Vorlage durch den BGH: Dynamische IP-Adressen als personenbezogene Daten für Webseitenbetreiber
Von Dr. Fabian Niemann und Nils Lölfing

Beitrag als PDF (Download)

Einleitung

Mit Urteil vom 28.10.2014 hat der BGH dem EuGH die Frage vorgelegt, ob dynamische IP-Adressen nach der EG-Datenschutzrichtlinie 95/46/EG („Datenschutzrichtlinie“) ein personenbezogenes Datum darstellen, wenn lediglich irgendein Dritter mit seinem Zusatzwissen den Nutzer identifizieren kann und nicht schon der die IP-Adresse speichernde Webseitenbetreiber (BGH, Urteil vom 28.10.2014 – Az. VI ZR 135/13; die zweite Vorlagefrage nach der Zulässigkeit der Speicherung wird hier nicht behandelt).

Dieser Rechtsstreit steht stellvertretend für die datenschutzrechtliche Kontroverse zwischen absolutem und relativem Datenbegriff. Dabei geht es um die Frage, welche Anforderungen an die Bestimmbarkeit einer Person gestellt werden, um das Vorliegen eines personenbezogenen Datums bejahen zu können. Nach dem relativen Datenbegriff ist nur auf die Kenntnisse und Möglichkeiten der datenverarbeitenden Stelle selbst abzustellen, der objektive Datenbegriff hingegen bezieht auch Kenntnisse Dritter ein, die der datenverarbeitenden Stelle zugerechnet werden (Buchner, in: Taeger/Gabel, BDSG, § 3 Rn. 13).

Dieser Beitrag beschäftigt sich vor dem Hintergrund des europäischen Rechtsrahmens allgemein sowie konkret im Hinblick auf dynamische IP-Adressen mit der Frage, wie eine angemessene Lösung für diese Kontroverse zwischen Datenschutz und Praktikabilität aussehen kann.

Personenbezogenheit von IP-Adressen: die datenschutzrechtliche Fragestellung

Unstreitig ist, dass statische IP-Adressen, die einer natürlichen Person zugeteilt wurden, generell ein personenbezogenes Datum darstellen (Krüger/Maucher, MMR 2011, 433 (434): Aufgrund ihrer Unveränderlichkeit lässt sich über Onlinesuchdienste (etwa Whois-Abfragen) feststellen, welcher natürlichen Person die statische IP-Adresse zuzuordnen ist). Gleiches gilt in Bezug auf Access-Provider für an natürliche Personen zugeteilte dynamische IP-Adressen, da sie jedenfalls für den Access-Provider ein personenbezogenes Datum darstellen (siehe Zscherpe, in: Taeger/Gabel, BSDG, § 15 TMG Rn. 23. Als Zuteilender der dynamischen IP-Adresse lässt sich für ihn nachvollziehen, welchem seiner Vertragspartner er welche dynamische IP-Adresse zugeteilt hat. Der EuGH hat die Frage bisher nur aus der Perspektive eines Access-Providers entschieden, ohne dies allerdings in seinem Urteil hinreichend deutlich zu machen. Er folgt der auch in Deutschland dazu vorherrschenden Auffassung, EuGH, GRUR 2012, 265 (268) – Scarlet/SABAM).

Umstritten ist die Konstellation von Webseitenbetreibern, die dynamische IP-Adressen natürlicher Personen (oder von Unternehmen) speichern, da hier die IP-Adresse nur mit Hilfe des Zusatzwissens mindestens einer weiteren Person einer natürlichen Person zugeordnet werden kann (bei dynamischen IP-Adressen und Nutzung durch natürliche Personen ist dies der Access-Provider). Ähnlich ist die Konstellation, wenn eine dynamische oder selbst statische IP-Adresse einem Unternehmen zugeteilt wurde, da die Identifizierung des die Internetverbindung nutzenden Arbeitnehmers nicht allein durch den Access-Provider oder gar einen Webseitenbetreiber, sondern erst mit Hilfe des Arbeitgebers erfolgen kann (etwa durch Überprüfung der Logins durch den Arbeitgeber).

Die Vertreter des relativen Datenbegriffs sind der Auffassung, dass es ausschließlich auf die Kenntnisse, Mittel und Möglichkeiten der verantwortlichen Stelle ankomme, die einen Personenbezug ohne unverhältnismäßigen Aufwand herstellen können müsse (Wegener, in: Callies/Ruffert, AEUV, Art. 267 Rn. 3). Bei den oben dargestellten, umstrittenen Konstellationen wären IP-Adressen somit nur dann personenbezogen, wenn die datenverarbeitende Stelle über (weitere) Identifizierungsmöglichkeiten verfügt (so wenn der Nutzer auf einer Webseite auch seinen Klarnamen oder eine ihn identifizierende E-Mail-Adresse angegeben hat, siehe dazu Gola/Schomerus, BDSG, § 3 Rn. 10).

