Der EuGH hat mit Urteil i.S. Brey­er vom 19. Okto­ber 2016 zu dyna­mi­schen IP-Adres­sen fol­gen­des fest­ge­hal­ten:

Nach alle­dem ist auf die erste Fra­ge zu ant­wor­ten, dass Art. 2 Buchst. a der Richt­li­nie 95/46 dahin aus­zu­le­gen ist, dass eine dyna­mi­sche IP-Adres­se, die von einem Anbie­ter von Online-Medi­en­dien­sten beim Zugriff einer Per­son auf eine Web­site, die die­ser Anbie­ter all­ge­mein zugäng­lich macht, gespei­chert wird, für den Anbie­ter ein per­so­nen­be­zo­ge­nes Datum im Sin­ne der genann­ten Bestim­mung dar­stellt, wenn er über recht­li­che Mit­tel ver­fügt, die es ihm erlau­ben, die betref­fen­de Per­son anhand der Zusatz­in­for­ma­tio­nen, über die der Inter­net­zu­gangs­an­bie­ter die­ser Per­son ver­fügt, bestim­men zu las­sen.

Wir haben dazu berich­tet. Die­ses Urteil war auf Vor­la­ge durch den deut­schen BGH ergan­gen. Der BGH hat das Ver­fah­ren in der Fol­ge wei­ter­ge­führt und unter Berück­sich­ti­gung des Ent­scheids des EuGH ent­schie­den (Az. VI ZR 135/13 vom 16. Mai 2017). Zu den dyna­mi­schen IP-Adres­sen hat der BGH fol­gen­des ent­schie­den (das Ver­fah­ren betraf dane­ben auch eine Fra­ge des deut­schen Tele­me­di­en­ge­set­zes (TMG):

a) Die dyna­mi­sche IP-Adres­se, die von einem Anbie­ter von Online-Medi­en­dien­sten beim Zugriff einer Per­son auf eine Inter­net­sei­te, die die­ser Anbie­ter all­ge­mein zugäng­lich macht, gespei­chert wird, stellt für den Anbie­ter ein per­so­nen­be­zo­ge­nes Datum im Sin­ne des § 12 Abs. 1 und 2 TMG in Ver­bin­dung mit § 3 Abs. 1 BDSG dar (Fort­füh­rung von EuGH NJW 2016, 3579).

Die zuge­hö­ri­gen Erwä­gun­gen lau­ten wie folgt:

23 Die Mög­lich­keit, eine dyna­mi­sche IP-Adres­se mit den Zusatz­in­for­ma­tio­nen zu ver­knüp­fen, über die der Inter­net­zu­gangs­an­bie­ter ver­fü­ge, stel­le ein Mit­tel dar, das ver­nünf­ti­ger­wei­se zur Bestim­mung der betref­fen­den Per­son ein­ge­setzt wer­den kön­ne. Das vor­le­gen­de Gericht wei­se in sei­ner Vor­la­ge­ent­schei­dung zwar dar­auf hin, dass das deut­sche Recht es dem Inter­net­zu­gangs­an­bie­ter nicht erlau­be, dem Anbie­ter von Online-Medi­en­dien­sten die zur Iden­ti­fi­zie­rung der betref­fen­den Per­son erfor­der­li­chen Zusatz­in­for­ma­tio­nen direkt zu über­mit­teln, doch gebe es offen­bar – vor­be­halt­lich der vom vor­le­gen­den Gericht inso­weit vor­zu­neh­men­den Prü­fun­gen – für den Anbie­ter von Online-Medi­en­dien­sten recht­li­che Mög­lich­kei­ten, die es ihm erlaub­ten, sich ins­be­son­de­re im Fall von Cyber­at­tacken an die zustän­di­ge Behör­de zu wen­den, damit die­se die nöti­gen Schrit­te unter­neh­me, um die frag­li­chen Infor­ma­tio­nen vom Inter­net­zu­gangs­an­bie­ter zu erlan­gen und die Straf­ver­fol­gung ein­zu­lei­ten. Der Anbie­ter von Online- Medi­en­dien­sten ver­fü­ge somit offen­bar über Mit­tel, die ver­nünf­ti­ger­wei­se ein­ge­setzt wer­den könn­ten, um mit Hil­fe Drit­ter, und zwar der zustän­di­gen Behör­de und dem Inter­net­zu­gangs­an­bie­ter, die betref­fen­de Per­son anhand der gespei­cher­ten IP-Adres­sen bestim­men zu las­sen.

24 cc) Auf die­ser Grund­la­ge ist das Tat­be­stands­merk­mal “per­so­nen­be­zo­ge­ne Daten” des § 12 Abs. 1 und 2 TMG in Ver­bin­dung mit § 3 Abs. 1 BDSG richt­li­ni­en­kon­form dahin­ge­hend aus­zu­le­gen, dass eine dyna­mi­sche IP-Adres­se, die von einem Anbie­ter von Online-Medi­en­dien­sten beim Zugriff einer Per­son auf eine Inter­net­sei­te, die die­ser Anbie­ter all­ge­mein zugäng­lich macht, gespei­chert wird, für den Anbie­ter ein per­so­nen­be­zo­ge­nes Datum im Sin­ne der genann­ten Bestim­mung dar­stellt.

