Lang erwartet und heiß diskutiert war die Entscheidung des EuGH in der Sache Breyer ./. Bundesrepublik Deutschland. Auch wir hatten bereits berichtet. Die Auswirkungen des Urteils auf das deutsche Datenschutzrecht sind erheblich. Insbesondere für die datenschutzrechtlichen Aufsichtsbehörden dürfte heute ein schwarzer Tag sein. Dies hat zwei Gründe:
- Der EuGH legt den Begriff des personenbezogenen Datums – und damit die Anwendbarkeit des gesamten Datenschutzrechts – eng aus.
- Pauschale Gesetze, die eine Datenverarbeitung erlauben oder verbieten sind unzulässig. Jede Verarbeitung kann über eine allgemeine Abwägung gerechtfertigt werden.
1. Was ist ein personenbezogenes Datum?
Ob die strengen Anforderungen des BDSG einzuhalten sind, entscheidet sich am Merkmal des personenbezogenen Datums. Folglich war die Frage unter Juristen daher immer umstritten. Die Aufsichtsbehörden vertraten stets einen extrem weiten (absoluten) Begriff des personenbezogenen Datums. Sie kamen daher zum Ergebnis, dass dynamische IP-Adressen personenbezogene Daten sind, da der TK-Anbieter jedenfalls wisse, wer sich hinter der IP-Adresse verbirgt. Dass diese Information dem einzelnen Webseitenbetreiber nicht direkt zur Verfügung steht, war unerheblich.
Diesem weiten Verständnis des personenbezogenen Datums erteilt der EuGH eine klare Absage. Grundsätzlich sei bei einer dynamischen IP-Adresse nicht von einem personenbezogenen Datum auszugehen, da der Webseitenbetreiber nicht auf die Daten des TK-Anbieters Zugriff habe. Jedoch kann die Person identifizierbar sein, sofern Mittel bestehen, die vom Webseitenbetreiber vernünftigerweise eingesetzt werden können, um die Person zu identifizieren. Maßgeblich hierfür ist, dass es diesem rechtlich und mit einem verhältnismäßigen Aufwand möglich ist.
a. Rechtliche Möglichkeit
Es ist – so der EuGH – bei der Prüfung, ob es sich um ein personenbezogenes Datum handelt, darauf abzustellen, ob dem Webseitenbetreiber rechtliche Mittel gegenüber dem TK-Anbieter zur Verfügung stehen, die es ihm erlauben, die Person zu identifizieren. Mit anderen Worten: Besteht ein Auskunftsanspruch des Webseitenbetreibers gegenüber dem TK-Anbieters des Nutzers oder nicht?
Diese Frage hat der EuGH an das nationale Gericht – den Bundesgerichtshof – zurückgegeben. Hierbei wird es nicht ausreichend sein, pauschal auf das Telekommunikationsgeheimnis (TK-Geheimnis, § 88 TKG) zu verweisen. Nach dem EuGH ist es nicht erforderlich, dass ein konkreter Auskunftsanspruch gegen den TK-Anbieter hinsichtlich jeder IP-Adresse besteht (Rdn. 47f.). Vielmehr genügt es offenbar, wenn ein Fall denkbar ist, indem hinsichtlich einer IP-Adresse ein Auskunftsanspruch vorhanden ist (z.B. Einleitung der Strafverfolgung bei einer Cyberattacke). Man darf gespannt sein, wie sich der BGH hier positioniert.
