Der EuGH-Generalanwalt hat seine Schlussanträge im Verfahren eines Piratenpolitikers gegen die Bundesrepublik vorgestellt. Rolf Schwartmann erläutert, warum der Streit hinfällig werden könnte und Deutschland sich sowieso bald fügen muss.
In der Rechtssache MdL Patrick Breyer gegen die Bundesrepublik Deutschland (Az. C-582/14) hat der Generalanwalt (GA) des Europäischen Gerichtshofs (EuGH), Campos Sánchez-Bordona, dynamische IP-Adressen als personenbezogenes Datum eingeordnet. Das entspricht soweit der in Deutschland herrschenden Meinung. Spannend hingegen ist seine Auffassung zum Verhältnis des § 15 Telemediengesetz (TMG) zu Art. 7 der Europäischen Datenschutzrichtlinie (RL 95/46/EG; DS-RiLi): Das EU-Recht lässt eine Speicherung von IP-Adressen im Gegensatz zum deutschen Recht nach einer Interessenabwägung zu.
Onlinedienste sind Telemediendienste und unterliegen den Regelungen des TMG. Das schreibt in § 15 vor, dass "der Diensteanbieter […] personenbezogene Daten eines Nutzers nur erheben und verwenden [darf], soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen". Nimmt man das ernst, dann müssen IP-Adressen für kostenlos zur Verfügung gestellte Dienste nach Abschluss einer Nutzung – also beim Schließen einer Website - gelöscht werden. Das jedenfalls ist die Auffassung des Piratenpolitikers und schleswig-holsteinischen Landtagsabgeordneten Patrick Breyer. Er hatte bis zum Bundesgerichtshof (BGH) gegen die Bundesrepublik Deutschland geklagt, weil auf staatlichen Seiten regelmäßig seine IP-Adresse über den Nutzungsvorgang hinaus gespeichert wird.
Dies geschieht, um im Ernstfall Cyberangriffe abzuwehren und die Angreifer strafrechtlichen zu verfolgen. Weil § 15 TMG dies ausdrücklich nicht zulässt, Art. 7 f der DS-RiLi aber davon abweichend eine Verarbeitung und damit auch eine Speicherung personenbezogener Daten bei Vorliegen berechtigter Interessen erlaubt, legte der BGH dem EuGH im Oktober 2014 zwei Fragen vor.
Dynamische IP-Adresse als personenbezogenes Datum
Zum einen wollte er wissen, ob eine dynamische IP-Adresse dann ein personenbezogenes Datum darstellt, wenn ein Internetzugangsanbieter (Telekommunikationsgesellschaft) mit deren Hilfe die hinter der IP-Adresse verborgene Person identifizieren kann, wenn diese eine Internetseite aufgerufen hat. Darüber herrscht in Deutschland Streit zwischen den Vertretern der "objektiven" oder auch "absoluten Theorie" (Identifizierung des Nutzers muss ohne Informationen Dritter möglich sein) und der herrschenden "relativen Theorie" (Identifizierung des Nutzers ist mit Hilfe von Informationen Dritter möglich).
GA Sánchez-Bordona hat sich jedenfalls für den typischen und durch den BGH allein aufgerufenen Anwendungsfall der relativen Theorie angeschlossen. Eine dynamische IP-Adresse hat dann Personenbezug, wenn der Internetprovider sie mit Hilfe seiner Informationen einer bestimmbaren und erst durch ihn bestimmten Person zuordnen kann. Der GA nimmt das jedenfalls für die Fälle an, in denen kein "hypothetischer, unbekannter und unerreichbarer Dritter" in Rede steht, sondern ein typischer Dritter "von dem man mit Sicherheit weiß", dass er einen Nutzer identifizieren kann.
Der GA behandelt aufgrund der Vorlagefrage allein diese typische Konstellation, die aber in der Praxis die entscheidende ist: Wer eine IP-Adresse zuordnen will, wendet sich nun einmal an den Provider. Die Überlegung, ob damit wichtige andere Dritte ausgeschlossen sind, ist eher akademisch.
2/2: Speicherung der IP-Adresse über den Nutzungsvorgang hinaus
Zur zweiten Frage des BGH gibt es keine gefestigte Linie in Rechtsprechung und Praxis. Sie betrifft das Verhältnis des TMG zur DS-RiLi, die mit dem Wirksamwerden der EU-Datenschutzgrundverordnung im Jahr 2018 aufgehoben wird. Sie richtet sich im vorliegenden Fall auch an den Staat, weil dieser als Betreiber von Onlinediensten wie eine Privatperson handelt.
