CR-online.de Blog

IP-Adressen: EU-Kommission gibt BGH Nachhilfe in Sachen Grundrechte

avatar  Matthias Bergt

Auch dynamische IP-Adressen sind für Betreiber von WWW-Seiten personenbezogene Daten. Diese Ansicht vertreten jedenfalls die EU-Kommission und – mit Ausnahme der Bundesregierung – alle Regierungen, die in dem Musterverfahren des Piraten-Politikers und schleswig-holsteinischen Landtagsabgeordneten Patrick Breyer gegen die Bundesrepublik gegenüber dem EuGH Stellung genommen haben. Die EU-Kommission gibt dem BGH zudem auch hinsichtlich der zweiten Vorlagefrage Nachhilfe in Sachen Grundrechte: § 15 Abs. 1 TMG genüge nicht den Anforderungen, die die Grundrechte-Charta an Erlaubnisnormen zur Verarbeitung personenbezogener Daten stelle.

Das Verfahren

Der BGH hatte dem EuGH (Rs. C-582/14) zwei Fragen vorgelegt:

Die erste Frage betrifft somit die Grundfrage des Datenschutzrechts – wann ein Datum Personenbezug hat (hierzu ausführlich Bergt, ZD 2015, 365).

EU-Kommission: Auch dynamische IP-Adressen sind personenbezogen

Die EU-Kommission hält in ihrer Stellungnahme zunächst fest, was angesichts des klaren Wortlauts von Erwägungsgrund 26 der Datenschutz-Richtlinie (Richtlinie 95/46/EG, „DS-RL“) klar sein sollte, aber doch immer noch bestritten wird: Es kommt nicht nur darauf an, ob die verantwortliche Stelle selbst die betroffene Person identifizieren kann, sondern es sind auch die Möglichkeiten Dritter zu berücksichtigen. Angesichts des Umstands, dass die Speicherung der IP-Adressen gerade der Identifizierung der Besucher der Webseiten dienen soll, sei jedenfalls auch von vernünftigerweise einsetzbaren Mitteln zur Identifizierung auszugehen (Rn 19 der Stellungnahme der EU-Kommission; deutlicher noch Rn 17 der Stellungnahme der portugiesischen Regierung, die es als „offensichtlich widersprüchlich“ bezeichnet, Daten zum Zweck der Identifizierung zu erheben, diese aber nicht als personenbezogen ansehen zu wollen; div. Nachw. für diese Ansicht auch bei Bergt, ZD 2015, 80, 84). Das entspreche auch den Grundrechten aus Art. 7 und 8 der Grundrechte-Charta (Rn 20).

Unterstützung von Portugal und Österreich

Auf den Standpunkt, dass auch dynamische IP-Adressen personenbezogen sind, stellen sich auch die portugiesische (Rn 14 ff. ihrer Stellungnahme) und die österreichische Regierung (Rn 10 ihrer Stellungnahme). Dem Argument, dass eine IP-Adresse doch letztlich nur die Identifizierung des Anschlussinhabers ermögliche, nicht aber notwendig auch des Besuchers der Webseite, setzt die österreichische Regierung den Hinweis entgegen, dass es genüge, die Adresse einer natürlichen Person zuzuordnen – unabhängig davon, ob sie nun tatsächlicher Nutzer sei oder nicht (Rn 6).

Nur Bundesregierung für relative Theorie der Bestimmbarkeit

EU-Kommission, Portugal und Österreich schlagen sich damit klar auf die Seite der Theorie der objektiven Bestimmbarkeit. Danach kommt es für die Frage, ob ein Datum personenbezogen ist, nicht nur auf die Möglichkeiten der jeweils speichernden Stelle an, sondern auch auf Möglichkeiten Dritter (so auch bereits der Generalanwalt Cruz Villalón beim EuGH, Schlussanträge vom 14.4.2011, Rs. C-70/10, Rn 75 ff.; vgl. auch das obiter Dictum der Generalanwältin Kokott beim EuGH in ihren Schlussanträgen vom 18.7.2007, Rs. C-275/06, Fußnote 36).

Nur die Bundesregierung vertritt – wie bereits der vorlegende BGH – in ihrer Stellungnahme an den EuGH den relativen Ansatz (Rn 17 ff. ihrer Stellungnahme; ausführlich zu den verschiedenen in Rechtsprechung und Literatur vertreteten Auffassungen Bergt, ZD 2015, 365).

Ungeachtet des Umstandes, dass die Speicherung der IP-Adressen gerade der Identifizierung der Besucher der WWW-Seiten dienen soll, vertritt die Bundesregierung zudem die Ansicht, dass es sich nicht um personenbezogene Daten handle. Denn es komme nur darauf an, ob der konkreten, die IP-Adressen speichernden Behörde die Identifizierung möglich sei (Rn 46). Dafür gebe es aber keine Rechtsgrundlage (Rn 45), und rechtswidrige Identifizierungsmöglichkeiten müssten in jedem Fall außer Betracht bleiben (Rn 47), ganz besonders bei staatlichen Stellen (Rn 49) – angesichts der Praxis sowohl von Providern als auch von Behörden sicher eine sehr angreifbare Position (s.a. Bergt, ZD 2015, 365, 370; Bergt, ZD 2015, 80, 84; aktuell aus der Praxis: Transparenzbericht des E-Mail-Providers Posteo).

