Das LawCamp 2018 wird unterstützt von:

Medienpartner

EU-Generalanwalt: Dynamische IP´s sind personenbezogene Daten

Beim EuGH ist derzeit ein Verfahren anhängig, bei dem es um die Frage geht, ob ein Webseitenbetreiber die dynamischen IP-Adressen seiner Nutzer speichern darf (Rs. C-582/14). Diese Frage ist bisher noch umstritten. Teilweise wird vertreten, dass IP-Adressen keine personenbezogenen Daten i.S.d. § 3 Abs. 1 BDSG seien. Demzufolge wäre auch deren Speicherung datenschutzrechtlich zulässig, denn Gegenstand des Datenschutzrechts sind nur personenbezogene Daten (§ 4 Abs. 1 BDSG). Die wohl herrschende Gegenansicht vertritt die Auffassung, dass dynamische IP-Adressen personenbezogene Daten sind. Der BGH hat den Fall dem EuGH vorgelegt (BGH v. 28.10.2014 – VI ZR 135/13).

In dem Verfahren liegen nun die Schlussanträge des Generalanwalts Sánchez-Bordona vor (PDF). In den Schlussanträgen vertritt der Generalanwalt die Auffassung, IP-Adressen seien personenbezogene Daten. Und darüber hinaus vertritt er bezüglich einer zweiten Frage, die er ebenfalls zu begutachten hatte, erneut die These von der Vollharmonisierung des Datenschutzrechts.

Von Dr. Simon Assion und Lennart Schüßler.

Einführung in den Streit

Der Streit über die Frage, ob IP-Adressen personenbezogene Daten sind, wird schon beinahe so lange geführt, wie Internet-Technologien und das Datenschutzrecht aufeinander prallen. Die Frage, ob IP-Adressen personenbeziehbar sind, ist vor allem für die rechtliche Einschätzung des sog. Tracking relevant. Denn beim Websurfen „sieht“ der Webseitenanbieter in technischer Hinsicht von seinen Kunden primär deren IP-Adressen – diese Adressen verwendet er, um an die Nutzer seine Datenpakete verschicken zu können.

Häufig kann er ein Webseitenbetreiber Zusatzinformationen abrufen, z.B. welchen Browser der User verwendet. Außerdem kann der Webseitenbetreiber „sehen“, welche einzelnen Webseiten der User heruntergeladen hat, d.h. wie er sich auf der Internetseite bewegt hat. Diesen gesamten Vorgang nennt man „Tracking“.

Sind dynamische IP-Adressen personenbezogene Daten?

Streitgegenständlich waren nur die sog. dynamischen IP-Adressen. Dies sind IP-Adressen, die von den Access-Providern immer nur kurzzeitig an die Nutzer, die gerade online sind, zugeteilt werden. Das heißt, der einzige, der bei einer dynamischen IP-Adresse sicher weiß, wer diese zu einem bestimmten Zeitpunkt genutzt hat, ist der Access-Provider. Der Webseitenbetreiber demgegenüber kann eine IP-Adresse in vielen Fällen nicht direkt einer bestimmten Person zuordnen. Dafür bräuchte er entweder das Sonderwissen des Access-Providers oder Zusatzinformationen aus anderen Quellen (z.B. wenn der betreffende Nutzer sich mit einem Benutzungsaccount angemeldet hat).

Die Frage, die der Generalanwalt zu entscheiden hatte, war nun: Sind dynamische IP-Adressen für den Webseitenbetreiber personenbezogene Daten – auch dann, wenn für die Personenbeziehbarkeit noch das Sonderwissen des Access-Providers notwendig ist?

Die Frage beantwortet sich anhand der Bestimmungen der Datenschutzrichtlinie (RL 95/46). Diese Richtlinie ist (noch) geltendes Europarecht: Sie wird erst mit Wirkung zum 25. Mai 2018 durch die Datenschutzgrundverordnung (DSGVO) ersetzt werden.

