Das lange erwartete Urteil zur Frage, ob eine IP-Adresse ein personenbezogenes Datum ist – und viel grundlegender: was überhaupt ein personenbezogenes Datum ist – ist da: Ja, auch die dynamische IP-Adresse ist personenbezogen. Das war zu erwarten. Doch der Schock kommt mit der Antwort auf die zweite Vorlagefrage des BGH: Es darf nur noch Wischiwaschi-Gesetze im Datenschutzrecht geben. Klare gesetzliche Regelungen, die Rechtssicherheit schaffen, sind verboten. Stattdessen muss es immer eine Abwägungsklausel geben, dass zumindest aufgrund besonderer Umstände des Einzelfalls doch eine andere Entscheidung zulässig ist. Das Ende der ohnehin limitierten Rechtssicherheit im Datenschutzrecht – und mit Pech bleibt das auch unter der DSGVO so.
Der Fall
Der Richter und schleswig-holsteinische Piratenpartei-Abgeordnete Patrick Breyer hatte die Bundesrepublik Deutschland verklagt, weil diese auf verschiedenen ihrer WWW-Seiten die IP-Adressen der Besucher speichert. Der BGH (BGH, Beschl. v. 28.10.2014, Az. VI ZR 135/13 = CR 2015, 109 m. Anm. Schleipfer/Eckhardt = ITRB 2015, 55 (Rössel) = ZD 2015, 80 m. Anm. Bergt; hierzu auch Bergt, „BGH bestätigt: Webserver-Logfiles nicht nach § 100 Abs. 1 TKG erlaubt“, CRonline Blog v. 28.10.2014) hatte dem EuGH (Urt. v. 19.10.2016, Rs. C-582/14) zwei Fragen vorgelegt:
- Personenbezug: Einmal die Frage, ob Daten (konkret: IP-Adressen) personenbezogen sind, wenn zwar nicht die speichernde Stelle, aber ein Dritter (konkret der Access-Provider) den Personenbezug herstellen kann – also die Grundfrage des Datenschutzrechts, wann ein Datum Personenbezug hat (hierzu mit ausführlicher Darstellung des Streitstandes Bergt, ZD 2015, 365).
- Verwendung durch Telemedien: Einmal die Frage, ob es europarechtskonform ist, dass § 15 Abs. 1 TMG die Verwendung personenbezogener Daten über die Nutzung von Telemedien wie WWW-Seiten ausschließlich zu dem Zweck erlaubt, die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen.
Die Entscheidung
- Zum Teil „Personenbezug“
Wenig überraschend hat der EuGH entschieden, dass auch dynamische IP-Adressen für WWW-Seiten-Betreiber Personenbezug aufweisen, weil schließlich der WWW-Seiten-Betreiber Strafanzeige erstatten und die Strafverfolgungsbehörden beim Access-Provider den Nutzer erfragen können. An diese Information kann der WWW-Seiten-Betreiber wiederum über eine Akteneinsicht gelangen. Oder allgemein gesprochen: Es genügt, dass ein Dritter den Personenbezug herstellen kann, es müssen nicht alle Informationen bei einer Stelle vorliegen (Rn. 44). Die zahlenmäßig in Deutschland vorherrschende relative Theorie des Personenbezugs hat damit ihren Todesstoß erhalten.
Entscheidend ist vielmehr die Frage, ob „vernünftigerweise“ das zur Identifizierung geeignete Mittel eingesetzt wird (Rn. 45). Bei der Frage, was „vernünftig“ ist, folgt der EuGH dem Generalanwalt (hierzu Bergt, „Generalanwalt plädiert für ein Ende jeder Rechtssicherheit im Datenschutzrecht“, CRonline Blog v. 12.5.2016): Was verboten ist, ist nicht vernünftig. Ebenso, was praktisch nicht durchführbar wäre, so dass das Risiko einer Identifizierung de facto vernachlässigbar erschiene, z.B. weil der Aufwand unverhältnismäßig hoch wäre (Rn. 46). Dass Illegales nicht „vernünftig“ ist, kann man wohl getrost bezweifeln (im Detail Bergt, ZD 2015, 365, 370) – aber das ist dann wohl so. Am Ende ist der EuGH dafür großzügig, was die rechtlichen Möglichkeiten angeht: Es genügt, mehrfach „über Bande“ zu spielen, mit Staatsanwaltschaft, Provider und Akteneinsicht.
