EuGH präzisiert Urteil zum Personenbezug von IP-Adressen

Im Urteil in der Rechtssache „Patrick Breyer vs. Bundesrepublik Deutschland“ (Az. C 582/14) entschied das oberste europäische Gericht im Oktober 2016, dass dynamische Internetprotokoll-Adressen für einen Webseitenbetreiber als personenbezogene Daten zu bewerten sind, wenn der Betreiber der Webseite auch in der Lage ist, auf Zusatzinformationen des Internetzugangsanbieters zuzugreifen und so den Nutzer zu identifizieren.

In der Presseerklärung vom 19.10.2016 teilt der EuGH weiterhin mit:
„Der Betreiber einer Website kann ein berechtigtes Interesse daran haben, bestimmte personenbezogene Daten der Nutzer zu speichern, um sich gegen Cyberattacken zu verteidigen.“

Auf Initiative des Datenschutzaktivisten und Piraten-Politikers Patrick Breyer hat das EuGH eine Korrektur mit Verweis auf Schreibfehler in der deutschen Sprachfassung vorgenommen.

Ausweitung des relativen Personenbezug von dynamischen IP-Adressen
Demnach ergibt sich ein Personenbezug von IP-Adressen nicht mehr nur dann, wenn ein Webseitenbetreiber selbst in der Lage ist, den Webseitennutzer durch vom Zugangsprovider zur Verfügung gestellte Adressdaten zu identifizieren. Ein Personenbezug von IP-Adressen ist auch dann anzunehmen, wenn von Online-Diensteanbietern eingeschaltete Ermittlungsbehörden IP-Adressen zuordnen können.
Eine Prüfung durch den BGH, der diesen Rechtsstreit an den EuGH verwiesen hatte, steht nun noch aus.

Breyer begrüßte die Berichtigung des Urteils und stellte fest, dass in Deutschland die Zuordnung von IP-Adressen zu bestimmten Personen „stets möglich bzw. nicht auszuschließen sei“. Nach Breyers Ansicht würden IP-Adressen damit praktisch immer unter das Datenschutzrecht fallen und dürften deshalb nur bei berechtigtem Interesse gespeichert werden.

Urteilsberichtigung
Auf Beschluss des Gerichtshofs ist das Urteil wie folgt zu berichtigen:

Rn. 17 des Urteils:
„Herr Breyer hat bei den deutschen Zivilgerichten eine Klage erhoben, mit der er beantragt, der Bundesrepublik Deutschland zu untersagen, die IP-Adresse seines zugreifenden Hostsystems über das Ende des Zugriffs auf allgemein zugängliche Websites für Online-Mediendienste der Einrichtungen des Bundes hinaus zu speichern oder durch Dritte speichern zu lassen, soweit die Speicherung nicht im Störungsfall zur Wiederherstellung der Verfügbarkeit des Telemediums erforderlich ist.“

Rn. 47 des Urteils:
„Das vorlegende Gericht weist in seiner Vorlageentscheidung zwar darauf hin, dass das deutsche Recht es dem Internetzugangsanbieter nicht erlaube, dem Anbieter von Online-Mediendiensten die zur Identifizierung der betreffenden Person erforderlichen Zusatzinformationen direkt zu übermitteln, doch gibt es offenbar – vorbehaltlich der vom vorlegenden Gericht insoweit vorzunehmenden Prüfungen – für den Anbieter von Online-Mediendiensten rechtliche Möglichkeiten, die es ihm erlauben, sich insbesondere im Fall von Cyberattacken an die zuständige Behörde zu wenden, damit diese die nötigen Schritte unternimmt, um die fraglichen Informationen vom Internetzugangsanbieter zu erlangen und die Strafverfolgung einzuleiten.“ js

Update 02/2017: Aufnahme des Verfahrens beim BGH
Der 6. Zivilsenat des BGH hat am 14.02.2017 das Verfahren „Patrick Breyer vs. Bundesrepublik Deutschland“ (Az. VI ZR 135/13) wieder aufgenommen und darüber zu entscheiden, ob  Webseitenbetreiber die IP-Adressen ihrer Besucher zur Verfolgung eigener Zwecke (z.B. Gewährleistung der Systemsicherheit, Abwehr von Cyberattacken) speichern dürfen oder ob die erforderliche Interessenabwägung zu Gunsten der Wahrung der Persönlichkeitsrechte der Nutzer ausfällt. Patrick Breyer vertritt die Ansicht, dass die bisherige Praxis des Bundes, IP-Adressen der Besucher zu speichern, einerseits gegen § 12 TMG verstoße (Speicherung/ Verwendung von personenbezogenen Daten für die Bereitstellung von Telemedien nur zulässig aufgrund einer Rechtsgrundlage oder bei Vorliegen einer Einwilligung der Nutzer) und andererseits das Recht der Betroffenen auf Informationelle Selbstbestimmung verletzt werde.

In einer ca. einstündigen Verhandlung legten die Parteien ihre Rechtspositionen unter Bezugnahme auf das EuGH-Urteil aus 10/ 2016 dar. Anschließend teilte der 6. Zivilsenat mit, dass die Entscheidung vertagt wird und die Urteilsverkündung für den 16. Mai 2017 vorgesehen sei. (js)

Quellen:

heise vom 14.02.2017:
BGH verhandelt zur Zulässigkeit von IP-Adressen-Speicherung auf Websites

heise vom 12.01.2017:
EuGH korrigiert Urteil zum Datenschutz von IP-Adressen

Pressemitteilung Nr. 112/16 vom 19.10.2016
Urteil in der Rechtssache C-582/14, Patrick Breyer / Bundesrepublik Deutschland

Urteilsberichtigung vom 06.12.2016 durch den EuGH in der Rechtssache C‑582/14 REC
Urteilsberichtigung

Artikel vom 24.11.2016
EuGH-Urteil: Speicherung von IP-Adressen durch Webseitenbetreiber entgegen § 15 TMG zulässig