BGH nach Breyer-Urteil: Dynamische IP-Adressen sind personenbezogene Daten u. dürfen dennoch gespeichert werden

Nachdem der EuGH am 19.10.2016 die ihm vorgelegten Fragen im Fall Breyer, C-582/14, beantwortete, entschied der BGH nun den Ausgangsstreit mit Urteil vom 16.05.2017, VI ZR 135/13. Dynamische IP-Adressen stellen demnach für die Betreiber von Webseiten personenbezogene Daten dar. Allerdings dürfen diese Nutzungsdaten nach § 15 I TMG über die Dauer des Nutzungsvorgangs hinaus gespeichert werden, soweit dies zur Aufrechterhaltung einer generellen Funktionsfähigkeit des Dienstes erforderlich ist und einer Interessensabwägung mit den Grundrechten der Nutzer standhält.

Im zugrundeliegenden Fall klagte der (nun) ehemalige Piraten-Abgeordnete Breyer gegen die Bundesrepublik Deutschland, weil ihre Webseiten IP-Adressen von Besuchern über die Nutzungsdauer hinaus, nämlich drei Monate lang, aus Sicherheitsgründen speicherten. Im Jahr 2008 scheiterte er damit zunächst vor dem AG Tiergarten, 2 C 6/08. In der Berufungsinstanz folgte das LG Berlin dann dem Kläger unter Beschränkungen, 57 S 87/08. Die Revision beider Parteien führte schließlich zur Aufhebung dieses Urteils.

Einordnung dynamischer IP-Adressen

Der BGH klärte zunächst, ob eine dynamische IP-Adresse ein personenbezogenes Datum darstellt. Hierzu bediente er sich der Legaldefinition aus § 3 I BDSG, wonach personenbezogene Daten u.a. Einzelangaben über sachliche Verhältnisse einer mindestens bestimmbaren natürlichen Person sind.

Zunächst sah der Senat solche Angaben über sachliche Verhältnisse einer natürlichen Person in IP-Adressen enthalten. Im Zusammenhang mit weiteren Protokolldateien gäben sie Aufschluss darüber, dass zu bestimmten Zeitpunkten bestimmte Seiten abgerufen wurden.

Die Frage, wonach sich die Bestimmbarkeit der hiervon betroffenen Person beurteilt, übergab er dem EuGH zur Vorabentscheidung. Dieser antwortete mit Urteil vom 19.10.2016, C-582/14. Der Begriff der bestimmbaren natürlichen Person in Art. 2 a) Richtlinie 95/46/EG sei so auszulegen, dass dynamische IP-Adressen personenbezogene Daten darstellen, wenn rechtliche Mittel bestehen, die Person mithilfe von Informationen des Zugangsanbieters zu bestimmen. Der EuGH begründete dies damit, dass der Unionsgesetzgeber ausdrücklich auch die indirekte Bestimmbarkeit einer Person erfassen wollte, bei der eine Information wie hier die IP-Adresse für sich genommen noch keine Identifikation ermöglicht.

Besagte rechtliche Mittel zum Erlangen der Zusatzinformationen liefert das deutsche Recht, wenn Behörden zur Strafverfolgung oder Gefahrenabwehr eingeschaltet werden. Diese dürfen IP-Adresse und Zusatzinformationen zusammenfügen, sodass der Nutzer bestimmbar wird. Damit geben dynamische IP-Adressen Aufschluss über die sachlichen Verhältnisse einer indirekt bestimmbaren Person und qualifizieren sich mithin als personenbezogene Daten.

Erlaubnis zum Speichern aus § 15 I TMG

In einem zweiten Schritt blieb zu klären, ob die IP-Adressen trotz ihres Personenbezugs wegen des Erlaubnistatbestandes aus § 15 I TMG gespeichert werden durften. Dieser greift u.a. ein, wenn das Erheben und Verwenden der Daten erforderlich ist, um den Dienst zu ermöglichen. In diesem Fall ist auch keine Einwilligung des Nutzers vonnöten.

An dieser Stelle war fraglich, ob der Speichergrund der Ermöglichung des Dienstes sich nur auf den konkreten Nutzungsvorgang bezieht oder weiter zu verstehen ist, sodass auch über die Nutzungsdauer hinaus gespeichert werden darf. Längeres Verwenden von Nutzungsdaten vereinfacht bspw. die Verfolgung von Cyberangriffen. Der BGH bat den EuGH hier um Vorabentscheidung in der Frage, ob § 15 I TMG im Lichte von Art. 7 f) der Datenschutzrichtlinie im Sinne der engen oder weiten Auslegung zu verstehen ist. Dieser antwortete mit o.g. Urteil, dass auch eine über die Nutzungsdauer hinausgehende Speicherung möglich sein müsse, dies aber eine Abwägung zwischen Interesse des Anbieters und Grundrechten des Nutzers erfordere.

Für diese Abwägung seien laut BGH vor allem das Angriffsrisiko auf Anbieterseite, sowie die Schwere des Eingriffs in das informationelle Selbstbestimmungsrecht des Nutzers entscheidend. Dass diese Abwägung nicht zwangsläufig zu Ungunsten des Anbieters ausgehen muss, lässt sich bereits an der Anmerkung des BGH erkennen, im Speichern von IP-Adressen noch keinen besonders schweren Eingriff zu sehen. Eine tatsächliche Zuordnung sei hier trotz rechtlicher Möglichkeiten nur schwer herbeizuführen. Zum Zweck dieser Abwägung verwies der BGH den Fall schließlich zurück an das LG Berlin.

Ähnliche Beiträge