Ein Kommentar von Rechtsanwalt Matthias Bergt

Dynamische IP-Adressen: Ein Kommentar zum EuGH-Urteil (C-582/14)

Der schleswig-holsteinische Piratenpartei-Abgeordnete Patrick Breyer hatte die Bundesrepublik Deutschland verklagt, weil diese auf ihren Webseiten die IP-Adressen der Besucher speichert. Der BGH hatte dem EuGH zwei Fragen vorgelegt. Mit der Antwort beschäftigt sich Rechtsanwalt Matthias Bergt.

Die vorgelegten Fragen des BGH

Personenbezug: Einmal bestand die Frage, ob Daten (konkret: IP-Adressen) personenbezogen sind, wenn zwar nicht die speichernde Stelle, aber ein Dritter (konkret der Access-Provider) den Personenbezug herstellen kann - also die Grundfrage des Datenschutzrechts, wann ein Datum Personenbezug hat (hierzu mit ausführlicher Darstellung des Streitstandes Bergt, ZD 2015, 365).

Verwendung durch Telemedien: Des Weiteren bestand die Frage, ob es europarechtskonform ist, dass § 15 Abs. 1 TMG die Verwendung personenbezogener Daten über die Nutzung von Telemedien wie WWW-Seiten ausschließlich zu dem Zweck erlaubt, die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen.

Die Entscheidung des EuGH

Zum Teil "Personenbezug"

Wenig überraschend hat der EuGH entschieden, dass auch dynamische IP-Adressen für WWW-Seiten-Betreiber Personenbezug aufweisen, weil schließlich der WWW-Seiten-Betreiber Strafanzeige erstatten und die Strafverfolgungsbehörden beim Access-Provider den Nutzer erfragen können. An diese Information kann der WWW-Seiten-Betreiber wiederum über eine Akteneinsicht gelangen. Oder allgemein gesprochen: Es genügt, dass ein Dritter den Personenbezug herstellen kann, es müssen nicht alle Informationen bei einer Stelle vorliegen (Rn. 44). Die zahlenmäßig in Deutschland vorherrschende relative Theorie des Personenbezugs hat damit ihren Todesstoß erhalten.

Entscheidend ist vielmehr die Frage, ob "vernünftigerweise" das zur Identifizierung geeignete Mittel eingesetzt wird (Rn. 45). Bei der Frage, was "vernünftig" ist, folgt der EuGH dem Generalanwalt (hierzu Bergt, "Generalanwalt plädiert für ein Ende jeder Rechtssicherheit im Datenschutzrecht", CRonline Blog v. 12.5.2016): Was verboten ist, ist nicht vernünftig. Ebenso, was praktisch nicht durchführbar wäre, so dass das Risiko einer Identifizierung de facto vernachlässigbar erschiene, z.B. weil der Aufwand unverhältnismäßig hoch wäre (Rn. 46). Dass Illegales nicht "vernünftig" ist, kann man wohl getrost bezweifeln (im Detail Bergt, ZD 2015, 365, 370) – aber das ist dann wohl so. Am Ende ist der EuGH dafür großzügig, was die rechtlichen Möglichkeiten angeht: Es genügt, mehrfach "über Bande" zu spielen, mit Staatsanwaltschaft, Provider und Akteneinsicht.

Zum Teil "Entsetzen"

Während die Antwort auf die erste Vorlagefrage der Praxis zumindest gewisse Anhaltspunkte für die Falllösung an die Hand gibt, zerstört die Antwort auf die zweite Vorlagefrage das Wenige an Rechtssicherheit, das sich in den letzten Jahren so entwickelt hat:

Nein, die Mitgliedsstaaten dürfen Art. 7 lit. f DSRL nur präzisieren, aber dabei nicht für bestimmte Fälle generalisierende Abwägungsentscheidungen vornehmen, in welchen Fällen die Interessen des Betroffenen vorgehen und in welchen die des Datenverarbeiters. Allenfalls Regelbeispiele sind erlaubt – es muss immer Raum für ein Ergebnis bleiben, das aufgrund besonderer Umstände des Einzelfalls anders ausfällt (Rn. 62).

Damit ist ein großer Teil des nationalen Datenschutzrechts europarechtswidrig. Offensichtlich ist dies so bei pauschalen Regelungen wie § 100 Abs. 1, 2 TKG oder § 28b BDSG, aber auch bei Vorschriften wie § 28a BDSG, die auf den ersten Blick Art. 7 lit. f DSRL berücksichtigen. Denn § 28a BDSG stellt zusätzlich zur Interessenabwägung bestimmte Voraussetzungen auf, ohne deren Vorliegen kein Raum für eine Abwägung ist.

Art. 6 Abs. 1 lit. f DSGVO übernimmt in weiten Bereichen wortgleich Art. 7 lit. f DSRL, die Rechtsunsicherheit besteht also auch unter dem künftigen Recht fort. Und nicht einmal Verhaltensregeln nach Art. 40 DSGVO können darüber hinweghelfen. Denn diese dürfen zwar präzisieren, unter welchen Voraussetzungen die Verarbeitung personenbezogener Daten zulässig ist. Sie können genehmigt und von der EU-Kommission für allgemeingültig erklärt werden (Art. 40 Abs. 9 DSGVO), was Rechtssicherheit schaffen könnte (Bergt, CR 2016, 670) - wenn, ja wenn eine Präzisierung auch erlauben würde, für bestimmte Fälle ein klares "Ja" oder ein klares "Nein" vorzugeben.

