Der Bundesgerichtshof (BGH) hatte am 16.Mai 2017 geurteilt, dass dynamische IP-Adressen als personenbezogene Daten anzusehen sein (siehe BVDW-News). Umstritten war in dem Fall, ob bei der Prüfung der Bestimmbarkeit des Nutzers ein objektiver oder ein relativer Maßstab anzulegen ist. Für einen objektiven Personenbezug würde es ausreichen, wenn zwar nicht die konkret verarbeitende Stelle, aber irgendein Dritter den hinter der IP-Adresse stehenden Nutzer bestimmen könnte. Im anderen Falle hinge es davon ab, mit welchem Aufwand und welchen eigenen Mitteln die konkrete Stelle einen Nutzer identifizieren kann.

Im Ergebnis folgte der BGH nun den Vorgaben des Europäischen Gerichtshofs (EuGH), wonach ein Personenbezug anzunehmen sei, wenn die verantwortliche Stelle über (irgendwelche) rechtliche Mittel zur Identifizierung des Nutzers verfüge. Gleichwohl bleibt es – wenn auch in sehr engen Grenzen – bei einem relativen Maßstab beim Personenbezug.

Hintergrund des Streits

Hintergrund des Rechtsstreits war die Frage, ob der Bund als Webseitenbetreiber IP-Adressen von Nutzern erheben und in Log-Files speichern dürfen, etwa um Angriffe auf die Webseite nachverfolgen oder abwehren zu können. Der Piraten-Politiker Breyer hatte sich gerichtlich gegen die Erhebung und Speicherung von Nutzerdaten auf Webseiten des Bundes gewehrt. Bei Besuch dieser Webseiten wird die IP-Adresse zusammen mit dem Zeitpunkt des Zugriffs nicht nur während des Nutzungsvorgangs sondern auch darüber hinaus in einem Log-File protokolliert und gespeichert. 

Diese Praxis hielt der Kläger vor dem Hintergrund der Regelung des § 15 Abs.1 TMG für rechtswidrig, weil diese eine einwilligungslose Erhebung und Speicherung personenbezogener Daten ausschließlich für Abrechnungszwecke erlaubt. Der BGH hatte den EuGH angerufen um endgültig zu klären, ob IP-Adressen für erhebende Webseitenbetreiber tatsächlich ein personenbezogenes Datum darstellen und ob IP-Adressen nicht auch länger und für andere Zwecke gespeichert werden dürfen. Dies hatte der EuGH bejaht.

Entscheidung des EuGH als Grundlage

Am 19.10.2016 entschied der EuGH, dass eine dynamische IP-Adresse, die von einem „Anbieter von Online-Mediendiensten“ (d. h. vom Betreiber einer Website) beim Zugriff auf seine allgemein zugängliche Website gespeichert wird, für den Betreiber ein personenbezogenes Datum darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, den Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen. Damit hatte der EuGH hat die Beantwortung der Frage zum Personenbezog dynamischer IP-Adressen einmal mehr von dem zur Verfügung stehenden Zusatzwissen abhängig gemacht.

Auf Antrag hatte der EuGH im Dezember 2016 dann weiter klargestellt, dass der Personenbezug schon dadurch gegeben sei, dass sich der Anbieter an Ermittlungsbehörden wenden könne, die die Identität des Anschlussinhabers kurzfristig über eine Bestandsdatenauskunft ermitteln könnten. Es reiche aus, dass Strafverfolger die IP-Adresse zuordnen können. Mit dieser Klarstellung war vom relativen Verständnis der Personenbezogenheit dynamischer IP-Adressen an sich nichts mehr übrig, da dies im Grunde immer zutrifft.

BGH weiter mit relativem Verständnis vom Personenbezug

Diese Frage bejahte nun auch der BGH. Allerdings gelte diese Annahme immer unter der Prämisse, dass der Webseitenbetreiber im konkreten Einzelfall diese Möglichkeiten der Identifizierung habe.  

Dass es nach wie vor auf die verfügbaren Mittel des Webseitenbetreibers im Einzelfall ankommt, stellt der BGH am Ende der Entscheidung klar. Danach habe der Webseitenbetreiber, der die IP-Adresse gespeichert hatte, den Kläger nicht ohne weiteres identifizieren können. Die Nichtangabe der Personalien vorausgesetzt lägen nämlich keine Informationen vor, die dies ermöglicht hätten. Denn die Zuordnung dynamischer IP-Adressen zu bestimmten Anschlüssen ließe sich keiner allgemein zugänglichen Datei entnehmen. Für eine Auskunft durch den Zugangsanbieter hätte es auch keine gesetzliche Grundlage gegeben (§ 95 Abs. 1). Allein, dass die Staatsanwaltschaft im Rahmen eines Ermittlungsverfahrens nach § 100j StPO den Anschlussinhaber ermitteln könne, soll im konkreten Einzelfall aber ausreichen.

Derzeitige Speicherungsregeln zu restriktiv

Weiter hat der BGH festgestellt, dass IP-Adressen als personenbezogene Daten auch ohne Einwilligung des Nutzers über das Ende des Nutzungsvorgangs hinaus gespeichert werden dürfen. Dies sei – anders als § 15 Abs. 1TMG derzeit vorsieht - nicht nur für Abrechnungszwecke erlaubt. Vielmehr – das hatte zuvor der EuGH auch festgestellt - . ist eine Speicherung auch dann erlaubt, soweit ihre Erhebung und ihre Verwendung erforderlich sind, um die generelle Funktionsfähigkeit der Dienste zu gewährleisten. Nach Art. 7 Buchst. f der Richtlinie 95/46 EG ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie "erforderlich [ist] zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person, die gemäß Artikel 1 Absatz 1 [der Richtlinie] geschützt sind, überwiegen".

Dabei bedarf es allerdings einer Abwägung mit dem Interesse und den Grundrechten und -freiheiten der Nutzer. Insoweit sei das deutsche Recht in Widerspruch mit der derzeit noch geltenden EU-Datenschutzrichtlinie,  welche ab dem 25.05.2017 durch die EU-Datenschutzgrundverordnung abgelöst wird.

Interessenabwägung auch nach Datenschutzgrundverordnung 2018

Die Entscheidung des BGH zur Zulässigkeit der Speicherung personenbezogener Daten ohne Einwilligung nimmt im Grunde vorweg, was die kommende Datenschutzgrundverordnung ebenfalls vorsieht. Nach künftigem Art. 6 Abs. 1 f) DSGVO ist eine Verarbeitung ohne Einwilligung des Nutzers dann rechtmäßig, wenn diese zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Informationen hierzu finden Sie auf unserer BVDW-Themenseite und in unserem in Kürze erscheinenden BVDW-Praxisleitfaden DSGVO 2018.