Denkbar wäre ein solcher Auskunftsanspruch des Webseitenbetreibers nach § 101 UrhG, sofern dem Webseitennutzer urheberrechtswidrigen Verhalten vorzuwerfen ist. Für den durchschnittlichen Webseitenbetreiber stellt sich dieser Fall aber als sehr konstruiert dar. Wahrscheinlicher ist daher, dass der Webseitenbetreiber Rechtsverstöße des Nutzers (z.B. DDoS-Attacken nach § 303b Abs. 1 Nr. 2, Abs. 2 StGB, Beleidigungen, andere rechtswidrige Inhalte) zur Anzeige bringt und die Staatsanwaltschaft den TK-Anbieter nach §§ 161, 161a StPO i.V.m. § 113 TKG auffordert, die Bestandsdaten des Nutzers hinter der IP-Adresse zu übermitteln. Auch wenn diese Normen grundsätzlich nicht geeignet sind, einen Eingriff in das TK-Geheimnis zu rechtfertigen, so hat aber das Bundesverfassungsgericht (Beschl. v. 13. 11. 2010 − 2 BvR 1124/10) hinsichtlich der IP-Adresse entschieden, dass die Herausgabe einer einzelnen IP-Adresse keinen derart schweren Eingriff in das TK-Geheimnis darstellt, dass eine Anwendung des § 161 StPO in jedem Fall unzulässig wäre.
Sofern der Name und die Adresse des Nutzers von der Staatsanwaltschaft ermittelt wurde, kann der Rechtsanwalt des Webseitenbetreibers nach § 406e StPO ein Akteneinsichtsrecht geltend machen und auf diesem Weg die Identität des Nutzers erlangen. Es ist daher gut vertretbar anzunehmen, dass – entsprechend dem vom EuGH sehr allgemeinen Beispielfall einer Cyberattacke – dem Webseitenbetreiber rechtliche Mittel zur Verfügung stehen, die betreffende Person hinter einer IP-Adresse anhand der Zusatzinformationen des TK-Anbieters bestimmen zu lassen. Dass kein direkter Auskunftsanspruch besteht, sondern die Hilfe Dritter (hier die Staatsanwaltschaft) erforderlich ist, ist nach dem EuGH unerheblich (Rdn. 48).
Unabhängig vom vorliegenden Fall wird den Parteien damit der Weg eröffnet, über eine geschickte Vertragsgestaltung den Personenbezug von Daten auszuschließen, indem z.B. ein Datenaustausch vertraglich ausdrücklich untersagt wird.
b. Offene Fragen?
Es ist damit wahrscheinlich, dass der BGH in seiner Entscheidung zum Ergebnis kommt, dass es sich bei einer dynamischen IP-Adresse um ein personenbezogenes Datum handelt. Offen bleibt aber die Frage, ob damit alle gespeicherten IP-Adressen zu personenbezogenen Daten werden oder nur solche, bei denen ein Auskunftsanspruch tatsächlich besteht, also IP-Adressen von denen strafbare Handlungen ausgegangen sind.
Der EuGH lässt hier durchaus Argumentationsspielraum, da er nur abstrakt von rechtlichen Mitteln und nicht von konkreten Ansprüchen spricht. Möglich wäre daher, nur hinsichtlich der IP-Adressen einen Personenbezug anzunehmen, hinsichtlich derer auch ein Auskunftsanspruch tatsächlich besteht. Der EuGH formuliert im Tenor zu 1 nicht im Plural, sondern im Singular. Die rechtlichen Mittel müssen die „betreffende Person“ bestimmbar machen, die auf die Webseite zugegriffen hatte. Andernfalls würde ein einziges personenbezogenes Datum die gesamte Datenbank „infizieren“. Diese Sichtweise ist nicht nur dem Datenschutz fremd, welches den einzelnen Betroffenen im Blick hat, vielmehr ist dieser nicht schutzwürdig, sofern der Webseitenbetreiber keine rechtlichen Möglichkeiten hat, ihn zu identifizieren.
Schwierig bleibt die Abgrenzung, ab wann ein Webseitenbetreiber von einem personenbezogenen Datum ausgehen muss. Erforderlich wird es nicht sein, dass er die rechtlichen Mittel (z.B. Strafanzeige) tatsächlich umsetzt. Vielmehr reicht es aus, dass der Webseitenbetreiber vom Bestehen des Auskunftsanspruchs tatsächlich Kenntnis erlangt. Im Fall des DDoS-Angriffs genügt es, dass das System die Attacke erkennt und die IP-Adresse als „feindlich“ markiert bzw. entsprechend speichert und behandelt. Erst in diesem Augenblick würde aus der IP-Adresse ein personenbezogenes Datum.
