Mit Urteil vom 19.10.2016 (C-582/14) hat der EuGH zur Qualifizierung dynamischer IP-Adressen als personenbezogene Daten sowie zur Zulässigkeit der Speicherung auf Grundlage der RL 95/46/EG Stellung genommen.
Das Urteil ist in einem Vorabentscheidungsverfahren nach Art. 267 AEUV ergangen. Beklagte des Ausgangsverfahrens war die Bundesrepublik Deutschland. Der Kläger, ein schleswig-holsteinischer Landtagsabgeordneter der Piratenpartei, hatte die Bundesrepublik Deutschland gerichtlich in Anspruch genommen, weil auf verschiedenen Webseiten des Bundes die IP-Adresse des abrufenden Computers gespeichert wurde. Streitig war u. a., ob eine dynamische IP-Adresse überhaupt als personenbezogenes Datum zu qualifizieren ist, wenn nicht der Webseitenbetreiber, sondern nur ein Dritter in Person des Internetproviders die zur Zuordnung einer dynamischen IP-Adresse zum jeweiligen Internetnutzer erforderlichen Zusatzinformationen besitzt. Ferner war zu prüfen, ob Art. 7 lit. f der RL 95/46/EG einer Regelung wie § 15 TMG entgegensteht, die eine Erhebung personenbezogener Daten nur in engen Grenzen erlaubt und keine Interessenabwägung vorsieht. Nach Art. 7 lit. f ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie erforderlich zur Verwirklichung des berechtigten Interesses ist, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person, die gemäß Artikel 1 Absatz 1 geschützt sind, überwiegen.
Der EuGH hat entschieden, dass eine dynamische IP-Adresse, die vom Webseitenbetreiber beim Zugriff einer Person auf eine Webseite gespeichert wird, für den Webseitenbetreiber dann ein personenbezogenes Datum darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetprovider verfügt, bestimmen zu lassen. Damit stellt sich die (noch ungeklärte) Frage, ob es ausreicht, wenn das nationale Gesetz unter bestimmten Voraussetzungen Auskunftsansprüche gegen den Internetprovider vorsieht, oder ob diese Voraussetzungen im konkreten Einzelfall vorliegen müssen, um die dynamische IP-Adresse als „bestimmbar“ zu qualifizieren.
Weiterhin hat der EuGH entschieden, dass Art. 7 lit. f der RL 46/95/EG der Regelung eines Mitgliedstaats entgegensteht, nach der ein Webseitenbetreiber personenbezogene Daten eines Nutzers der Webseite ohne dessen Einwilligung nur erheben und verwenden darf, soweit die Erhebung und Verwendung erforderlich sind, um die konkrete Inanspruchnahme der Dienste durch den betreffenden Nutzer zu ermöglichen und abzurechnen, ohne dass der Zweck, die generelle Funktionsfähigkeit der Dienste zu gewährleisten, die Verwendung der Daten über das Ende eines Nutzungsvorgangs hinaus rechtfertigen kann. Während nämlich in Art. 7 lit. f der RL 46/95/EG allgemein auf die Verwirklichung des berechtigten Interesses Bezug nehme, gestatte § 15 TMG nach der vom EuGH prozessual zugrunde gelegten Auslegung dem Diensteanbieter die Erhebung und Verwendung personenbezogener Daten eines Nutzers nur, soweit dies erforderlich ist, um die konkrete Inanspruchnahme elektronischer Medien zu ermöglichen und abzurechnen. § 15 TMG stünde demnach einer zur Gewährleistung der Inanspruchnahme von Online-Mediendiensten dienenden Speicherung personenbezogener Daten über das Ende des Zugriffs auf diese Dienste hinaus allgemein entgegen. Wie der EuGH hervorhebt, könnten die Einrichtungen des Bundes, die Online-Mediendienste anbieten, jedoch ein berechtigtes Interesse daran haben, die Aufrechterhaltung der Funktionsfähigkeit der von ihnen allgemein zugänglich gemachten Webseiten über ihre konkrete Nutzung hinaus zu gewährleisten.
Quelle: EuGH v. 19.10.2016, C-582/14, ECLI:EU:C:2016:779, Breyer ./. Bundesrepublik Deutschland
