Kein Treppenwitz - Schutz von Webservern vor Angriffen kann IP-Adressen erfordern
Der Europäische Gerichtshof (EuGH) hat dem lange währenden Rechtsstreit zwischen dem schleswig-holsteinischen Landtagsabgeordneten Patrick Breyer und der Bundesrepublik Deutschland heute ein neues Kapitel hinzugefügt.
Breyer begehrte erstmal 2007, dass seine IP-Adresse als Besucher einer Website des Bundesministeriums der Justiz (BMJ) nicht vom Servierbetreiber gespeichert werden dürfe - mit Erfolg: das Amtsgericht Berlin-Mitte gab dem BMJ auf, die Speicherung zukünftig zu unterlassen.
In der Folge begehrte der Kläger von der Bundesrepublik Deutschland, auf allen - hunderten - vom Bund betriebenen Webservern diese Speicherung zu unterlassen. Dieser Antrag führte nunmehr, 8 Jahre später, nach mehreren Instanzen in Deutschland zu der ergangenen Entscheidung des EuGH. RA Matthias Bergt stellt sie in seinem Blogbeitrag vor und setzt sich kritisch mit ihr auseinander (Bergt, "Das Ende der Rechtssicherheit im Datenschutzrecht", CRonline Blog v. 19.10.2016).
Was hat der EuGH entschieden?
Zwei Fragen hatte der BGH dem EuGH zur Vorentscheidung vorgelegt:
Die erste Frage betrifft die Qualifizierung von dynamischen IP-Adressen als personenbezogene Daten. Den Ausführungen von Matthias Bergt "Zum Teil Personenbezug" ist hier nichts hinzuzufügen (Bergt, "Das Ende der Rechtssicherheit im Datenschutzrecht", CRonline Blog v. 19.10.2016).
Ergänzung aber bedarf die Antwort auf die zweite Vorlagefrage:
"Steht Art. 7 Buchstabe f der Richtlinie 95/46 einer Vorschrift des nationalen Rechts entgegen, wonach der Diensteanbieter personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben und verwenden darf, soweit dies erforderlich ist, um die konkrete Inanspruchnahme des Telemediums durch den jeweiligen Nutzer zu ermöglichen und abzurechnen, und wonach der Zweck, die generelle Funktionsfähigkeit des Telemediums zu gewährleisten, die Verwendung nicht über das Ende des jeweiligen Nutzungsvorgangs hinaus rechtfertigen kann?"
Diese Frage hat der EuGH mit "Ja" beantwortet. Was bedeutet das?
§ 15 TMG europarechtskonform
Der EuGH hat § 15 TMG nicht für europarechtswidrig erklärt, lediglich seine vorherrschende Auslegung in der Literatur:
Der EuGH weist in Rn. 55 seiner Entscheidung ausdrücklich darauf hin, dass die vom vorlegenden Gericht angesprochene enge Auslegung des § 15 TMG zu prüfen ist.
Eine weitere Auslegung, wie sie auch die Bundesrepublik Deutschland als Beklagte des Ausgangsverfahrens vertreten hatte, steht europäischem Recht nicht entgegen.
Sollte der BGH zu dem Ergebnis kommen, dass zur Ermöglichung der Inanspruchnahme eines Telemediendienstes auch eine Abwehr von Angriffen durch den Dienstanbieter gehört, dann stünde dies im Einklang mit der Entscheidung des EuGH, ohne dass eine Europarechtswidrigkeit von § 15 TMG angenommen werden müsste.
Konkrete Interessenabwägung
Die konkrete Abwägung zwischen dem berechtigten Interesse des Dienstanbieters, hier der Bundesrepublik Deutschland, und den schutzwürdigen Belangen des Klägers hat der BGH als vorlegendes Gericht noch zu treffen. Das Ergebnis dieser Abwägung hat der EuGH nicht vorweggenommen.
Im Rahmen der konkreten Abwägung wird der BGH die von Bergt aufgeworfene Frage nach der Erforderlichkeit der Speicherung von IP-Adressen zum Zwecke der Abwehr von Angriffen aufgreifen müssen. Die Antwort liegt keineswegs auf der Hand, denn die Experten vertreten hier unterschiedliche Auffassungen:
- Nein: Das vom Landgericht eingeholte umfassende Sachverständigengutachten hält die Verarbeitung von IP-Adressen für die Abwehr von Angriffen auf Server für nicht erforderlich.
- Ja: Insbesondere das Bundesamt für Sicherheit in der Informationstechnik - abweichend von dem erwähnten Sachverständigengutachten - diese Frage im Ausgangsverfahren klar bejaht.
Fazit und Ausblick auf DSGVO
Weder "Ende der Rechtssicherheit im Datenschutz" noch "ein Treppenwitz" liegen in der Entscheidung des EuGH.
Bergt ist zuzustimmen, dass die Entscheidung des EuGH Ausstrahlungswirkung auf die Anwendung der DSGVO haben wird. Denn sie zwingt den nationalen Gesetzgeber, vor allem aber auch die Anwender und Datenschutzbehörden, die europäischen Regelungen stärker auch bei der Auslegung des bestehenden nationalen Datenschutzrechts einzubeziehen.