Man darf gespannt sein, wo der BGH hier eine Grenze ziehen wird. Möglich wäre auch, dass der BGH keine klare Grenze sieht und daher pauschal alle IP-Adressen als personenbezogenes Datum einordnet.
2. Allgemeines Abwägungsgebot im Datenschutzrecht
Nicht weniger brisant sind Ausführungen des EuGHs zum § 15 TMG. Demnach ist es unzulässig, dass der nationale Gesetzgeber per se eine Datenverarbeitung gestattet oder verbietet, ohne Raum für eine Abwägung der im konkreten Einzelfall einander gegenüberstehenden Recht und Interessen zu lassen. Für jede Datenverarbeitung muss daher eine Abwägung – ähnlich § 28 Abs. 1 S. 1 Nr. 2 BDSG – möglich sein.
Die Auswirkungen dieser Rechtsauffassung sind kaum zu überblicken. Zweifel bestehen z.B. an der Rechtmäßigkeit des § 28a BDSG (Auskunfteien), des § 28 Abs. 3 BDSG (Werbung) oder des § 32 Abs. 1 Satz 1 BDSG (Mitarbeiterdaten). Insbesondere im Bereich der Werbung (z.B. Profiling jenseits der Listendaten). Bei der Verarbeitung von Mitarbeiterdaten (z.B. Umfragen, Leistungs- und Missbrauchskontrollen) würde der gesetzliche Spielraum damit erheblich erweitert.
Dieses allgemeine Abwägungsgebot entspricht im Wesentlichen auch der ab dem 25.05.2018 geltenden Datenschutz-Grundverordnung (siehe unsere Beitragsreihe). Der vom EuGH bezuggenommene Art. 7 Buchst. f der Richtlinie 95/46 entspricht vollständig dem Art. 6 Buchst. f der Datenschutz-Grundverordnung. Das Urteil wird damit auch wegweisend für die Auslegung der Datenschutz-Grundverordnung und die Wahrnehmung von nationalen Öffnungsklauseln sein. Klare Verbote oder Billigungen gehören damit im Datenschutzrecht der Vergangenheit an.
Das Urteil kommt daher zur richtigen Zeit, da die Anpassung des nationalen Rechts an die Datenschutz-Grundverordnung gerade im Prozess ist. Der Gesetzgeber ist angehalten, das Urteil daher entsprechend umzusetzen.
Unternehmen müssen der damit einhergehenden Rechtsunsicherheit stärker denn je mit einer substantiierten datenschutzrechtlichen Argumentation begegnen.
EuGH korrigiert Urteil zum Datenschutz von IP-Adressen – Avada Classic
12. Januar 2017 @ 19:41
[…] wie einer Webseite den Inhaber der Internetkennung selbst identifizieren könne. Beobachter sahen den Datenschutz im Netz damit „in Trümmern“, da der Personenbezug nun etwa durch „geschickte Vertragsgestaltung“ ausgeschlossen […]
Ulysses Niemand
21. Oktober 2016 @ 9:32
Alles in allem eine äußerst politische Entscheidung aus Brüssel, wohl damit das ABDSG nicht zu streng wird…
Die Wertung des Personenbezugs von IP-Adressen dürfte aber angesichts der Legaldefinition der EU-DS-GVO nur eine kurze Halbwertszeit haben. Denn die sieht ja in Art. 4 N.r 1 vor, dass auch eine „Onlinekennung“ wie eine IP-Adresse ein personenbezogenes Datum ist.
Datenschutz in Trümmern nach EuGH-Entscheidung? | Archivalia
20. Oktober 2016 @ 23:27
[…] https://www.datenschutz-notizen.de/die-eugh-bombe-ist-geplatzt-aufsichtsbehoerden-sehen-den-datensch… […]