20.10.2016

Einordnung einer dynamischen Internetprotokoll-Adresse eines Internetnutzers als personenbezogenes Datum

Der Betreiber einer Website kann ein berechtigtes Interesse daran haben, bestimmte personenbezogene Daten der Nutzer zu speichern, um sich gegen Cyberattacken zu verteidigen. Die dynamische Internetprotokoll-Adresse eines Nutzers stellt für den Betreiber der Website ein personenbezogenes Datum dar, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, den betreffenden Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen.

EuGH 20.10.2016, C-582/14
Der Sachverhalt:
Der Kläger klagt vor deutschen Gerichten dagegen, dass die von ihm abgerufenen Websites von Einrichtungen des Bundes seine Internetprotokoll-Adressen (IP-Adressen) aufzeichnen und speichern. Von diesen Einrichtungen werden außer dem Zeitpunkt des Zugriffs auch die IP-Adressen der Nutzer aufgezeichnet und gespeichert, um sich gegen Cyberattacken zu wappnen und eine Strafverfolgung zu ermöglichen.

Der BGH möchte vom EuGH wissen, ob in diesem Zusammenhang auch dynamische IP-Adressen für den Betreiber der Website personenbezogene Daten darstellen, so dass sie den für solche Daten vorgesehenen Schutz genießen. Eine dynamische IP-Adresse ist eine IP-Adresse, die sich bei jeder neuen Internetverbindung ändert. Anders als statische IP-Adressen erlauben dynamische IP-Adressen es nicht, anhand allgemein zugänglicher Dateien eine Verbindung zwischen einem Computer und dem vom Internetzugangsanbieter verwendeten physischen Netzanschluss herzustellen. Somit verfügt ausschließlich der Internetzugangsanbieter des Klägers über die zu dessen Identifizierung erforderlichen Zusatzinformationen.

Weiterhin möchte der BGH wissen, ob der Betreiber einer Website zumindest grundsätzlich die Möglichkeit haben muss, personenbezogene Daten der Nutzer zu erheben und zu verwenden, um die generelle Funktionsfähigkeit seiner Website zu gewährleisten. Er weist insoweit darauf hin, dass die einschlägige deutsche Regelung des § 15 TMG von der Literatur überwiegend dahin ausgelegt werde, dass die Daten am Ende des jeweiligen Nutzungsvorgangs zu löschen seien, soweit sie nicht für Abrechnungszwecke benötigt werden.

Die Gründe:
Eine dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten (Betreiber einer Website) beim Zugriff auf seine allgemein zugängliche Website gespeichert wird, stellt für den Betreiber ein personenbezogenes Datum dar, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, den Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen. In Deutschland gibt es rechtliche Möglichkeiten, die es dem Anbieter von Online-Mediendiensten erlauben, sich insbesondere im Fall von Cyberattacken an die zuständige Behörde zu wenden, um die fraglichen Informationen vom Internetzugangsanbieter zu erlangen und anschließend die Strafverfolgung einzuleiten.

Das Unionsrecht (Richtlinie 95/46/EG) steht einer Regelung eines Mitgliedstaats entgegen, nach der ein Anbieter von Online-Mediendiensten personenbezogene Daten eines Nutzers dieser Dienste ohne dessen Einwilligung nur erheben und verwenden darf, soweit ihre Erhebung und ihre Verwendung erforderlich sind, um die konkrete Inanspruchnahme der Dienste durch den betreffenden Nutzer zu ermöglichen und abzurechnen, ohne dass der Zweck, die generelle Funktionsfähigkeit der Dienste zu gewährleisten, die Verwendung der Daten über das Ende eines Nutzungsvorgangs hinaus rechtfertigen kann. Die Verarbeitung personenbezogener Daten ist nach dem Unionsrecht u.a. rechtmäßig, wenn sie zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, erforderlich ist, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Die deutsche Regelung schränkt nach ihrer in der Literatur überwiegend vertretenen Auslegung die Tragweite dieses Grundsatzes ein, indem sie es ausschließt, dass der Zweck, die generelle Funktionsfähigkeit des Online-Mediums zu gewährleisten, Gegenstand einer Abwägung mit dem Interesse oder den Grundrechten und Grundfreiheiten der Nutzer sein kann. Hervorzuheben ist in diesem Zusammenhang, dass die Einrichtungen des Bundes, die Online-Mediendienste anbieten, ein berechtigtes Interesse daran haben könnten, die Aufrechterhaltung der Funktionsfähigkeit der von ihnen allgemein zugänglich gemachten Websites über ihre konkrete Nutzung hinaus zu gewährleisten.

Linkhinweis:

Für den auf den Webseiten des EuGH veröffentlichten Volltext der Entscheidung klicken Sie bitte hier.

EuGH PM Nr. 112 vom 19.10.2016
Zurück