Datenschutz und IT-Sicherheit
Personenbezug dynamischer IP-Adressen
6.11.2014 | Datenschutz und IT-Sicherheit | Urteile | von Markus Schmidt
Die Frage, ob bzw. unter welchen Umständen eine dynamische IP-Adresse ein personenbezogenes Datum darstellt bliebt vorerst weiter höchstrichterlich offen.
In einem Rechtstreit eines Internetnutzers gegen einen Anbieter von Telemedien hat der Bundesgerichtshof die Frage, ob die IP-Adresse des Internetnutzers, der auf die Webseiten des Anbieters zugreift, ein personenbezogenes Datum darstellt, nicht selbst entschieden, sondern zwei wesentliche Rechtsfragen dem Europäischen Gerichthof zur Vorabentscheidung vorgelegt.
Hintergrund ist die Klage des Internetnutzers auf Unterlassung der Speicherung seiner dynamischen IP-Adresse durch den Anbieter der Telemediendienste. Der Kläger beruft sich dabei auf §§ 12, 15 TMG. Nach Ansicht des Klägers handelt es sich bei seiner dynamischen IP-Adresse um ein personenbezogenes Datum, da sein Accessprovider die Zuordnung der IP-Adresse zu seiner Person vornehmen könne und damit seine Person anhand der IP-Adresse bestimmbar sei. Der Telemedienanbieter bestreitet die Bestimmbarkeit, da er keinen Zugriff auf die Daten des Accessproviders habe.
Darüber hinaus ist die Frage strittig, ob die Speicherung der IP-Adresse auf Seiten des Diensteanbieters erforderlich sei, um die Telemediendienste sicher betreiben zu können, insbesondere um DoS-Angriffe auf die eigenen Webserver wirksam abwehren zu können.
Der BGH hat nun mehr dem EuGH folgende Fragen zur Auslegung der Richtlinie 95/46/EG (Datenschutz-Richtlinie) vorgelegt (BGH, B. v. 28.10.2014, VI ZR 135/13):
1. Ist Art. 2 Buchstabe a der Richtlinie 95/46/EG dahin auszulegen, dass eine IP-Adresse, die ein Diensteanbieter im Zusammenhang mit dem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn ein Dritter (hier: Zugangsanbieter) über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt?
2. Steht Art. 7 Buchstabe f der Datenschutz-Richtlinie einer Vorschrift des nationalen Rechts entgegen, wonach der Diensteanbieter personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben und verwenden darf, soweit dies erforderlich ist, um die konkrete Inanspruchnahme des Telemediums durch den jeweiligen Nutzer zu ermöglichen und abzurechnen, und wonach der Zweck, die generelle Funktionsfähigkeit des Telemediums zu gewährleisten, die Verwendung nicht über das Ende des jeweiligen Nutzungsvorgangs hinaus rechtfertigen kann?
Letztere Frage zielt darauf, ob die Umsetzung der Richtlinie in nationales deutsches Recht in den §§ 12, 15 TMG richtlinienkonform ist oder die von der Richtlinie gestattete Nutzung der Nutzungsdaten zu weit und damit in unzulässiger Weise einschränkt.