Update Datenschutz 15/2016
Das langersehnte Urteil des EuGH zum Personenbezug von IP-Adressen
EuGH: Dynamische IP-Adressen sind für Webseitenbetreiber (und andere?) personenbezogen, ihre Speicherung kann aber im Rahmen des „legitimen Interesses“ gerechtfertigt werden.
Die lang erwartete Antwort auf eine der zentralsten Fragen des Datenschutzrechts wurde mit Urteil vom 19. Oktober 2016 durch den EuGH entschieden. Wie schon der Generalanwalt im Mai befand der EuGH, dass dynamische IP-Adressen (IP = Internet Protokoll) als personenbezogen anzusehen sind, wenn die verantwortliche Stelle in Deutschland prinzipiell über eine rechtliche Möglichkeit verfügt, auf die „Vergleichsdaten“ des Internet Providers des Betroffenen zuzugreifen. Der BGH gab dem EuGH in der Vorlagefrage den Hinweis, dass es dem Internetprovider nach den Vorschriften des TKG nicht gestattet ist, die Informationen zur Identifizierung eines Internetanschlusses an Dritte zu übergeben. Der EuGH verwies hierzu schlicht darauf, dass dies im Falle eines Hackings und unter Rückgriff auf Ermittlungsbehörden vermutlich anders zu beurteilen sei. „Offenbar“, so der EuGH in seiner nur wenige Absätze umfassenden Argumentation, bestehe die Möglichkeit, die Informationen mithilfe von zuständigen Behörden zu erlangen. Der BGH solle dies dennoch noch einmal nach deutschem Recht prüfen.
Zum Hintergrund
Für die Hintergründe des Urteils verweisen wir auf unseren Newsletter über die Argumentation des Generalanwalts in dieser Angelegenheit Hier sei nur noch einmal Folgendes zusammengefasst: Dynamische IP-Adressen werden durch einen Internetprovider für jede Einwahl in das Internet gegenüber Privatpersonen individuell neu vergeben. Ohne das Zusatzwissen des Internetproviders, der die IP-Adresse zugewiesen hat, ist es (ohne den Abgleich mit weiteren Datenquellen) nur schwer möglich herauszufinden, welchem Internetanschluss welche IP-Adresse zugeordnet ist (ob der Anschlussinhaber dann auch gleichzeitig die gesuchte Person ist, muss in Zeiten von umfangreichen privatem W-LAN-Gebrauch und der Verbreitung von „Freifunk“ ohnehin bezweifelt werden).
Objektive Theorie des Personenbezuges
Man kann daher darüber streiten, ob eine dynamische IP-Adresse als ein personenbezogenes Datum anzusehen ist. In Rechtsprechung und Literatur besteht weitestgehend Einigkeit darüber, dass sämtliche Daten als personenbezogen anzusehen sind, die mit Hilfe eines gewissen Rechercheaufwandes einer Person zugeordnet werden können. Über das Maß an Rechercheaufwand besteht freilich Uneinigkeit. Die Datenschutzaufsichtsbehörden gehen traditionell davon aus, dass es genügt, dass ein beliebiger Dritter über das Zusatzwissen zur Identifizierung einer Person verfügt. Man spricht insoweit auch von einer objektiven Theorie des Personenbezuges, da es nach dieser Auffassung ausreicht, dass das notwendige Zusatzwissen zur Identifizierung einer Person objektiv (irgendwo auf der Welt) vorhanden ist.
In der Regel kein zivilrechtlicher Informationsanspruch gegeben
Der EuGH stellt darauf ab, ob eine rechtliche Möglichkeit des Webseitenbetreibers besteht, die Daten des Provider für einen Abgleich der IP-Adressen zu erlangen. Die Fälle, in denen ein direkter zivilrechtlicher Informationsanspruch gegen einen Internetprovider besteht, sind rar gesät. Sollte eine Urheberrechtsverletzung durch den Besucher einer Webseite im Raume stehen, könnte sich der Webseitenbetreiber auf § 101 UrhG beziehen. Gerade für den durch den EuGH angeführten Fall des Hacking gibt es einen solchen Informationsanspruch jedoch nicht.
Die staatlichen Ermittlungsbehörden als verlängerter Arm jeder datenschutzrechtlich verantwortlichen Stelle?
Der EuGH tendiert damit insgesamt deutlich zur objektiven Theorie, in dem er selbst diejenigen Informationen als personenbezogen ansieht, die nur mithilfe einer staatlichen Ermittlungsbehörde einer Person zugeordnet werden können. Eingegrenzt wird diese weite Auslegung durch den EuGH nur durch folgende Erwägung: Nur wenn eine verantwortliche Stelle bei einer ex-ante Betrachtung vernünftigerweise im Fall des Anfangsverdachts einer Straftat gerade die Log-Files zu Ermittlungszwecken auswerten und mithilfe der Staatsanwaltschaft an den Internetprovider herantreten wird, sollen IP-Adressen personenbezogen sein. Dies ist wohl bei Webservern der Fall, da diese typischerweise als Ziel von Hacker-Angriffen in Betracht kommen. Wenn die ex-ante Betrachtung zu dem Ergebnis gelangt, dass in Log-Files oder anderswo gespeicherte IP-Adressen nicht zu strafrechtlichen Ermittlungen herangezogen werden, so werden die IP-Adressen nicht als personenbezogen behandelt, wie einige erste Stimmen zu dem Urteil des EuGH betonen. Das Maß der Wahrscheinlichkeit des Rückgriffs auf Ermittlungsbehörden, welches bei einer ex-ante Betrachtung den Personenbezug auslöst, steht damit jedoch keineswegs fest. Wenn ein gesamtes IT-System angegriffen wird, werden IT-Forensikern in sämtlichen verfügbaren Log-Files jeder einzelnen Server, Clients in mobilen Endgeräten in Smart Devices usw. nach den Spuren des Angreifers suchen und gefundene IP-Adressen der Polizei bzw. Staatsanwaltschaft für weitere Ermittlungen übergeben. Faktisch dürfte es kaum Log-Files oder Datensätze geben, die bei einer ex-ante Betrachtung mit derart geringer Wahrscheinlichkeit zur Ermittlung einer Straftat herangezogen werden, dass von vornherein von keinem Personenbezug auszugehen ist. Jedenfalls sollte man in der Praxis zur Sicherheit bei IP-Adressen stets von einem Personenbezug ausgehen.
Doch auch über die IP-Adressen hinaus, muss die Verschiebung zur objektiven Theorie berücksichtigt werden. Wann immer in Zukunft eine Information gespeichert wird, so wird zu überlegen sein, ob man bei einer hinzugedachten vernünftigerweise in Anspruch zu nehmenden Recherche durch die Staatsanwaltschaft – auf die man plausiblerweise in seltenen Einzelfällen zurückgreifen würde – diese Information einer Person zuordnen könnte. Es lässt sich derzeit noch kaum absehen, welche Fälle dies in der Zukunft betreffen wird.
Allgegenwart von IP-Adressen
Der überwiegende Teil des weltweiten Datenaustausches erfolgt über so genannte IP-Pakete, wobei jedes einzelne IP-Paket die IP-Adresse des jeweiligen Adressaten und Absenders enthält. Bereits deshalb muss das Urteil in allen Bereichen der digitalen Kommunikation beachtet werden. Jeder Transfer von Daten im Internet, über Connected Cars, Smart Home, in der Smart Factory über Smart Meter und im gesamten Internet der Dinge sollte nach Auffassung des EuGH zur Sicherheit als personenbezogen behandelt werden. Die Anzahl der Informationen, die in Zukunft als nicht personenbezogen gelten, wird damit deutlich sinken.
Werden nun zahlreiche Datenverarbeitungsvorgänge ohne Erlaubnistatbestand durchgeführt?
Dies ist wohl nicht der Fall, denn der EuGH hat mit seiner Antwort auf die zweite Vorlagefrage so etwas wie eine goldene Brücke gebaut. Denn, so der EuGH, eine Verarbeitung von personenbezogenen Daten (wie etwa IP-Adressen) kann für die Zwecke der Gewährleistung der Funktionsfähigkeiten von Online-Diensten gemäß Artikel 7 Lit. f. Rl. 95/46/EG, also gemäß dem „legitimen Interesse“ der verantwortlichen Stelle gerechtfertigt werden. Entgegenstehende nationale Rechtsnormen (wie etwa im vorliegenden Fall die Normen des TMG, welche die Speicherung einer IP-Adresse ohne Einwilligungserklärung nur für den Zeitraum der Nutzung erlauben), stehen der Richtlinie entgegen. Dies dürfte auf sehr viele Vorgänge, die notwendigerweise auf den Transfer und die Speicherung von IP-Adressen angewiesen sind, übertragbar sein. Inwiefern jedoch im Einzelfall grundsätzlich eine „Notwendigkeit“ besteht und wie lange eine Speicherung als „notwendig“ angesehen werden kann, erfordert in Zukunft einen verschärften Prüfungs- und Dokumentationsaufwand.
New Deal im Datenschutzrecht?
Ohne dass der EuGH dies konkret ausführt, verschiebt sich damit die Gesamttektonik des Datenschutzrechts: Auf der einen Seite wird in Zukunft nahezu jede Information als personenbezogenes Datum angesehen werden müssen und als Ausgleich hierfür wird man häufiger als bisher mit einem legitimen Interesse zur Speicherung von Daten argumentieren können. Ob sich dies in der Praxis als der „New Deal“ des Datenschutzrechts durchsetzt, bleibt abzuwarten.
Informationspflichten und informierte Einwilligungserklärungen
Was sich in der Praxis nun aber definitiv ändern wird, ist der Umfang der dem Nutzer (etwa im Rahmen einer Datenschutzerklärung) mitzuteilenden Informationen über die Verarbeitung von personenbezogenen Daten. Zudem wird erheblich genauer geprüft werden müssen, ob dem Nutzer hinreichende Informationen über die Speicherung von personenbezogenen Daten im Vorfeld einer Einwilligungserklärung gegeben wurden. Schon bislang war man gut beraten, in der Datenschutzerklärung einer Webseite umfangreich über die Erstellung von Protokolldaten zu berichten. Dies muss nun in etlichen App-gesteuerten Geräten im „Internet der Dinge“ nachgeholt werden, unabhängig davon wie viele (und wie unsensible) technische Daten ein moderner Kaffeevollautomat, ein digitales Thermostat oder ein SmartTV speichert. Jede Information wird in Form eines IP-Paketes übertragen und wird insofern als personenbezogen behandelt werden müssen. Hier wird die Zukunft zeigen, welche Üblichkeiten sich bei der Formulierung von Datenschutzerklärungen und Einwilligungserklärungen einpendeln werden. Eine besondere Brisanz besteht für die Informationspflichten deshalb, weil nach der am 28. Mai 2018 in Kraft tretenden Datenschutzgrundverordnung (sehen Sie hierzu unseren allgemeinen Newsletter zu DSGVO für einen Verstoß gegen die Transparenzpflicht (also die Erläuterung sämtlicher personenbezogener Daten, die erhoben werden) ein Bußgeld von bis zu 20 Mio. Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes erlassen werden kann (siehe unseren Newsletter zu den Bußgeldern nach der DSGVO).
Recht auf Auskunft
Jedem Betroffenen, also jedem, über den Daten erhoben werden, steht ein Recht auf Auskunft bezüglich der über ihn gespeicherten personenbezogenen Daten zu. Die aus dem Urteil des EuGH entstehende Problematik im Hinblick auf einen solchen Auskunftsanspruch wurde weder durch den EuGH noch durch den Generalanwalt auch nur angedacht: Da sich der Auskunftsanspruch auf sämtliche zu einer Person gespeicherten Daten bezieht und die IP-Adresse in Zukunft aus Sicherheitsgründen per se als personenbezogen angesehen werden muss, müsste ein Webseitenbetreiber, Hoster oder Betreiber eine sonstigen smarten Soft- oder Hardware einem anfragenden Nutzer mitteilen, welche IP-Adressen er dem Benutzer zuordnen kann. Hier zeigt sich ein Dilemma des EuGH-Urteils: Solange keine Anhaltspunkte für eine Straftat vorliegen, ist es einem durchschnittlichen Unternehmen kaum möglich zu ermitteln, welchem Anschlussinhaber und welcher Person eine IP-Adresse zuzuordnen ist. Selbst unter Zuhilfenahme von Big-Data Analysesoftware, die etwa die Spuren des Anfragenden in sozialen Medien analysieren könnte, wird die Zuordnung zu einer Person nicht in vielen Fällen gelingen (inwiefern der Einsatz einer solchen Software wiederum gerechtfertigt wäre, steht auf einem anderen Blatt).
Wie geht es weiter? Hintertür für den BGH?
Die Umsetzung der Vorlagefrage durch ein BGH-Urteil wird hoffentlich weitere Konkretisierungen zur Folge haben. Grundsätzlich bestehen Argumentationsansätze, um das oben skizzierte Dilemma zu vermeiden. Laut EuGH wird der Personenbezug einer IP-Adresse bejaht, wenn der Webseitenbetreiber „über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen.“
Grundsätzlich könnte der BGH schlicht darauf abstellen, dass ein zivilrechtlicher Informationsanspruch gegen Internetprovider nach deutschem Recht nicht gegeben ist. Die dynamische IP-Adresse wäre demnach nicht gewissermaßen „automatisch“ und in jedem Einzelfall personenbezogen. Die Vorlagefrage wäre damit umgesetzt.
Der EuGH verwies jedoch auf eine Informationsbeschaffung „durch die zuständigen Behörden“. Daher müsste der BGH diese Antwort des EuGH eher wie folgt lesen, um eine differenzierte Betrachtung für Deutschland zuzulassen: Nur in den wenigen Einzelfällen, in denen Tatsachen die Annahme einer Straftat rechtfertigen und somit die Recherchemöglichkeiten der Staatsanwaltschaft zur Verfügung stehen, liegt auch ein personenbezogenes Datum vor. Dafür würde zum einen sprechen, dass der BGH bereits in der Vorlagefrage schlicht festgestellt hat, dass es dem Internetzugangsprovider grundsätzlich verboten ist, die personenbezogenen Angaben hinter einer IP-Adresse weiterzugeben. Zum anderen würde auch eine staatsanwaltschaftliche Ermittlung nur dann beginnen, wenn Tatsachen einen Anfangsverdacht begründen. Zudem wäre auch nur in einem solchen Fall die Erfüllung eines Auskunftsanspruchs des Betroffenen ohne weiteres möglich. „Zwischen den Zeilen“ wird jedoch deutlich, dass der EuGH einen anderen Interpretationsansatz favorisiert. So stellt der EuGH fest: „Der Anbieter von Online-Mediendiensten verfügt somit offenbar über Mittel, die vernünftigerweise eingesetzt werden können, um mit Hilfe Dritter, und zwar der zuständigen Behörden und dem Internetzugangsanbieter, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen“. Es bleibt abzuwarten, wie der BGH diese Antwort verwertet. Bis auf Weiteres sollten zur Vermeidung von Risiken sämtliche IP-Adressen als personenbezogen behandelt werden.
Beispiel für Disharmonisierung
Dass der EuGH die Frage von den Gegebenheiten des nationalen Rechts abhängig macht, ist im Hinblick auf die Harmonisierung des Datenschutzrechts bedauerlich. In lediglich drei Absätzen legt der EuGH die eigene Argumentation dar (zuvor werden lediglich der Sachverhalt, der Verfahrensgang und die einschlägigen Normen referiert). Die äußerst kurze Argumentation des EuGH ist, wie oben gesehen, der Auslegung zugänglich, was vor dem Hintergrund sehr unterschiedlicher Datenschutzmentalitäten in Europa genutzt werden könnte. Aufgrund der inhaltsgleichen Definition des personenbezogenen Datums in der Datenschutzgrundverordnung wird sich dies auch auf die Zeit ab dem 25. Mai 2018 – dem Inkrafttreten der DSGVO – auswirken. Zur Vermeidung von Risiken muss bis auf Weiteres und für ganz Europa davon ausgegangen werden, dass es sich bei einer IP-Adresse um ein personenbezogenes Datum handelt.