Der schleswig-holsteinische Piratenpartei-Abgeordnete Patrick Breyer hatte die Bundesrepublik Deutschland verklagt, weil diese auf ihren Webseiten die IP-Adressen der Besucher speichert. Der BGH hatte dem EuGH zwei Fragen vorgelegt. Mit der Antwort beschäftigt sich Rechtsanwalt Matthias Bergt.

Die vorgelegten Fragen des BGH

Personenbezug: Einmal bestand die Frage, ob Daten (konkret: IP-Adressen) personenbezogen sind, wenn zwar nicht die speichernde Stelle, aber ein Dritter (konkret der Access-Provider) den Personenbezug herstellen kann - also die Grundfrage des Datenschutzrechts, wann ein Datum Personenbezug hat (hierzu mit ausführlicher Darstellung des Streitstandes Bergt, ZD 2015, 365).

Verwendung durch Telemedien: Des Weiteren bestand die Frage, ob es europarechtskonform ist, dass § 15 Abs. 1 TMG die Verwendung personenbezogener Daten über die Nutzung von Telemedien wie WWW-Seiten ausschließlich zu dem Zweck erlaubt, die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen.

Die Entscheidung des EuGH

Zum Teil "Personenbezug"

Wenig überraschend hat der EuGH entschieden, dass auch dynamische IP-Adressen für WWW-Seiten-Betreiber Personenbezug aufweisen, weil schließlich der WWW-Seiten-Betreiber Strafanzeige erstatten und die Strafverfolgungsbehörden beim Access-Provider den Nutzer erfragen können. An diese Information kann der WWW-Seiten-Betreiber wiederum über eine Akteneinsicht gelangen. Oder allgemein gesprochen: Es genügt, dass ein Dritter den Personenbezug herstellen kann, es müssen nicht alle Informationen bei einer Stelle vorliegen (Rn. 44). Die zahlenmäßig in Deutschland vorherrschende relative Theorie des Personenbezugs hat damit ihren Todesstoß erhalten.

Entscheidend ist vielmehr die Frage, ob "vernünftigerweise" das zur Identifizierung geeignete Mittel eingesetzt wird (Rn. 45). Bei der Frage, was "vernünftig" ist, folgt der EuGH dem Generalanwalt (hierzu Bergt, "Generalanwalt plädiert für ein Ende jeder Rechtssicherheit im Datenschutzrecht", CRonline Blog v. 12.5.2016): Was verboten ist, ist nicht vernünftig. Ebenso, was praktisch nicht durchführbar wäre, so dass das Risiko einer Identifizierung de facto vernachlässigbar erschiene, z.B. weil der Aufwand unverhältnismäßig hoch wäre (Rn. 46). Dass Illegales nicht "vernünftig" ist, kann man wohl getrost bezweifeln (im Detail Bergt, ZD 2015, 365, 370) – aber das ist dann wohl so. Am Ende ist der EuGH dafür großzügig, was die rechtlichen Möglichkeiten angeht: Es genügt, mehrfach "über Bande" zu spielen, mit Staatsanwaltschaft, Provider und Akteneinsicht.

Zum Teil "Entsetzen"

Während die Antwort auf die erste Vorlagefrage der Praxis zumindest gewisse Anhaltspunkte für die Falllösung an die Hand gibt, zerstört die Antwort auf die zweite Vorlagefrage das Wenige an Rechtssicherheit, das sich in den letzten Jahren so entwickelt hat:

Nein, die Mitgliedsstaaten dürfen Art. 7 lit. f DSRL nur präzisieren, aber dabei nicht für bestimmte Fälle generalisierende Abwägungsentscheidungen vornehmen, in welchen Fällen die Interessen des Betroffenen vorgehen und in welchen die des Datenverarbeiters. Allenfalls Regelbeispiele sind erlaubt – es muss immer Raum für ein Ergebnis bleiben, das aufgrund besonderer Umstände des Einzelfalls anders ausfällt (Rn. 62).

Damit ist ein großer Teil des nationalen Datenschutzrechts europarechtswidrig. Offensichtlich ist dies so bei pauschalen Regelungen wie § 100 Abs. 1, 2 TKG oder § 28b BDSG, aber auch bei Vorschriften wie § 28a BDSG, die auf den ersten Blick Art. 7 lit. f DSRL berücksichtigen. Denn § 28a BDSG stellt zusätzlich zur Interessenabwägung bestimmte Voraussetzungen auf, ohne deren Vorliegen kein Raum für eine Abwägung ist.