EU-Kommission: Grundrechte verbieten weite Auslegung von Erlaubnisnormen

Der BGH hatte mit seiner zweiten Vorlagefrage zudem die Diskussion begonnen, ob nicht die Entscheidung des deutschen Gesetzgebers, die Speicherung von IP-Adressen durch Webseiten-Betreiber zu verbieten, europarechtswidrig sei, so dass § 15 Abs. 1 TMG jedenfalls europarechtskonform so auszulegen sei, dass er eine IP-Adressen-Speicherung zu Zwecken der IT-Sicherheit erlaube. Die portugiesische Regierung vertritt hierzu die Ansicht, dass dieser Gedanke bereits im Ausgangspunkt unzulässig sei, weil Art. 7 lit. f DS-RL (der eine Datenverarbeitung auf Basis einer Interessenabwägung erlaubt) bereits deswegen nicht zur Auslegung nationaler Erlaubnisnormen herangezogen werden könne, weil diese ja selbst bereits Ergebnis einer entsprechenden Abwägung durch den Gesetzgeber seien (Rn 25).

Auch die EU-Kommission tritt dem BGH auf dogmatischer Ebene entgegen und verweist auf die Anforderungen, die die europäischen Grundrechte an eine datenschutzrechtliche Erlaubnisnorm stellen (Rn 26): Jedenfalls für Datenverarbeitungen von Behörden seien klare und präzise Regelungen erforderlich. Das sei Voraussetzung für eine Zulässigkeit der näheren Bestimmung der Zulässigkeit der Datenverarbeitung nach Art. 5 DS-RL durch den nationalen Gesetzgeber, wie konkret in § 15 Abs. 1 TMG erfolgt. Diesen Anforderungen genüge § 15 Abs. 1 TMG (in der vom BGH angedachten weiten Auslegung) nicht, so dass auch eine Verhältnismäßigkeitsprüfung nach Art. 7 lit. f DS-RL nicht möglich sei und die angedachte weite Auslegung deshalb aus grundrechtlichen Gründen ausscheide (Rn 26 f.). Die Frage, ob das strikte Verbot der IP-Adressen-Speicherung in § 15 Abs. 1 TMG europarechtskonform ist und Art. 7 lit. f DS-RL unmittelbar anwendbar sei, könne offen bleiben, weil die Bundesrepublik sich jedenfalls nicht auf eine nicht ordnungsgemäße Umsetzung einer Richtlinie berufen könne (Rn 30).

Vor der Klärung wichtiger Grundsatzfragen

Es bleibt abzuwarten, ob der EuGH eine mündliche Verhandlung durchführt oder im schriftlichen Verfahren entscheidet – die Bedeutung der Vorlagefragen würde allemal eine ausführliche mündliche Verhandlung rechtfertigen. Denn es geht einerseits darum, die seit Jahrzehnten offene Grundfrage zu klären, wann überhaupt ein personenbezogenes Datum vorliegt. Andererseits stellt sich die Frage, ob – wie die portugiesische Regierung in ihrer Stellungnahme voraussetzt (Rn 25) – die nationalen Gesetzgeber für eine bestimmte Art von Fällen die Abwägung gemäß Art. 7 lit. f DS-RL, ob die Datenverarbeitung zulässig sein soll, allgemeingültig vornehmen dürfen, ohne eine Abwägung auch im Einzelfall vorzusehen. Wäre das nicht der Fall, wäre nahezu das gesamte deutsche Datenschutzrecht europarechtswidrig, und man könnte letztlich alle Regeln streichen und durch eine allgemein gehaltene Abwägungsklausel ersetzen. Dass dies eine Katastrophe für die Rechtssicherheit und damit auch die gesamte personenbezogene Daten verarbeitende Wirtschaft wäre, ist offensichtlich. Doch der Wortlaut des EuGH-Urteils in der Sache ASNEF/FECEMD (EuGH, Urt. v. 24.11.2011, Rs. C-468/10 und C-469/10, Rn 46, CR 2012, 29 m. Anm. Freund = ITRB 2012, 51 (Kunczik)) erlaubt eine solche Interpretation – wenn auch ebenso das Gegenteil (Bergt, ZD 2015, 80, 84 f.).

 

Mehr zum Autor: Matthias Bergt ist Referatsleiter bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit. Er kommentiert beispielsweise die Artikel 37-39 (Datenschutzbeauftragter), 40-43 (Verhaltensregeln und Zertifizierung) und 77-84 (Rechtsbehelfe, Haftung und Sanktionen) sowie Parallelnormen des BDSG in Kühling/Buchner (Hrsg.): Datenschutz-Grundverordnung/Bundesdatenschutzgesetz (DSGVO/BDSG), das Dienstvertragsrecht und die Abgrenzung der Vertragstypen in Schuster/Grützmacher (Hrsg.): IT-Recht Kommentar und trägt eine Vielzahl von Mustern zum Formularhandbuch Datenschutzrecht von Koreng/Lachenmann (Hrsg.) bei.

Schreiben Sie einen Kommentar

Sie müssen sich einloggen um einen Kommentar schreiben zu können.