Der BGH hat dem EuGH die Frage vorgelegt, ob IP-Adressen von Computern im Internet als anonyme Daten ohne Rücksicht auf den Datenschutz gespeichert und genutzt werden dürfen, oder ob solche Adressen stets als personenbezogene Daten anzusehen sind und damit dem Datenschutzrecht unterfallen. Falls der EuGH die IP-Adressen als personenbezogen ansieht, wird er zusätzlich entscheiden müssen, ob die EU-Datenschutzrichtlinie trotzdem ihre Speicherung erlaubt, um die Sicherheit und Funktionsfähigkeit von Websites zu gewährleisten.
Die Vorlage des BGH mit Urteil vom 28.10.2014 – VI ZR 135/13, DB0689369, berührt zwei zentrale Fragen des deutschen und europäischen Datenschutzrechts:
1. Das Datenschutzrecht gilt nur für personenbezogene Daten.
- Ist dieser Begriff „absolut“ zu verstehen, d.h. ist das Datenschutzrecht bereits dann anwendbar, wenn irgendjemand auf der Welt die Daten theoretisch einer bestimmten Person zuordnen könnte – selbst wenn dies praktisch nicht zu erwarten ist?
- Oder kommt es auf das konkret verfügbare Zusatzwissen der verarbeitenden Stelle an? Bei diesem „relativen“ Personenbezug können ein und dieselben Daten für eine Stelle (die das erforderliche Zusatzwissen hat) personenbezogen, für eine andere (ohne das erforderliche Zusatzwissen) dagegen anonym und damit dem Datenschutzrecht entzogen sein.
2. Das deutsche Datenschutzrecht basiert auf der EU-Datenschutzrichtlinie 95/46/EG, die einen Mindeststandard zum Schutz personenbezogener Daten vorgibt. Inwieweit darf der deutsche Gesetzgeber über die Richtlinie hinausgehen und im nationalen Recht ein noch höheres Datenschutzniveau festlegen, als es die Richtlinie vorgibt?
Hintergrund
Ausgangspunkt des Rechtsstreits ist die Klage eines Datenschutz-Aktivisten gegen die Bundesrepublik Deutschland wegen der Verarbeitung seiner Daten bei staatlichen Websites. Die Web-Server des Bundes speichern – ebenso wie die meisten anderen Websites – ausführliche „Log-Dateien“, in denen jeder einzelne Seitenabruf protokolliert wird. Dabei werden u.a. die folgenden Daten erfasst:
- Der Name der abgerufenen Datei bzw. Seite,
- Datum und Uhrzeit des Abrufs und
- die IP-Adresse des Rechners, mit dem der Nutzer auf die Website zugreift.
Die IP-Adresse identifiziert jew. den Rechner bzw. den Internet-Anschluss des Internet-Nutzers. Unternehmen verwenden i.d.R. „statische“ (d.h. feste) IP-Adressen für ihre Computer. Privatnutzer haben dagegen oft „dynamische“ IP-Adressen, die ihnen ihr Internet-Provider jew. für einen beschränkten Zeitraum zuteilt. Spätestens alle 24 Stunden trennt der Provider den Anschluss des Privatnutzers kurz vom Internet und weist ihm danach eine neue IP-Adresse zu. Der Provider weiß, welchem seiner Kunden er welche IP-Adresse wann zugewiesen hat. In bestimmten Fällen ist der Provider verpflichtet, diese Information auch an Dritte wie z.B. Strafverfolgungsbehörden herauszugeben. Ohne entsprechende Rechtspflicht wird er jedoch einem normalen Website-Betreiber niemals mitteilen, welcher Kunde sich zu einem bestimmten Zeitpunkt hinter einer IP-Adresse verbirgt. Allein anhand einer IP-Adresse kann der Website-Betreiber daher nicht feststellen, wer seine Website aufgerufen hat.
Die zentralen Fragen
Die Vorinstanz hatte sich dem „relativen“ Verständnis angeschlossen und entschieden, dass die gespeicherten IP-Adressen dann – aber auch nur dann – personenbezogen sind, wenn der Kläger bei einer konkreten Website-Nutzung z.B. über ein Web-Formular zusätzliche Daten übermittelt, die seine Identifikation ermöglichen. Da das deutsche Datenschutzrecht in diesem Fall keine Erlaubnis für die längerfristige Speicherung personenbezogener Daten vorsieht, hatte das Gericht die Bundesrepublik insoweit – aber auch nur insoweit – zur Unterlassung verurteilt.
Der BGH scheint ebenfalls den „relativen“ Begriff personenbezogener Daten zu bevorzugen, bittet aber den EuGH um eine endgültige Entscheidung. Zusätzlich wirft der BGH die Frage auf, ob die Speicherung nicht selbst dann erlaubt sein müsste, wenn es sich bei den IP-Adressen um personenbezogene Daten handelt. Denn der Bund hatte sich darauf berufen, dass die längerfristige Speicherung und Auswertung der IP-Adressen technisch notwendig sei, um Hacker-Angriffe zu erkennen und abzuwehren. Für Telekommunikationsanbieter hat der deutsche Gesetzgeber in § 100 TKG eine entsprechende Erlaubnisnorm vorgesehen, die im Telemediengesetz für Website-Anbieter jedoch fehlt. Der BGH hält es für möglich, dass es die Richtlinie auch Website-Betreibern erlaubt, bei der Verteidigung ihrer Systeme in gewissem Umfang personenbezogene Daten zu verarbeiten. Da der EuGH bereits entschieden hat, dass die Richtlinie in Teilen eine EU-weit einheitliche Vollharmonisierung des Datenschutzrechts bewirkt, könnte das besonders strenge deutsche Recht insoweit korrekturbedürftig sein.