25 Denn die Beklag­te ver­fügt über recht­li­che Mit­tel, die ver­nünf­ti­ger­wei­se ein­ge­setzt wer­den kön­nen, um mit Hil­fe Drit­ter, und zwar der zustän­di­gen Behör­de und des Inter­net­zu­gangs­an­bie­ters, die betref­fen­de Per­son anhand der gespei­cher­ten IP-Adres­sen bestim­men zu las­sen (vgl. Gerichts­hof aaO Rn. 47).

26 Die Beklag­te kann – im Fal­le einer bereits ein­ge­tre­te­nen Schä­di­gung – Straf­an­zei­ge bei den Straf­ver­fol­gungs­be­hör­den erstat­ten; im Fal­le der dro­hen­den Schä­di­gung kann sie die zur Gefah­ren­ab­wehr zustän­di­gen Behör­den ein­schal­ten. Nach § 100j Abs. 2 und 1 StPO, § 113 TKG (vgl. BVerfGE 130, 151) kön­nen die für die Ver­fol­gung von Straf­ta­ten oder Ord­nungs­wid­rig­kei­ten zustän­di­gen Behör­den zu die­sem Zweck von Inter­net­zu­gangs­an­bie­tern bei Vor­lie­gen bestimm­ter Vor­aus­set­zun­gen Aus­kunft ver­lan­gen, ent­spre­chen­des gilt für die für die Abwehr von Gefah­ren für die öffent­li­che Sicher­heit oder Ord­nung zustän­di­gen Behör­den, die Ver­fas­sungs­schutz­be­hör­den des Bun­des und der Län­der, den Mili­tä­ri­schen Abschirm­dienst und den Bun­des­nach­rich­ten­dienst zur Abwehr von Gefah­ren für die öffent­li­che Sicher­heit oder Ord­nung oder für die Erfül­lung der gesetz­li­chen Auf­ga­ben der genann­ten Stel­len. Die in eine Aus­kunft auf­zu­neh­men­den Daten dür­fen auch anhand einer zu einem bestimm­ten Zeit­punkt zuge­wie­se­nen Inter­net­pro­to­koll-Adres­se bestimmt wer­den. Dadurch kön­nen die gewon­ne­nen Infor­ma­tio­nen zusam­men­ge­führt und der Nut­zer bestimmt wer­den (vgl. Gerichts­hof aaO Rn. 49 a. E.).

Der BGH beur­teilt dyna­mi­sche IP-Adres­sen dem­nach gene­rell, unab­hän­gig von beson­de­ren Umstän­den als per­so­nen­be­zo­gen. Ins­be­son­de­re ver­langt er nicht, dass Indi­zi­en für eine Situa­ti­on vor­lie­gen, in der die genann­ten pro­zes­sua­len Mög­lich­kei­ten kon­kret rele­vant wer­den. Ob dies den Vor­ga­ben des EuGH ent­spricht, wird bezwei­felt (vgl. die Anmer­kung von RA Tho­mas Stad­ler).

In der Schweiz gilt nach wie vor die Logi­step-Recht­spre­chung. Auch nach ihr sind jeweils die dem jewei­li­gen Inha­ber und/oder Emp­fän­ger zur Ver­fü­gung ste­hen­den Iden­ti­fi­ka­ti­ons­mit­tel mass­geb­lich; sie legt das Gewicht aber viel stär­ker auf die Umstän­de des Ein­zel­falls:

dass die Not­wen­dig­keit des Tätig­wer­dens eines Drit­ten so lan­ge unmass­geb­lich ist, als ins­ge­samt der Auf­wand des Auf­trag­ge­bers für die Bestim­mung der betrof­fe­nen Per­son nicht der­art gross ist, dass nach der all­ge­mei­nen Lebens­er­fah­rung nicht mehr damit gerech­net wer­den könn­te, die­ser wer­de ihn auf sich neh­men (vgl. E. 3.1 hier­vor). Sol­ches ist vor dem Hin­ter­grund der kon­kre­ten Umstän­de des Ein­zel­falls zu beur­tei­len. Eine abstrak­te Fest­stel­lung, ob es sich (ins­be­son­de­re bei dyna­mi­schen) IP-Adres­sen um Per­so­nen­da­ten han­delt oder nicht, ist somit nicht mög­lich.

Dyna­mi­sche IP-Adres­sen sind damit in der Schweiz für den Inter­net­an­bie­ter nach wie vor nicht gene­rell, son­dern nur aus­nahms­wei­se per­so­nen­be­zo­gen (es sei denn, es wer­den zusätz­lich wei­te­re Anga­ben erho­ben, die eine Iden­ti­fi­ka­ti­on erlau­ben, und unter dem Vor­be­halt, dass eine IP-Adres­se den Access Pro­vi­der iden­ti­fi­ziert, der nach noch gel­ten­dem Recht ein Daten­sub­jekt ist). Ob die Rechts­la­ge in Euro­pa anders ist, darf bezwei­felt wer­den (selbst nach der DSGVO).

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.