Dynamische IP-Adressen – Zuweisung und Speicherung

Ein Anbieter von Telekommunikationsdienstleistungen ist berechtigt, die seinen Kunden dynamisch zugewiesenen IP-Adressen auch nach Beendigung der jeweiligen Internetsitzung zur Abwehr von Störungen und Fehlern an Telekommunikationsanlagen (§ 96 Abs. 1 Satz 2 i.V. m. § 100 Abs. 1 TKG) zu einer vorübergehenden Speicherung noch für 7 Tage berechtigt. Dies gilt auch, wenn wenn die Verbindungsdaten nicht zu Zweckung der Entgeltermittlung und abrechnung (§ 97 Abs. 1 Satz 1, Abs. 2 TKG) benötigt werden.

Auch zu einer Pseudonymisierung ist der Telekommunikationsanbieter für diese Speicherzeit nicht verpflichtet. Bei diesem Verfahren soll die Kundenkennung nicht mit der für die Internetverbindung genutzten IP-Adresse verknüpft werden, sondern mit einer anderen anonymen Zeichenfolge. Im Fall des Verdachts eines Missbrauchs würde die Zuordnung dieser Kennung zu den Daten des Nutzers – im Gegensatz zur Praxis der Providerin – nicht automatisch, sondern durch eine neutrale Stelle erfolgen. Allerdings ist auch die – zudem dynamisch, das heißt ständig wechselnden Anschlüssen zugeteilte – IP-Nummer für sich genommen anonym, wie das Berufungsgericht vom Kunden unbeanstandet festgestellt hat. Ihre Zuordnung zu einem Kunden wird erst durch die Verknüpfung mit den Sessionsdaten des Nutzers ermöglicht. Insoweit unterscheidet sich das derzeitige Verfahren der Providerin letztlich nicht von der vom Sachverständigen angeschnittenen „Pseudonymisierung“. Der mit dieser bewirkte Gewinn an Datenschutz würde dementsprechend maßgeblich nicht infolge der Ersetzung der IP-Adresse durch eine andere Zeichenfolge bewirkt, sondern wäre darauf zurückzuführen, dass eine automatische Verknüpfung der anonymen Zeichenfolge (gleichgültig, ob IP-Adresse oder andere Kennung) durch die Providerin selbst unterbleibt und stattdessen eine dritte Stelle zwischengeschaltet würde, die die Rückgängigmachung der Pseudonymisierung vornähme. Dies ist jedoch, wie das Berufungsgericht auf der Grundlage der Ausführungen des Sachverständigen von der Revision unbeanstandet festgestellt hat, angesichts der hohen Zahl der Vorfälle der Providerin nicht zuzumuten. Der Kunde kann dem auch nicht mit Erfolg entgegenhalten, die Einschaltung der dritten Stelle könne auf seine Person oder seinen Anschluss beschränkt werden. Die Providerin wäre rechtlich allen anderen Kunden gegenüber verpflichtet, ebenso zu verfahren wie gegenüber dem Kunden.

Im übrigen bestätigt der Bundesgerichtshof nochmals sein – in der gleichen Rechtssache ergangenes – Urteil vom 13.01.2011¹.

Insbesondere verneint der Bundesgerichtshof, dass der Begriff der „Störung“ an Telekommunikationsanlagen im Sinne des § 100 Abs. 1 TKG entgegen der in seinem ersten Urteil geäußerten Ansicht nicht die Sperrung einzelner IP-Adresskontingente der Providerin durch andere Internetanbieter, wenn von diesen Bereichen aus Schadprogramme, sogenannte Spam-Mails oder „Denialof-Service“-Attacken ausgingen. „System“ im Sinne der Definition des Begriffs der Telekommunikationsanlagen in § 3 Nr. 23 TKG ist nicht nur ein technisches System.

Daraus, dass sich das Adjektiv „technische“ in § 3 Nr. 23 TKG auch auf den Begriff des „Systems“ bezieht, ist für die Rechtsposition des Kunden nichts herzuleiten. Eine Störung des „technischen Systems“ kommt nach § 100 Abs. 1 TKG nicht nur in Betracht, wenn die physikalische Beschaffenheit der für die Telekommunikation verwendeten Gerätschaften verändert wird. Vielmehr liegt nach dem Zweck der Vorschrift eine Störung des Systems auch vor, wenn die eingesetzte Technik die ihr zugedachten Funktionen nicht mehr richtig oder vollständig erfüllen kann². Entgegen der Ansicht der Revision tritt eine Funktionseinschränkung des technischen Systems der Providerin auch dann ein, wenn einzelne ihrer IP-Nummernbereiche von anderen Internetdiensten gesperrt werden. In diesem Fall sind die von diesen Anbietern unterhaltenen Web- und Mailserver für die Kunden der Providerin nicht mehr erreichbar. Damit können deren technischen Einrichtungen und Systeme nicht mehr ihre Aufgabe erfüllen, den Nutzern den uneingeschränkten Zugang zu sämtlichen öffentlichen Angeboten im Internet zu verschaffen, wozu sich die Providerin gegenüber ihren Kunden verpflichtet. Unmaßgeblich ist, dass die bei der Versendung von Schadprogrammen, Spams und dergleichen aus dem Netz der Providerin drohende Sperrung ihrer IP-Kontingente durch andere Anbieter auf deren autonomer Entscheidung beruht. Die Blockierung der Nummernbereiche wird in diesen Fällen durch die aus der technischen Sphäre der Providerin stammenden Missbräuche des Internets herausgefordert und stellt in der Regel eine verständliche und angemessene Reaktion der anderen Dienstanbieter zum Schutz ihrer Anlagen und Nutzer dar.

