Dynamische IP-Adressen: EuGH-Urteil mit Marketingbrisanz

Seit Jahren bereitet die Frage, ob dynamische IP-Adressen personenbezogene Daten sind und welche Folgen dies haben könnte, Juristen und Marketern Kopfzerbrechen. Denn wenn es sich um personenbezogene Daten handeln würde, wäre eine Verwendung nach deutschem Recht grundsätzlich nur mit Einwilligung des Nutzers möglich. Nun hat der Europäische Gerichtshof (EuGH) eine Antwort gefunden, die für Furore sorgen könnte: Auch dynamische IP-Adressen seien personenbezogene Daten, so die Richter. Gleichzeitig könnten Websitebetreiber jedoch ein berechtigtes Interesse an der Speicherung haben – diese wäre dann also erlaubt. Die Geschichte zum Fall, welche Folgen die Entscheidung für die Marketingwelt haben könnte und was Betreiber von Websites nun unbedingt beachten sollten hat Rechtsanwalt Dr. Stephan Gärtner für uns zusammengefasst.

ip-adressen-stephan-gaertnerDr. Stephan Gärtner ist Gründer der Kanzlei STANHOPE und bundes- und europaweit als Rechtsanwalt für Datenschutzrecht tätig. Er berät v.a. mittelständische Unternehmen in datenschutzrechtlichen und angrenzenden Fragen, sowohl in Einzelfällen als auch als betrieblicher Datenschutzbeauftragter.


Das deutsche Telemediengesetz (TMG), das sog. „Internetgesetz“, schränkt die Betreiber einer Internetseite erheblich ein, soweit es darum geht, IP-Adressen der Besucher zu speichern. Wollte der Betreiber diese Daten auch nach dem jeweiligen Besuch weiterspeichern, setzte das TMG hier bisher enge Grenzen. Der Europäische Gerichtshof (Urt. v. 19. Oktober 2016 – C-582/14) hat diese Grenzen nun etwas verschoben, was v. a. in puncto Online-Marketing neue Möglichkeiten zulässt. Dennoch ist in der Entscheidung kein Freibrief zu sehen.

Die Vorgeschichte: Abgeordneter klagte gegen BMJV

Dem Urteil des Europäischen Gerichtshofs ging ein deutscher Rechtsstreit voraus. Der schleswig-holsteinische Landtagsabgeordnete Patrick Breyer klagte gegen das Bundesministerium für Justiz und Verbraucherschutz (BMJV). Ihn störte, dass das BMJV die IP-Adressen seiner Internetseitenbesucher für 14 Tage speichert.

Ein kleiner Exkurs zum Wording: IP-Adressen sind grob gesagt die Nummernschilder des Internets; man erkennt an ihnen vielleicht den Herkunftsort des Inhabers, benötigt aber externe Hilfe, um die IP-Adresse einem Namen und einer Anschrift zuzuordnen. Hierbei muss man auch wissen, dass es statische und dynamische IP-Adressen gibt. Dynamische IP-Adressen ändern sich regelmäßig und sind weitaus verbreiteter. Im hiesigen Fall wird es v. a. um dynamische IP-Adressen gehen.

Das Amtsgericht Berlin-Tiergarten (Urt. v. 13. August 2008 – 2 C 6/08) wies die Klage zunächst ab. Das Landgericht Berlin fand im Berufungsverfahren ein vermittelndes Urteil (Urt. v. 31. Januar 2013 – 57 S 87/08), das aber weder von Breyer noch vom BMJV akzeptiert wurde. Also musste der Bundesgerichtshof entscheiden, ob das BMJV diese Speicherungspraxis zu unterlassen hat oder nicht. Da hier die Grundzüge des europäischen Datenschutzrechts betroffen waren, setzte der Bundesgerichtshof das Verfahren aus und fragte zunächst den Europäischen Gerichtshof, ob die Grundzüge des Datenschutzrechts auf diese Speicherung überhaupt anwendbar seien, und wenn ja, welche Folgen dies haben würde (Beschluss vom 28. Oktober 2014 – VI ZR 135/13).

Die Grundzüge des Datenschutzrechts

Die Grundzüge des Datenschutzrechts sind schnell erzählt. Sein Leitprinzip lautet: Jedweder Umgang mit personenbezogenen Daten ist verboten (Grundsatz), es sei denn, eine von zwei Ausnahmen greift: Entweder der Betroffene willigt ein (Ausnahme 1) oder eine Rechtsvorschrift erlaubt diesen Vorgang (Ausnahme 2).

Was musste konkret entschieden werden?

Der Bundesgerichtshof hatte zwei Fragen:

Erstens wollte er wissen, ob die über den Benutzungsvorgang hinausgehende Speicherung von IP-Adressen überhaupt von dem grundsätzlichen Verbot erfasst würde. Konkret ging es ihm um die Frage, ob IP-Adressen personenbezogene Daten seien, denn nur dann würde das sog. datenschutzrechtliche Verbot mit Erlaubnisvorbehalt greifen.

