Der EuGH hat heu­te, 19. Okto­ber 2016, sein Urteil i.S. Brey­er c. Deutsch­land ver­öf­fent­licht (Rs. C-582/14). Der EuGH hält dar­in fest, dass bei der Qua­li­fi­ka­ti­on dyna­mi­scher IP-Adres­sen ein rela­ti­ver Ansatz gilt, d.h. für den Anbei­ter eines Inter­net­dien­stes ist eine sol­che IP-Adres­se nur dann ein Per­so­nen­da­tum, wenn der Anbie­ter in der Lage ist, die Iden­ti­tät des Anschluss­in­ha­bers zu bestim­men.

Das Urteil erging auf Vor­la­ge des deut­schen BGH, der dem EuGH fol­gen­de Fra­gen vor­ge­legt hat­te (Ver­fah­ren VI ZR 135/13):

Vorlagefragen

  1. Ist Art. 2 Buchst. a der Richt­li­nie 95/46 dahin aus­zu­le­gen, dass eine IP-Adres­se, die ein Anbie­ter von Online-Medi­en­dien­sten im Zusam­men­hang mit einem Zugriff auf sei­ne Inter­net­sei­te spei­chert, für die­sen schon dann ein per­so­nen­be­zo­ge­nes Datum dar­stellt, wenn ein Drit­ter (hier: Zugangs­an­bie­ter) über das zur Iden­ti­fi­zie­rung der betrof­fe­nen Per­son erfor­der­li­che Zusatz­wis­sen ver­fügt?
  2. Steht Art. 7 Buchst. f der Richt­li­nie 95/46 einer Vor­schrift des natio­na­len Rechts ent­ge­gen, wonach der Anbie­ter von Online-Medi­en­dien­sten per­so­nen­be­zo­ge­ne Daten eines Nut­zers ohne des­sen Ein­wil­li­gung nur erhe­ben und ver­wen­den darf, soweit dies erfor­der­lich ist, um die kon­kre­te Inan­spruch­nah­me des Tele­me­di­ums durch den jewei­li­gen Nut­zer zu ermög­li­chen und abzu­rech­nen, und wonach der Zweck, die gene­rel­le Funk­ti­ons­fä­hig­keit des Tele­me­di­ums zu gewähr­lei­sten, die Ver­wen­dung nicht über das Ende des jewei­li­gen Nut­zungs­vor­gangs hin­aus recht­fer­ti­gen kann?

Wir haben in der glei­chen Sache über die Stel­lung­nah­me der deut­schen Bun­des­re­gie­rung und über die Schluss­an­trä­ge des Gene­ral­an­walts berich­tet.

Erwägungen

Ausgangslage: Erwägungen des BGH zum absoluten bzw. relativen Ansatz

Der EuGH fasst die Hin­wei­se des BGH zur Qua­li­fi­ka­ti­on dyna­mi­scher IP-Adres­sen wie folgt zusam­men:

23 Das vor­le­gen­de Gericht führt aus, die von der als Anbie­ter von Online-Medi­en­dien­sten han­deln­den Bun­des­re­pu­blik Deutsch­land gespei­cher­ten dyna­mi­schen IP-Adres­sen des Com­pu­ters von Herrn Brey­er sei­en zumin­dest im Kon­text mit den wei­te­ren in den Pro­to­koll­da­tei­en gespei­cher­ten Daten als Ein­zel­an­ga­ben über sach­li­che Ver­hält­nis­se von Herrn Brey­er anzu­se­hen, da sie Auf­schluss dar­über gäben, dass er zu bestimm­ten Zeit­punk­ten bestimm­te Sei­ten bzw. Datei­en über das Inter­net abge­ru­fen habe.

24 Die so gespei­cher­ten Daten lie­ßen aber aus sich her­aus kei­nen unmit­tel­ba­ren Rück­schluss auf die Iden­ti­tät von Herrn Brey­er zu. Die Betrei­ber der im Aus­gangs­ver­fah­ren in Rede ste­hen­den Web­sites könn­ten die Iden­ti­tät von Herrn Brey­er näm­lich nur dann bestim­men, wenn des­sen Inter­net­zu­gangs­an­bie­ter ihnen Infor­ma­tio­nen über die Iden­ti­tät die­ses Nut­zers über­mit­te­le. Für die Ein­stu­fung die­ser Daten als „per­so­nen­be­zo­gen“ kom­me es daher dar­auf an, ob die Iden­ti­tät von Herrn Brey­er bestimm­bar gewe­sen sei.