Art. 2 a) der Datenschutzrichtlinie definiert den Begriff der personenbezogenen Daten – und damit den Anwendungsbereich des Datenschutzrechts – wie folgt:

a) „personenbezogene Daten“ alle Informationen über eine bestimmte oder bestimmbare natürliche Person („betroffene Person“); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind;

Erwägungsgrund 26 der Richtlinie konkretisiert dies noch etwas weiter:

[…] Bei der Entscheidung, ob eine Person bestimmbar ist, sollten alle Mittel berücksichtigt werden, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen. Die Schutzprinzipien finden keine Anwendung auf Daten, die derart anonymisiert sind, daß die betroffene Person nicht mehr identifizierbar ist. […]

Das Votum des Generalanwalts

Vor dem Hintergrund dieser rechtlichen Bestimmungen hatte der EuGH-Generalanwalt nun zu entscheiden, ob er die von einem Webseitenbetreiber gespeicherten dynamischen IP-Adressen als „personenbezogene Daten“ ansieht.

Im Ergebnis bejaht er diese Frage. Dem legt er die folgenden Überlegungen zu Grunde (Rn. 64 f.):

„Erneut ist auf den 26. Erwägungsgrund der Richtlinie 95/46 zu verweisen. Die Formulierung „Mittel …, die vernünftigerweise … von einem Dritten eingesetzt werden könnten“, könnte dahin ausgelegt werden, dass es ausreicht, dass irgendein Dritter zusätzliche Daten erlangen kann (die zur Identifizierung einer Person mit einer dynamischen IP-Adresse verbunden werden können), damit eine solche Adresse eo ipso als personenbezogenes Datum anzusehen ist.

Diese weitestmögliche Auslegung würde in der Praxis dazu führen, dass jede Art von Information als personenbezogenes Datum einzuordnen wäre, so unzureichend sie für sich genommen auch wäre, um einen Nutzer bestimmen zu können. Niemals wird sich mit absoluter Sicherheit ausschließen lassen, dass es nicht einen Dritten gibt, der im Besitz von Zusatzwissen ist, das mit der fraglichen Information verbunden werden kann und es damit ermöglicht, die Identität einer Person festzustellen.“

Dieser vorgenannten Ansicht (der sog. Lehre vom absoluten Personenbezug) schließt sich der Generalanwalt aber nicht an. Vielmehr schlägt er eine vermittelnde Lösung vor (Rn. 67):

„Nichtsdestotrotz denke ich, dass diese – im Übrigen sehr berechtigte – Sorge nicht dazu führen kann, den Wortlaut, der den Willen des Gesetzgebers zum Ausdruck bringt, unbeachtet zu lassen, und dass die systematische Auslegung des 26. Erwägungsgrundes der Richtlinie 95/46 sich auf „Mittel …, die vernünftigerweise … von bestimmten Dritten eingesetzt werden könnten“, beschränkt.“

An dieser Stelle ist die Argumentation des Generalanwalts offensichtlich falsch. Denn in Erwägungsgrund 26 steht nichts von einem bestimmten Dritten, sondern nur von „einem Dritten“. Noch deutlicher wird das in den anderen Sprachfassungen der Richtlinie: Die englische Sprachfassung spricht von „any other person“ – korrekt übersetzt wäre dies mit „irgendeinem Dritten“). Und die französische Sprachfassung spricht von „une autre personne“ („eine andere Person“). Das Wortlautargument des Generalanwalts funktioniert (so) also nicht.

