EuGH-Schlussanträge zu Tracking im Internet: Datenspeicherung nach Interessenabwägung zulässig [extern]
Der EuGH-Generalanwalt hat seine Schlussanträge im Verfahren eines Piratenpolitikers gegen die Bundesrepublik vorgestellt. Rolf Schwartmann erläutert, warum der Streit hinfällig werden könnte und Deutschland sich sowieso bald fügen muss.
In der Rechtssache MdL Patrick Breyer gegen die Bundesrepublik Deutschland (Az. C-582/14) hat der Generalanwalt (GA) des Europäischen Gerichtshofs (EuGH), Campos Sánchez-Bordona, dynamische IP-Adressen als personenbezogenes Datum eingeordnet. Das entspricht soweit der in Deutschland herrschenden Meinung. Spannend hingegen ist seine Auffassung zum Verhältnis des § 15 Telemediengesetz (TMG) zu Art. 7 der Europäischen Datenschutzrichtlinie (RL 95/46/EG; DS-RiLi): Das EU-Recht lässt eine Speicherung von IP-Adressen im Gegensatz zum deutschen Recht nach einer Interessenabwägung zu.
Onlinedienste sind Telemediendienste und unterliegen den Regelungen des TMG. Das schreibt in § 15 vor, dass “der Diensteanbieter […] personenbezogene Daten eines Nutzers nur erheben und verwenden [darf], soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen”. Nimmt man das ernst, dann müssen IP-Adressen für kostenlos zur Verfügung gestellte Dienste nach Abschluss einer Nutzung – also beim Schließen einer Website – gelöscht werden. Das jedenfalls ist die Auffassung des Piratenpolitikers und schleswig-holsteinischen Landtagsabgeordneten Patrick Breyer. Er hatte bis zum Bundesgerichtshof (BGH) gegen die Bundesrepublik Deutschland geklagt, weil auf staatlichen Seiten regelmäßig seine IP-Adresse über den Nutzungsvorgang hinaus gespeichert wird.
Dies geschieht, um im Ernstfall Cyberangriffe abzuwehren und die Angreifer strafrechtlichen zu verfolgen. Weil § 15 TMG dies ausdrücklich nicht zulässt, Art. 7 f der DS-RiLi aber davon abweichend eine Verarbeitung und damit auch eine Speicherung personenbezogener Daten bei Vorliegen berechtigter Interessen erlaubt, legte der BGH dem EuGH im Oktober 2014 zwei Fragen vor.
Dynamische IP-Adresse als personenbezogenes Datum
Zum einen wollte er wissen, ob eine dynamische IP-Adresse dann ein personenbezogenes Datum darstellt, wenn ein Internetzugangsanbieter (Telekommunikationsgesellschaft) mit deren Hilfe die hinter der IP-Adresse verborgene Person identifizieren kann, wenn diese eine Internetseite aufgerufen hat. Darüber herrscht in Deutschland Streit zwischen den Vertretern der “objektiven” oder auch “absoluten Theorie” (Identifizierung des Nutzers muss ohne Informationen Dritter möglich sein) und der herrschenden “relativen Theorie” (Identifizierung des Nutzers ist mit Hilfe von Informationen Dritter möglich).
GA Sánchez-Bordona hat sich jedenfalls für den typischen und durch den BGH allein aufgerufenen Anwendungsfall der relativen Theorie angeschlossen. Eine dynamische IP-Adresse hat dann Personenbezug, wenn der Internetprovider sie mit Hilfe seiner Informationen einer bestimmbaren und erst durch ihn bestimmten Person zuordnen kann. Der GA nimmt das jedenfalls für die Fälle an, in denen kein “hypothetischer, unbekannter und unerreichbarer Dritter” in Rede steht, sondern ein typischer Dritter “von dem man mit Sicherheit weiß”, dass er einen Nutzer identifizieren kann.
Der GA behandelt aufgrund der Vorlagefrage allein diese typische Konstellation, die aber in der Praxis die entscheidende ist: Wer eine IP-Adresse zuordnen will, wendet sich nun einmal an den Provider. Die Überlegung, ob damit wichtige andere Dritte ausgeschlossen sind, ist eher akademisch.