EuGH: Sind IP Adressen immer personenbezogene Daten? Und was ist mit der User ID?

In einem der für die Onlinebranche wichtigsten Urteile des europäischen Gerichtshofs seit Jahren hat der EuGH zu der Frage Stellung genommen, ob es sich bei dynamischen IP-Adressen um personenbezogene Daten handelt oder nicht (Urteil vom 19. Oktober 2016, Az. C-582/14). Hintergrund war ein Vorlagebeschluss des Bundesgerichtshofs vom 28. Oktober 2014. Dem BGH ging es insbesondere um eine Frage: Ist eine IP-Adresse, die ein Anbieter von Online-Diensten im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen ein personenbezogenes Datum, selbst wenn nur ein Dritter (hier: ein Zugangsanbieter) über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt?

Diese Frage ist für die Onlinebranche natürlich von herausragender Bedeutung. Wäre eine IP-Adresse ein personenbezogenes Datum, dann benötigte jeder, der eine solche IP-Adresse verarbeitet und zum Beispiel speichert, eine gesetzliche Rechtfertigung oder die Einwilligung der betroffenen Person. Wäre eine IP-Adresse dagegen ein anonymes Datum, würden die Datenschutzgesetze nicht zur Anwendung gelangen. Die Verarbeitung einer IP-Adresse wäre dann ohne Zustimmung des Betroffenen zulässig.

Der EuGH gelangte zu dem Ergebnis, dass eine dynamische IP-Adresse für den Anbieter einer Webseite ein personenbezogenes Datum darstelle, wenn er „über rechtliche Mittel“ verfüge, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfüge, bestimmen zu lassen. Allerdings könnten die Betreiber von Websites ein „berechtigtes Interesse“ haben, solche Daten zu speichern. Eine nationale Vorschrift wie zum Beispiel § 15 TMG (Telemediengesetz), die eine solche Speicherung verbiete, würde daher gegen europäisches Recht verstoßen.

Zwar sei eine dynamische IP-Adresse unstreitig keine Information, die sich auf eine bestimmte natürliche Person beziehen, da sich aus ihr unmittelbar weder die Identität der natürlichen Person ergäbe, der der Computer gehört, von dem aus eine Webseite aufgerufen wird, noch die Identität einer anderen Person, die diesen Computer benutzen könnte. Die IP-Adresse stelle jedoch unter gewissen Voraussetzungen Informationen über eine bestimmbare natürliche Person dar. Dies sei dann der Fall, wenn eine dynamische IP-Adresse mit Zusatzinformationen verknüpft sei, über die der Internetzugangsanbieter verfüge und welche „vernünftigerweise“ zur Bestimmung der betreffenden Person eingesetzt werden können. Deshalb sei eine dynamische IP-Adresse dann ein personenbezogenes Datum, wenn der Anbieter von Onlinediensten „über Mittel verfüge, die vernünftigerweise eingesetzt werden können“, um mithilfe Dritter, und zwar der zuständigen Behörde und dem Internetzugangsanbieter, die betreffende Person anhand der gespeicherten IP-Adresse bestimmen zu lassen. Dies sei bei dem Anbieter einer Website der Fall, denn dieser verfüge über rechtliche Mittel, die es ihm erlauben, die betreffende Person anhand der zu Informationen, über die der Internetzugangsanbieter dieser Person verfüge, bestimmen zu lassen, zum Beispiel im Rahmen eines Strafverfahrens.

Der EuGH machte aber auch deutlich, dass dort, wo diese rechtlichen Mittel nicht bestünden, davon auszugehen sei, dass entsprechende Daten als anonym zu betrachten wären.

