News

EuGH: Website-Betreiber – Speicherung dynamischer IP-Adressen

Bearbeiter: Sabine Kriwanek / Bearbeiter: Barbara Tuma

Dt. Fall. Auch wenn der Nutzer einer dynamischen IP-Adresse vom Website-Betreiber nur über die zuständigen Behörden ermittelt werden kann, ist eine solche IP-Adresse ein personenbezogenes Datum; seine Speicherung zur eventuellen Abwehr von Cyberattacken darf aber nicht generell untersagt werden.

RL 95/46/EG: Art 2

1. Begriffsdefinition „personenbezogene Daten“: Auch eine dynamische IP-Adresse des Nutzers eines Online-Mediendienstes kann ein personenbezogenes Datum dieses Nutzers darstellen, wenn der Anbieter des Online-Mediendienstes (hier: Einrichtungen des dt Bundes als Betreiber der besuchten Website) die rechtliche Möglichkeit hat, die betreffende Person anhand der Zusatzinformationen bestimmen zu lassen, über die der Internetzugangsanbieter dieser Person verfügt.

2. Berechtigung zur Verarbeitung der personenenbezogenen Daten: Eine nationale Regelung darf es dem Anbieter von Online-Mediendiensten nicht kategorisch verbieten, personenbezogene Daten der Nutzer seiner Dienste auch ohne deren Einwilligung zu erheben und – auch über das Ende eines Nutzungsvorgangs hinaus – zu verwenden, um die generelle Funktionsfähigkeit der Dienste gewährleisten zu können. Bei Vorliegen besonderer Umstände des Einzelfalls muss eine Ausnahme aufgrund einer Interessensabwägung möglich bleiben.

EuGH 19. 10. 2016, C-582/14, Breyer

Sachverhalt

Zu einem deutschen Vorabentscheidungsersuchen.

Herr Breyer rief mehrere allgemein zugängliche Websites von Einrichtungen des Bundes ab, auf denen diese Einrichtungen aktuelle Informationen bereitstellen.

Um Angriffe abzuwehren und die strafrechtliche Verfolgung von Angreifern zu ermöglichen, werden bei den meisten dieser Websites alle Zugriffe in Protokolldateien festgehalten. Darin werden nach dem Abruf der Website nicht nur der Name der abgerufenen Seite, die verwendeten Suchbegriffe, der Zeitpunkt des Abrufs uÄ gespeichert, sondern ua auch die IP-Adresse des zugreifenden Computers.

Herr Breyer hat bei den deutschen Verwaltungsgerichten eine Unterlassungsklage gegen die Bundesrepublik Deutschland erhoben, die auf die Untersagung der Speicherung der IP-Adresse seines zugreifenden Hostsystems über das Ende des Zugriffs hinaus abzielt, soweit die Speicherung nicht im Störungsfall zur Wiederherstellung der Verfügbarkeit des Telemediums erforderlich ist.

Der dt BGH möchte vom EuGH zunächst wissen, ob eine IP-Adresse, die ein Anbieter von Online-Mediendiensten iZm einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn ein Dritter (hier: Zugangsanbieter des Nutzers) über das Zusatzwissen verfügt, das zur Identifizierung der betroffenen Person erforderlich ist.

Zudem möchte der BGH wissen, ob der Betreiber einer Website zumindest grundsätzlich die Möglichkeit haben muss, personenbezogene Daten der Nutzer zu erheben und zu verwenden, um die generelle Funktionsfähigkeit seiner Website zu gewährleisten.

Entscheidung

Personenbezogenes Datum

Auf die erste Frage antwortet der EuGH (wie aus dem Leitsatz ersichtlich), dass auch eine dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf seine allgemein zugänglich Website gespeichert wird, für den Anbieter ein personenbezogenes Datum iSd Art 2 Buchstabe a RL 95/46/EG darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen bestimmen zu lassen, über die der Internetzugangsanbieter dieser Person verfügt.

Nach der Vorlageentscheidung erlaubt es das deutsche Recht dem Internetzugangsanbieter des Nutzers zwar nicht, dem Anbieter der Online-Mediendiensten die Zusatzinformationen zur Identifizierung der betreffenden Person direkt zu übermitteln, doch gibt es für den Anbieter von Online-Mediendiensten offenbar rechtliche Möglichkeiten, die es ihm erlauben, sich insbesondere im Fall von Cyberattacken an die zuständige Behörde zu wenden, um die fraglichen Informationen vom Internetzugangsanbieter zu erlangen und die Strafverfolgung einzuleiten. Diese Möglichkeiten sind vom vorlegenden Gericht zu prüfen.

Interessenabwägung

Zur zweiten Frage verweist der EuGH zunächst auf Art 7 Buchst f RL 95/46/EG, wonach die Verarbeitung personenbezogener Daten rechtmäßig ist, wenn sie „erforderlich [ist] zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw den Dritten wahrgenommen wird, denen die Daten übermittelt werden, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person, die gem Art 1 Abs 1 [der Richtlinie] geschützt sind, überwiegen“.

Nach Ansicht des EuGH hindert Art 7 Buchst f RL 95/46/EG somit einen Mitgliedstaat daran, kategorisch und ganz allgemein die Verarbeitung bestimmter Kategorien personenbezogener Daten auszuschließen, ohne Raum für eine Abwägung der Rechte und Interessen zu lassen, die einander im konkreten Einzelfall gegenüberstehen. Ein Mitgliedstaat müsse daher Raum für ein Ergebnis lassen, das aufgrund besonderer Umstände des Einzelfalls anders ausfällt (vgl in diesem Sinne EuGH 24. 11. 2011, ASNEF und FECEMD, C-468/10 und C-469/10, EU:C:2011:777, Rn 47 und 48).

Die deutsche Regelung schließt es jedoch offenbar aus, dass der Zweck, die generelle Funktionsfähigkeit des Online-Mediendienstes zu gewährleisten, Gegenstand einer Abwägung mit dem Interesse oder den Grundrechten und Grundfreiheiten der Nutzer sein kann. Damit schränkt diese Regelung nach Ansicht des EuGH die Tragweite des in Art 7 Buchst f RL 95/46/EG vorgesehenen Grundsatzes ein. Auch die Einrichtungen des Bundes, die Online-Mediendienste anbieten, könnten ein berechtigtes Interesse daran haben, die Aufrechterhaltung der Funktionsfähigkeit ihrer allgemein zugänglichen Websites über ihre konkrete Nutzung hinaus zu gewährleisten.

Der EuGH hat für Recht erkannt:

1.Art 2 Buchst a der RL 95/46/EG des Europäischen Parlaments und des Rates vom 24. 10. 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass eine dynamische Internetprotokoll-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Website, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, für den Anbieter ein personenbezogenes Datum iSd genannten Bestimmung darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen.
2.Art 7 Buchst f der RL 95/46/EG ist dahin auszulegen, dass er einer Regelung eines Mitgliedstaats entgegensteht, nach der ein Anbieter von Online-Mediendiensten personenbezogene Daten eines Nutzers dieser Dienste ohne dessen Einwilligung nur erheben und verwenden darf, soweit ihre Erhebung und ihre Verwendung erforderlich sind, um die konkrete Inanspruchnahme der Dienste durch den betreffenden Nutzer zu ermöglichen und abzurechnen, ohne dass der Zweck, die generelle Funktionsfähigkeit der Dienste zu gewährleisten, die Verwendung der Daten über das Ende eines Nutzungsvorgangs hinaus rechtfertigen kann.
Artikel-Nr.
Rechtsnews Nr. 22480 vom 21.10.2016