EuGH nimmt Stellung zu der Frage, wann eine dynamisch vergebene IP-Adresse für Betreiber von Webseiten als personenbezogenes Datum anzusehen ist…
Der europäische Gerichtshof hat mit Urteil vom 19.10.2016 eine Vorlagefrage des Bundesgerichtshofes zu der bislang umstrittene Frage beantwortet, wann eine dynamische IP-Adresse für den Betreiber einer Webseite als personenbezogenes Datum anzusehen ist und ob die IP–Adresse durch den Betreiber einer Webseite ohne eine ausdrückliche Einwilligung eines Nutzers gespeichert werden darf.
Der EuGH vertritt in seinem Urteil den Standpunkt, dass die dynamische IP–Adresse eines Nutzers für den Betreiber der Website dann ein personenbezogenes Datum darstellt , wenn er über rechtliche Mittel verfügt, die es ihm erlauben, den betreffenden Nutzer anhand der Zusatzinformationen, über die dessen Provider verfügt, bestimmen zu lassen. Dies dürfte für Deutschland jedenfalls der Fall sein, da es einem Webseitenbetreiber möglich ist, eine Strafanzeige zu erstatten und dann über einen Rechtsanwalt Einsicht in die Ermittlungsakte zu nehmen. Den Ermillungsbehörden müssen Provider im Falle einer Anfrage Auskunft über die Daten eines Anschlussinhabers, welchem eine IP–Adresse zu einem bestimmten Zeitpunkt zugeteilt war, erteilen, Darüber hinaus gibt es für Inhaber von Urheberrechten nach § 101 Abs. 2 UrhG unter bestimmten Voraussetzungen auch einen zivilrechtlichen Auskunftsanspruch gegen einen Provider.
Der EuGH stellt zudem klar, dass die Verarbeitung personenbezogener Daten nach dem Unionsrecht u. a. rechtmäßig sei, wenn sie zur Verwirklichung eines berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, erforderlich ist, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Der Betreiber einer Website hat in der Regel ein überwiegendes berechtigtes Interesse daran, bestimmte personenbezogene Daten der Nutzer – insbesondere die ungekürzte IP–Adresse der Nutzer – zu speichern, um sich gegen Cyberattacken zu verteidigen. Die deutsche Regelung in § 15 Abs. 1 TMG, wonach der Diensteanbieter personenbezogene Daten eines Nutzers nur erheben und verwenden darf, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen, sei insoweit zu eng und damit europarechtswidrig,
Die Pressemitteilung des EuGH im Volltext:
Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen.
Der Gerichtshof führt hierzu aus, dass es in Deutschland offenbar rechtliche Möglichkeiten gibt, die es dem Anbieter von Online-Mediendiensten erlauben, sich insbesondere im Fall von Cyberattacken an die zuständige Behörde zu wenden, um die fraglichen Informationen vom Internetzugangsanbieter zu erlangen und anschließend die Strafverfolgung einzuleiten.
Zweitens antwortet der Gerichtshof, dass das Unionsrecht5 einer Regelung eines Mitgliedstaats entgegensteht, nach der ein Anbieter von Online-Mediendiensten personenbezogene Daten eines Nutzers dieser Dienste ohne dessen Einwilligung nur erheben und verwenden darf, soweit ihre Erhebung und ihre Verwendung erforderlich sind, um die konkrete Inanspruchnahme der Dienste durch den betreffenden Nutzer zu ermöglichen und abzurechnen, ohne dass der Zweck, die generelle Funktionsfähigkeit der Dienste zu gewährleisten, die Verwendung der Daten über das Ende eines Nutzungsvorgangs hinaus rechtfertigen kann.
Die Verarbeitung personenbezogener Daten ist nach dem Unionsrecht u. a. rechtmäßig, wenn sie zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, erforderlich ist, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.
Die deutsche Regelung schränkt nach ihrer in der Lehre überwiegend vertretenen Auslegung die Tragweite dieses Grundsatzes ein, indem sie es ausschließt, dass der Zweck, die generelle Funktionsfähigkeit des Online-Mediums zu gewährleisten, Gegenstand einer Abwägung mit dem Interesse oder den Grundrechten und Grundfreiheiten der Nutzer sein kann. Der Gerichtshof hebt in diesem Zusammenhang hervor, dass die Einrichtungen des Bundes, die Online-Mediendienste anbieten, ein berechtigtes Interesse daran haben könnten, die Aufrechterhaltung der Funktionsfähigkeit der von ihnen allgemein zugänglich gemachten Websites über ihre konkrete Nutzung hinaus zu gewährleisten.
HINWEIS: Im Wege eines Vorabentscheidungsersuchens können die Gerichte der Mitgliedstaaten in einem bei ihnen anhängigen Rechtsstreit dem Gerichtshof Fragen nach der Auslegung des Unionsrechts oder nach der Gültigkeit einer Handlung der Union vorlegen. Der Gerichtshof entscheidet nicht über den nationalen Rechtsstreit. Es ist Sache des nationalen Gerichts, über die Rechtssache im Einklang mit der Entscheidung des Gerichtshofs zu entscheiden. Diese Entscheidung des Gerichtshofs bindet in gleicher Weise andere nationale Gerichte, die mit einem ähnlichen Problem befasst werden.
Urteil in der Rechtssache C-582/14
Patrick Breyer / Bundesrepublik Deutschland
Das Urteil des EuGH im Volltext finden Sie hier.
Unterstützung bei der Umsetzung der datenschutzrechtlichen Pflichten…
weiter…Rufen Sie uns für eine kostenfreie Ersteinschätzung an oder schildern Sie uns Ihr Anliegen über unser Webformular…