Nicht zu folgen vermag der Bundesgerichtshof auch der an dem BGH, Urteil vom 13.01.2011³ geäußerte Kritik von Braun⁴. In methodischer Hinsicht beanstandet er, die vom Bundesgerichtshof in Randnummer 24 des Urteils zum Beleg für sein weites Verständnis des Störungsbegriffs des § 100 Abs. 1 TKG angeführte Begründung der Bundesregierung zur Ergänzung von § 15 TMG⁵ sei nicht aussagekräftig, weil die vorgesehene Gesetzesänderung nicht erfolgt sei. Dies hat der Bundesgerichtshof indessen berücksichtigt, wie in seiner Formulierung „durch den eine mit § 100 Abs. 1 TKG fast wortgleiche Bestimmung an § 15 des Telemediengesetzes angefügt werden sollte“ zum Ausdruck kommt. Es ist kein Grund dafür ersichtlich, dass die Begründung der von der Bundesregierung vorgeschlagenen, aber letztlich nicht zustande gekommenen Änderung des Telemediengesetzes keine Aussagekraft für die Auslegung von § 100 Abs. 1 TKG haben kann. Diese Bestimmung und der von der Bundesregierung vorgeschlagene Absatz 9 von § 15 TMG haben fast denselben Wortlaut. Zudem sind die Störungsszenarien, die beiden Vorschriften zugrunde liegen, vergleichbar. Auch wenn die Anbieter von Telemedien in stärkerem Maße von Spams, Denialof-Service-Attacken, Schadprogrammen und dergleichen unmittelbar betroffen sein mögen als ein Teilnehmernetzbetreiber, können solche Missbräuche aus den im BGH, Urteil vom 13.01.2011³ und oben unter Buchstabe a ausgeführten Gründen auch zu Störungen der Anlagen der Providerin führen. Überdies haben nach den von der Revision hingenommenen tatrichterlichen Feststellungen monatlich etwa 164.000 bei der Providerin auflaufende Missbrauchsmeldungen Angriffe zum Gegenstand, die sich potentiell unmittelbar schädlich auf die Infrastruktur und die Dienste der Providerin auswirken.

Weiter wird geltend gemacht⁶, der Erwägungsgrund 29 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12.07.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation⁷ spreche gegen die vom Bundesgerichtshof für richtig gehaltene weite Auslegung des Begriffs der „Störung“ im Sinne von § 100 Abs. 1 TKG. Zudem sehe der Erwägungsgrund 29 die Verarbeitung von Verkehrs- und Bestandsdaten nur in Einzelfällen, nicht aber anlasslos, vor. Daher müsse § 100 Abs. 1 TKG über eine unionsrechtskonforme Auslegung entsprechend verstanden werden⁸.

Diese Kritik ist bereits deshalb unbegründet, weil der im vorliegenden Fall zu entscheidende Sachverhalt von demjenigen, der in Erwägungsgrund 29 der genannten Richtlinie behandelt wird, nicht erfasst ist. Der Erwägungsgrund befasst sich allein mit der Verarbeitung von Verkehrsdaten, die (nur) in Einzelfällen erfolgen soll, um technische Versehen oder Fehler bei der Übertragung von Nachrichten zu ermitteln. Vorliegend steht jedoch die Berechtigung der Providerin im Streit, auch ohne konkreten Anlass die von ihren Kunden genutzten IP-Adressen zu speichern. Die Speicherung und die Verarbeitung von personenbezogenen Daten sind Vorgänge, die in der Richtlinie unterschieden werden. Dies gilt insbesondere für Art. 6 Abs. 1 RL, der – vorbehaltlich der hier einschlägigen Maßgaben des Art. 15 Abs. 1 RL – die grundsätzliche Pflicht zur Löschung oder Anonymisierung der Verkehrsdaten nach der Übertragung von Nachrichten vorschreibt⁹.