Der Generalanwalt stützt sich allerdings auch nicht nur auf den Wortlaut. Er hat noch weitere Argumente (Rn. 28):

„Ebenso wie der 26. Erwägungsgrund nicht jedes Mittel einschließt, das der für die Verarbeitung Verantwortliche (in diesem Fall der Internetdiensteanbieter) einsetzen könnte, sondern nur jene, die dieser „vernünftigerweise“ einsetzen könnte, ist auch davon auszugehen, dass sich der Gesetzgeber auf „Dritte“ bezieht, an die sich der für die Verarbeitung Verantwortliche, der in den Besitz des für die Identifizierung erforderlichen Zusatzwissens gelangen möchte, ebenfalls vernünftigerweise wenden könnte. Das ist nicht der Fall, wenn der Kontakt mit diesen Dritten faktisch einen sehr hohen personellen und wirtschaftlichen Aufwand erfordern würde oder wenn er praktisch nicht durchführbar oder gesetzlich verboten wäre. Anderenfalls wäre es, wie schon dargelegt, praktisch unmöglich, zwischen den verschiedenen Mitteln zu unterscheiden, weil immer denkbar ist, dass es einen Dritten gibt, so unerreichbar er für den Internetdiensteanbieter auch sein mag, der – jetzt oder in Zukunft – über zusätzliche einschlägige Daten verfügt, die zur Identifizierung eines Nutzers beitragen können.“

An dieser Stelle nähert der Generalanwalt sich der sog. Theorie vom relativen Personenbezug an. Es kommt nach dieser Theorie nicht darauf an, ob irgendjemand das betroffene Datum einer konkreten Person zuordnen kann, sondern ob dies relativ, aus Sicht des jeweils Verantwortlichen, überhaupt naheliegt. Dem Wortlaut nach liegt bei der Datenschutzrichtlinie die These vom absoluten Personenbezug nahe, aber über den Begriff „vernünftigerweise“ lässt sich in der Tat auch die relative Theorie in die Datenschutzrichtlinie hineinlesen.

Im Ergebnis ist der Generalanwalt also der Auffassung, dass ein Datum nur dann personenbezogen ist, wenn es von dem Verantwortlichen oder einem Dritten, der vernünftigerweise herangezogen werden kann, einer Person zugeordnet werden kann. Das ist nicht jeder „hypothetische, unbekannte und unerreichbare“ Dritte (Rn. 69), sondern nur derjenige, dessen Konsultation naheliegt, und der mit vertretbarem Aufwand und ohne Rechtsbruch zur Herstellung der Personenbeziehbarkeit herangezogen werden kann.

Die Ableitung des Generalanwalts

Aus den vorstehenden Erwägungen leitet der Generalanwalt dann ab, dass für die Beklagte des konkreten Verfahrens – die Bundesregierung in ihrer Funktion (nur) als Webseitenbetreiberin (www.bund.de, etc.) – die dynamische IP-Adresse personenbezogen sei. Denn es sei für die Bundesregierung „im Rahmen des Gesetzes realisierbar und deshalb ‚vernünftig'“, das Zusatzwissen des Internetzugangsanbieters herauszuverlangen und somit die IP-Adresse einer konkreten Person zuzuordnen (Rn. 73).

Dies ist leider der zweite Punkt, in dem der Generalanwalt auf tatsächlicher Ebene einem Irrtum unterliegt. Die Bundesregierung kann nicht „einfach so“ bei einem Internetzugangsanbieter die Information anfordern, welchem Nutzer zu einem bestimmten Zeitpunkt eine bestimmte IP-Adresse zugeordnet war. Diese Möglichkeit haben nur ganz bestimmte Strafverfolgungsbehörden und Gefahrenabwehrbehörden, und zwar nur wenn es um die Verfolgung „besonders schwerer Straftaten“ oder um die „Abwehr einer konkreten Gefahr für Leib, Leben oder Freiheit einer Person oder für den Bestand des Bundes oder eines Landes“ geht (§ 113c Abs. 1 TKG i.V.m. § 113b Abs. 3 TKG).

Die Bundesregierung kann solche Daten selbst also gar nicht anfordern, sie ist hierzu nicht berechtigt. Und selbst die dem Bund zugeordneten Bundesbehörden mit Gefahrenabwehr- oder Strafverfolgungsauftrag (z.B. die Bundespolizei) haben ein solches Recht nur dann, wenn ein konkreter Verdacht einer bestimmten Straftat besteht.

