Urteil in
der Rechtssache C-582/14
der Rechtssache C-582/14
Patrick
Breyer / Bundesrepublik Deutschland
Breyer / Bundesrepublik Deutschland
Der
Betreiber einer Website kann ein berechtigtes Interesse daran haben, bestimmte
personenbezogene Daten der Nutzer zu speichern, um sich gegen Cyberattacken zu
verteidigen
Betreiber einer Website kann ein berechtigtes Interesse daran haben, bestimmte
personenbezogene Daten der Nutzer zu speichern, um sich gegen Cyberattacken zu
verteidigen
Die
dynamische Internetprotokoll-Adresse eines Nutzers stellt für den Betreiber der
Website ein personenbezogenes Datum dar, wenn er über rechtliche Mittel
verfügt, die es ihm erlauben, den betreffenden Nutzer anhand der
Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen
zu lassen
dynamische Internetprotokoll-Adresse eines Nutzers stellt für den Betreiber der
Website ein personenbezogenes Datum dar, wenn er über rechtliche Mittel
verfügt, die es ihm erlauben, den betreffenden Nutzer anhand der
Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen
zu lassen
Herr Patrick Breyer klagt vor deutschen Gerichten
dagegen, dass die von ihm abgerufenen Websites von Einrichtungen des Bundes
seine Internetprotokoll-Adressen („IP-Adressen“)1 aufzeichnen und speichern. Von diesen
Einrichtungen werden außer dem Zeitpunkt des Zugriffs auch die IP-Adressen der
Nutzer aufgezeichnet und gespeichert, um sich gegen Cyberattacken zu wappnen
und eine Strafverfolgung zu ermöglichen.
dagegen, dass die von ihm abgerufenen Websites von Einrichtungen des Bundes
seine Internetprotokoll-Adressen („IP-Adressen“)1 aufzeichnen und speichern. Von diesen
Einrichtungen werden außer dem Zeitpunkt des Zugriffs auch die IP-Adressen der
Nutzer aufgezeichnet und gespeichert, um sich gegen Cyberattacken zu wappnen
und eine Strafverfolgung zu ermöglichen.
Der deutsche Bundesgerichtshof möchte vom Gerichtshof
wissen, ob in diesem Zusammenhang auch „dynamische“ IP-Adressen für den
Betreiber der Website personenbezogene Daten darstellen, so dass sie den für
solche Daten vorgesehenen Schutz genießen. Eine „dynamische“ IP-Adresse ist
eine IP-Adresse, die sich bei jeder neuen Internetverbindung ändert. Anders als
statische IP-Adressen erlauben dynamische IP-Adressen es nicht, anhand
allgemein zugänglicher Dateien eine Verbindung zwischen einem Computer und dem
vom Internetzugangsanbieter verwendeten physischen Netzanschluss herzustellen.
Somit verfügt ausschließlich der Internetzugangsanbieter von Herrn Breyer über
die zu dessen Identifizierung erforderlichen Zusatzinformationen.
wissen, ob in diesem Zusammenhang auch „dynamische“ IP-Adressen für den
Betreiber der Website personenbezogene Daten darstellen, so dass sie den für
solche Daten vorgesehenen Schutz genießen. Eine „dynamische“ IP-Adresse ist
eine IP-Adresse, die sich bei jeder neuen Internetverbindung ändert. Anders als
statische IP-Adressen erlauben dynamische IP-Adressen es nicht, anhand
allgemein zugänglicher Dateien eine Verbindung zwischen einem Computer und dem
vom Internetzugangsanbieter verwendeten physischen Netzanschluss herzustellen.
Somit verfügt ausschließlich der Internetzugangsanbieter von Herrn Breyer über
die zu dessen Identifizierung erforderlichen Zusatzinformationen.
Der Bundesgerichtshof möchte ferner wissen, ob der
Betreiber einer Website zumindest grundsätzlich die Möglichkeit haben muss,
personenbezogene Daten der Nutzer zu erheben und zu verwenden, um die generelle
Funktionsfähigkeit seiner Website zu gewährleisten. Er weist insoweit darauf
hin, dass die einschlägige deutsche Regelung2 von der deutschen Lehre überwiegend dahin
ausgelegt werde, dass die Daten am Ende des jeweiligen Nutzungsvorgangs zu
löschen seien, soweit sie nicht für Abrechnungszwecke benötigt würden.