- Zum Teil „Entsetzen“
Während die Antwort auf die erste Vorlagefrage der Praxis zumindest gewisse Anhaltspunkte für die Falllösung an die Hand gibt, zerstört die Antwort auf die zweite Vorlagefrage das Wenige an Rechtssicherheit, das sich in den letzten Jahren so entwickelt hat:
Nein, die Mitgliedsstaaten dürfen Art. 7 lit. f DSRL nur präzisieren, aber dabei nicht für bestimmte Fälle generalisierende Abwägungsentscheidungen vornehmen, in welchen Fällen die Interessen des Betroffenen vorgehen und in welchen die des Datenverarbeiters. Allenfalls Regelbeispiele sind erlaubt – es muss immer Raum für ein Ergebnis bleiben, das aufgrund besonderer Umstände des Einzelfalls anders ausfällt (Rn. 62).
Damit ist ein großer Teil des nationalen Datenschutzrechts europarechtswidrig. Offensichtlich ist dies so bei pauschalen Regelungen wie § 100 Abs. 1, 2 TKG oder § 28b BDSG, aber auch bei Vorschriften wie § 28a BDSG, die auf den ersten Blick Art. 7 lit. f DSRL berücksichtigen. Denn § 28a BDSG stellt zusätzlich zur Interessenabwägung bestimmte Voraussetzungen auf, ohne deren Vorliegen kein Raum für eine Abwägung ist.
Art. 6 Abs. 1 lit. f DSGVO übernimmt in weiten Bereichen wortgleich Art. 7 lit. f DSRL, die Rechtsunsicherheit besteht also auch unter dem künftigen Recht fort. Und nicht einmal Verhaltensregeln nach Art. 40 DSGVO können darüber hinweghelfen. Denn diese dürfen zwar präzisieren, unter welchen Voraussetzungen die Verarbeitung personenbezogener Daten zulässig ist. Sie können genehmigt und von der EU-Kommission für allgemeingültig erklärt werden (Art. 40 Abs. 9 DSGVO), was Rechtssicherheit schaffen könnte (Bergt, CR 2016, 670) – wenn, ja wenn eine Präzisierung auch erlauben würde, für bestimmte Fälle ein klares „Ja“ oder ein klares „Nein“ vorzugeben.
Wir können also nur hoffen, dass der EuGH seine Rechtsprechung zur Präzisierung der DSRL nicht auf die Präzisierung der DSGVO überträgt. Ansonsten wird Datenschutz wegen der Rechtsunsicherheit wirklich zu einem echten Wirtschaftshemmnis; na ja, außer für Anwälte mit Spezialgebiet Datenschutzrecht.
P.S.: Der Treppenwitz
Das Traurige an der Entscheidung ist allerdings, dass Vorlagefrage 2 überhaupt nicht entscheidungserheblich ist:
Das Landgericht hatte bereits ein umfassendes Sachverständigengutachten eingeholt, wonach für die Abwehr von Angriffen auf Server gerade nicht die Verarbeitung von IP-Adressen erforderlich ist – das Gutachten aber nicht verwertet, weil es IP-Adressen schon nicht als personenbezogen angesehen hat. Und außerdem darf sich nach der Rechtsprechung des EuGH ein Mitgliedsstaat (vorliegend: die Bundesrepublik Deutschland als Beklagte) gegenüber einem Bürger (vorliegend: Herrn Breyer als Kläger) nicht darauf berufen, dass er europäisches Recht (vorliegend: Art. 7 lit. f DSRL) nicht korrekt in deutsches Recht (vorliegend: § 15 TMG) umgesetzt hat.
Aber dass die Antwort im konkreten Fall irrelevant ist, bedeutet leider nicht, dass sie auch sonst nicht von Bedeutung wäre.