Im Ergebnis bedeutet das: Anders als der Generalanwalt selbst annimmt, ist die Herstellung des Personenbezugs für die Bundesregierung bei 99,9 % der von ihr erhobenen IP-Adressen keineswegs „im Rahmen der Gesetze realisierbar“. Denn es liegt im Regelfall weder ein Staftats-, noch ein Gefahrenverdacht vor. Eine Ausnahme wäre in den ganz wenigen Fällen anzunehmen, in denen IP-Adressen von Webseitenbesuchern für die Verfolgung von Straftaten relevant sind (denkbar z.B. im Fall von sog. Honeypot-Fahndungen) oder bei IP-Adressen, die für Hacking-Angriffe verwendet werden. Aber das ist die ganz klare Ausnahme, und nicht „vernünftig“ in dem Sinn, den der Generalanwalt eigentlich selbst zu Grunde legt.

Erst Recht gilt dies übrigens für private Webseitenbetreiber. Diese haben erst Recht keine Möglichkeit, die bei ihnen gespeicherten IP-Adressen durch Abfragen bei Internetzugangsanbietern einfach so konkreten Nutzern zuzuordnen. Denn die Internetzugangsanbieter geben eine solche Information, die dem Fernmeldegeheimnis unterliegt, natürlich nicht einfach so heraus. Ein privater Webseitenbetreiber kann, wenn er bei einem Nutzer einer bestimmten IP eine Straftat vermutet, also eine Strafanzeige stellen und den Strafverfolgungsbehörden ermöglichen, einen Personenbezug herzustellen. Aber dies führt nicht dazu, dass dem Webseitenbetreiber der Inhaber der IP-Adresse bekannt gegeben wird.

Im Ergebnis heißt das: Die Ausführungen des Generalanwalts sind in einigen Teilen nicht bis zu Ende gedacht. Zwar nimmt er im Ausgangspunkt eine Ansicht ein, die eher der der Theorie vom relativen Personenbezug nahe steht. Aber dann zieht er daraus leider die falschen Schlüsse, weil ihm offenbar ein Teil der deutschen Rechtslage nicht bekannt ist. Das ist ärgerlich.

Nebenbemerkung: Generalanwalt für Vollharmonisierung des Datenschutzrechts

Der Generalanwalt hatte auch noch eine zweite Frage zu beantworten: Nämlich ob das deutsche TMG in der Bestimmung, die einen Webseitenbetreiber bei der Speicherung von IP-Adressen einschränkt (§ 15 TMG) zu eng ist. Denn § 15 TMG erlaubt die Nutzung personenbezogener Daten beim Angebot von Telemedien (d.h. Webseiten) nur unter genau definierten Umständen – und nach dem genauen Wortlaut von § 15 TMG fällt z.B. der Zweck der Spam-Abwehr nicht darunter. Die zugrunde liegende EU-Vorschrift (Art. 7 f) der Datenschutzrichtlinie) ist deutlich weiter.

Der Generalanwalt weist völlig zu Recht darauf hin (Rn. 97 ff.), dass der EuGH bereits entschieden hat, dass die Datenschutzrichtlinie eine sog. Vollharmonisierung verlangt (EuGH Rs. C‑468/10 und C‑469/10 – ASNEF und FECEMD , Rn. 32). Das heißt, die Richtlinie muss „Eins zu Eins“ umgesetzt werden. Deutsches Recht darf die datenschutzrechtlichen Anforderungen weder erhöhen, noch senken.

Diese Ansicht war sehr umstritten, als der EuGH dieses Urteil erließ. Mittlerweile ist sie aber Grundlage der ständigen Praxis. In vielen datenschutzrechtlichen Fragen suchen die Datenschutzbehörden, aber auch die Unternehmen, ihre Rechtsauffassungen und Lösungen schon längst auf Basis des EU-Richtlinienrechts, ohne dabei noch viel Umwege über das nationale Recht zu machen.