Dieser Nebensatz hat für die Onlinebranche möglicherweise eine äußerst wichtige Bedeutung. Denn damit eröffnet der EuGH den Spielraum, Online-Identifier wie Cookie-IDs als anonymes Datum zu betrachten. Denn in diesen Fällen bestehen gerade keine rechtlichen Mittel, die es jemanden erlauben würden, die betreffende Person anhand der Informationen, über die ein anderer verfüge, bestimmen zu lassen. Der EuGH machte deutlich, dass ihm die nur die theoretische Möglichkeit einer De-Anonymisierung nicht ausreiche. Im Klartext wendete sich der EuGH damit von der auch in Deutschland vertretenen sogenannten „absoluten Theorie“ ab. In Teilen der Literatur wird deshalb bereits die Schlussfolgerung gezogen, der EuGH gestattete die Verarbeitung von anonymen Onlinekennummern, zum Beispiel im Rahmen von Big Data, zur Verarbeitung von Gesundheitsdaten oder – weitaus wichtiger – im Rahmen von Onlinewerbemaßnahmen (z.B. beim Re-Targeting, OBA etc.). Ob der EuGH wirklich so weit gehen wollte, bleibt abzuwarten. Aber eines steht jedenfalls fest: Es ist seit der Entscheidung des EuGH mehr als zweifelhaft, ob die von den deutschen Aufsichtsbehörden vertretene absolute Theorie noch aufrecht erhalten werden kann. Und ebenso zweifelhaft ist es, ob die Ausführungen des EuGH zu IP-Adressen auf Online-Identifier wie Cookie-IDs ohne weiteres übertragen werden können.

Möchten Sie noch mehr zu diesem Thema wissen, insbesondere zu der Frage, wie sich das Urteil auf Ihr Geschäftsmodell auswirkt, dann rufen Sie uns an.

Dr. Frank Eickmeier, Tel. 040 414 0000, Eickmeier@unverzagt.law

IP-Adressen und der EugH. Der Tag der Entscheidung ist der 12.05.2016.

Der 12.5.2016 dürfte einer der wichtigsten Tage des Jahres für die Onlinebranche werden. Denn an diesem Tage werden vor dem europäischen Gerichtshof die sogenannten Schlussanträge im IP-Adressen Fall gestellt und damit auch veröffentlicht.

Der Politiker Patrick Breyer, Piratenpartei, klagte gegen die BRD. Er wollte dem Bund verbieten lassen, IP-Adressen von Besuchern auf Webseiten des Bundes über die Dauer der Nutzung hinaus speichern zu dürfen. Diese Speicherung der Daten würden gegen das BMG verstoßen. Der BGH legte daraufhin diesen Fall dem europäischen Gerichtshof vor. Er wollte zwei Fragen geklärt wissen:

a) Ist Art. 2 Buchstabe a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr — Datenschutz-Richtlinie — dahin auszulegen, dass eine Internetprotokoll-Adresse (IP-Adresse), die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn ein Dritter (hier: Zugangsanbieter) über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt ?

b) Steht Art. 7 Buchstabe f der Datenschutz-Richtlinie einer Vorschrift des nationalen Rechts entgegen, wonach der Diensteanbieter personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben und verwenden darf, soweit dies erforderlich ist, um die konkrete Inanspruchnahme des Telemediums durch den jeweiligen Nutzer zu ermöglichen und abzurechnen, und wonach der Zweck, die generelle Funktionsfähigkeit des Telemediums zu gewährleisten, die Verwendung nicht über das Ende des jeweiligen Nutzungsvorgangs hinaus rechtfertigen kann ?

Im Kern geht es also um die Frage, ob eine IP-Adresse ein personenbezogenes Datum ist oder nicht. Die Bedeutung des Rechtsstreites geht aber weit darüber hinaus: gelten dieselben Überlegungen auch für andere Online Identifier, wie zum Beispiel Cooki Id´s, User Id´s, Digitale Fingerprints, etc. ?

Alle Geschäftsmodelle der Onlinebranche stehen im Rahmen dieses Verfahrens auf dem Prüfstand. Es bleibt also abzuwarten wie der EuGH entscheiden wird in dieser so wichtigen Fragestellung.

Neues zum Smart TV: Was hat „Adressable-TV“ mit Datenschutz zu tun?

