Ein Kommentar von Rechtsanwalt Matthias Bergt

Dynamische IP-Adressen: Ein Kommentar zum EuGH-Urteil (C-582/14)

Der schleswig-holsteinische Piratenpartei-Abgeordnete Patrick Breyer hatte die Bundesrepublik Deutschland verklagt, weil diese auf ihren Webseiten die IP-Adressen der Besucher speichert. Der BGH hatte dem EuGH zwei Fragen vorgelegt. Mit der Antwort beschäftigt sich Rechtsanwalt Matthias Bergt.

Die vorgelegten Fragen des BGH

Personenbezug: Einmal bestand die Frage, ob Daten (konkret: IP-Adressen) personenbezogen sind, wenn zwar nicht die speichernde Stelle, aber ein Dritter (konkret der Access-Provider) den Personenbezug herstellen kann - also die Grundfrage des Datenschutzrechts, wann ein Datum Personenbezug hat (hierzu mit ausführlicher Darstellung des Streitstandes Bergt, ZD 2015, 365).

Verwendung durch Telemedien: Des Weiteren bestand die Frage, ob es europarechtskonform ist, dass § 15 Abs. 1 TMG die Verwendung personenbezogener Daten über die Nutzung von Telemedien wie WWW-Seiten ausschließlich zu dem Zweck erlaubt, die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen.

Die Entscheidung des EuGH

Zum Teil "Personenbezug"

Wenig überraschend hat der EuGH entschieden, dass auch dynamische IP-Adressen für WWW-Seiten-Betreiber Personenbezug aufweisen, weil schließlich der WWW-Seiten-Betreiber Strafanzeige erstatten und die Strafverfolgungsbehörden beim Access-Provider den Nutzer erfragen können. An diese Information kann der WWW-Seiten-Betreiber wiederum über eine Akteneinsicht gelangen. Oder allgemein gesprochen: Es genügt, dass ein Dritter den Personenbezug herstellen kann, es müssen nicht alle Informationen bei einer Stelle vorliegen (Rn. 44). Die zahlenmäßig in Deutschland vorherrschende relative Theorie des Personenbezugs hat damit ihren Todesstoß erhalten.

Entscheidend ist vielmehr die Frage, ob "vernünftigerweise" das zur Identifizierung geeignete Mittel eingesetzt wird (Rn. 45). Bei der Frage, was "vernünftig" ist, folgt der EuGH dem Generalanwalt (hierzu Bergt, "Generalanwalt plädiert für ein Ende jeder Rechtssicherheit im Datenschutzrecht", CRonline Blog v. 12.5.2016): Was verboten ist, ist nicht vernünftig. Ebenso, was praktisch nicht durchführbar wäre, so dass das Risiko einer Identifizierung de facto vernachlässigbar erschiene, z.B. weil der Aufwand unverhältnismäßig hoch wäre (Rn. 46). Dass Illegales nicht "vernünftig" ist, kann man wohl getrost bezweifeln (im Detail Bergt, ZD 2015, 365, 370) – aber das ist dann wohl so. Am Ende ist der EuGH dafür großzügig, was die rechtlichen Möglichkeiten angeht: Es genügt, mehrfach "über Bande" zu spielen, mit Staatsanwaltschaft, Provider und Akteneinsicht.

Zum Teil "Entsetzen"

Während die Antwort auf die erste Vorlagefrage der Praxis zumindest gewisse Anhaltspunkte für die Falllösung an die Hand gibt, zerstört die Antwort auf die zweite Vorlagefrage das Wenige an Rechtssicherheit, das sich in den letzten Jahren so entwickelt hat:

Nein, die Mitgliedsstaaten dürfen Art. 7 lit. f DSRL nur präzisieren, aber dabei nicht für bestimmte Fälle generalisierende Abwägungsentscheidungen vornehmen, in welchen Fällen die Interessen des Betroffenen vorgehen und in welchen die des Datenverarbeiters. Allenfalls Regelbeispiele sind erlaubt – es muss immer Raum für ein Ergebnis bleiben, das aufgrund besonderer Umstände des Einzelfalls anders ausfällt (Rn. 62).

Damit ist ein großer Teil des nationalen Datenschutzrechts europarechtswidrig. Offensichtlich ist dies so bei pauschalen Regelungen wie § 100 Abs. 1, 2 TKG oder § 28b BDSG, aber auch bei Vorschriften wie § 28a BDSG, die auf den ersten Blick Art. 7 lit. f DSRL berücksichtigen. Denn § 28a BDSG stellt zusätzlich zur Interessenabwägung bestimmte Voraussetzungen auf, ohne deren Vorliegen kein Raum für eine Abwägung ist.

Art. 6 Abs. 1 lit. f DSGVO übernimmt in weiten Bereichen wortgleich Art. 7 lit. f DSRL, die Rechtsunsicherheit besteht also auch unter dem künftigen Recht fort. Und nicht einmal Verhaltensregeln nach Art. 40 DSGVO können darüber hinweghelfen. Denn diese dürfen zwar präzisieren, unter welchen Voraussetzungen die Verarbeitung personenbezogener Daten zulässig ist. Sie können genehmigt und von der EU-Kommission für allgemeingültig erklärt werden (Art. 40 Abs. 9 DSGVO), was Rechtssicherheit schaffen könnte (Bergt, CR 2016, 670) - wenn, ja wenn eine Präzisierung auch erlauben würde, für bestimmte Fälle ein klares "Ja" oder ein klares "Nein" vorzugeben.