Aber auch dessen ungeachtet geht die Beanstandung von Braun³ fehl. Wie der Bundesgerichtshof in seinem Urteil vom 13.01.2011¹⁰ ausgeführt hat, wird § 100 Abs. 1 TKG von Art. 15 Abs. 1 RL gedeckt. Danach können die Mitgliedstaaten Vorschriften erlassen, die die Rechte und Pflichten gemäß Art. 6 RL beschränken, wenn dies unter anderem zur Verhütung, Ermittlung, Feststellung und Verfolgung des unzulässigen Gebrauchs von elektronischen Kommunikationssystemen notwendig, angemessen und verhältnismäßig ist. Technische Versehen oder Fehler bei der Übertragung von Nachrichten¹¹ können zwar zwei von mehreren denkbaren Folgen eines solchen Missbrauchs sein, können aber auch eine Fülle anderer Ursachen haben. Die dem Erwägungsgrund 29 und Art. 15 Abs. 1 RL jeweils zugrunde liegenden Sachverhalte überlappen sich damit nur teilweise. Die Anwendungsbereiche unterscheiden sich aber im Übrigen weitgehend, wie sich deutlich aus dem Wortlaut des Erwägungsgrunds und der Vorschrift ergibt. Für die von der Revision der Sache nach befürwortete einschränkende Auslegung von Art. 15 Abs. 1 RL und damit des Störungsbegriffs von § 100 Abs. 1 TKG im Lichte des Erwägungsgrunds 29 RL ist deshalb kein Raum.

Unbehelflich ist weiter der Hinweis, eine Störung gemäß § 100 Abs. 1 TKG sei nicht deckungsgleich mit der in Art. 15 Abs. 1 RL enthaltenen Voraussetzung für die Beschränkungen von Art. 6 Abs. 1 RL, dass diese notwendig sind für die Verhütung, Ermittlung, Feststellung und Verfolgung des unzulässigen Gebrauchs von elektronischen Kommunikationssystemen. Dies ist zwar rein begrifflich betrachtet richtig. Hieraus kann der Kunde jedoch inhaltlich nichts für seine Rechtsposition herleiten. Wie der Bundesgerichtshof in seinem ersten Urteil ausgeführt hat, stellen die Missbräuche des Internets, die in der Versendung von Spam-Mails, Schad- und Spionageprogrammen sowie in „Denialof-Service-Attacken“ und dergleichen bestehen, einen unzulässigen Gebrauch elektronischer Kommunikationssysteme gemäß Art. 15 Abs. 1 RL dar¹⁰ dar. Derartige Missbräuche haben aus den in Randnummer 24 seines Urteils vom 13.01.2011 und oben unter Nummer 3 ausgeführten Gründen vielfach Störungen der Telekommunikationsanlagen des Netzbetreibers gemäß § 100 Abs. 1 TKG zur Folge. Ist die Ausnahme von der Löschungspflicht nach Art. 6 Abs. 1 RL bereits zur Verhütung, Ermittlung, Feststellung und Verfolgung von Missbräuchen der Kommunikationssysteme zulässig, muss dies erst Recht zum Erkennen, Eingrenzen oder Beseitigen von hieraus resultierenden Störungen der Telekommunikationsanlagen des Netzbetreibers im Sinne des § 100 Abs. 1 TKG gelten, zumal beides in der Praxis kaum zu unterscheiden ist. Der von der Revision geltend gemachte inhaltliche Widerspruch zwischen Art. 15 Abs. 1 RL und § 100 Abs. 1 TKG besteht damit nicht.

Schließlich gibt auch das Urteil des Gerichtshofs der Europäischen Union vom 08.04.2014¹², mit dem die Ungültigkeit der Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15.03.2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG¹³ ausgesprochen wurde, dem Bundesgerichtshof keinen Anlass, seinen im ersten Revisionsurteil vom 13.01.2011³ eingenommenen Rechtsstandpunkt zu revidieren. Maßgeblich für die Ungültigkeit dieser Richtlinie, die eine anlasslose Vorratsspeicherung von Verkehrs- und Bestandsdaten für mindestens sechs Monate vorsah, war nach der Entscheidung des Unionsgerichtshofs das Fehlen eines objektiven Kriteriums, das es ermöglichte, den Zugang der zuständigen nationalen Behörden zu den Daten und deren spätere Nutzung zwecks Verhütung und Verfolgung von Straftaten auf solche Delikte zu beschränken, die unter Berücksichtigung des Ausmaßes und der Schwere des Grundrechtseingriffs als hinreichend schwer angesehen werden konnten, um den Eingriff zu rechtfertigen¹⁴. Weiterhin monierte der Unionsgerichtshof, dass die Richtlinie keine materiell- und verfahrensrechtlichen Voraussetzungen für den Zugang der zuständigen nationalen Behörden zu den gespeicherten Daten und deren spätere Nutzung enthielt. Es fehle eine ausdrückliche Bestimmung, dass sich der Zugang zu den und die spätere Nutzung der Daten strikt auf die Zwecke der Verhütung und der Verfolgung genau abgegrenzter schwerer Straftaten beschränke¹⁵. Vor allem unterliege der Zugriff der nationalen Behörden zu den auf Vorrat gespeicherten Daten keiner vorherigen Kontrolle eines Gerichts oder einer anderen unabhängigen Stelle, deren Entscheidung die Wahrung der Verhältnismäßigkeit gewährleiste¹⁶. Schließlich beanstandete der Unionsgerichtshof, dass die Mindestspeicherfrist für sämtliche Datenkategorien sechs Monate betragen sollte, ohne dass die Festlegung auf objektiven Kriterien beruhte, die gewährleisteten, dass sie auf das absolut Notwendige beschränkt wurde¹⁷.