Unter Adressable-TV versteht man die Verknüpfung des klassischen linearen Fernsehens mit digitaler Werbung. Weil diese Verknüpfung aber über Hbb-TV Geräte, also auf internetfähigen Geräten, empfangen werden kann, wird es zukünftig möglich, solche Werbeformate in traditionellen linearen Fernsehprogrammen über AdServer-Technologien auszuliefern und individuell auszuwerten. Deutschlandweit sind inzwischen rd. 12 Mio. internetfähige TV-Geräte ans Netz angeschlossen und können damit auch angesteuert werden. Targeting im klassischen TV wird damit endlich – möchte man meinen – möglich. Dass die aus Adressable-TV gewonnenen Daten zum Teil über Vorteile gegenüber klassischen demographischen Daten verfügen, wie sie beispielsweise die Arbeitsgemeinschaft Fernsehforschung (AGF) anbietet, liegt auf der Hand. Denn die über Hbb-TV gemessenen technischen Reichweiten sind für die klassische Werbewirtschaft oftmals noch interessanter, weil hierdurch der tatsächliche User erfasst wird, der im Moment der Erfassung zusieht. Dagegen liegen die AGF-Daten in der Regel erst am letzten Tag vor. Bei dem Adressable-TV findet also Targeting quasi in Realtime statt.

Wo aber liegt das datenschutzrechtliche Problem beim Adressable-TV? Auf den ersten Blick könnte man meinen, letztlich handelt es sich beim Adressable-TV doch um nichts anderes, als ein weiteres Endgerät, dass nunmehr an das Internet angeschlossen ist und folglich gelten hier dieselben Regeln wie im Internet. Im Internet ist es aber bekanntlich gem. § 15 Abs. 3 TMG möglich, beispielsweise zum Zwecke der Werbung und Marktforschung pseudonyme Nutzerprofile zu erstellen, sofern auf diesen Umstand hingewiesen wird und der Nutzer die Möglichkeit eines Opt-Outs hat.

Die Datenschutzbehörden weigern sich allerdings, diese Regelungen auch beim Adressable-TV/Hbb-TV zur Anwendung zu bringen. Tatsächlich droht gerade der „Untergang“ des Adressable-TVs durch eine „Orientierungshilfe“ der Landesdatenschutzbehörden. Diese „Orientierungshilfe“ zu den Datenschutzanforderungen an Smart-TV-Dienste, erstellt vom sog. „Düsseldorfer Kreis“ unter Federführung des bayerischen Landesamtes für Datenschutz, wurde in der Sitzung des Düsseldorfern Kreises vom 15./16. September 2015 beschlossen. Die Orientierungshilfe richtet sich an die Anbieter von Smart-TV-Diensten und –Produkten. Dazu zählen nach Ansicht des Düsseldorfer Kreises insbesondere Gerätehersteller, Portalbetreiber, App-Anbieter, Anbieter von Empfehlungsdiensten und Anbieter von Hbb-TV Angeboten. Wer sie noch nicht hat, kann sie gerne bei uns anfordern, eine E-Mail genügt.

In dieser Orientierungshilfe bewerten die Aufsichtsbehörden insbesondere die bei den Anbieter von Hbb-TV-Angeboten und ihren Vermarktern geübte Praxis, über eine mit dem Rundfunksignal versandte URL bereits bei der Auswahl eines Senders unmittelbar und ohne weitere Tätigkeiten des Nutzers eine Internetverbindung zu dem Server des Hbb-TV-Anbieter auszulösen. Denn dabei verwendet der Anbieter zumindest die IP-Adresse des Nutzers als (vermeintlich) personenbezogenes Datum, ohne dass für diesen datenverarbeitenden Schritt eine Rechtsgrundlage erkennbar sein. Folgerichtig halten die Aufsichtsbehörden diese Praxis für datenschutzrechtswidrig. Vielmehr weisen die Aufsichtsbehörden darauf hin, dass der Aufruf der Web-Dienste im Rahmen von Hbb-TV und die damit einhergehende wechselseitige Kommunikation erst dann stattfinden dürfe, wenn dies durch den Nutzenden selbst initiiert würde. Dies könne z. B. durch die aktive Entscheidung erfolgen, den „Red-Button“ bei Hbb-TV zu bestätigen und damit den Abruf eines Dienstes bewusst zu veranlassen. Dagegen bewerten die Aufsichtsbehörden das alleinige Einschalten eines bestimmten Programmes nicht als „bewusste Inanspruchnahme“ von Telemedien. Und eben so wenig könne das bloße Verbinden des Gerätes mit dem Internet nicht als Einwilligung verstanden werden.

