IP-Adres­se – und die EU-Daten­schutz­richt­li­nie

Der Bun­des­ge­richts­hof hat im Zusam­men­hang mit einem bei ihm anhän­gi­gen Rechts­streit, in dem über die Recht­mä­ßig­keit einer Spei­che­rung von IP-Adres­sen durch einen Web­sei­ten­be­trei­ber gestrit­ten wird, dem Gerichts­hof der Euro­päi­schen Uni­on gemäß Art. 267 AEUV zwei Fra­gen zur Aus­le­gung der EU-Das­ten­schutz­richt­li­nie zur Vor­ab­ent­schei­dung vor­ge­legt:

IP-Adres­se – und die EU-Daten­schutz­richt­li­nie
  1. Ist Art. 2 Buch­sta­be a der Richt­li­nie 95/​46/​EG des Euro­päi­schen Par­la­ments und des Rates vom 24.10.1995 zum Schutz natür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten und zum frei­en Daten­ver­kehr [1] Daten­schutz-Richt­li­nie – dahin aus­zu­le­gen, dass eine Inter­net­pro­to­koll-Adres­se (IP-Adres­se), die ein Diens­te­an­bie­ter im Zusam­men­hang mit einem Zugriff auf sei­ne Inter­net­sei­te spei­chert, für die­sen schon dann ein per­so­nen­be­zo­ge­nes Datum dar­stellt, wenn ein Drit­ter (hier: Zugangs­an­bie­ter) über das zur Iden­ti­fi­zie­rung der betrof­fe­nen Per­son erfor­der­li­che Zusatz­wis­sen ver­fügt?
  2. Steht Art. 7 Buch­sta­be f der Daten­schutz-Richt­li­nie einer Vor­schrift des natio­na­len Rechts ent­ge­gen, wonach der Diens­te­an­bie­ter per­so­nen­be­zo­ge­ne Daten eines Nut­zers ohne des­sen Ein­wil­li­gung nur erhe­ben und ver­wen­den darf, soweit dies erfor­der­lich ist, um die kon­kre­te Inan­spruch­nah­me des Tele­me­di­ums durch den jewei­li­gen Nut­zer zu ermög­li­chen und abzu­rech­nen, und wonach der Zweck, die gene­rel­le Funk­ti­ons­fä­hig­keit des Tele­me­di­ums zu gewähr­leis­ten, die Ver­wen­dung nicht über das Ende des jewei­li­gen Nut­zungs­vor­gangs hin­aus recht­fer­ti­gen kann?

Der Aus­gangs­sach­ver­halt[↑]

Der Klä­ger macht gegen die beklag­te Bun­des­re­pu­blik Deutsch­land einen Unter­las­sungs­an­spruch wegen der Spei­che­rung von Inter­net­pro­to­koll-Adres­sen (im Fol­gen­den: IP-Adres­sen) gel­tend. IP-Adres­sen sind Zif­fern­fol­gen, die ver­netz­ten Com­pu­tern zuge­wie­sen wer­den, um deren Kom­mu­ni­ka­ti­on im Inter­net zu ermög­li­chen. Beim Abruf einer Inter­net­sei­te wird die IP-Adres­se des abru­fen­den Com­pu­ters an den Ser­ver über­mit­telt, auf dem die abge­ru­fe­ne Sei­te gespei­chert ist. Dies ist erfor­der­lich, um die abge­ru­fe­nen Daten an den rich­ti­gen Emp­fän­ger zu über­tra­gen.

Zahl­rei­che Ein­rich­tun­gen des Bun­des betrei­ben all­ge­mein zugäng­li­che Inter­net­por­ta­le, auf denen sie aktu­el­le Infor­ma­tio­nen bereit­stel­len. Mit dem Ziel, Angrif­fe abzu­weh­ren und die straf­recht­li­che Ver­fol­gung von Angrei­fern zu ermög­li­chen, wer­den bei den meis­ten die­ser Por­ta­le alle Zugrif­fe in Pro­to­koll­da­tei­en fest­ge­hal­ten. Dar­in wer­den jeweils der Name der abge­ru­fe­nen Datei bzw. Sei­te, in Such­fel­der ein­ge­ge­be­ne Begrif­fe, der Zeit­punkt des Abrufs, die über­tra­ge­ne Daten­men­ge, die Mel­dung, ob der Abruf erfolg­reich war, und die IP-Adres­se des zugrei­fen­den Rech­ners über das Ende des jewei­li­gen Nut­zungs­vor­gangs hin­aus gespei­chert.

