EuGH erteilt „uferlosem“ Datenschutz eine Absage

30/11/2016

Informationen unterfallen nur dann dem Datenschutzrecht, wenn sie als personenbezogene Daten zu qualifizieren sind. Die Frage der Bestimmbarkeit von Personen wurde vor allem in der deutschen Literatur kontroversiell behandelt: Das Spektrum reicht dabei von einer relativen bis zu einer objektiven (oder absoluten) Bestimmbarkeit. Der relative Ansatz geht davon aus, dass die Bestimmbarkeit von Personen ausschließlich aus Sicht der verarbeitenden Stelle (Webseitenbetreiber etc.) zu beurteilen ist, ohne dass das Wissen Dritter eine Rolle spielt.

In seiner Entscheidung zu C-582/14 vom 19.10.2016 hat der EuGH aufgrund eines Vorabentscheidungsersuchens des deutschen Bundesgerichtshofs in Zusammenhang mit der Qualifikation dynamischer IP-Adressen als personenbezogene Daten klargestellt, dass die Bestimmbarkeit von Personen relativ aus Sicht des jeweiligen für die „Verarbeitung Verantwortlichen“ zu beurteilen ist. Der EuGH erteilt damit dem „datenschutzfreundlicheren“ absoluten Ansatz eine Absage und schlägt dabei gewissermaßen einen Mittelweg ein: Es sei nur das Wissen  solcher Dritter relevant, an die sich der für die Verarbeitung Verantwortliche „vernünftigerweise“  wenden könnte. Dies sei nicht der Fall, wenn der Kontakt mit dem Dritten gesetzlich verboten oder praktisch nicht durchführbar wäre.

1. Sachverhalt und Entscheidung

Der deutsche Jurist Dr. Patrick Breyer, Fraktionschef der Piratenpartei im schleswig-holsteinischen Landtag, wollte die Frage geklärt sehen, ob dynamische IP-Adressen für einen Webseitenbetreiber personenbezogene Daten sind. Zu diesem Zweck ging er exemplarisch gegen die Bundesrepublik Deutschland vor, da er verhindern wollte, dass mehrere allgemein zugängliche Webseiten von Einrichtungen des Bundes Protokolldaten aufzeichnen, die unter anderem die IP-Adresse des Nutzers, die aufgerufene URL und den Zeitpunkt der Abfrage enthielten. Die Aufzeichnung der Zugriffe erfolgte zur Abwehr von Angriffen, insbesondere von Denial-of-Service-Attacken, und zur strafrechtlichen Verfolgung von Angreifern. Beim Abruf der Webseiten wurde somit unter anderem die dynamische IP-Adresse des Computers von Herrn Breyer aufgezeichnet.

Anders als statische IP-Adressen erlauben dynamische IP-Adressen es nicht, anhand allgemein zugänglicher Dateien eine Verbindung zwischen einem Computer und dem vom Internetzugangsanbieter verwendeten physischen Netzanschluss herzustellen. Der EuGH hielt fest, dass es unstrittig sei, dass dynamische IP-Adressen keine Information darstellen, die sich auf eine „bestimmte natürliche Person“ beziehe, da sich aus ihr unmittelbar weder die Identität der natürlichen Person ergäbe, der der Computer gehöre, noch die Identität einer andere Person, die diesen Computer benutzen könnte.

Aus Artikel 2a der Datenschutzrichtlinie 95/46/EG gehe hervor, dass nicht nur eine direkt identifizierbare, sondern auch eine indirekt identifizierbare Person als bestimmbar angesehen werde. Bei der Entscheidung, ob eine Person bestimmbar ist, führe der 26. Erwägungsgrund der Datenschutzrichtlinie aus, dass alle Mittel berücksichtigt werden sollten, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen.

Der EuGH musste daher die Frage beurteilen, ob die Möglichkeit, eine dynamische IP-Adresse mit den Zusatzinformationen zu verknüpfen, über die der Internetzugangsanbieter verfügt, ein Mittel darstellt, das vernünftigerweise zur Bestimmung der betreffenden Person eingesetzt werden kann. Dies sei dann nicht der Fall, wenn die Identifizierung der betreffenden Person gesetzlich verboten oder praktisch nicht durchführbar wäre, z.B. weil sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskräften erfordern würde, sodass das Risiko eine Identifizierung de facto vernachlässigbar erschiene.

Nach Ansicht des EuGH ist eine dynamische IP-Adresse, die vom Anbieter von Online-Mediendiensten gespeichert wird, nur dann ein personenbezogenes Datum, wenn er über rechtliche Mittel verfügt, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter verfügt, bestimmen zu lassen.

Im Ausgangsverfahren sei dies der Fall, da es aufgrund der Vorlageentscheidung des BGH für den Anbieter von Online-Diensten (in Deutschland) offenbar rechtliche Möglichkeiten gebe, insbesondere im Fall von Cyberattacken, sich an die zuständige Behörde zu wenden, um die notwendigen Informationen vom Internetzugangsanbieter zu erlangen und die Strafverfolgung einzuleiten.

2. Schlussfolgerung

Der EuGH erteilt damit dem datenschutzfreundlicheren „absoluten“ Ansatz eine Absage und macht klar, dass IP-Adressen bei einem Anbieter von Online-Mediendiensten nur dann als personenbezogene Daten gelten, wenn dieser über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand von Zusatzinformationen (allenfalls über „vernünftigerweise“ einsetzbare Dritte) zu identifizieren. Damit schafft der EuGH aber nicht unbedingt Klarheit: Es  bleibt dem für die Verarbeitung Verantwortlichen (des „Auftraggebers“ in der Terminologie des DSG 2000) überlassen zu entscheiden, ob er über Mittel oder Dritte verfügt, die „vernünftigerweise“ für die Identifizierung von Personen eingesetzt werden können, und er sich daher dem Datenschutzrecht unterwerfen muss. Für das Urteil und den relativen Bestimmbarkeitsbegriff spricht jedenfalls, dass der absolute Bestimmbarkeitsbegriff von einer gewissen Fiktion ausgeht, die darauf abstellt, ob ein beliebiger Dritter in der Lage ist, eine bestimmte Person zu identifizieren. Dies könnte freilich nie gänzlich ausgeschlossen werden (man denke an die Möglichkeiten von Geheimdiensten), was zu einem scheinbar „uferlosen“ Datenschutz führen würde.

Rechtssicherheit für Unternehmen dürfte mit der Entscheidung aber nicht verbunden sein. Sind Kennnummern und IDs, ohne Speicherung des Namens nun (jedenfalls) personenbezogene Daten? Wie verhält es sich mit Cookies, die eingesetzt werden, um eine bestimmte Person, die nicht notwendigerweise namentlich bekannt ist, im Web beispielsweise zwecks Profilerstellung zu singularisieren?

Letztendlich sei noch darauf hingewiesen, dass das österreichische DSG 2000 die der Datenschutzrichtlinie fremde Kategorie der „indirekt personenbezogenen Daten“ vorsieht, die dadurch definiert ist, dass der Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann. Vor dem Hintergrund des EuGH Urteils ist fraglich, ob bei rechtlicher Unzulässigkeit der Identifizierung aus Sicht des jeweiligen Verwenders überhaupt noch personenbezogene Daten vorliegen und wie diese Datenkategorie im Verhältnis zum Unionsrecht einzuordnen ist. 

Autoren

Das Photo von Johannes Scharf
Johannes Scharf
Associate