D.h. im Klartext: So wie derzeit Hbb-TV genutzt wird, insbesondere zum Zwecke des Adressable-TVs und des Targetings, soll es zukünftig nicht mehr zulässig sein. Die Übertragung der IP-Adresse dürfe vielmehr erst dann erfolgen, wenn der Nutzer aktiv den „Red-Button“ geklickt habe. Die Bildung von Nutzungsprofilen nach § 15 Abs. 3 des TMG könne deshalb frühestens nach einer solchen Interaktion des Nutzenden erfolgen. Profile dürfen also erst nach Anklicken des Red-Buttons erstellt werden, aber nicht vorher. Überhaupt dürfe die IP-Adresse vor dem Klicken des Red-Buttons nicht übertragen werden.

Mit dieser Einschätzung der Aufsichtsbehörden läuft das Hbb-TV Gefahr, in Deutschland eingestellt zu werden, bevor es überhaupt richtig losgegangen ist. Denn es wird praktisch nicht möglich sein, dieses Problem technisch zu lösen. Es ist nun einmal so, dass ein Hbb-TV fähiges Gerät, dass bewusst von seinem Erwerber mit dem WLAN verbunden wurde, zur Anbindung an das Internet die IP-Adresse übermitteln muss. So funktioniert das Internet nun einmal. Es bleibt also abzuwarten, ob sich diese Auffassung der Aufsichtsbehörden durchsetzen  und wie sich die tatsächliche Praxis weiterentwickeln wird. Für weitere Anfragen zu diesem Thema wenden Sie sich gerne an uns.

 

IP- Adressen: Das Jahr der Entscheidung

Vor kurzem hat der Bundesgerichtshof dem Europäischen Gerichtshof die Frage vorgelegt, ob es sich bei IP-Adressen um personenbezogene Daten im datenschutzrechtlichen Sinne handelt (BGH-Beschluss vom 25.10.2014, VI ZR 135/13). Damit kommt es endlich zu einer europaweiten, höchstrichterlichen Rechtsprechung zu dem altbekannten Thema der Onlinebranche, ob IP-Adressen personenbezogen sind oder nicht.

Die Frage ist deshalb von kaum zu überschätzender Bedeutung, weil praktisch jede Onlinetechnologie in irgendeiner Form auf IP-Adressen zurückgreift. Adserver benötigen die IP-Adresse, um Werbung auszuliefern, Re-Targeting-Anbieter können ihr Geschäftsmodell praktisch nicht umsetzen, würden sie nicht auf IP-Adressen zurückgreifen, Geotargeting funktioniert ohne die IP-Adresse nicht, usw.

Warum ist diese Frage wichtig?

Warum ist die Frage wichtig, ob IP-Adressen personenbezogen sind oder nicht? Wären sie personenbezogen, würde jede Übertragung, Verarbeitung oder Speicherung einer IP-Adresse der vorherigen Zustimmung der betroffenen Person bedürfen. Sind sie dagegen nicht personenbezogen, kann jedermann im Rahmen seines Geschäftsmodells auf IP-Adressen zurückgreifen, ohne dass dies der Zustimmung z. B. der User z.B. einer Webseite bedarf: Nach § 12 Abs. 1 Telemediengesetz (TMG), darf „… der Diensteanbieter personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, … es erlaubt oder der Nutzer eingewilligt hat.“   (mehr …)