Sind IP-Adressen personenbezogene Daten im Sinne des Datenschutzrechts? Der Streit ist wahrscheinlich so alt wie das Internetrecht selbst. Denn einerseits sind IP-Adressen so etwas wie die grundlegenden Informationen, auf denen das Internet aufbaut. Ohne sie kann es nicht funktionieren. Andererseits können diese Adressen unter bestimmten Umständen bestimmten Nutzern zugeordnet werden. So funktioniert Tracking: die Überwachung des Verhaltens von Personen bei der Internetnutzung.
Die Frage nach dem Personenbezug entscheidet über die Anwendbarkeit des Datenschutzrechts auf IP-Adressen – und damit über eine grundlegende Weichenstellung, die fast jeden Webseitenbetreiber erfasst. Fast überall fallen diese Daten an, fast überall werden sie genutzt.
Es ist deshalb kein Wunder, dass die mündliche Verhandlung, die der BGH am Dienstag durchgeführt hat, zu viel Aufmerksamkeit in den Medien geführt hat.
In Karlsruhe wurde über eine Klage von Patrick Breyer, einem Abgeordneten der Piratenpartei, gegen die Bundesrepublik Deutschland verhandelt (Az. VI ZR 135/13). Breyer wirft der Bundesrepublik vor, beim Besuch ihrer Webseiten seine IP-Adressen zu speichern, obwohl hierfür keine datenschutzrechtliche Erlaubnis besteht. Die Bundesregierung verteidigt sich u.a. mit dem Argument, dass IP-Adressen gar keinen Personenbezug haben und deshalb gar nicht dem Datenschutzrecht unterfallen. Selbst wenn dies der Fall sei, sei eine solche Speicherung zumindest notwendig, um illegale Angriffe (z.B. Hacking) auf die Internetpräsenzen abzuwehren.
Das Datenschutzrecht ist aufgeteilt auf eine Vielzahl einzelner Gesetze. Die Kernvorschriften, um die es vorliegendend ging, sind aber § 12 und § 15 TMG. § 12 Abs. 1 TMG enthält als bereichsspezifisches Datenschutzrecht die Vorgabe, dass ein Telemedien-Diensteanbieter (dazu zählen auch Webseitenbetreiber) die Grundvorgabe des Datenschutzrechts beachten muss. Er darf keine personenbezogene Daten erheben und nutzen, wenn er hierfür keine gesetzliche oder persönliche Erlaubnis hat:
(1) Der Diensteanbieter darf personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.
§ 15 Abs. 1 TMG regelt dann, aus welchen Gründen ein Webseitenbetreiber u.a. die Speicherung von personenbezogenen Daten rechtfertigen darf:
(1) Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten)
Diese Normen sind sowohl verfassungs- als auch europarechtlich überlagert. Im Hintergrund stehen sowohl verfassungsrechtliche Grundentscheidungen, z.B. das Gebot der Datensparsamkeit als Ausdruck des Grundrechts auf Informationelle Selbstbestimmung (Art. 2 Abs. 1, Art. 1 Abs. 1 GG), als auch europäische Richtlinien – allen voran die Datenschutzrichtlinie (RL 95/46/EG). Diese fast 20 Jahre alte Richtlinie regelt bis heute die europäischen Grundlagen des Datenschutzrechts. Vielleicht wird sie demnächst durch die Datenschutz-Grundverordnung ersetzt.
Im Mittelpunkt des Streits steht die Frage, wie der Begriff der „personenbezogenen Daten” auszulegen ist, der sich u.a. in § 12 Abs. 1 TMG findet. Näher definiert ist er in § 3 Abs. 1 BDSG:
Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).
IP-Adressen ermöglichen nicht unmittelbar die Identifikation eines Nutzers. Die Frage spitzt sich somit darauf zu, wie der Begriff der „bestimmbaren Person” auszulegen ist.
Ist der Inhaber einer IP-Adresse dann „bestimmbar”, wenn der Telemedienanbieter den Nutzer schon mit wenig Aufwand identifizieren kann? Wie ist mit Fällen umzugehen, in denen der Telemedienanbieter den Nutzer zwar identifizieren könnte, dabei aber viel Aufwand treiben müsste (z.B. manuelle Untersuchungen der Server-Logs)? Kommt es auf die individuelle Situation des Nutzers und des Telemedienanbieters an – spielt es z.B. eine Rolle, wenn eine Webseite täglich viele tausend Besucher hat, so dass der Webseitenbetreiber nur schwer einzelne Nutzer „herausgreifen” kann? Oder geht es einfach nur um die abstrakte Gefahr, dass ein einzelner Nutzer identifiziert wird, und sei es auch mit noch so hohem Aufwand? Diese Frage stellt sich gerade bei Internetpräsenzen des Bundes. Denn als Hoheitsträger können die Bundesbehörden auf rechtliche Auskunftsbefugnisse zurückgreifen. Sie können bei Dritten, die den Nutzer identifizieren können, diese Information abfragen (freilich nur unter bestimmten Bedingungen).
Obwohl diese Fragen diskutiert werden, seit das Internet in Deutschland größere Relevanz hat, gibt es dazu keine höchstrichterliche Klärung, die allgemein akzeptiert würde (es gibt allerdings einige Urteile, die sich mit der Frage beschäftigen).
Der sechste Senat des Bundesgerichtshofs hat am Dienstag zu der Revisionsklage von Patrick Breyer mündlich verhandelt. Nach übereinstimmenden Medienberichten (siehe z.B. Heise Online) haben die Richter sich am Ende der Verhandlung entschieden, anders als geplant doch nicht sofort ein Urteil zu verkünden, sondern erst noch einmal zu prüfen und zu beratschlagen. Eine Entscheidung soll nun am 28. Oktober ergehen.
Viele Beobachter vermuten, dass der BGH den Streit dem EuGH vorlegen könnte. Dieser würde dann die Gelegenheit bekommen, zum Begriff der Personenbeziehbarkeit ein Grundsatzurteil zu sprechen. Einschlägig wäre dann vor allem Erwägungsgrund 26 der Datenschutzrichtlinie, nach dem alle Mittel zu berücksichtigen sind, „die vernünftigerweise […] für die Verarbeitung […] eingesetzt werden könnten, um die betreffende Person zu bestimmen”. Die Richtlinie stellt dabei ausdrücklich darauf ab, ob der Nutzer auch für irgendeine andere Person identifizierbar ist, es kommt also nicht nur auf denjenigen an, der gerade mit den Daten umgeht.
Ob sich die deutsche Rechtsprechung halten lässt, die teils einen generellen Personenbezug von IP-Adressen abgelehnt hatte, bleibt nun abzuwarten. Erst einmal wird der BGH eine Entscheidung verkünden; voraussichtlich am 28. Oktober 2014.
Pressemitteilung des BGH zur Ankündigung der mündlichen Verhandlung.
Pressemitteilung von Patrick Breyer zum Verlauf der Verhandlung.
Aufsatz von Patrick Breyer zum Personenbezug von IP-Adressen.
Telemedicus-Themenseite zu „Tracking”.