EuGH – Dynamische IP-Adressen sind personenbezogene Daten und deutsches Recht verstößt gegen Datenschutz-Richtlinie

von Jan Spittka und Jan Pohle

In der wegweisenden Entscheidung im Fall Breyer gegen Bundesrepublic Deutschland (Urteil vom 19. Oktober 2016, Aktenzeichen C-582/14) hat der Europäische Gerichtshof (EuGH) nicht nur die langandauernde und komplizierte Diskussion darüber beendet, ob dynamische IP-Adressen auch dann personenbezogene  Daten sind, wenn die verantwortliche Stelle, welche die IP-Adressen verarbeitet nicht über die Mittel verfügt, um die IP-Adressen dem jeweiligen Betroffenen zuzuordnen. Das Gericht kam darüber hinaus zu dem Ergebnis, dass die Regelungen im deutschen Recht, welche die Verarbeitung personenbezogener Daten im Online-Kontext regeln gegen die EU-Datenschutz-Richtlinie (Richtlinie 95/46/EG) verstoßen, da sie keine Verarbeitung personenbezogener Daten aufgrund einer Interessenabwägung im Einzelfall zwischen berechtigten Interessen der verantwortlichen Stelle und den Interessen der Betroffenen vorsehen.

English Summary

ECJ – Dynamic IP addresses constitute personal data and German law not compliant with Data Protection Directive

In its landmark decision in the case Breyer v. Federal Republic of Germany (decision dated 19 October 2016, case number C-582/14), the European Court of Justice (ECJ) not only ended the long and tricky debate whether dynamic IP addresses constitute personal data even if the data controller processing the IP addresses does not hold the means to link it to the respective data subject. The court also came to the conclusion the provisions of German law dealing with the processing of personal data in the online environment do not comply with the EU Data Protection Directive (Directive 95/46/EC) as these provision do not provide for a statutory permission to process personal data based on a balancing of interest between legitimate interest of the data controller and the interest of the data subjects.

Hintergrund

Der Fall wurde dem EuGH vom Bundesgerichtshof (BGH) vorgelegt. Der Kläger Patrick Breyer hatte das Bundesministerium für Justiz und Verbraucherschutz (BMJV) verklagt, es zu unterlassen, seine IP-Adresse über den Besuch der BMJV-Webseite hinaus zu erheben und zu speichern. Das BMJV argumentierte, dass IP-Adressen auch über den jeweiligen Besuch der Webseite hinaus gespeichert werden müssen, um sich gegen Cyberangriffe zu schützen. Der BGH bat den EuGH um die Einschätzung, ob dynamische IP-Adressen im Hinblick auf einen “Anbieter von Online-Mediendiensten” (d.h. den Betreiber einer Webseite) personenbezogene Daten darstellen, wenn nur eine dritte Partei (hier der Internet-Provider) über die zusätzlichen Mittel verfügt, um den Besucher dieser Webseite über die IP-Adresse zu identifizieren. Darüber hinaus fragte der BGH, ob der Webseitenbetreiber die Möglichkeit hat personenbezogene Daten des Besuchers zu erheben und zu nutzen, um die generelle Funktionsfähigkeit seiner Webseite zu gewährleisten.

Die Entscheidung des EuGH

Der EuGH entschied, dass eine dynamische IP-Adresse nicht nur im Hinblick auf den Internet-Provider (der in jedem Fall über die Mittel verfügt, die IP-Adresse der Person hinter der Adresse zuzuordnen) ein personenbezogenes Datum darstellt, sondern auch in Bezug auf den Webseitenbetreiber, wenn dieser über rechtliche Mittel verfügt, den Besucher der Webseite mit Hilfe der Informationen des Internet-Providers zu identifizieren. Der EuGH hat dies im Hinblick auf deutsches Recht bejaht. Obwohl der Webseitenbetreiber keinen direkten Anspruch gegen den Internet-Provider auf Offenlegung des Namens der Person hinter der IP-Adresse hat, hielt es das Gericht für ausreichend, wenn der Webseitenbetreiber die zur Identifizierung des Besuchers der Webseite erforderlichen Informationen mittels einer zuständigen Behörde vom Internet-Provider erlangen kann, z.B. wenn diese Behörde die Informationen im Fall von Cyberangriffen anfordert, um ein Strafverfahren einzuleiten. Hieraus folgt, dass die Verarbeitung von IP-Adressen durch Webseitenbetreiber in den Anwendungsbereich des Datenschutzrechts fällt und datenschutzrechtlichen Anforderungen genügen muss. Auch über den diesen speziellen Fall hinaus gibt der EuGH mit der Entscheidung ausreichende Kriterien vor, um zu bestimmen, ob es sich bei Informationen um personenbezogene Daten handelt, wenn diese Informationen nicht direkt mit einer Person verbunden werden können, sondern nur unter Nutzung zusätzlicher Informationen, die bei einem Dritten liegen. Nach Auffassung des EuGH ist nur dann dies nicht der Fall, wenn die Identifizierung des Betroffenen

  • gesetzlich verboten oder
  • praktisch nicht durchführbar wäre, z. B. weil sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskräften erfordern würde, so dass das Risiko einer Identifizierung de facto vernachlässigbar erschiene.

Die Einordnung dynamischer IP-Adressen erforderte es zudem, dass der EuGH die deutschen Datenschutzregelung für die Verarbeitung personenbezogener Daten im Online-Kontext genauer betrachten musste. Das derzeit anwendbare Recht erlaubt die Verarbeitung personenbezogener Daten ohne Einwilligung des Betroffenen nur in bestimmten abschließenden Fällen. Eine allgemeine Regelung welche die Möglichkeit einer Interessenabwägung im Einzelfall erlaubt, ist nicht vorgesehen. Nach Auffassung des EuGH verstößt das Fehlen eines solchen gesetzlichen Erlaubnistatbestandes gegen Artikel 7 Buchstabe f) der Datenschutz-Richtlinie. Dieses Ergebnis hat ebenfalls grundsätzliche Auswirkungen über den vorliegenden Fall hinaus, da nunmehr alle mitgliedsstaatlichen Datenschutzvorschriften darauf überprüft werden müssen, ob sie eine Interessenabwägung vorsehen, jedenfalls in Einzelfällen.

Bewertung

Die Entscheidung des EuGH zwingt alle Webseitenbetreiber, unabhängig davon, ob es sich um öffentliche Verwaltung oder private Unternehmen handelt, dazu, die Erhebung, Verarbeitung und Nutzung von IP-Adressen im Zusammenhang mit ihren Webseiten zu überprüfen. Anderseits hat der EuGH die IT-Sicherheit gestärkt, da er klargestellt hat, dass mitgliedsstaatliches Recht im Rahmen einer Interessenabwägung die Möglichkeit vorsehen muss, personenbezogene Daten ohne Einwilligung für Zwecke der Cybersecurity zu verarbeiten.