Betreiber einer Website zumindest grundsätzlich die Möglichkeit haben muss,
personenbezogene Daten der Nutzer zu erheben und zu verwenden, um die generelle
Funktionsfähigkeit seiner Website zu gewährleisten. Er weist insoweit darauf
hin, dass die einschlägige deutsche Regelung2 von der deutschen Lehre überwiegend dahin
ausgelegt werde, dass die Daten am Ende des jeweiligen Nutzungsvorgangs zu
löschen seien, soweit sie nicht für Abrechnungszwecke benötigt würden.
Mit seinem heutigen Urteil antwortet der Gerichtshof
zunächst, dass eine dynamische IP-Adresse, die von einem „Anbieter von
Online-Mediendiensten“ (d. h. vom Betreiber einer Website, hier den
Einrichtungen des Bundes) beim Zugriff auf seine allgemein zugängliche Website
gespeichert wird, für den Betreiber ein personenbezogenes Datum3 darstellt, wenn er über rechtliche Mittel
verfügt, die es ihm erlauben, den Nutzer anhand der Zusatzinformationen, über
die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen.
zunächst, dass eine dynamische IP-Adresse, die von einem „Anbieter von
Online-Mediendiensten“ (d. h. vom Betreiber einer Website, hier den
Einrichtungen des Bundes) beim Zugriff auf seine allgemein zugängliche Website
gespeichert wird, für den Betreiber ein personenbezogenes Datum3 darstellt, wenn er über rechtliche Mittel
verfügt, die es ihm erlauben, den Nutzer anhand der Zusatzinformationen, über
die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen.
Der Gerichtshof führt hierzu aus, dass es in Deutschland
offenbar rechtliche Möglichkeiten gibt, die es dem Anbieter von
Online-Mediendiensten4 erlauben, sich insbesondere im Fall von
Cyberattacken an die zuständige Behörde zu wenden, um die fraglichen
Informationen vom Internetzugangsanbieter zu erlangen und anschließend die
Strafverfolgung einzuleiten.
offenbar rechtliche Möglichkeiten gibt, die es dem Anbieter von
Online-Mediendiensten4 erlauben, sich insbesondere im Fall von
Cyberattacken an die zuständige Behörde zu wenden, um die fraglichen
Informationen vom Internetzugangsanbieter zu erlangen und anschließend die
Strafverfolgung einzuleiten.
Zweitens antwortet der Gerichtshof, dass das Unionsrecht5 einer
Regelung eines Mitgliedstaats entgegensteht, nach der ein Anbieter von
Online-Mediendiensten personenbezogene Daten eines Nutzers dieser Dienste ohne
dessen Einwilligung nur erheben und verwenden darf, soweit ihre Erhebung und
ihre Verwendung erforderlich sind, um die konkrete Inanspruchnahme der Dienste
durch den betreffenden Nutzer zu ermöglichen und abzurechnen, ohne dass der
Zweck, die generelle Funktionsfähigkeit der Dienste zu gewährleisten, die
Verwendung der Daten über das Ende eines Nutzungsvorgangs hinaus rechtfertigen
kann.
Regelung eines Mitgliedstaats entgegensteht, nach der ein Anbieter von
Online-Mediendiensten personenbezogene Daten eines Nutzers dieser Dienste ohne
dessen Einwilligung nur erheben und verwenden darf, soweit ihre Erhebung und
ihre Verwendung erforderlich sind, um die konkrete Inanspruchnahme der Dienste
durch den betreffenden Nutzer zu ermöglichen und abzurechnen, ohne dass der
Zweck, die generelle Funktionsfähigkeit der Dienste zu gewährleisten, die
Verwendung der Daten über das Ende eines Nutzungsvorgangs hinaus rechtfertigen
kann.