Der Klä­ger rief in der Ver­gan­gen­heit ver­schie­de­ne sol­cher Inter­net­sei­ten auf. Mit sei­ner Kla­ge begehrt er, die Beklag­te zu ver­ur­tei­len, es zu unter­las­sen, die IP-Adres­se des zugrei­fen­den Host­sys­tems des Klä­gers, die im Zusam­men­hang mit der Nut­zung öffent­lich zugäng­li­cher Tele­me­di­en der Beklag­ten im Inter­net – mit Aus­nah­me eines bestimm­ten Por­tals, für das der Klä­ger bereits einen Unter­las­sungs­ti­tel erwirkt hat – über­tra­gen wird, über das Ende des jewei­li­gen Nut­zungs­vor­gangs hin­aus zu spei­chern oder durch Drit­te spei­chern zu las­sen, soweit die Spei­che­rung nicht im Stö­rungs­fall zur Wie­der­her­stel­lung der Ver­füg­bar­keit des Tele­me­di­ums erfor­der­lich ist.

Das erst­in­stanz­lich hier­mit befass­te Amts­ge­richt Ber­lin-Mit­te [2]hat die Kla­ge abge­wie­sen. Auf die Beru­fung des Klä­gers hat das Land­ge­richt Ber­lin [3] das erst­in­stanz­li­che Urteil unter Zurück­wei­sung des wei­ter­ge­hen­den Rechts­mit­tels teil­wei­se abge­än­dert und die Beklag­te ver­ur­teilt, es zu unter­las­sen, die IP-Adres­se des zugrei­fen­den Host­sys­tems des Klä­gers, die im Zusam­men­hang mit der Nut­zung öffent­lich zugäng­li­cher Tele­me­di­en der Beklag­ten im Inter­net – mit Aus­nah­me eines Inter­net­por­tals – über­tra­gen wird, in Ver­bin­dung mit dem Zeit­punkt des jewei­li­gen Nut­zungs­vor­gangs über das Ende des jewei­li­gen Nut­zungs­vor­gangs hin­aus zu spei­chern oder durch Drit­te spei­chern zu las­sen, sofern der Klä­ger wäh­rend eines Nut­zungs­vor­gangs sei­ne Per­so­na­li­en, auch in Form einer die Per­so­na­li­en aus­wei­sen­den E‑Mail-Anschrift, angibt und soweit die Spei­che­rung nicht im Stö­rungs­fall zur Wie­der­her­stel­lung der Ver­füg­bar­keit des Tele­me­di­ums erfor­der­lich ist.

Gegen die­ses Urteil haben bei­de Par­tei­en die vom Beru­fungs­ge­richt zuge­las­se­ne Revi­si­on ein­ge­legt. Der Klä­ger begehrt die Ver­ur­tei­lung der Beklag­ten ohne die vom Beru­fungs­ge­richt aus­ge­spro­che­nen Beschrän­kun­gen. Mit der Revi­si­on ver­folgt die Beklag­te ihren Antrag auf voll­stän­di­ge Kla­ge­ab­wei­sung wei­ter.

Das deut­sche Recht[↑]

Die für die Ent­schei­dung des Rechts­streits maß­ge­ben­den Bestim­mun­gen des deut­schen Rechts fin­den sich in den §§ 12, 15 TMG, § 3 BDSG.

Der Klä­ger könn­te von der Beklag­ten bean­spru­chen, es zu unter­las­sen, die für den Abruf ihrer Inter­net­sei­ten durch den Klä­ger über­mit­tel­ten IP-Adres­sen in Ver­bin­dung mit der Zeit des jewei­li­gen Abrufs über das Ende des jewei­li­gen Nut­zungs­vor­gangs hin­aus zu spei­chern oder durch Drit­te spei­chern zu las­sen (mit Aus­nah­me eines Stör­fal­les zur Wie­der­her­stel­lung der Ver­füg­bar­keit des Tele­me­di­ums). Das setzt vor­aus, dass es sich bei dem Spei­chern der (hier allein in Fra­ge ste­hen­den dyna­mi­schen) IP-Adres­se um einen nach dem Daten­schutz­recht unzu­läs­si­gen Ein­griff in das all­ge­mei­ne Per­sön­lich­keits­recht – in sei­ner Aus­prä­gung als Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung – des Klä­gers han­del­te (§ 1004 Abs. 1, § 823 Abs. 1 BGB i. V. mit Artt. 1 und 2 GG). Davon wäre aus­zu­ge­hen, wenn die IP-Adres­se – jeden­falls zusam­men mit dem Zeit­punkt des Zugriffs auf eine Inter­net­sei­te – zu den „per­so­nen­be­zo­ge­nen Daten“ im Sin­ne von Art. 2 Buch­sta­be a in Ver­bin­dung mit Erwä­gungs­grund 26 Satz 2 der Daten­schutz-Richt­li­nie bzw. § 12 Abs. 1 und 3 TMG i. V. mit § 3 Abs. 1 BDSG zähl­te und ein Erlaub­nis­tat­be­stand im Sin­ne von Art. 7 Buch­sta­be f der Daten­schutz-Richt­li­nie bzw. § 12 Abs. 1 und 3, § 15 Abs. 1 und 4 TMG nicht vor­lä­ge.