25 In der Leh­re bestehe eine Kon­tro­ver­se hin­sicht­lich der Fra­ge, ob für die Fest­stel­lung, ob eine Per­son bestimm­bar sei, auf ein „objek­ti­ves“ oder ein „rela­ti­ves“ Kri­te­ri­um abzu­stel­len sei. Die Anwen­dung eines „objek­ti­ven“ Kri­te­ri­ums hät­te zur Fol­ge, dass Daten wie die im Aus­gangs­ver­fah­ren in Rede ste­hen­den IP-Adres­sen nach dem Abru­fen der betref­fen­den Web­sites als per­so­nen­be­zo­gen ange­se­hen wer­den könn­ten, selbst wenn aus­schließ­lich ein Drit­ter in der Lage sei, die Iden­ti­tät des Betrof­fe­nen fest­zu­stel­len. Dabei sei der Drit­te im vor­lie­gen­den Fall der Inter­net­zu­gangs­an­bie­ter von Herrn Brey­er, der Zusatz­da­ten gespei­chert habe, die die Iden­ti­fi­zie­rung von Herrn Brey­er anhand der IP-Adres­sen ermög­lich­ten. Nach einem „rela­ti­ven“ Kri­te­ri­um könn­ten die­se Daten für eine Stel­le wie den Inter­net­zu­gangs­an­bie­ter von Herrn Brey­er als per­so­nen­be­zo­gen ange­se­hen wer­den, da sie die genaue Iden­ti­fi­zie­rung des Nut­zers ermög­lich­ten […], wäh­rend sie für eine ande­re Stel­le wie den Betrei­ber der von Herrn Brey­er abge­ru­fe­nen Web­sites nicht per­so­nen­be­zo­gen sei­en, da die­ser Betrei­ber, sofern Herr Brey­er wäh­rend des Abru­fens die­ser Web­sites kei­ne Per­so­na­li­en ange­ge­ben habe, nicht über die Infor­ma­tio­nen ver­fü­ge, die erfor­der­lich sei­en, um ihn ohne unver­hält­nis­mä­ßi­gen Auf­wand zu iden­ti­fi­zie­ren.

Erwägungen des EuGH zur Qualifikation als Personendatum

Der EuGH geht von der Legal­de­fi­ni­ti­on des Per­so­nen­da­tums nach der gel­ten­den Richt­li­nie 95/46 aus. Danach ist ein Per­so­nen­da­tum eine Infor­ma­ti­on, die sich auf eine bestimm­te oder eine indi­rekt iden­ti­fi­zier­ba­re Per­son” bezieht. “Indi­rekt” bedeu­te nach Erwä­gungs­grund 26 der Richt­li­nie, dass dabei alle Mit­tel zu berück­sich­ti­gen sind, die ver­nünf­ti­ger­wei­se vom Ver­ant­wort­li­chen oder­ei­nem Drit­ten ein­ge­setzt wer­den kön­nen, um die betref­fen­de Per­son zu bestim­men.

Für die hier inter­es­sier­te Fra­ge schliesst der EuGH dar­aus fol­gen­des:

49 Nach alle­dem ist auf die erste Fra­ge zu ant­wor­ten, dass Art. 2 Buchst. a der Richt­li­nie 95/46 dahin aus­zu­le­gen ist, dass eine dyna­mi­sche IP-Adres­se, die von einem Anbie­ter von Online-Medi­en­dien­sten beim Zugriff einer Per­son auf eine Web­site, die die­ser Anbie­ter all­ge­mein zugäng­lich macht, gespei­chert wird, für den Anbie­ter ein per­so­nen­be­zo­ge­nes Datum im Sin­ne der genann­ten Bestim­mung dar­stellt, wenn er über recht­li­che Mit­tel ver­fügt, die es ihm erlau­ben, die betref­fen­de Per­son anhand der Zusatz­in­for­ma­tio­nen, über die der Inter­net­zu­gangs­an­bie­ter die­ser Per­son ver­fügt, bestim­men zu las­sen.

Pro memo­ria: In der Schweiz gilt nach gel­ten­dem DSG eben­falls ein rela­ti­ver Ansatz, wie das BGer im Logi­step-Ent­scheid fest­ge­hal­ten hat.

Zur zweiten Vorlagefrage

Zur zwei­ten Vor­la­ge­fra­ge hält der EuGH fest, dass die Spei­che­rung der IP-Adres­se nach Art. 7 Buchst. f der Richt­li­nie durch den Anbie­ter nicht nur dann erlaubt ist, wenn sie für die Abwick­lung des Ver­trags mit den Nut­zer erfor­der­lich ist. Viel­mehr kön­nen im Ein­zel­fall auch ande­re Zwecke eine Spei­che­rung recht­fer­ti­gen. Das schliesst § 15 Abs. 1 TMG indes aus. Inso­fern ist die­se Rege­lung zu streng und mit der Richt­li­nie unver­ein­bar.

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.