BGH bestätigt: Webserver-Logfiles nicht nach § 100 Abs. 1 TKG erlaubt
Das heutige BGH-Urteil zur IP-Adressen-Speicherung enthält neben dem Offensichtlichen eine weitere wichtige Aussage: WWW-Server-Betreiber können sich nicht auf § 100 Abs. 1 TKG berufen, wenn sie die IP-Adressen ihrer Besucher loggen wollen. Damit bestätigt der BGH insoweit das Urteil der Vorinstanz gegen eine in der Praxis verbreitete Ansicht.
Die Vorlageentscheidung
Der BGH (Beschl. v. 28.10.2014 - VI ZR 135/13) hat entschieden, dem EuGH zwei Fragen vorzulegen: Erstens die bis heute ungeklärte Grundfrage des Datenschutzrechts: Sind Daten personenbezogen, wenn zwar die speichernde Stelle keinen Betroffenen ermitteln kann, dies aber einem Dritten möglich ist? Zweitens die Frage, ob es europarechtskonform ist, dass § 15 Abs. 1 TMG die Verwendung personenbezogener Daten ausschließlich zu dem Zweck erlaubt, die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen.
WWW-Logging gegen Störungen von Telekommunikationsanlagen?
Viele Betreiber von WWW-Seiten loggen die IP-Adressen ihrer Besucher - sei es zwecks User-Tracking, sei es, um die Serverauslastung zu verfolgen oder Angriffe zu erkennen. Das BGH-Urteil "Speicherung dynamischer IP-Adressen" (BGH, Urt. v. 13.1.2011 – III ZR 146/10, CR 2011, 178 m. Anm. Wüstenberg, CR 2011, 254; hierzu Rössel, ITRB 2011, 122; Breyer, MMR 2011, 573) wird teilweise dahin ausgelegt, dass eine siebentägige anlassunabhängige Vorratsdatenspeicherung durch Provider stets zulässig sei - und zwar auch für Betreiber von Webservern. Rechtsgrundlage soll § 100 Abs. 1 TKG sein.
BGH bestätigt LG Berlin: nein
Bereits die Vorinstanz hatte diese Ansicht ausdrücklich und gut begründet abgelehnt (LG Berlin, Urt. v. 31.1.2013 - 57 S 87/08, CR 2013, 471; zu den praktischen Konsequenzen aus diesem Urteil ausführlich Gerlach, CR 2013, 478). Indem der BGH dem EuGH die Frage der Europarechtswidrigkeit des § 15 Abs. 1 TMG vorgelegt hat, hat er diese Ansicht bestätigt. Denn eine Vorlage an den EuGH darf nur erfolgen, wenn die Vorlagefrage entscheidungserheblich ist - also im vorliegenden Fall keine andere Erlaubnisnorm als § 15 Abs. 1 TMG in Betracht kommt. Insbesondere nicht § 100 Abs. 1 TKG.
Logfile-Frage bleibt dennoch offen
Trotzdem bleibt weiter offen, ob die Apache-Standard-Konfiguration zur illegalen Erhebung und Verwendung personenbezogener Daten führt - weil § 15 Abs. 1 TMG nach Ansicht des BGH Art. 7 Buchstabe f der Datenschutz-Richtlinie widersprechen könnte, der für die Frage der Zulässigkeit der Verarbeitung personenbezogener Daten eine Interessenabwägung fordert. Zwar sei daran erinnert, dass § 15 TMG eine Reihe von Ausnahmen vom strikten Abs. 1 enthält, so dass man durchaus gut vertreten kann, dass der Gesetzgeber eben genau diese erforderliche Abwägung vorgenommen hat und sich dabei im Rahmen dessen bewegt hat, was Art. 5 der Datenschutz-Richtlinie ihm zugesteht. Letztlich wird der EuGH entscheiden müssen, ob er dies nur für eine zulässige nähere Bestimmung der Grundsätze der Richtlinie hält oder für eine unzulässige "zusätzliche Bedingung [...], mit denen die Tragweite eines in Art. 7 der Richtlinie 95/46 enthaltenen Grundsatzes verändert wird" (vgl. EuGH, Urt. v. 24.11.2011 - C‑468/10 und C‑469/10, CR 2012, 28 (31) Rz 35 m.Anm. Freund).
Aber auch, wenn der EuGH § 15 TMG als europarechtswidrig ansähe, blieben zwei Fragen offen:
- Ist ein komplettes Logfile mit IP-Adressen wirklich "erforderlich zur Verwirklichung [eines] berechtigten Interesses" (Art. 7 Buchstabe f der Datenschutz-Richtlinie)? Bei einem Webserver kommt es doch (nur) darauf an, die Quelle eines Angriffs zu identifizieren. Eine Öffnung des § 15 TMG wäre aus Sicht der IT-Sicherheit im Grundsatz begrüßenswert. Aber die üblichen Speicherdauern sind erforderlich - wofür bitte? (Die Abwägung mag beim errorlog oder bei der Nutzung von Programmen wie Fail2ban anders aussehen, weil hierfür nur illegitime Zugriffe ausgewertet werden.) Die selbe Frage stellt sich, wie Jenny in Plath, BDSG, § 100 TKG Rz 4, zu Recht anmerkt, natürlich auch bei § 100 Abs. 1 TKG, wo jeder Dienst einzeln betrachtet werden sollte.
- Wieso soll sich eigentlich die Bundesrepublik Deutschland auf eine ggf. europarechtswidrige Umsetzung der Richtlinie berufen können, die sie gerade selbst verschuldet hätte? Nach Treu und Glauben (§ 242 BGB, das Verfahren ist schließlich zivilrechtlich) hätte das zumindest ein Geschmäckle. Und zwar so eins, dass es nicht ausreichend wäre, den Kläger rein bezüglich der Verfahrenskosten auf einen Staatshaftungsanspruch wegen falscher Richtlinienumsetzung zu verweisen.