Wir können also nur hoffen, dass der EuGH seine Rechtsprechung zur Präzisierung der DSRL nicht auf die Präzisierung der DSGVO überträgt. Ansonsten wird Datenschutz wegen der Rechtsunsicherheit wirklich zu einem echten Wirtschaftshemmnis; na ja, außer für Anwälte mit Spezialgebiet Datenschutzrecht.

Das Traurige an der Entscheidung ist allerdings, dass Vorlagefrage 2 überhaupt nicht entscheidungserheblich ist

Das Landgericht hatte bereits ein umfassendes Sachverständigengutachten eingeholt, wonach für die Abwehr von Angriffen auf Server gerade nicht die Verarbeitung von IP-Adressen erforderlich ist - das Gutachten aber nicht verwertet, weil es IP-Adressen schon nicht als personenbezogen angesehen hat. Und außerdem darf sich nach der Rechtsprechung des EuGH ein Mitgliedsstaat (vorliegend: die Bundesrepublik Deutschland als Beklagte) gegenüber einem Bürger (vorliegend: Herrn Breyer als Kläger) nicht darauf berufen, dass er europäisches Recht (vorliegend: Art. 7 lit. f DSRL) nicht korrekt in deutsches Recht (vorliegend: § 15 TMG) umgesetzt hat.

Aber dass die Antwort im konkreten Fall irrelevant ist, bedeutet leider nicht, dass sie auch sonst nicht von Bedeutung wäre.

Volltext des EuGH-Urteils, bei dem Sie auch die erwähnten Randnummern (Rn.) finden --> Rechtssache C‑582/14

Autor: Rechtsanwalt Matthias Bergt
Fundstelle des Beitrages: Das Ende der Rechtssicherheit im Datenschutzrecht - Mit freundlicher Genehmigung zur Veröffentlichung

Zur Person: Matthias Bergt ist als Rechtsanwalt bei der Kanzlei von BOETTICHER in Berlin tätig und berät insbesondere im IT-Recht und bei techniklastigen Rechtsproblemen. Alle Blog-Beiträge stellen seine private Meinung dar. Mehr Informationen zum Autor finden Sie unter Matthias Bergt.

Beitrag teilen:

Information zum Beitag Dieses Urteil wurde am 20. Oktober 2016 eingetragen und wurde 15238 mal gelesen

Neue Urteile

24.09.2017 - Werbung in Autoreply-E-Mail unzulässig

Die Kommunikation zwischen Händlern und Kunden erfolgt heutzutage häufig nur noch per E-Mail. Wendet sich beispielsweise ein Kunde mit einem Anliegen per Mail an ein Unternehmen, so erhält er in vielen Fällen eine automatisierte Eingangsbestätigung - eine sog. Autoreply-E-Mail. Eine solche E-Mail darf aber keinerlei Werbung enthalten.
Urteil lesen

19.09.2017 - Kein Hartz-IV wegen Neuwagenkauf

Das LandesSozialgericht Niedersachsen-Bremen (LSG) hat entschieden, dass der KfzFreibetrag bei der Gewährung von Grundsicherungsleistungen nach dem SGB II auch dann nicht mehrfach beansprucht werden kann, wenn mehrere erwerbsfähige Familienmitglieder nur ein gemeinsames Auto haben.
Urteil lesen

18.09.2017 - Wenn das Auto auf dem Gelände des Arbeitgebers zerstört wird...

Der Mitarbeiter parkte sein Fahrzeug auf dem Betriebshof seiner Arbeitgeberin, der beklagten Gemeinde. An diesem Tag zog ein Sturm auf und schob einen Großmüllbehälter auf das Fahrzeug des Mitarbeiters, welches einen wirtschaftlichen Totalschaden erlitt.  In der Sache geht es um Verkehrssicherungspflicht und Schadensersatz.
Urteil lesen

17.09.2017 - Urteil: Mieter muss Techniker Rauchmelderprüfung ermöglichen

Nach Urteil des Amtsgerichts Frankfurt sind Mieter dazu verpflichtet, einen Techniker in die Wohnung zu lassen, der im Auftrag des Vermieters die Rauchmelder kontrollieren soll. Dies gilt zumindest bei rechtzeitiger Vorankündigung und einem Besuch zwischen 8 und 18 Uhr.
Urteil lesen

16.09.2017 - Ungebührliches Verhalten: Zeuge maßregelt den Staatsanwalt

Ein Mann musste als Zeuge in einem Strafverfahren wegen übler Nachrede vor einem Amtsgericht aussagen. Als sich der Staatsanwalt äußern wollte, wurde der Zeuge laut und aggressiv und erwiderte dem Staatsanwalt, er habe sich nicht einzumischen, die Richterin würde die Fragen stellen. Der Zeuge wehrt sich gegen das Ordnungsgeld.
Urteil lesen

15.09.2017 - Kündigung wegen schlechter Arbeitsleistung

Kündigt der Arbeitgeber einen Mitarbeiter wegen schlechter Arbeitsleistungen, muss er die Leistungen des Mitarbeiters in Relation zu aller vergleichbaren Arbeitnehmer beurteilen. Liegt eine erheblich unterschreitende Arbeitsleistung vor,  kann eine verhaltensbedingte Kündigung nach Abmahnung gerechtfertigt sein.
Urteil lesen