Der Europäische Gerichtshof (EuGH) hatte in einem Vorabentscheidungsverfahren über zwei ihm vom Bundesgerichtshof (BGH) vorgelegte Rechtsfragen betreffend die datenschutzrechtliche Qualität dynamischer IP-Adressen und die Zulässigkeit ihrer Speicherung zu entscheiden.
Hintergrund war die Klage eines Internetnutzers gegen die Bundesrepublik Deutschland vor der deutschen Gerichtsbarkeit auf Unterlassung der Speicherung der dynamischen IP-Adressen des Klägers bei dessen Besuch der allgemein zugänglichen Internetseiten von Einrichtungen der Beklagten.
Der BGH hatte dem EuGH zunächst die Frage vorgelegt, ob dynamische IP-Adressen der Nutzer einer Internetseite für den Anbieter dieser Seite personenbezogene Daten sind.
Aus technischer Sicht ist eine dynamische IP-Adresse eine veränderliche Internetprotokolladresse eines Computers. Eine solche Adresse wird dem Nutzer durch seinen Internetzugangsanbieter zugeteilt und ist für den Anbieter der Internetseite feststellbar.
In rechtlicher Hinsicht ist anzumerken, dass das Datenschutzrecht personenbezogene Daten schützt, wobei personenbezogene Daten im Sinne der EU-Datenschutzrichtlinie alle Informationen über eine bestimmte oder bestimmbare natürliche Person („betroffene Person“) sind. Eine Person wird dann als bestimmbar angesehen, wenn sie direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind.
Verantwortliche Stellen dürfen personenbezogene Daten nur insoweit erheben, verarbeiten und nutzen, als dies gesetzlich positiv zugelassen ist.
Nach Auffassung des EuGH sind dynamische IP-Adressen nicht stets als personenbezogene Daten im Sinne der Datenschutzrichtlinie zu verstehen, sondern nur dann, wenn der Anbieter einer Internetseite die rechtliche Möglichkeit hat, die Nutzer anhand von Zusatzinformationen bestimmen zu lassen. Über die entsprechenden Zusatzinformationen verfügt grundsätzlich nur der Internetzugangsanbieter. Der EuGH weist in seiner Entscheidung darauf hin, dass das vorlegende Gericht die Frage der rechtlichen Mittel, über die der Anbieter der Internetseite gegebenenfalls verfügt, um auf die Zusatzinformationen zurückgreifen zu können, im konkreten Fall zu prüfen habe.
Solche rechtlichen Möglichkeiten sind im deutschen Recht z.B. für gewisse Straftaten (beispielsweise Hackerangriffe) geregelt – die Strafverfolgungsbehörden können gemäß den Vorschriften der StPO die Zusatzinformationen vom Internetzugangsbieter erlangen. Ferner sind solche Möglichkeiten z.B. für gewisse Urheberrechtsverletzungen geregelt – die Rechteinhaber können gemäß § 101 UrhG nach richterlicher Anordnung die Zusatzinformationen vom Internetzugangsbieter erwirken. In Frankreich sind relevante rechtliche Möglichkeiten z.B. in Art. 6 des Gesetzes Nr. 2004-575 vom 21. Juni 2004 („loi pour la confiance dans l’économie numérique“) geregelt.
Der BGH hatte dem EuGH außerdem die Frage vorgelegt, ob eine Vorschrift des nationalen Rechts mit dem Inhalt des § 15 Abs. 1 TMG gegen die Datenschutzrichtlinie verstößt oder ob der Zweck, die Funktionsfähigkeit der Internetseite aufrecht zu erhalten, es rechtfertigen kann, personenbezogene Daten der Nutzer ohne deren Einwilligung außer zur Nutzungsermöglichung und -abrechnung auch über den Nutzungszeitraum hinaus zu speichern. Die überwiegende deutsche Lehre hielt dies bislang für unzulässig.
Hintergrund hierzu ist, dass gemäß §15 Abs. 1 TMG personenbezogene Daten eines Nutzers durch den Dienstanbieter nur erhoben und verwendet werden dürfen, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten). Im vorliegenden Fall allerdings wurden die IP-Adressen der Webseitenbesucher durch den Anbieter der Seite gespeichert, um Angriffe abzuwehren und die strafrechtliche Verfolgung von Angreifern zu ermöglichen.
Nach Auffassung des EuGH dürfen mitgliedsstaatliche Datenschutzregelungen die Speicherung personenbezogener Daten nicht kategorisch und pauschal ausschließen, sondern müssen Raum für eine Abwägung des Interesses des Anbieters des Online-Mediendienstes an der Gewährleistung der Funktionsfähigkeit des Dienstes mit den Interessen und Grundrechten und Grundfreiheiten der Nutzer lassen. Im Ergebnis hält der EuGH die deutsche Vorschrift des § 15 Abs. 1 TMG somit wegen zu geringer Tragweite für europarechtswidrig.
Abschließend ist darauf hinzuweisen, dass der Gerichtshof bereits in einem Urteil vom
24. November 2011 („Scarlet Extended“ C‑70/10) festgestellt hatte, dass es sich bei IP-Adressen um geschützte personenbezogene Daten handelt. Allerdings waren in diesem Fall die IP-Adressen der Internetnutzer durch den Internetzugangsanbieter gesammelt worden, was letzterem ermöglichte, die Internetnutzer ohne weitere Schritte zu identifizieren.