Die Verarbeitung personenbezogener Daten ist nach dem
Unionsrecht u. a. rechtmäßig, wenn sie zur Verwirklichung des berechtigten
Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw.
den Dritten wahrgenommen wird, denen die Daten übermittelt werden, erforderlich
ist, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der
betroffenen Person überwiegen.
Unionsrecht u. a. rechtmäßig, wenn sie zur Verwirklichung des berechtigten
Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw.
den Dritten wahrgenommen wird, denen die Daten übermittelt werden, erforderlich
ist, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der
betroffenen Person überwiegen.
Die deutsche Regelung schränkt nach ihrer in der Lehre
überwiegend vertretenen Auslegung die Tragweite dieses Grundsatzes ein, indem
sie es ausschließt, dass der Zweck, die generelle Funktionsfähigkeit des
Online-Mediums zu gewährleisten, Gegenstand einer Abwägung mit dem Interesse
oder den Grundrechten und Grundfreiheiten der Nutzer sein kann.
überwiegend vertretenen Auslegung die Tragweite dieses Grundsatzes ein, indem
sie es ausschließt, dass der Zweck, die generelle Funktionsfähigkeit des
Online-Mediums zu gewährleisten, Gegenstand einer Abwägung mit dem Interesse
oder den Grundrechten und Grundfreiheiten der Nutzer sein kann.
Der Gerichtshof hebt in diesem Zusammenhang hervor, dass
die Einrichtungen des Bundes, die Online-Mediendienste anbieten, ein
berechtigtes Interesse daran haben könnten, die Aufrechterhaltung der
Funktionsfähigkeit der von ihnen allgemein zugänglich gemachten Websites über
ihre konkrete Nutzung hinaus zu gewährleisten.
die Einrichtungen des Bundes, die Online-Mediendienste anbieten, ein
berechtigtes Interesse daran haben könnten, die Aufrechterhaltung der
Funktionsfähigkeit der von ihnen allgemein zugänglich gemachten Websites über
ihre konkrete Nutzung hinaus zu gewährleisten.
1
IP-Adressen sind Ziffernfolgen, die mit dem Internet verbundenen Computern
zugewiesen werden, um deren Kommunikation im Internet zu ermöglichen. Beim
Abruf einer Website wird die IP-Adresse des abrufenden Computers an den Server
übermittelt, auf dem die abgerufene Website gespeichert ist. Dies ist
erforderlich, um die abgerufenen Daten an den richtigen Empfänger übertragen zu
können.
IP-Adressen sind Ziffernfolgen, die mit dem Internet verbundenen Computern
zugewiesen werden, um deren Kommunikation im Internet zu ermöglichen. Beim
Abruf einer Website wird die IP-Adresse des abrufenden Computers an den Server
übermittelt, auf dem die abgerufene Website gespeichert ist. Dies ist
erforderlich, um die abgerufenen Daten an den richtigen Empfänger übertragen zu
können.
2
§ 15 Telemediengesetz (TMG)
vom 26. Februar 2007 (BGBl. 2007 I S. 179).
§ 15 Telemediengesetz (TMG)
vom 26. Februar 2007 (BGBl. 2007 I S. 179).
3
Im Sinne der
Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober
1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener
Daten und zum freien Datenverkehr (ABl. 1995, L 281, S. 31).
Im Sinne der
Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober
1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener
Daten und zum freien Datenverkehr (ABl. 1995, L 281, S. 31).
4
Für den vorliegenden Fall, in dem die fraglichen Websites von Einrichtungen des
Bundes betrieben werden, weist der Gerichtshof darauf hin, dass diese
Einrichtungen, ungeachtet ihres Status als Behörden, als Einzelne handeln.
Für den vorliegenden Fall, in dem die fraglichen Websites von Einrichtungen des
Bundes betrieben werden, weist der Gerichtshof darauf hin, dass diese
Einrichtungen, ungeachtet ihres Status als Behörden, als Einzelne handeln.
5
Und zwar die Richtlinie
95/46.
Und zwar die Richtlinie
95/46.
Quelle:
Gerichtshof
der Europäischen Union
der Europäischen Union
Luxemburg,
den 19. Oktober 2016
den 19. Oktober 2016