Der Europäische Gerichtshof (EuGH) hat im Oktober 2016 entschieden, dass dynamische IP-Adressen für Webseitenbetreiber als personenbezogene Daten zu qualifizieren sein können, wenn der Webseitenbetreiber über rechtliche Mittel verfügt, den betreffenden Nutzer mithilfe des Internetzugangs bestimmen zu lassen (EuGH, Urt. v. 19.10.2016 – C-582/14). Hintergrund der Entscheidung war die Klage eines deutschen Internetnutzers, der die längerfristige Speicherung der seinem Internetanschluss zugewiesenen dynamischen IP-Adresse durch einen Webseitenbetreiber beanstandet hat. Diese Speicherung erfolgte nach Auskunft des Webseitenbetreibers, um sich gegen Cyberattacken verteidigen zu können und eine Strafverfolgung zu ermöglichen. Dieses Vorgehen hat der EuGH als zulässig bewertet.

Damit hat der EuGH gleich zwei grundsätzliche Entscheidungen getroffen: Zum einen steht nun fest, dass auch dynamische IP-Adressen als personenbezogene Daten anzusehen sein können. Im Gegensatz zu statischen IP-Adressen ermöglichen dynamische IP-Adressen es nicht, den Internetnutzer bereits aufgrund der dauerhaften Verbindung einer IP-Adresse zu einem bestimmten Netzanschluss zu identifizieren. Vielmehr kann dies erst durch die Einbindung des Internet Access Providers geschehen, wenn dieser unter Verwendung von Verkehrsdaten (wie z. B. Datum und Uhrzeit der konkreten Internetverbindung) den der IP-Adresse zugewiesenen Anschlussinhaber ermittelt. Der EuGH hat jetzt klargestellt, dass es bereits ausreicht, dass der Webseitenbetreiber über die rechtlichen Mittel verfügt, um an die zur Identifizierung des Nutzers erforderlichen Zusatzinformationen zu gelangen. Ist dies der Fall, handelt es sich auch bei der dynamischen IP-Adresse um ein personenbezogenes Datum.

Zum anderen hat der EuGH die bisher enge Auslegung des § 15 Telemediengesetz (TMG) für unvereinbar mit der Datenschutzrichtlinie (95/46/EG) erklärt. Nach dieser deutschen Vorschrift dürfen Diensteanbieter (wie z. B. Betreiber von Webseiten) personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit das erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Da diese Regelung bei enger Auslegung keinen Raum für die von Art. 7 lit. f der Datenschutzrichtlinie geforderte Interessenabwägung lässt, verstößt eine solche Auslegung nach Auffassung des EuGH gegen das zugrundeliegende EU-Recht. Vielmehr müsse im Wege einer richtlinienkonformen Auslegung das berechtigte Interesse des Diensteanbieters mit den Grundrechten der betroffenen Personen abgewogen werden, was durchaus zu einem überwiegenden Interesse des Webseitenbetreibers an der Aufrechterhaltung der Funktionsfähigkeit seiner Webseite führen könne.

Praxishinweis

Webseitenbetreiber und sonstige Online-Diensteanbieter sollten stets davon ausgehen, dass es sich bei IP-Adressen um personenbezogene Daten handelt. Dies galt zuvor schon für statische IP-Adressen und ist nun auch auf dynamische IP-Adressen übertragbar. Da der Webseitenbetreiber regelmäßig auch gar nicht weiß, ob der Zugriff des Nutzers auf die Webseite mittels einer statischen oder einer dynamischen IP-Adresse erfolgt, sollten die datenschutzrechtlichen Vorgaben in jedem Fall beachtet werden. Vor diesem Hintergrund hat der EuGH zwar einen juristisch bedeutsamen Streit entschieden. Die praktischen Konsequenzen für Webseitenbetreiber sind insoweit jedoch überschaubar.

Weitaus größere praktische Relevanz hat das Urteil jedoch für die Definition von personenbezogenen Daten und damit für die grundsätzliche Anwendbarkeit der Datenschutzgesetze. Wenn es sich hierbei um persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person handelt (vgl. § 3 Abs. 1 BDSG), dann ist der Kreis der Bestimmbarkeit zukünftig deutlich weiter zu ziehen als bisher. Denn nach dem EuGH kommt es nicht darauf an, dass der Webseitenbetreiber selbst über die Zusatzinformationen verfügt, um einen Nutzer zu identifizieren, dem in einem bestimmten Zeitpunkt eine dynamische IP-Adresse zugewiesen ist. Vielmehr soll bereits ausreichen, dass er die rechtlichen Mittel hat, um sich solche Zusatzinformationen zu verschaffen. Da das deutsche Recht unter verschiedenen Voraussetzungen Auskunftsansprüche gegen Internetserviceprovider zur Verfügung stellt, mit denen die Identität von Internetnutzern z. B. im Falle von online begangenen Urheberrechtsverletzungen ermittelt werden kann, stehen die rechtlichen Mittel zur Verfügung, um an die notwendigen Zusatzinformationen zur Identifizierung des hinter einer dynamischen IP-Adresse stehenden Nutzers zu gelangen. Dies kann sich zukünftig möglicherweise noch auf ganz andere Bereiche auswirken, in denen es auch nur potentiell möglich ist, Nutzer anhand von Zusatzinformationen zu identifizieren, beispielsweise über sog. mobile device identifiers. Hier dürfte sich bald nicht nur die Frage stellen, wer solche technischen Hilfsmittel unter welchen Voraussetzungen einsetzen darf, sondern auch, wer unter welchen Voraussetzungen einen Anspruch auf die über diese Hilfsmittel erhaltenen Informationen hat. Dies könnte dazu führen, dass zukünftig viel häufiger der Personenbezug von Daten zu bejahen sein wird, als es bisher der Fall war.

Die Feststellung des EuGH, dass die bisherige enge Auslegung von § 15 TMG nicht mit EU-Recht vereinbar ist, wird nicht unbedingt zur Rechtssicherheit in diesem Bereich beitragen. Zwar ermöglicht eine richtlinienkonforme und damit weitere Auslegung es dem Webseitenbetreiber, die bei der Nutzung von Online-Diensten anfallenden Daten ggf. über einen längeren Zeitraum und zu anderen als den in der Norm genannten Zwecken zu speichern. Dies wird aber unweigerlich Folgefragen über die zulässige Speicherdauer unter Berücksichtigung des jeweiligen, dann nicht gesetzlich normierten, Zwecks nach sich ziehen. Der vom EuGH geforderten Interessenabwägung wird daher zukünftig großes Gewicht beizumessen sein. Dennoch werden wohl die nationalen Gerichte die neuen Grenzen des § 15 TMG ausloten müssen.