§ 15 Abs. 1 TMG ist für den Sánchez-Bordona mit Art. 7 f DS-RiLi unvereinbar. § 15 TMG gestattet die Speicherung der für den GA personenbezogenen dynamischen IP-Adresse zur "Ermöglichung einer konkreten Verbindung" (…) und ist "nach deren Beendigung" zu löschen. Abweichend davon verlangt Art. 7 f. DS-RiLi eine Abwägung der Interesses des Diensteanbieters an der Speicherung des personenbezogenen Datums mit den Grundrechten des Betroffenen.
Genau diese Einzelfallabwägung schneidet § 15 TMG ab und übernimmt sie nicht in das deutsche Recht, sondern greift der Abwägung per gesetzlicher Wertung für den Generalanwalt unzulässig vor. Für den GA dürfen die Mitgliedstaaten mit Blick auf eine mögliche Grundrechtsverkürzung bestimmte Datenverarbeitungsvorgänge nicht pauschal ausschließen, sondern nur die Voraussetzungen einer rechtmäßigen Verarbeitung personenbezogener Daten festlegen.
Schritt in Richtung Vollharmonisierung des Datenschutzes
Was würde das für die Praxis bedeuten? Die Einordnung der dynamischen IP-Adresse als personenbezogenes Datum wird insbesondere durch die Datenschutzaufsicht schon jetzt als gesetzt betrachtet und die Praxis orientiert sich daran.
Die Folgeproblematik ist aber neu. Sie würde den deutschen Gesetzgeber des TMG in die Schranken weisen. Sie würde zudem die Interessenabwägung, die mit Wirkung von Art. 6 I. f Datenschutzgrund-Verordnung ab Sommer 2018 ohnehin das gesamte europäische Datenschutzrecht prägen wird, bereits jetzt in das TMG transportieren. Ob das Bundesverfassungsgericht hier Abhilfe schaffen würde, ist fraglich, denn die Argumentation des GA entspricht dem Gedanken der Vollharmonisierung des Datenschutzrechts und ist plausibel, auch wenn sie deutsche Rechtsklarheit europäischer Einzelfallabwägung opfert.
Fraglich ist auch, ob Karlsruhe noch rechtzeitig entscheiden könnte. Denn im Sommer 2018 wird nicht nur die DS-RiLi aufgehoben, sondern auch deutsches Datenschutzrecht durch eine EU-Verordnung abgelöst. Der oberste gesetzliche Richter über den Datenschutz ist dann nicht mehr das Bundesverfassungsgericht, sondern ohnehin der EuGH.
Knackpunkt: Reichweite der Interessenabwägung
Offen lässt Sánchez-Bordona, welche Kriterien in die Interessenabwägung einzubringen sind. Im Streit stehen Maßnahmen zum Erhalt der Funktionsfähigkeit des Telemediums. Was aber erhält einen Onlinedienst funktionsfähig und legitimiert die Speicherung einer IP-Adresse? Dass damit auf jeden Fall Maßnahmen gegen Sicherheitsangriffe gemeint sind, diskutiert der GA in den Schlussanträgen.
Dass er damit aber auch andere Maßnahmen, wie etwa das Ermitteln der Urheber von Beleidigungen und Hassposts oder Urheberrechtsverletzungen meinen könnte, legen seine Ausführungen nahe. Darin ist von Daten als "weiteres Beweismittel [die Rede], mit dem der Inhaber der Internetseite vom Staat die Verfolgung eines rechtswidrigen Verhaltens auf Antrag verlangen kann".
Folgt der EuGH dem GA, dann erhält deutsches Datenschutzrecht an einer zentralen Stelle eine deutliche europarechtliche Prägung in Richtung Vollharmonisierung. Dass damit, wie Kläger Breyer kritisiert, der Überwachungsstaat ausgerufen ist, kann man bezweifeln. In Datenschutzfragen ersetzt Einzelfallgerechtigkeit nach europäischen Standards dann eben Sonderwertungen der Mitgliedstaaten. Daran werden wir uns grundsätzlich gewöhnen müssen, auch wenn der EuGH dem Generalanwalt hier nicht folgen sollte.
Der Autor Prof. Dr. Rolf Schwartmann ist Leiter der Kölner Forschungsstelle für Medienrecht an der TH Köln und Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V.
Rolf Schwartmann, EuGH-Schlussanträge zu Tracking im Internet: Datenspeicherung nach Interessenabwägung zulässig . In: Legal Tribune Online, 13.05.2016 , https://www.lto.de/persistent/a_id/19376/ (abgerufen am: 10.12.2023 )
Infos zum Zitiervorschlag
