Personenbezogene Daten und Bekämpfung von Verletzungen der Rechte des geistigen Eigentums
EuGH, C-470/21: Schlussanträge des Generalanwalts v. 27.10.2022
Die Frage der Vorratsspeicherung bestimmter Daten von Internetnutzern ist eine Frage von ständiger Aktualität und Gegenstand einer noch jungen, aber bereits umfangreichen Rechtsprechung des Gerichtshofs.
Vier Vereinigungen zum Schutz der Rechte und Freiheiten im Internet (La Quadrature du Net, die Fédération des fournisseurs d'accès à Internet associatifs, Franciliens.net und das French Data Network) haben beim Conseil d'État (Staatsrat, Frankreich) einen Antrag auf Nichtigerklärung der stillschweigenden Entscheidung gestellt, mit der der Premierminister ihren Antrag auf Aufhebung eines Dekrets abgelehnt hat. Zum Schutz bestimmter geistiger Werke im Internet wurde eine automatisierte Verarbeitung personenbezogener Daten eingeführt.
Der Zweck dieser Verarbeitung liegt darin, an Einzelne die im Code de la propriété intellectuelle (Gesetzbuch über geistiges Eigentum) vorgesehene Warnung zu richten, deren Ziel es ist, die Straftat einer "négligence caractérisée" (qualifizierte Fahrlässigkeit) zu bekämpfen, die eine Person begeht, wenn sie nicht verhindert, dass ihr Internetzugang der Begehung von Verletzungen der Rechte des geistigen Eigentums dient. Die Empfehlungen an die betreffenden Inhaber von Abonnements werden nach dem sogenannten Verfahren der "réponse graduée" (abgestufte Reaktion) ausgesprochen. Die Vereinigungen machen geltend, dieses Dekret erlaube in unverhältnismäßiger Weise ohne vorherige Kontrolle durch einen Richter oder eine Behörde, die Garantien für Unabhängigkeit und Unparteilichkeit biete, wie es die Rechtsprechung des Gerichtshofs verlange, den Zugang zu Verbindungsdaten im Hinblick auf Urheberrechtsverletzungen, die im Internet begangen würden und nicht schwerwiegend seien.
Der Conseil d"État stellt fest, dass die Bediensteten der Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet (Hohe Behörde für die Verbreitung von Werken und den Schutz von Rechten im Internet, Hadopi) für diese Empfehlungen jedes Jahr eine beträchtliche Anzahl von Daten über die Identität der betroffenen Nutzer erheben. Diese Erhebung einer vorherigen Kontrolle zu unterwerfen, würde angesichts der Fülle dieser Empfehlungen die Gefahr bergen, dass die Umsetzung der Empfehlungen unmöglich würde. Er befragt daher den Gerichtshof nach der Tragweite einer solchen vorherigen Kontrolle und insbesondere zu der Frage, ob dieser Kontrolle die Identitätsdaten unterliegen, die einer IP-Adresse zugeordnet sind.
In seinen Schlussanträgen vom heutigen Tag vertritt der Erste Generalanwalt Maciej Szpunar die Ansicht, dass das Unionsrecht dahin ausgelegt werden sollte, dass es Maßnahmen nicht entgegensteht, die eine allgemeine und unterschiedslose Speicherung von IP-Adressen, die der Quelle einer Verbindung zugeordnet sind, für einen Zeitraum, der zeitlich auf das absolut Notwendige beschränkt ist, zum Zweck der Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten im Internet vorsehen, bei denen die IP-Adresse der einzige Anhaltspunkt ist, um die Identität der Person zu ermitteln, der diese Adresse zugewiesen war, als die Tat begangen wurde.
Damit schlägt er dem Gerichtshof eine gewisse Anpassung der Rechtsprechung über im Licht des Unionsrechts ausgelegte nationale Maßnahmen zur Vorratsspeicherung von IP-Adressen vor, ohne jedoch das Erfordernis der Verhältnismäßigkeit in Frage zu stellen, dem die Vorratsspeicherung von Daten angesichts der Schwere des mit ihr verbundenen Eingriffs in die in der Charta der Grundrechte der Europäischen Union verankerten Grundrechte unterliegt.