Bedeutet das Votum des Generalwalts vor diesem Hintergrund das „Ende jeder Rechtssicherheit im Datenschutzrecht“, wie es Matthias Bergt im CR-Blog sieht? Wir denken, man muss es nicht so drastisch sehen. Das Votum des Generalanwalts betont nur einmal wieder die Regel vom Anwendungsvorrang des Europarechts. Davon geht die Welt nicht unter. Das heißt lediglich, dass die Rechtspraxis und die Betroffenen müssen immer auch das zu Grunde liegende Europarecht im Auge behalten müssen. Im Zweifel ist das deutsche Recht richtlinienkonform auszulegen. Genau dies wird letztlich auch mit § 15 TMG passieren.

Wie geht es jetzt weiter?

Das Votum des Generalanwalts ist für den EuGH nicht bindend. Er kann also von diesem Votum abweichen – sowohl im Ergebnis, als auch in der Begründung.

Das Votum des Generalanwaltes ist zwar an einigen Stellen ungenau, aber im Ergebnis gut vertretbar. Der Begriff „vernünftig“ lässt in der Tat eine Lesart zu, die nicht jedes Datum schlechthin mit Personenbezug ausstattet, bloß weil irgendjemand, rein theoretisch, einen Personenbezug herstellen wird.

Andererseits ist zu bemerken, dass der EuGH im Datenschutzbereich in den letzten Jahren sehr datenschutzfreundliche Entscheidungen getroffen hat. Es ist deshalb keineswegs zwingend, dass der EuGH die pragmatische Herangehensweise des Generalanwalts übernimmt. Ein Urteil des EuGH wird für den Sommer erwartet.

Für die Praxis der Webseitenbetreiber ist dieser Streit nicht wirklich relevant. Wer eine Webseite rechtssicher betreiben will, sollte ohnehin die IP-Adressen so behandeln, als ob es sich um personenbezogene Daten handelt. Denn ganz unabhängig von der Frage, ob dynamische IP-Adressen über das Sonderwissen von Internet-Access-Providern zugeordnet werden können, sind jedenfalls in Einzelfällen auch andere Wege denkbar. Ein Personenbezug liegt z.B. vor, wenn die IP-Adresse auch mit Account-Daten verknüpft wird, oder sich der Nutzer anderweitig auf der Webseite identifiziert (z.B. bei Nutzung einer Kommentarfunktion). Auch weitere Techniken, z.B. Device Fingerprinting oder Big Data-Korrelationen kann ein Webseitenbetreiber zur Herstellung eines Personenbezugs nutzen. Und ohnehin geht es aus praktischer Sicht nicht nur um dynamische IP-Adressen. Kein Webseitenbetreiber ausschließen, dass seine Benutzer auch statische IP-Adressen nutzen, die ihnen vom Internetzugangsanbieter dauerhaft zugeteilt sind. Bei statischen IP-Adressen lässt sich der Personenbezug aber teils viel leichter herstellen.

IP-Adressen sollten deshalb im Rahmen von Webseiten nur dann gespeichert werden, wenn sich dies datenschutzrechtlich rechtfertigen lässt. Die Abwehr von Spam-Angriffen dürfte nach dem Votum des EU-Generalanwalts wohl als legitimer Zweck gelten, zumal dies jedenfalls für gewerbliche Webseitenbetreiber nach § 13 Abs. 7 Nr. 2 b) TMG mittlerweile sogar rechtlich vorgeschrieben ist. Im Übrigen sollten IP-Adressen in Tracking-Tools aber nur anonymisiert verwendet werden. Hierzu gibt es eine Handreichung des Hamburgischen Datenschutzbeauftragten (PDF) und für viele Tracking-Tools auch Einstellungsmöglichkeiten oder Plugins.

Die Rechtslage wird sich auch mit Wirksamwerden der DSGVO am 25. Mai 2018 nicht wesentlich ändern. Die DSGVO enthält zur Personenbeziehbarkeit von Daten sehr ähnliche Vorgaben wie auch jetzt schon die Datenschutzrichtlinie (Art. 2 Abs. 1, Art. 4 Nr. 1 und Erwägungsgrund 26 DSGVO).

Keine Kommentare mehr möglich.