Diese Erwägungen sind auf die hier im Streit befindliche siebentägige Speicherung von IP-Adressen zu den in § 100 Abs. 1 TKG bestimmten Zwecken nicht übertragbar. Die Speicherung erfolgt nicht für die Zwecke der Strafverfolgungsbehörden, sondern im Interesse des Netzbetreibers. Ein Zugriff von Polizei oder Staatsanwaltschaft auf die gespeicherten Daten ist in dieser Rechtsgrundlage nicht vorgesehen. Überdies ist die Speicherfrist von sieben Tagen nach den aufgrund sachverständiger Beratung getroffenen, nicht angegriffenen tatrichterlichen Feststellungen auf das zur Erreichung der legitimen Zwecke des § 100 Abs. 1 TKG notwendige Maß begrenzt. Sie ist auch ihrer absoluten Dauer nach nicht mit der in der genannten Richtlinie bestimmten Mindestfrist von sechs Monaten vergleichbar.

Eine Vorlage der Sache an den Gerichtshof der Europäischen Union gemäß Art. 267 Abs. 2, 3 AEUV ist nach Ansicht des Bundesgerichtshofs auch weiterhin entbehrlich. Insoweit nimmt der Bundesgerichtshof auf sein erstes Revisionsurteil in dieser Sache¹⁸ Bezug. Die in der vorliegenden Entscheidung ergänzend angestellten Erwägungen zum europäischen Recht ergeben sich ebenfalls ohne weiteres mit der zur Anwendung der acte clair-Doktrin¹⁹ erforderlichen Eindeutigkeit aus dem Wortlaut des Art. 15 Abs. 1 RL und des Erwägungsgrunds 29 RL sowie aus dem Urteil des Gerichtshofs vom 08.04.2014³.

Bundesgerichtshof, Urteil vom 3. Juli 2014 – III ZR 391/13

1. BGH, Urteil vom 13.01.2011 – III ZR 146/10, NJW 2011, 1509[↩]
2. Gramlich in Manssen, Telekommunikations- und Multimediarecht, C § 100 Rn. 16 [Stand: 8/08]; Kannenberg in Scheurle/Mayen, TKG, 2. Aufl., § 100 Rn. 6 f; Mozek in Säcker, TKG, 3. Aufl., § 100 Rn. 7[↩]
3. BGH, aaO[↩][↩][↩][↩][↩]
4. Braun, Beck‘scher TKG-Kommentar, 4. Aufl., § 100 Rn. 10 f mwN; siehe aber demgegenüber z.B. auch Eckhardt, DSB 2011, 22, 23 f; Karg, MMR 2011, 345, 346[↩]
5. BT-Drs. 16/11967, S. 17[↩]
6. Braun aaO[↩]
7. ABl. L 201 S. 37; nachfolgend: RL[↩]
8. BGH, aaO Rn. 12[↩]
9. siehe auch Erwägungsgrund 7 und Art. 4 Abs. 1a, zweiter Spiegelstrich RL[↩]
10. BGH, aaO Rn. 33[↩][↩]
11. Erwägungsgrund 29 RL[↩]
12. EuGH, Urteil vom 08.04.2014 – C293/12 u.a. – Digital Rights Ireland Ltd. u.a., BeckRS 2014, 80686[↩]
13. ABl. Nr. L 105 S. 54[↩]
14. EuGH, aaO Rn. 60[↩]
15. EuGH, aaO Rn. 61[↩]
16. EuGH, aaO Rn. 62[↩]
17. EuGH, aaO Rn. 63 f[↩]
18. BGH, aaO Rn. 35[↩]
19. siehe dazu BGH, Urteil vom 13.01.2011 aaO mwN[↩]