Art. 6 Abs. 1 lit. f DSGVO übernimmt in weiten Bereichen wortgleich Art. 7 lit. f DSRL, die Rechtsunsicherheit besteht also auch unter dem künftigen Recht fort. Und nicht einmal Verhaltensregeln nach Art. 40 DSGVO können darüber hinweghelfen. Denn diese dürfen zwar präzisieren, unter welchen Voraussetzungen die Verarbeitung personenbezogener Daten zulässig ist. Sie können genehmigt und von der EU-Kommission für allgemeingültig erklärt werden (Art. 40 Abs. 9 DSGVO), was Rechtssicherheit schaffen könnte (Bergt, CR 2016, 670) - wenn, ja wenn eine Präzisierung auch erlauben würde, für bestimmte Fälle ein klares "Ja" oder ein klares "Nein" vorzugeben.

Wir können also nur hoffen, dass der EuGH seine Rechtsprechung zur Präzisierung der DSRL nicht auf die Präzisierung der DSGVO überträgt. Ansonsten wird Datenschutz wegen der Rechtsunsicherheit wirklich zu einem echten Wirtschaftshemmnis; na ja, außer für Anwälte mit Spezialgebiet Datenschutzrecht.

Das Traurige an der Entscheidung ist allerdings, dass Vorlagefrage 2 überhaupt nicht entscheidungserheblich ist

Das Landgericht hatte bereits ein umfassendes Sachverständigengutachten eingeholt, wonach für die Abwehr von Angriffen auf Server gerade nicht die Verarbeitung von IP-Adressen erforderlich ist - das Gutachten aber nicht verwertet, weil es IP-Adressen schon nicht als personenbezogen angesehen hat. Und außerdem darf sich nach der Rechtsprechung des EuGH ein Mitgliedsstaat (vorliegend: die Bundesrepublik Deutschland als Beklagte) gegenüber einem Bürger (vorliegend: Herrn Breyer als Kläger) nicht darauf berufen, dass er europäisches Recht (vorliegend: Art. 7 lit. f DSRL) nicht korrekt in deutsches Recht (vorliegend: § 15 TMG) umgesetzt hat.

Aber dass die Antwort im konkreten Fall irrelevant ist, bedeutet leider nicht, dass sie auch sonst nicht von Bedeutung wäre.

Volltext des EuGH-Urteils, bei dem Sie auch die erwähnten Randnummern (Rn.) finden --> Rechtssache C‑582/14

Autor: Rechtsanwalt Matthias Bergt
Fundstelle des Beitrages: Das Ende der Rechtssicherheit im Datenschutzrecht - Mit freundlicher Genehmigung zur Veröffentlichung

Zur Person: Matthias Bergt ist als Rechtsanwalt bei der Kanzlei von BOETTICHER in Berlin tätig und berät insbesondere im IT-Recht und bei techniklastigen Rechtsproblemen. Alle Blog-Beiträge stellen seine private Meinung dar. Mehr Informationen zum Autor finden Sie unter Matthias Bergt.
Ähnliche Urteile:

Das Unabhängige Landeszentrum für Datenschutz (ULD) ist nicht berechtigt, von den Betreibern von Facebook-Fanpages zu verlangen, diese Seiten wegen etwaiger datenschutzrechtlicher Verstöße zu deaktivieren. Der Betreiber einer Fanpage sei hierfür datenschutzrechtlich nicht verantwortlich. Urteil lesen

Facebook darf vorerst auch weiterhin die Konten von Nutzern, die nicht ihre Echtdaten ("Klarnamen") angeben, sperren. Das OVG Schleswig wies die Beschwerden des Unabhängigen Landeszentrums für Datenschutz (ULD) zurück. Urteil lesen

Die heimliche Überwachung von "Zielpersonen" mittels eines GPS-Empfängers sei grundsätzlich strafbar, so das Urteil des BGH. Nur bei Vorliegen eines starken berechtigten Interesses an dieser Datenerhebung kann das Merkmal des unbefugten Handelns zu verneinen sein. Urteil lesen

Große Teile der Nutzungsbestimmungen der Betreiber von App-Stores seien rechtswidrig, so der Verbraucherzentrale Bundesverband. U.a. seien Bedingungen 21 DIN A4-Seiten lang und fast ohne Nummerierung sowie in Schriftgröße 9 gehalten. Urteil lesen