Demgegenüber stehen die Vertreter des objektiven Datenbegriffs, dem sich insbesondere die Datenschutzbehörden verpflichtet fühlen. Diese wenden rein objektive Maßstäbe für die Bestimmbarkeit einer natürlichen Person an, so dass auch das Zusatzwissen irgendeines Dritten wie etwa des Access-Providers oder des Arbeitgebers für diese Beurteilung herangezogen werden müsse (Beschluss des Düsseldorfer Kreises vom 26./27.11.2009). Danach wären IP-Adressen in den oben dargestellten, umstrittenen Konstellationen immer personenbezogene Daten, selbst für Webseitenbetreiber, wenn die (dynamische) IP-Adresse einem Unternehmen zugeteilt war, da über ein Zusammenwirken des Webseitenbetreibers mit dem Access-Provider und dem Arbeitgeber eine Identifizierung erfolgen kann.

Europarechtlicher Lösungsansatz

Prüfungsmaßstab: Europarecht

Da der EuGH im Vorabentscheidungsverfahren nur über die Auslegung des Unionsrechts, hier des Art. 2 lit. a) der Datenschutzrichtlinie, entscheiden wird, bleiben Argumente des nationalen Rechts außer Betracht (Wegener, in: Callies/Ruffert, AEUV, Art. 267 Rn. 3).

Wortlaut der Datenschutzrichtlinie

Gemäß Art. 2 lit. a) der Datenschutzrichtlinie stellt sich die Frage, wann natürliche Personen indirekt identifiziert werden können. Einen Ansatzpunkt bietet hier Erwägungsgrund 26, wonach Bestimmbarkeit vorliegt, wenn die Mittel zur Identifizierung vernünftigerweise „von dem Verantwortlichen für die Verarbeitung oder einem Dritten eingesetzt werden könnten“. Dies gibt einen ersten Anhaltspunkt dahingehend, dass nicht der objektive Datenbegriff befürwortet wird, weil die Begrifflichkeit „vernünftigerweise“ eine Beschränkung indiziert (Schild, in: Wolff/Brink, BeckOK BDSG, § 3 Rn. 20).

Sinn und Zweck, insbesondere Abwägung mit Grundrechten der Grundrechte-Charta

Ein gewichtiger Anhaltspunkt ergibt sich aus dem Sinn und Zweck der Regelung, in dessen Rahmen auch die ­Angemessenheit der Auslegung der Datenschutzrichtlinie zu überprüfen ist. Wenig Beachtung fanden in der bisherigen Diskussion die unionsrechtlichen Grundrechte. In der Abwägung gegenüber stehen sich das in Art. 8 der Grundrechte-Charta verankerte Recht auf den Schutz personenbezogener Daten sowie Art. 16 der Grundrechte-Charta, das Recht auf unternehmerische Freiheit, die im Sinne praktischer Konkordanz in einen gerechten Ausgleich gebracht werden müssen (vgl. für eine solche Abwägung EuGH, GRUR 2012, 382 (384) – SABAM/Netlog.). Die Charta der Grundrechte der Europäischen Union ist gemäß Art. 6 EUV seit dem Vertrag von Lissabon rechtsverbindlich und damit als Bestandteil des Primärrechts auch Maßstab für sekundärrechtliche Richtlinien (Kingreen, in: Callies/Ruffert, EUV/AEUV, Art. 6 Rn. 12).

Auf der einen Seite widerspräche es dem Recht auf unternehmerische Freiheit der datenverarbeitenden Stellen (etwa Webseitenbetreiber), sämtliche Daten, die irgendwie Rückschlüsse auf eine natürliche Person zuließen, als personenbeziehbar zu betrachten. Der Anwendungsbereich des Datenschutzrechts erstreckte sich damit zu weit und würde insbesondere Webseitenbetreiber (aber auch Access-Provider) und deren Geschäftsmodelle unverhältnismäßig belasten, wenn nicht sogar verhindern.