Der Erste Generalanwalt fügt hinzu, dass der Zugang der Hadopi zu den mit einer IP-Adresse verknüpften Identitätsdaten auch offenbar durch das dem Gemeinwohl dienende Ziel gerechtfertigt ist, zu dem die Vorratsspeicherung den Anbietern elektronischer Kommunikationsdienste auferlegt worden ist, sodass zur Verfolgung des gleichen Zwecks der Zugang zu diesen Daten ermöglicht werden sollte, weil andernfalls eine allgemeine Straflosigkeit für ausschließlich im Internet begangene Straftaten hingenommen werden müsste.
Seiner Ansicht nach verlangt das Unionsrecht nicht, den Zugang der Hadopi zu den mit den IP-Adressen der Nutzer verknüpften Identitätsdaten der vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle zu unterwerfen, und zwar aus zweierlei Gründen: Zum einen bleibt der Zugang der Hadopi darauf beschränkt, die Identitätsdaten mit der verwendeten IP-Adresse und der zu einem bestimmten Zeitpunkt aufgerufenen Datei in Verbindung zu bringen, ohne dass dies dazu führt, dass die zuständigen Behörden die vom betroffenen Nutzer besuchten Internetseiten nachverfolgen können, so dass sie daher auch keine genauen Schlüsse auf sein Privatleben ziehen können, die über die Kenntnis der bestimmten Datei, die zum Zeitpunkt des Verstoßes aufgerufen wurde, hinausgehen. Zum anderen ist der Zugriff der Hadopi zu den mit den IP-Adressen verknüpften Identitätsdaten streng auf das beschränkt, was zur Erreichung des verfolgten Ziels notwendig ist, nämlich die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten im Internet zu ermöglichen, bei denen die IPAdresse der einzige Anhaltspunkt ist, um die Identität der Person zu ermitteln, der diese Adresse zugewiesen war, als die Tat begangen wurde, ein Ziel, in das sich der Mechanismus der abgestuften Reaktion einfügt.
Der Erste Generalanwalt weist schließlich darauf hin, dass das Verfahren der abgestuften Reaktion weiterhin den Bestimmungen der Richtlinie 2016/680 unterliegt und somit die von der Hadopi erfassten natürlichen Personen eine Reihe von materiellen und prozeduralen Garantien genießen.
Mehr zum Thema:
Beratermodul IT-Recht:
Die perfekte Online-Ausstattung für das IT-Recht (DSGVO/BDSG). Stets auf dem aktuellsten Stand mit den Inhalten aller Ausgaben von Computer und Recht und IT-Rechtsberater sowie den Updates von Redeker, Handbuch der IT-Verträge. 4 Wochen gratis nutzen!
EuGH PM Nr. 172 vom 27.10.2022
Vier Vereinigungen zum Schutz der Rechte und Freiheiten im Internet (La Quadrature du Net, die Fédération des fournisseurs d'accès à Internet associatifs, Franciliens.net und das French Data Network) haben beim Conseil d'État (Staatsrat, Frankreich) einen Antrag auf Nichtigerklärung der stillschweigenden Entscheidung gestellt, mit der der Premierminister ihren Antrag auf Aufhebung eines Dekrets abgelehnt hat. Zum Schutz bestimmter geistiger Werke im Internet wurde eine automatisierte Verarbeitung personenbezogener Daten eingeführt.
Der Zweck dieser Verarbeitung liegt darin, an Einzelne die im Code de la propriété intellectuelle (Gesetzbuch über geistiges Eigentum) vorgesehene Warnung zu richten, deren Ziel es ist, die Straftat einer "négligence caractérisée" (qualifizierte Fahrlässigkeit) zu bekämpfen, die eine Person begeht, wenn sie nicht verhindert, dass ihr Internetzugang der Begehung von Verletzungen der Rechte des geistigen Eigentums dient. Die Empfehlungen an die betreffenden Inhaber von Abonnements werden nach dem sogenannten Verfahren der "réponse graduée" (abgestufte Reaktion) ausgesprochen. Die Vereinigungen machen geltend, dieses Dekret erlaube in unverhältnismäßiger Weise ohne vorherige Kontrolle durch einen Richter oder eine Behörde, die Garantien für Unabhängigkeit und Unparteilichkeit biete, wie es die Rechtsprechung des Gerichtshofs verlange, den Zugang zu Verbindungsdaten im Hinblick auf Urheberrechtsverletzungen, die im Internet begangen würden und nicht schwerwiegend seien.
