention und der Strafverfolgung gebührend zu berücksichtigen sein.

Quelle: Pressemitteilung des BGH.