EuGH: Dynamische Internetprotokoll-Adresse stellt für Website-Betreiber ein personenbezogenes Datum dar
Der Betreiber einer Website kann ein berechtigtes Interesse daran haben, bestimmte personenbezogene Daten der Nutzer zu speichern, um sich gegen Cyberattacken zu verteidigen. Die dynamische Internetprotokoll-Adresse eines Nutzers stellt für den Betreiber der Website ein personenbezogenes Datum dar, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, den betreffenden Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen.
Herr Patrick Breyer klagt vor deutschen Gerichten dagegen, dass die von ihm abgerufenen Websites von Einrichtungen des Bundes seine Internetprotokoll-Adressen („IP-Adressen“) aufzeichnen und speichern. Von diesen Einrichtungen werden außer dem Zeitpunkt des Zugriffs auch die IP-Adressen der Nutzer aufgezeichnet und gespeichert, um sich gegen Cyberattacken zu wappnen und eine Strafverfolgung zu ermöglichen.
Der BGH möchte vom Gerichtshof wissen, ob in diesem Zusammenhang auch „dynamische“ IP-Adressen für den Betreiber der Website personenbezogene Daten darstellen, so dass sie den für solche Daten vorgesehenen Schutz genießen. Eine „dynamische“ IP-Adresse ist eine IP-Adresse, die sich bei jeder neuen Internetverbindung ändert. Anders als statische IP-Adressen erlauben dynamische IP-Adressen es nicht, anhand allgemein zugänglicher Dateien eine Verbindung zwischen einem Computer und dem vom Internetzugangsanbieter verwendeten physischen Netzanschluss herzustellen. Somit verfügt ausschließlich der Internetzugangsanbieter von Herrn Breyer über die zu dessen Identifizierung erforderlichen Zusatzinformationen.
Der BGH möchte ferner wissen, ob der Betreiber einer Website zumindest grundsätzlich die Möglichkeit haben muss, personenbezogene Daten der Nutzer zu erheben und zu verwenden, um die generelle Funktionsfähigkeit seiner Website zu gewährleisten. Er weist insoweit darauf hin, dass die einschlägige deutsche Regelung von der deutschen Lehre überwiegend dahin ausgelegt werde, dass die Daten am Ende des jeweiligen Nutzungsvorgangs zu löschen seien, soweit sie nicht für Abrechnungszwecke benötigt würden.
Mit seinem Urteil vom 19.10.2016 – Rs. C-582/14 – antwortet der Gerichtshof zunächst, dass eine dynamische IP-Adresse, die von einem „Anbieter von Online-Mediendiensten“ (d. h. vom Betreiber einer Website, hier den Einrichtungen des Bundes) beim Zugriff auf seine allgemein zugängliche Website gespeichert wird, für den Betreiber ein personenbezogenes Datum darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, den Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen. Der Gerichtshof führt hierzu aus, dass es in Deutschland offenbar rechtliche Möglichkeiten gibt, die es dem Anbieter von Online-Mediendiensten erlauben, sich insbesondere im Fall von Cyberattacken an die zuständige Behörde zu wenden, um die fraglichen Informationen vom Internetzugangsanbieter zu erlangen und anschließend die Strafverfolgung einzuleiten.
Zweitens antwortet der Gerichtshof, dass das Unionsrecht einer Regelung eines Mitgliedstaats entgegensteht, nach der ein Anbieter von Online-Mediendiensten personenbezogene Daten eines Nutzers dieser Dienste ohne dessen Einwilligung nur erheben und verwenden darf, soweit ihre Erhebung und ihre Verwendung erforderlich sind, um die konkrete Inanspruchnahme der Dienste durch den betreffenden Nutzer zu ermöglichen und abzurechnen, ohne dass der Zweck, die generelle Funktionsfähigkeit der Dienste zu gewährleisten, die Verwendung der Daten über das Ende eines Nutzungsvorgangs hinaus rechtfertigen kann.
Die Verarbeitung personenbezogener Daten ist nach dem Unionsrecht u. a. rechtmäßig, wenn sie zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, erforderlich ist, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.
Die deutsche Regelung schränkt nach ihrer in der Lehre überwiegend vertretenen Auslegung die Tragweite dieses Grundsatzes ein, indem sie es ausschließt, dass der Zweck, die generelle Funktionsfähigkeit des Online-Mediums zu gewährleisten, Gegenstand einer Abwägung mit dem Interesse oder den Grundrechten und Grundfreiheiten der Nutzer sein kann.
Der Gerichtshof hebt in diesem Zusammenhang hervor, dass die Einrichtungen des Bundes, die Online-Mediendienste anbieten, ein berechtigtes Interesse daran haben könnten, die Aufrechterhaltung der Funktionsfähigkeit der von ihnen allgemein zugänglich gemachten Websites über ihre konkrete Nutzung hinaus zu gewährleisten.
(PM EuGH vom 19.10.2016)