Und zweitens fragte er, ob in diesem Fall eine Rechtsvorschrift dies erlauben würde. Hier ging es konkret um § 15 TMG, der die fortdauernde Speicherung nur unter sehr engen Voraussetzungen gestattet. Den Bundesgerichtshof interessierte v. a., ob diese Voraussetzungen zu eng seien, um mit dem europäischen Recht übereinzustimmen.

Die rechtliche Ausgangslage 

Die Brisanz dieser Frage versteht nur, wer sich mit der bisherigen Rechtslage beschäftigt. Daher ein kurzer Überblick:

Das Datenschutzrecht ist in Deutschland v.a. im Bundesdatenschutzgesetz und zahlreichen Landesdatenschutzgesetzen geregelt. Grob vereinfacht gilt das Bundesdatenschutzgesetz für Bundesbehörden, wie das BMJV, sowie für nichtöffentliche Stellen, z. B. Unternehmen. Die Landesdatenschutzgesetze gelten für Behörden der Länder.

Im hiesigen Fall geht jedoch ein spezielleres Gesetz vor, nämlich das Telemediengesetz. Dieses auch als „Internetgesetz“ bezeichnete Regelwerk widmet sich dem zulässigen und unzulässigen Umgang mit sog. Telemedien, wozu auch das Internet bzw. das Anbieten von Internetseiten gehört. Der vierte Abschnitt dieses Gesetzes umfasst das spezielle Datenschutzrecht dieser Telemedien. Dieser Abschnitt gilt sowohl für Unternehmen als auch für Behörden.

In § 12 Absatz 1 TMG ist eben das geregelt, was oben als Leitprinzip des Datenschutzrechts bezeichnet wird. Soweit Telemedien eingesetzt werden, dürfen personenbezogene Daten grundsätzlich nicht erhoben oder verwendet (=verarbeitet, genutzt) werden, es sei denn, der Nutzer willigt ein oder eine (telemedienspezifische) Rechtsvorschrift erlaubt dies. Auch im Bundesdatenschutzgesetz gibt es eine solche Regelung, nämlich in § 4 Absatz 1 BDSG.

Zurück zum Fall: Das BMJV speicherte die IP-Adressen für 14 Tage. Dies unterfiele nur dann dem Verbot mit Erlaubnisvorbehalt, wenn die hier v. a. betroffenen dynamischen IP-Adressen personenbezogene Daten wären. Und genau das war die erste Frage des Bundesgerichtshofs. Da das TMG den Begriff „personenbezogene Daten“ selbst nicht regelt, mussten die Gerichte auf das Bundesdatenschutzgesetz und dort § 3 Absatz 1 BDSG zurückgreifen. Danach sind solche Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Hier gingen einige Gerichte schon davon aus, dass auch dynamische IP-Adressen i.V.m. dem Zeitpunkt des Nutzungsvorgangs personenbezogen sind (zuletzt gerade auch das Landgericht Berlin, Urt. v. 31. Januar 2013 – 57 S 87/08). Eine einheitliche Linie gab es hierzu aber nicht.

Doch wenn man das bejaht, steht fest, dass das Speichern der dynamischen IP-Adressen grundsätzlich verboten ist. Dann käme die Frage auf, ob es eine Möglichkeit gibt, dies ausnahmsweise zu rechtfertigen. Und weil es für viele Internetseitenbetreiber unpraktisch wäre, stets eine Einwilligung einzuholen, verengt sich die Frage wie folgt:

Gibt es ein Gesetz, das die Speicherung dieser IP-Adressen erlaubt?

In Betracht kommt § 15 TMG und dort v. a. die Absätze 1 und 4. Kurz zusammengefasst erlauben diese Vorschriften Folgendes: Nach Absatz 1 darf der Betreiber einer Internetseite personenbezogene Nutzerdaten ausnahmsweise nur dann erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Nach Absatz 4 Satz 1 ist eine Speicherung von personenbezogenen Daten über das Ende des Nutzungsvorgangs hinaus nur erlaubt, soweit sie für Zwecke der Abrechnung mit dem Nutzer erforderlich ist.

Nun ist offenkundig, dass § 15 Absatz 4 TMG im konkreten Fall nicht in Betracht kam, da das BMJV gegenüber seinen Internetseitenbesuchern in der Regel keine Abrechnung vornimmt. Spannender war schon die Frage, ob eine Rechtfertigung nach Absatz 1 in Betracht kommt.

Bislang wurde § 15 TMG oftmals so angewendet, dass die Erhebung und Verwendung personenbezogener Daten eines Nutzers einer Website nur erlaubt sei, um eine konkrete Nutzung der Website zu ermöglichen, und dass die Daten, soweit sie nicht für Abrechnungszwecke benötigt würden, mit dem Ende des jeweiligen Nutzungsvorgangs zu löschen seien. Dies entspricht auch dem Wortlaut der Norm.