IP-Adres­sen als per­so­nen­be­zo­ge­ne Daten[↑]

Nach § 12 Abs. 1 TMG darf „der Diens­te­an­bie­ter […] per­so­nen­be­zo­ge­ne Daten zur Bereit­stel­lung von Tele­me­di­en nur erhe­ben und ver­wen­den, soweit die­ses Gesetz oder eine ande­re Rechts­vor­schrift, die sich aus­drück­lich auf Tele­me­di­en bezieht, es erlaubt oder der Nut­zer ein­ge­wil­ligt hat.“ Die­se Vor­schrift ist anwend­bar, da die in Rede ste­hen­den Por­ta­le als Tele­me­di­en (§ 1 Abs. 1 Satz 1 TMG), die Beklag­te als Diens­te­an­bie­ter (§ 2 Satz 1 Nr. 1 TMG) und der Klä­ger als Nut­zer (§ 11 Abs. 2 TMG) anzu­se­hen sind.

Per­so­nen­be­zo­ge­ne Daten sind nach der auch für das Tele­me­di­en­ge­setz maß­geb­li­chen [4] Legal­de­fi­ni­ti­on in § 3 Abs. 1 BDSG „Ein­zel­an­ga­ben über per­sön­li­che oder sach­li­che Ver­hält­nis­se einer bestimm­ten oder bestimm­ba­ren natür­li­chen Per­son (Betrof­fe­ner).“ Die von der Beklag­ten gespei­cher­ten dyna­mi­schen IP-Adres­sen sind jeden­falls im Kon­text mit den wei­te­ren in den Pro­to­koll­da­tei­en gespei­cher­ten Daten als Ein­zel­an­ga­ben über sach­li­che Ver­hält­nis­se anzu­se­hen, da die Daten Auf­schluss dar­über gaben, dass zu bestimm­ten Zeit­punk­ten bestimm­te Sei­ten bzw. Datei­en über das Inter­net abge­ru­fen wur­den [5]. Die­se sach­li­chen Ver­hält­nis­se waren sol­che des Klä­gers; denn er war Inha­ber des Anschlus­ses, dem die IP-Adres­sen zuge­wie­sen waren [6], und hat die Inter­net­sei­ten im Übri­gen auch selbst auf­ge­ru­fen. Da die gespei­cher­ten Daten aber aus sich her­aus kei­nen unmit­tel­ba­ren Rück­schluss auf die Iden­ti­tät des Klä­gers zulie­ßen, war die­ser nicht „bestimmt“ im Sin­ne des § 3 Abs. 1 BDSG [7]. Für den Per­so­nen­be­zug kommt es des­halb dar­auf an, ob er „bestimm­bar“ war.

Die Bestimm­bar­keit einer Per­son setzt vor­aus, dass grund­sätz­lich die Mög­lich­keit besteht, ihre Iden­ti­tät fest­zu­stel­len [8]. Umstrit­ten ist, ob bei der Prü­fung der Bestimm­bar­keit ein objek­ti­ver oder ein rela­ti­ver Maß­stab anzu­le­gen ist.

Nach einer Auf­fas­sung kommt es auf die indi­vi­du­el­len Ver­hält­nis­se der ver­ant­wort­li­chen Stel­le nicht an [9]. Danach kann ein Per­so­nen­be­zug auch dann anzu­neh­men sein, wenn aus­schließ­lich ein Drit­ter in der Lage ist, die Iden­ti­tät des Betrof­fe­nen fest­zu­stel­len.

Die über­wie­gen­de Auf­fas­sung ver­tritt dem­ge­gen­über einen rela­ti­ven Ansatz. Ein Per­so­nen­be­zug ist danach zu ver­nei­nen, wenn die Bestim­mung des Betrof­fe­nen gera­de für die ver­ant­wort­li­che Stel­le mit einem unver­hält­nis­mä­ßi­gen Auf­wand an Zeit, Kos­ten und Arbeits­kraft ver­bun­den ist, so dass das Risi­ko einer Iden­ti­fi­zie­rung als prak­tisch irrele­vant erscheint. Dies wird, da das Gesetz die Begrif­fe des Per­so­nen­be­zugs und des Anony­mi­sie­rens kom­ple­men­tär ver­wen­det, aus § 3 Abs. 6 BDSG her­ge­lei­tet [10]. Dies könn­te bei einer ent­spre­chen­den Aus­le­gung in Ein­klang ste­hen mit der Daten­schutz-Richt­li­nie, nach deren Erwä­gungs­grund 26 bei der Beur­tei­lung der Bestimm­bar­keit alle Mit­tel berück­sich­tigt wer­den soll­ten, die „ver­nünf­ti­ger­wei­se“ ein­ge­setzt wer­den könn­ten, um die betref­fen­de Per­son zu bestim­men [11].