Wir können also nur hoffen, dass der EuGH seine Rechtsprechung zur Präzisierung der DSRL nicht auf die Präzisierung der DSGVO überträgt. Ansonsten wird Datenschutz wegen der Rechtsunsicherheit wirklich zu einem echten Wirtschaftshemmnis; na ja, außer für Anwälte mit Spezialgebiet Datenschutzrecht.

Das Traurige an der Entscheidung ist allerdings, dass Vorlagefrage 2 überhaupt nicht entscheidungserheblich ist

Das Landgericht hatte bereits ein umfassendes Sachverständigengutachten eingeholt, wonach für die Abwehr von Angriffen auf Server gerade nicht die Verarbeitung von IP-Adressen erforderlich ist - das Gutachten aber nicht verwertet, weil es IP-Adressen schon nicht als personenbezogen angesehen hat. Und außerdem darf sich nach der Rechtsprechung des EuGH ein Mitgliedsstaat (vorliegend: die Bundesrepublik Deutschland als Beklagte) gegenüber einem Bürger (vorliegend: Herrn Breyer als Kläger) nicht darauf berufen, dass er europäisches Recht (vorliegend: Art. 7 lit. f DSRL) nicht korrekt in deutsches Recht (vorliegend: § 15 TMG) umgesetzt hat.

Aber dass die Antwort im konkreten Fall irrelevant ist, bedeutet leider nicht, dass sie auch sonst nicht von Bedeutung wäre.

Volltext des EuGH-Urteils, bei dem Sie auch die erwähnten Randnummern (Rn.) finden --> Rechtssache C‑582/14

Autor: Rechtsanwalt Matthias Bergt
Fundstelle des Beitrages: Das Ende der Rechtssicherheit im Datenschutzrecht - Mit freundlicher Genehmigung zur Veröffentlichung

Zur Person: Matthias Bergt ist als Rechtsanwalt bei der Kanzlei von BOETTICHER in Berlin tätig und berät insbesondere im IT-Recht und bei techniklastigen Rechtsproblemen. Alle Blog-Beiträge stellen seine private Meinung dar. Mehr Informationen zum Autor finden Sie unter Matthias Bergt.

Beitrag teilen:

Information zum Beitag Dieses Urteil wurde am 20. Oktober 2016 eingetragen und wurde 16969 mal gelesen

Neue Urteile

19.11.2017 - Fremdenfeindliche Bilder auf WhatsApp - Kollege petzt beim Chef

Das Arbeitsgericht Mainz hat den Kündigungsschutzklagen von vier Mitarbeitern der Stadt Worms stattgegeben. Die Angestellten waren fristlos gekündigt worden, weil sie in einer WhatsApp-Gruppe unter anderem fremdenfeindliche Bilder ausgetauscht hatten. 
Urteil lesen

19.11.2017 - Urteil: Lärm durch Kinderspielplatz ist grundsätzlich zumutbar

Die von der Nutzung eines geplanten KinderSpielplatzes hervorgerufenen Lärmbeeinträchtigungen sind von den Nachbarn in der Regel als zumutbar hinzunehmen. Dies entschied das OberVerwaltungsgericht Rheinland-Pfalz in Koblenz und bekräftigte damit seine bisherige Rechtsprechung.
Urteil lesen

18.11.2017 - Nazi-Tattoo und Hitlergruß - Polizist aus dem Beamtenverhältnis entfernt

Das Bundesverwaltungsgericht hat durch Urteil (Az. 2 C 25.17) entschieden, dass ein Beamter, der Tätowierungen mit verfassungswidrigem Inhalt trägt und den sog. Hitlergruß zeigt, wegen mangelnder Verfassungstreue aus dem Beamtenverhältnis entfernt werden kann.
Urteil lesen

11.11.2017 - Ehefrau verschweigt Minijob - Gericht verneint Unterhaltsanspruch

Das Oberlandesgericht Oldenburg hat den Unterhaltsanspruch einer eigentlich unterhaltsberechtigten Frau verneint, weil sie nach der Trennung einen Minijob angenommen hat, dies jedoch vor Gericht verschwiegen hat. Vor Gericht sei man zur Wahrheit verpflichtet.
Urteil lesen

08.11.2017 - BVerfG fordert drittes Geschlecht für Eintrag in Geburtenregister

Die Regelungen des Personenstandsrechts sind mit den grundgesetzlichen Anforderungen insoweit nicht vereinbar, als § 22 Abs. 3 Personenstandsgesetz (PStG) neben dem Eintrag "weiblich" oder "männlich" keine dritte Möglichkeit bietet, ein Geschlecht positiv eintragen zu lassen.
Urteil lesen

07.11.2017 - Reichsbürgerin wegen Erpressung und versuchter Nötigung verurteilt

Eine Gerichtsvollzieherin des Amtsgerichts München war einiger Zeit mit der Beitreibung verschiedener Forderungen gegen die angeklagte Reichsbürgerin befasst. Diese forderte von der Gerichtsvollzieherin in notariell beglaubigter Form und unter Eid den Nachweis ihrer Legitimation und der Vereidigung.
Urteil lesen