Erneut zurück zum Fall: Der Bundesgerichtshof wollte wissen, ob diese enge Anwendung des § 15 TMG mit der europäischen Datenschutzrichtlinie vereinbar sei (95/46/EG). Denn dort ist eine solche Einschränkung jedenfalls nicht vorgesehen. In der Richtlinie heißt es zum Thema einer gesetzlichen Erlaubnisnorm grob vereinfacht, dass die Mitgliedstaaten eine Erlaubnisnorm schaffen müssen, die einen einwilligungsunabhängigen Umgang mit personenbezogenen Daten erlaubt, wenn dies durch ein überwiegendes Interesse gerechtfertigt ist (Artikel 7 lit. f). Dies geht natürlich sehr viel weiter als § 15 TMG.

Die Entscheidung

Nun hat der Europäische Gerichtshof entschieden; und dies mit einer typischen „Ja, aber“-Antwort.

Zur Frage 1 sagte er, dass dynamische IP-Adressen durchaus personenbezogene Daten sein können. Aber er begrenzt diese Fälle: Dynamische IP-Adressen sind danach nur dann personenbezogene Daten, wenn der Seitenbetreiber zumindest theoretisch über die rechtlichen Mittel verfügt, die IP-Adresse einer Person zuzuordnen. Unerheblich ist, ob er diese tatsächlich ausübt; es reicht, wenn er die Möglichkeit hat. Da es solche rechtlichen Mittel in vielen Konstellationen gibt, dürfte sehr häufig davon auszugehen sein, dass dynamische IP-Adressen personenbezogen sind.

Zur Frage 2 führte der Europäische Gerichtshof aus, dass das bisherige Verständnis zu § 15 TMG nicht mit europäischem Recht vereinbar sei. Das heißt, dass eine fortwährende Speicherung nicht nur dann zulässig ist, wenn es darum geht, eine Abrechnung zu ermöglichen. Vielmehr können im Einzelfall auch andere Interessen eine solche Speicherung rechtfertigen.

Folgen für die Praxis – was Websitebetreiber wissen müssen

Für die Betreiber von Internetseiten gibt es nun einiges zu tun.

  1. Die Betreiber sollten prüfen, welche personenbezogene Daten ihrer Nutzer sie speichern.
  2. Die Betreiber sollten sodann ermitteln, ob es in Bezug auf diese Daten (Punkt 1) rechtliche Möglichkeiten der Zuordnung gibt. (Hierfür bietet sich ein sog. Verfahrensverzeichnis an.)
  3. Falls die Frage 2 zu dem Ergebnis führt,
    1. dass es keine rechtlichen Möglichkeiten der Zuordnung gibt, ist die Verwendung dieser Daten deutlich freier als bislang. Dies sollte im Einzelfall genau geprüft werden, wobei sich dann insbesondere mit Blick auf das Online-Marketing neue Perspektiven erschließen.
    2. dass es hinsichtlich aller oder zumindest einiger Daten rechtliche Möglichkeiten der Zuordnung gibt, ist das Datenschutzrecht insoweit anwendbar.
  4. Für den unter 3.b. beschriebenen Fall ist zu prüfen, ob diese Daten über den Benutzungsvorgang hinaus gespeichert werden.
  5. Falls 4. „bejaht“ wird, sollte dringend geprüft werden, welche Interessen damit verfolgt werden und ob diese zur Zulässigkeit der fortwährenden Speicherung führen.

Gerade mit Blick auf die Frage 5 werden nun viele Betreiber von Internetseiten fragen, ob damit auch Marketinginteressen gemeint sind, was unter anderem im Hinblick auf personalisierten Content spannend wäre. Da es aber darum in der Entscheidung des EuGH nicht ging, kann diese Frage nicht abschließend beantwortet werden. Grundsätzlich lässt die europäische Datenschutzrichtlinie auch Marketingmaßnahmen zu, zieht aber auch hier enge Grenzen. Daher wird es voraussichtlich darauf ankommen, wie eine konkrete Maßnahme ausgestaltet ist und wie sie die Interessen der betroffenen Nutzer berücksichtigt.

Der EuGH hat die Tür ein Stück weit geöffnet. Wie weit, das wird erst die Zukunft zeigen. Daher kann nur im Einzelfall entschieden werden. Aber immerhin ist ein solcher Einzelfall jetzt denkbar.


1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (6 Stimmen, Durchschnitt: 4,50 von insgesamt 5)

Wir freuen uns natürlich über Feedback, Anregungen und Hinweise. Wer keinen Beitrag verpassen möchte, kann sich für unseren textbest-Newsletter anmelden und bekommt wöchentlich den neuen Artikel bequem ins virtuelle Postfach.

Newsletter/

Wenn Sie unseren Newsletter abonnieren, stimmen Sie unseren Datenschutzbestimmungen zu.

geschrieben von: Gastautor

Gastautor

An dieser Stelle veröffentlichen wir im textbest-Blog Beiträge von Gastautoren, die unser Know-how optimal ergänzen und Ihnen Einblicke in angrenzende Themenfelder bieten.

Teilen Sie diesen Beitrag, wenn er Ihnen gefällt!
  •  
  •  
  •  
  •  
  •  
  •  
  •