Schlussanträge des Generalanwalts Campos Sánchez-Bordona zum Personenbezug dynamischer IP-Adressen veröffentlicht

Am 12. Mai 2016 hat der für den Fall beim EuGH zuständige Generalanwalt seine Schlussanträge zur Frage des Personenbezugs von IP-Adressen vorgelegt.

Vorlagefragen

In seinem Gutachten kommt der Generalanwalt zu dem Ergebnis, dass Art. 2 Buchst. a der Richtlinie 95/46 dahin auszulegen ist, dass eine IP-Adresse, die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen ein personenbezogenes Datum darstellt, soweit ein Internetzugangsanbieter über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt. Da dies praktisch immer der Fall ist, dürfte alles darauf hindeuten, dass auch der EuGH von einem absoluten Verständnis der Personenbezogenheit ausgehen, und entsprechend urteilen wird.

Hintergrund des Rechtsstreits war die Frage, ob Internetdiensteanbieter (Webseitenbetreiber) IP-Adressen von Nutzern erheben und in Log-Files speichern dürfen. Während der Kläger in erster Instanz noch abgewiesen wurde, hatte das Folgegericht die Revision zum BGH zugelassen. Der BGH hatte diese Fragen dem EuGH vorgelegt um endgültig zu klären, ob IP-Adressen für erhebende Webseitenbetreiber ein personenbezogenes Datum darstellen und ob IP-Adressen nicht auch länger und für andere Zwecke gespeichert werden dürfen.

Hinsichtlich der Speicherung der IP-Adresse ist der Generalanwalt der Ansicht, dass der Zweck, die Funktionsfähigkeit des Telemediums zu gewährleisten, grundsätzlich als ein berechtigtes Interesse anzusehen ist, dessen Verwirklichung die Verarbeitung dieses personenbezogenen Datums rechtfertigt, sofern ihm Vorrang gegenüber dem Interesse oder den Grundrechten der betroffenen Person zuerkannt worden ist. Die im deutschen § 15 Abs. 1 TMG enthaltenden Beschränkungen hält er für zu eng und damit für unvereinbar mit europäischem Datenschutzrecht.

Hintergrund

Datenschützer sowie einige deutsche Gerichte (vgl. LG Berlin v. 06.09.2007, Az.: 23 S 3/07; AG Mitte v. 17.03.2007, Az. 5 C 314/06) sind der Ansicht, dass es sich bei dynamischen IP-Adressen um personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes (BDSG) bzw. des Telemediengesetzes (TMG) handele. Der Europäische Gerichtshof (EuGH) hatte in einem Urteil aus dem Jahre 2011 die Personenbezogenheit der dynamischen IP-Adresse jedenfalls für Access-Anbieter bejaht, da diese einen Personenbezug wegen der vorliegenden Kundendaten ohne größeren Aufwand herstellen könnten (vgl. EuGH Urteil vom 24. November 2011 (C-70/10, EU:C:2011:771, Rn. 51).

Ansichten, die dies auch für Webseitenbetreiber annehmen lassen sich indes nur vertreten, soweit man es ausreichen ließe, dass der Personenbezug nicht im Verhältnis Betroffener-Anbieter sondern von irgendjemandem hergestellt werden kann (sog. absolute Personenbezogenheit). In dem konkreten Einzelfall des EuGH ging es um einen Access-Provider, dem die Zuordnung einer dynamischen IP-Adresse naturgemäß leichter fallen dürfte als anderen Diensten.

Diese weitgehende Auslegung des Begriff der personenbezogenen Daten wurde nicht von jedermann (auch nicht von Gerichten) geteilt (vgl. OLG Hamburg v. 03.11.2010, Az.: 5 W 126/10  MMR 2011, 281; AG München v. 30.9.2008, Az. 133 C 5677/08). Personenbezug soll in Bezug auf ein konkretes Datum vielmehr immer erst dann vorliegen, wenn die konkret verarbeitende Stelle mit vertretbarem Aufwand eine Identifikation der natürlichen Person hinter der IP-Adresse vornehmen könnte, sei es durch eigenes oder durch frei verfügbares Wissen (sog. relativer Personenbezug).

Diesem hat der Generalanwalt nun eine grundsätzliche Absage erteilt. Für seine Begründung ging es dem Generalanwalt um folgende Frage:

"[Es geht…] bei der vorgelegten Frage im Kern darum, ob es für die Qualifizierung dynamischer IP-Adressen als personenbezogene Daten von Bedeutung ist, dass ein ganz bestimmter Dritter, nämlich der Internetzugangsanbieter, über zusätzliche Daten verfügt, die in Verbindung mit diesen Adressen die Identifizierung des Nutzers ermöglichen, der eine bestimmte Internetseite besucht hat".

Relevanz

Eine Entscheidung über die Frage der Personebezogenheit dynamischer IP-Adressen ist zum Beispiel für Webanalyse relevant. Es geht hier unter anderem um die Frage, ob diese Adressen im Rahmen der Erstellung pseudonimisierter Nutzungprofile mitgespeichert werden können oder nicht.

Webanalysedienste ermöglichen die Zuordnung und Speicherung von Nutzungsdaten (verwendeter Browser, zuletzt besuchte Seite etc.). Die Erhebung solcher Daten über die Nutzungsaktivitäten begegnet grundsätzlich zunächst keinen rechtlichen Bedenken. Webanalysedienste bieten jedoch auch die Möglichkeit, das webseitenübergreifende Nutzungsverhalten über die ebenfalls abgespeicherte IP-Adresse einem konkreten Nutzer zuzuordnen. Neben der IP-Adresse wird auch die Identifikationsnummer des „First Party Cookie“, welches auf dem Rechner des jeweiligen Nutzers hinterlegt ist, erfasst. Mithilfe dieser Cookies sowie der IP-Adresse ist es mit Hilfe des Webanalysedienstes möglich, das Surfverhalten eines Nutzers über die gesamte Webseite des entsprechenden Anbieters nachzuvollziehen. Die Schlussanträge haben für die heutige Praxis dennoch keine Auswirkungen. In Deutschland wurde seitens der Datenschutzbehörden schon lange von der Personenbezogenheit ausgegangen. Die deutschen Datenschutzbehörden hatten sich deshalb mit Unternehmen bereits im Jahre 2009 auf einen rechtskonformen Einsatz gemäß § 15 Abs.3 TMG unter Maßgabe eines Auftragsdatenverarbeitungsvertrages und entsprechender Datenschutzerklärungen verständigt.

Der EuGH wird sein Urteil am 19.10 2016 verkünden.

Das vollständige Dokument gibts hier: