IP- Adressen: Das Jahr der Entscheidung

Vor kurzem hat der Bundesgerichtshof dem Europäischen Gerichtshof die Frage vorgelegt, ob es sich bei IP-Adressen um personenbezogene Daten im datenschutzrechtlichen Sinne handelt (BGH-Beschluss vom 25.10.2014, VI ZR 135/13). Damit kommt es endlich zu einer europaweiten, höchstrichterlichen Rechtsprechung zu dem altbekannten Thema der Onlinebranche, ob IP-Adressen personenbezogen sind oder nicht.

Die Frage ist deshalb von kaum zu überschätzender Bedeutung, weil praktisch jede Onlinetechnologie in irgendeiner Form auf IP-Adressen zurückgreift. Adserver benötigen die IP-Adresse, um Werbung auszuliefern, Re-Targeting-Anbieter können ihr Geschäftsmodell praktisch nicht umsetzen, würden sie nicht auf IP-Adressen zurückgreifen, Geotargeting funktioniert ohne die IP-Adresse nicht, usw.

Warum ist diese Frage wichtig?

Warum ist die Frage wichtig, ob IP-Adressen personenbezogen sind oder nicht? Wären sie personenbezogen, würde jede Übertragung, Verarbeitung oder Speicherung einer IP-Adresse der vorherigen Zustimmung der betroffenen Person bedürfen. Sind sie dagegen nicht personenbezogen, kann jedermann im Rahmen seines Geschäftsmodells auf IP-Adressen zurückgreifen, ohne dass dies der Zustimmung z. B. der User z.B. einer Webseite bedarf: Nach § 12 Abs. 1 Telemediengesetz (TMG), darf „… der Diensteanbieter personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, … es erlaubt oder der Nutzer eingewilligt hat.“  

„Personenbezogene Daten“ sind nach § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) „… Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“. Speichert daher ein Webseitenbetreiber in seinen Logfiles IP-Adressen, sind diese jedenfalls im Kontext mit den weiteren in den Protokolldaten gespeicherten Daten als Einzelangaben über sachliche Verhältnisse anzusehen, da die Daten Aufschluss darüber geben, dass zu bestimmten Zeitpunkten bestimmte Seiten bzw. bestimmte Dateien über das Internet abgerufen wurden.

Da die gespeicherten Daten aber aus sich heraus keinen unmittelbaren Rückschluss auf die Identität eines Internetusers zulassen, ist dieser nach Auffassung des Bundesgerichtshofs nicht „bestimmt“ im Sinne von § 3 Abs. 1 BDSG. Für den Personenbezug – und damit auch für die Entscheidung des Europäischen Gerichtshofs – kommt es deshalb darauf an, ob der User „bestimmbar“ ist. Diese „Bestimmbarkeit“ einer Person setzt voraus, dass grundsätzlich die Möglichkeit besteht, ihre Identität festzustellen. Umstritten dabei ist, ob bei dieser Prüfung der Bestimmbarkeit ein objektiver oder ein relativer Maßstab anzulegen ist.

Nach der von den Datenschutzbehörden bisher vertretenen Auffassung kommt es auf den objektiven Maßstab an und nicht auf die „individuellen Verhältnisse“ des jeweiligen Webseitenbetreibers (der die datenschutzrechtlich verantwortliche Stelle im Sinne des Datenschutzrechts ist). Danach sei ein Personenbezug bei IP-Adressen auch dann anzunehmen, wenn irgendein Dritter auf der Welt in der Lage wäre, die Identität des Betroffenen festzustellen, z. B. der Zugangsprovider oder der Telekommunikationsanbieter, der den jeweiligen Internetzugang zur Verfügung stellt und der unschwer ermitteln könnte, wer, wann, zu welchem Zeitpunkt welchen Internetanschluss benutzt hat.

Die ganz überwiegende Auffassung in der einschlägigen Literatur vertrat dem gegenüber bisher einen relativen Ansatz: Ein Personenbezug sei danach zu verneinen, wenn die Bestimmung des Betroffenen gerade für die verantwortliche Stelle – also den Webseitenbetreiber – mit einem unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft verbunden wäre, so dass das Risiko einer Identifizierung praktisch als irrelevant erscheint.

Auch der Bundesgerichtshof scheint dieser Auffassung zuzuneigen. Er betont folgerichtig, dass, dieselben Daten für eine Stelle – etwa für den Zugangsanbieter – personenbezogen  und für eine andere Stelle – etwa den Anbieter einer Internetseite – nicht personenbezogen sein können. Da diese Frage letztlich von der Auslegung des Art. 2a der europäischen Datenschutzrichtlinie abhänge, und diese Frage im konkret zu entscheidenden Streitfall für den Bundesgerichtshof entscheidungserheblich ist, sah der BGH sich veranlasst, diese Frage nunmehr dem Europäischen Gerichtshof vorzulegen. Würde man dem objektiven Ansatz folgen, so wären die dem Anschluss eines Internetusers (in dem Verfahren vor dem BGH der Kläger) zugewiesenen und von dem beklagten Webseitenbetreiber gespeicherten dynamischen IP-Adressen auch über das Ende der einzelnen Nutzungsvorgänge hinaus personenbezogen. Würde man demgegenüber dem relativen Ansatz folgen, so wäre der Personenbezug im Streitfall zu verneinen, da der Webseitenbetreiber, der die IP-Adressen gespeichert hatte, den Kläger nicht ohne unverhältnismäßigen Aufwand identifizieren könnte.

Es bleibt daher abzuwarten, wie der Europäische Gerichtshof sich in dieser Frage positioniert. Käme er zu dem Ergebnis, dass eine (dynamische) IP-Adresse für jeden Webseitenbetreiber, Re-Targeting-Anbieter oder Anbieter von Behavioral Targeting-Dienstleistungen personenbezogen sei, würde ein großes Problem auf die Onlinebranche zurollen, da sich dann die Frage stellen würde, wie eine Einwilligung der Nutzer eingeholt werden könnte. Verneint der EuGH dagegen die Personenbezogenheit einer IP-Adresse, wäre diese Frage endlich für die Onlinebranche gelöst. Es wird also spannend im Jahr 2015.