Der Bundesgerichtshof (BGH) hatte dem EuGH die Frage vorgelegt, ob eine dynamische IP-Adresse ein personenbezogenes Datum darstellt und damit den entsprechenden Schutz genießt. Dynamische IP-Adressen werden durch das Dynamic Host Configuration Protocol (DHCP) vergeben und ändern sich – im Gegensatz zu statischen IP-Adressen – nach einem gewissen Zeitablauf. Der Europäische Gerichtshof (EuGH) hat nun entschieden, dass dynamische IP-Adressen personenbezogene Daten sein können.
Sachverhalt
Der Jurist und Landtagsabgeordneter der Piraten-Partei in Schleswig-Holstein hatte Klage gegen die Bundesregierung erhoben und wandte sich gegen die Praxis der Anbieter von Internetportalen, welche flächendeckend auf Vorrat Informationen speicherten, wer was im Internet liest, schreibt oder sucht, obwohl Internetnutzer ein Recht auf anonyme und nicht nachverfolgbare Internetnutzung haben sollten (vgl. § 13 Abs. 6 TMG). Die Bundesregierung vertrat die Ansicht, dass die beim Surfen übermittelte dynamische IP-Adresse kein personenbezogenes Datum sei und daher nicht dem Datenschutzrecht unterliege. Dagegen ist die EU-Kommission der Auffassung, dass diese nicht auf Vorrat gespeichert werden dürfe.
Vorlagefrage des BGH an den EuGH
Nachdem der Rechtsstreit beim BGH angelangt war, legte dieser dem EuGH die Fragen vor, ob eine dynamische IP-Adresse, die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn lediglich ein Dritter – also der Accessprovider – über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt (BGH, Beschluss vom 28.10.2014, VI ZR 135/13). Zudem wollte der BGH vom EuGH wissen, ob eine Vorschrift des nationalen Rechts mit dem Inhalt des § 15 Abs. 1 TMG gegen die Datenschutzrichtlinie verstößt.
Rechtliche Mittel zur Identifikation
In seiner Entscheidung schloss sich der EuGH der Theorie vom sog. relativen Personenbezug an und führt aus, dass eine IP-Adresse nicht stets als personenbezogenes Datum im Sinne der Datenschutzrichtlinie zu betrachten ist. Nur dann, wenn der Betreiber einer Website „über rechtliche Mittel verfügt, die es ihm erlauben, den betreffenden Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen“ stellen dynamische IP-Adressen ein personenbezogenes Datum dar (EuGH, Urteil vom 19.10.2016, C-582/14). Solche rechtlichen Mittel stellen z.B. die gesetzlichen Regelungen des § 101 Abs. 2 und Abs. 9 UrhG dar.
Zulässige Speicherung bei berechtigtem Interesse
Weiter führte der EuGH aus, dass der Betreiber einer Website ein berechtigtes Interesse daran haben kann, bestimmte personenbezogene Daten der Nutzer zu speichern, um sich gegen Cyberattacken zu verteidigen. Ob ein solches rechtliche Mittel im Einzelfall besteht habe das nationale Gericht, in diesem Fall der BGH, zu entscheiden.
§ 15 Abs. 1 TMG europarechtswidrig
Ferner erklärte der EuGH, dass er die deutsche Vorschrift des § 15 Abs. 1 TMG für europarechtswidrig halte. Auch der Zweck, die generelle Funktionsfähigkeit eines Online-Mediums zu gewährleisten, könne nämlich zu einer Speicherung personenbezogener Daten berechtigen. Der die IP-Adresse speichernde Betreiber einer Website kann danach ein berechtigtes Interesse daran haben, die Aufrechterhaltung der Funktionsfähigkeit der von ihm allgemein zugänglich gemachten Websites über die konkrete Nutzung hinaus zu gewährleisten. Zu diesem Zweck dürfe er personenbezogene Daten, auch IP-Adressen, speichern.
Fazit
Dynamische IP-Adressen stellen also nur dann personenbezogene Daten im Sinne des Datenschutzrechts dar, wenn der Webseitenbetreiber in der Lage ist, mit rechtlichen Mitteln Informationen zu erlangen, welche die dahinterliegende Person bzw. den Anschlussinhaber identifizieren (können).