Der Conseil d"État stellt fest, dass die Bediensteten der Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet (Hohe Behörde für die Verbreitung von Werken und den Schutz von Rechten im Internet, Hadopi) für diese Empfehlungen jedes Jahr eine beträchtliche Anzahl von Daten über die Identität der betroffenen Nutzer erheben. Diese Erhebung einer vorherigen Kontrolle zu unterwerfen, würde angesichts der Fülle dieser Empfehlungen die Gefahr bergen, dass die Umsetzung der Empfehlungen unmöglich würde. Er befragt daher den Gerichtshof nach der Tragweite einer solchen vorherigen Kontrolle und insbesondere zu der Frage, ob dieser Kontrolle die Identitätsdaten unterliegen, die einer IP-Adresse zugeordnet sind.
In seinen Schlussanträgen vom heutigen Tag vertritt der Erste Generalanwalt Maciej Szpunar die Ansicht, dass das Unionsrecht dahin ausgelegt werden sollte, dass es Maßnahmen nicht entgegensteht, die eine allgemeine und unterschiedslose Speicherung von IP-Adressen, die der Quelle einer Verbindung zugeordnet sind, für einen Zeitraum, der zeitlich auf das absolut Notwendige beschränkt ist, zum Zweck der Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten im Internet vorsehen, bei denen die IP-Adresse der einzige Anhaltspunkt ist, um die Identität der Person zu ermitteln, der diese Adresse zugewiesen war, als die Tat begangen wurde.
Damit schlägt er dem Gerichtshof eine gewisse Anpassung der Rechtsprechung über im Licht des Unionsrechts ausgelegte nationale Maßnahmen zur Vorratsspeicherung von IP-Adressen vor, ohne jedoch das Erfordernis der Verhältnismäßigkeit in Frage zu stellen, dem die Vorratsspeicherung von Daten angesichts der Schwere des mit ihr verbundenen Eingriffs in die in der Charta der Grundrechte der Europäischen Union verankerten Grundrechte unterliegt.
Der Erste Generalanwalt fügt hinzu, dass der Zugang der Hadopi zu den mit einer IP-Adresse verknüpften Identitätsdaten auch offenbar durch das dem Gemeinwohl dienende Ziel gerechtfertigt ist, zu dem die Vorratsspeicherung den Anbietern elektronischer Kommunikationsdienste auferlegt worden ist, sodass zur Verfolgung des gleichen Zwecks der Zugang zu diesen Daten ermöglicht werden sollte, weil andernfalls eine allgemeine Straflosigkeit für ausschließlich im Internet begangene Straftaten hingenommen werden müsste.
Seiner Ansicht nach verlangt das Unionsrecht nicht, den Zugang der Hadopi zu den mit den IP-Adressen der Nutzer verknüpften Identitätsdaten der vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle zu unterwerfen, und zwar aus zweierlei Gründen: Zum einen bleibt der Zugang der Hadopi darauf beschränkt, die Identitätsdaten mit der verwendeten IP-Adresse und der zu einem bestimmten Zeitpunkt aufgerufenen Datei in Verbindung zu bringen, ohne dass dies dazu führt, dass die zuständigen Behörden die vom betroffenen Nutzer besuchten Internetseiten nachverfolgen können, so dass sie daher auch keine genauen Schlüsse auf sein Privatleben ziehen können, die über die Kenntnis der bestimmten Datei, die zum Zeitpunkt des Verstoßes aufgerufen wurde, hinausgehen. Zum anderen ist der Zugriff der Hadopi zu den mit den IP-Adressen verknüpften Identitätsdaten streng auf das beschränkt, was zur Erreichung des verfolgten Ziels notwendig ist, nämlich die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten im Internet zu ermöglichen, bei denen die IPAdresse der einzige Anhaltspunkt ist, um die Identität der Person zu ermitteln, der diese Adresse zugewiesen war, als die Tat begangen wurde, ein Ziel, in das sich der Mechanismus der abgestuften Reaktion einfügt.
Der Erste Generalanwalt weist schließlich darauf hin, dass das Verfahren der abgestuften Reaktion weiterhin den Bestimmungen der Richtlinie 2016/680 unterliegt und somit die von der Hadopi erfassten natürlichen Personen eine Reihe von materiellen und prozeduralen Garantien genießen.
Beratermodul IT-Recht:
Die perfekte Online-Ausstattung für das IT-Recht (DSGVO/BDSG). Stets auf dem aktuellsten Stand mit den Inhalten aller Ausgaben von Computer und Recht und IT-Rechtsberater sowie den Updates von Redeker, Handbuch der IT-Verträge. 4 Wochen gratis nutzen!