Auf der anderen Seite muss zugleich ein angemessenes Schutzniveau zugunsten der Betroffenen vorhanden sein. Dieses adäquate Schutzniveau darf deshalb nicht ausschließlich auf die Kenntnisse und Mittel der verantwortlichen Stelle abstellen, die es sonst in der Hand hätte, sich durch unbekümmerten Umgang dem Anwendungsbereich des Datenschutzrechts zu entziehen. Insofern ist objektiv zu bestimmen, inwieweit Zusatzwissen Dritter ohne unverhältnismäßig großen Aufwand beschafft werden kann (im Ergebnis übereinstimmend mit: Buchner, in: Taeger/Gabel, BDSG, § 3 Rn. 13).

Damit kann im Ergebnis aus Sicht der Autoren weder einer strikt subjektiven noch strikt objektiven Ansicht gefolgt werden. Das muss aus den genannten Gründen nicht nur für IP-Adressen, sondern generell gelten. Für den besonderen Fall der Speicherung von dynamischen IP-Adressen durch Webseitenbetreiber bedeutet das zugleich, dass es sich grundsätzlich nicht um personenbezogene Daten handelt, weil die Webseitenbetreiber regelmäßig nicht über das Zusatzwissen Dritter verfügen dürfen. Gleichwohl ist hier immer der konkrete Einzelfall zu betrachten. Es muss vermittelnd aus der Perspektive des Webseitenbetreibers darauf abgestellt werden, inwiefern eine Verknüpfung der dynamischen IP-Adresse für ihn mit den einen Nutzer identifizierenden Daten ohne unverhältnismäßig großen Aufwand objektiv möglich ist.

Ausblick: Der Entwurf zur Datenschutzgrundverordnung (DS-Grund-VO-E)

Das vorgezeichnete Ergebnis stimmt auch mit dem DS-Grund-VO-E überein. Zwar gibt der Wortlaut der Norm hier ebenso wenig Anhaltspunkte wie die Datenschutzrichtlinie, in dem personenbezogene Daten als „alle Informationen, die sich auf eine betroffene Person beziehen“, beschrieben werden (Art. 4 (1) DS-Grund-VO-E). Erwägungsgrund 24 der DS-Grund-VO-E gibt jedoch vor, dass IP-Adressen „nicht zwangsläufig und unter allen Umständen als personenbezogene Daten zu betrachten sind“. Das spricht jedenfalls dafür, dass nicht dem objektiven Datenbegriff zu folgen sein wird. Dabei besteht gleichwohl das Risiko, dass eine strengere Auslegung erfolgen kann, da dies schon durch die Art.-29-Datenschutzgruppe empfohlen wurde (die Art.-29-Datenschutzgruppe hat eine gegensätzliche Empfehlung ausgesprochen und will „in der Regel“ jegliche IP-Adressen dem DS-Grund-VO-E unterstellen, vgl. Art. 29 Data Protection Working Party, WP 199, 5 October 2012, Opinion 08/2012, S. 5f.).

Fazit

Nach dem Erwägungsgrund und unter Verhältnismäßigkeitsgesichtspunkten zur Bestimmung der Personenbeziehbarkeit ist generell und insbesondere in den genannten, umstrittenen Fällen vermittelnd darauf abzustellen, ob die datenverarbeitende Stelle die IP-Adresse ohne unverhältnismäßigen Aufwand mit solchen Daten der natürlichen Person verknüpfen kann, die sie identifizierbar machen. Das wird bei IP-Adressen in den umstrittenen Fällen, insbesondere also speziell bei dynamischen IP-Adressen, regelmäßig nicht möglich sein, so dass hier für den Webseitenbetreiber kein personenbezogenes Datum vorliegt. Wie lange die EuGH-Entscheidung in der Kontroverse um dynamische IP-Adressen richtungsweisend sein wird, ist angesichts der Einführung der Internet-Protokoll-Version 6 („IPV6“), wodurch eine Vielzahl neuer IP-Adressen zur Verfügung stehen, die vermehrt statisch vergeben werden, noch nicht abzusehen (Plath/Schreiber, in: Plath, BDSG, § 3 Rn. 22).

Der größte Netzbetreiber, die Deutsche Telekom, hat die Umstellung auf IPV6 schleichend forciert, teilt ihren Privatkunden jedoch momentan noch dynamische IPV6-Adressen zu (vgl. LINK, zuletzt abgerufen am 11.11.2014).

Dennoch bleibt zu hoffen, dass der EuGH hier eine klare Orientierungshilfe liefert, da das Thema über IP-Adressen hinaus (beispielsweise im Bereich Big Data und Verschlüsselung) von großer Bedeutung ist und im Hinblick auf die ohnehin nicht unmittelbar bevorstehende Umsetzung der DS-Grund-VO wahrscheinlich auch weiterhin sein wird.

fabian.niemann@twobirds.com
nils.loelfing@twobirds.com

Aktuelle Beiträge