Der EuGH hat heute, 19. Oktober 2016, sein Urteil i.S. Breyer c. Deutschland veröffentlicht (Rs. C‑582/14). Der EuGH hält darin fest, dass bei der Qualifikation dynamischer IP-Adressen ein relativer Ansatz gilt, d.h. für den Anbeiter eines Internetdienstes ist eine solche IP-Adresse nur dann ein Personendatum, wenn der Anbieter in der Lage ist, die Identität des Anschlussinhabers zu bestimmen.
Das Urteil erging auf Vorlage des deutschen BGH, der dem EuGH folgende Fragen vorgelegt hatte (Verfahren VI ZR 135/13):
Vorlagefragen
- Ist Art. 2 Buchst. a der Richtlinie 95/46 dahin auszulegen, dass eine IP-Adresse, die ein Anbieter von Online-Mediendiensten im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn ein Dritter (hier: Zugangsanbieter) über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt?
- Steht Art. 7 Buchst. f der Richtlinie 95/46 einer Vorschrift des nationalen Rechts entgegen, wonach der Anbieter von Online-Mediendiensten personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben und verwenden darf, soweit dies erforderlich ist, um die konkrete Inanspruchnahme des Telemediums durch den jeweiligen Nutzer zu ermöglichen und abzurechnen, und wonach der Zweck, die generelle Funktionsfähigkeit des Telemediums zu gewährleisten, die Verwendung nicht über das Ende des jeweiligen Nutzungsvorgangs hinaus rechtfertigen kann?
Wir haben in der gleichen Sache über die Stellungnahme der deutschen Bundesregierung und über die Schlussanträge des Generalanwalts berichtet.
Erwägungen
Ausgangslage: Erwägungen des BGH zum absoluten bzw. relativen Ansatz
Der EuGH fasst die Hinweise des BGH zur Qualifikation dynamischer IP-Adressen wie folgt zusammen:
23 Das vorlegende Gericht führt aus, die von der als Anbieter von Online-Mediendiensten handelnden Bundesrepublik Deutschland gespeicherten dynamischen IP-Adressen des Computers von Herrn Breyer seien zumindest im Kontext mit den weiteren in den Protokolldateien gespeicherten Daten als Einzelangaben über sachliche Verhältnisse von Herrn Breyer anzusehen, da sie Aufschluss darüber gäben, dass er zu bestimmten Zeitpunkten bestimmte Seiten bzw. Dateien über das Internet abgerufen habe.
24 Die so gespeicherten Daten ließen aber aus sich heraus keinen unmittelbaren Rückschluss auf die Identität von Herrn Breyer zu. Die Betreiber der im Ausgangsverfahren in Rede stehenden Websites könnten die Identität von Herrn Breyer nämlich nur dann bestimmen, wenn dessen Internetzugangsanbieter ihnen Informationen über die Identität dieses Nutzers übermittele. Für die Einstufung dieser Daten als „personenbezogen“ komme es daher darauf an, ob die Identität von Herrn Breyer bestimmbar gewesen sei.
25 In der Lehre bestehe eine Kontroverse hinsichtlich der Frage, ob für die Feststellung, ob eine Person bestimmbar sei, auf ein „objektives“ oder ein „relatives“ Kriterium abzustellen sei. Die Anwendung eines „objektiven“ Kriteriums hätte zur Folge, dass Daten wie die im Ausgangsverfahren in Rede stehenden IP-Adressen nach dem Abrufen der betreffenden Websites als personenbezogen angesehen werden könnten, selbst wenn ausschließlich ein Dritter in der Lage sei, die Identität des Betroffenen festzustellen. Dabei sei der Dritte im vorliegenden Fall der Internetzugangsanbieter von Herrn Breyer, der Zusatzdaten gespeichert habe, die die Identifizierung von Herrn Breyer anhand der IP-Adressen ermöglichten. Nach einem „relativen“ Kriterium könnten diese Daten für eine Stelle wie den Internetzugangsanbieter von Herrn Breyer als personenbezogen angesehen werden, da sie die genaue Identifizierung des Nutzers ermöglichten […], während sie für eine andere Stelle wie den Betreiber der von Herrn Breyer abgerufenen Websites nicht personenbezogen seien, da dieser Betreiber, sofern Herr Breyer während des Abrufens dieser Websites keine Personalien angegeben habe, nicht über die Informationen verfüge, die erforderlich seien, um ihn ohne unverhältnismäßigen Aufwand zu identifizieren.
Erwägungen des EuGH zur Qualifikation als Personendatum
Der EuGH geht von der Legaldefinition des Personendatums nach der geltenden Richtlinie 95/46 aus. Danach ist ein Personendatum eine Information, die sich auf eine bestimmte oder eine indirekt identifizierbare Person” bezieht. “Indirekt” bedeute nach Erwägungsgrund 26 der Richtlinie, dass dabei alle Mittel zu berücksichtigen sind, die vernünftigerweise vom Verantwortlichen odereinem Dritten eingesetzt werden können, um die betreffende Person zu bestimmen.
Für die hier interessierte Frage schliesst der EuGH daraus folgendes:
49 Nach alledem ist auf die erste Frage zu antworten, dass Art. 2 Buchst. a der Richtlinie 95/46 dahin auszulegen ist, dass eine dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Website, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, für den Anbieter ein personenbezogenes Datum im Sinne der genannten Bestimmung darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen.
Pro memoria: In der Schweiz gilt nach geltendem DSG ebenfalls ein relativer Ansatz, wie das BGer im Logistep-Entscheid festgehalten hat.
Zur zweiten Vorlagefrage
Zur zweiten Vorlagefrage hält der EuGH fest, dass die Speicherung der IP-Adresse nach Art. 7 Buchst. f der Richtlinie durch den Anbieter nicht nur dann erlaubt ist, wenn sie für die Abwicklung des Vertrags mit den Nutzer erforderlich ist. Vielmehr können im Einzelfall auch andere Zwecke eine Speicherung rechtfertigen. Das schliesst § 15 Abs. 1 TMG indes aus. Insofern ist diese Regelung zu streng und mit der Richtlinie unvereinbar.