Stell­te man mit dem rela­ti­ven Ansatz auf die Kennt­nis­se, Mit­tel und Mög­lich­kei­ten der die IP-Adres­sen spei­chern­den Stel­le ab, könn­ten die­sel­ben Daten für eine Stel­le – etwa für den Zugangs­an­bie­ter [12] – per­so­nen­be­zo­gen und für eine ande­re Stel­le – etwa für den Anbie­ter einer Inter­net­sei­te (hier: die Beklag­te) – nicht per­so­nen­be­zo­gen sein [13].

Für die Aus­le­gung des natio­na­len Rechts (§ 12 Abs. 1 TMG) ist maß­ge­bend, wie der Per­so­nen­be­zug in Art. 2 Buch­sta­be a der – die­sen Bereich betref­fen­den – Daten­schutz-Richt­li­nie zu ver­ste­hen ist.

Der Wort­laut der Richt­li­ni­en­be­stim­mung scheint nicht ein­deu­tig zu sein. Nach dem Erwä­gungs­grund 26 Satz 2 der Richt­li­nie sol­len bei der Ent­schei­dung, ob eine Per­son bestimm­bar ist, auch Mit­tel berück­sich­tigt wer­den, die „von einem Drit­ten“ ein­ge­setzt wer­den könn­ten, um die betref­fen­de Per­son zu bestim­men. Das könn­te so zu ver­ste­hen sein, dass der Per­so­nen­be­zug auch für einen Ver­ant­wort­li­chen, der eine Infor­ma­ti­on ledig­lich spei­chert, schon dann zu beja­hen ist, wenn aus­schließ­lich ein Drit­ter, läge die­sem die Infor­ma­ti­on vor, den Betrof­fe­nen ohne unver­hält­nis­mä­ßi­gen Auf­wand iden­ti­fi­zie­ren könn­te; jeden­falls könn­te ein Per­so­nen­be­zug dann anzu­neh­men sein, wenn ver­nünf­ti­ger­wei­se nicht aus­zu­schlie­ßen ist, dass die Infor­ma­ti­on zukünf­tig an den Drit­ten über­mit­telt wird [14]. Ande­rer­seits könn­te ein sol­ches Ver­ständ­nis des Erwä­gungs­grun­des nicht zwin­gend sein. Berück­sich­tigt man bei der Beur­tei­lung der Bestimm­bar­keit nur Mit­tel, die „ver­nünf­ti­ger­wei­se“ ein­ge­setzt wer­den könn­ten, um die betref­fen­de Per­son zu bestim­men [15], wäre auch ein rela­ti­ves Ver­ständ­nis der Bestimm­bar­keit und damit des Per­so­nen­be­zugs mög­lich.

Die Fra­ge ist im Streit­fall ent­schei­dungs­er­heb­lich.

Folgt man dem objek­ti­ven Ansatz, so waren die dem Anschluss des Klä­gers zuge­wie­se­nen und von der Beklag­ten gespei­cher­ten dyna­mi­schen IP-Adres­sen auch über das Ende der ein­zel­nen Nut­zungs­vor­gän­ge hin­aus per­so­nen­be­zo­gen. Denn das Beru­fungs­ge­richt hat ange­nom­men, dass der Zugangs­an­bie­ter des Klä­gers die für des­sen Iden­ti­fi­zie­rung anhand der IP-Adres­sen erfor­der­li­chen Daten über das Ende der ein­zel­nen Inter­net­ver­bin­dun­gen hin­aus gespei­chert hat [16]. Mit die­sem Zusatz­wis­sen hät­ten die von der Beklag­ten gespei­cher­ten Daten ohne unver­hält­nis­mä­ßi­gen Auf­wand dem Klä­ger als Anschlus­s­in­ha­ber zuge­ord­net wer­den kön­nen.

Folgt man dem­ge­gen­über dem rela­ti­ven Ansatz, so ist der Per­so­nen­be­zug im Streit­fall zu ver­nei­nen. Denn die Stel­len der Beklag­ten, die die IP-Adres­sen des Klä­gers gespei­chert haben, hät­ten den Klä­ger nicht ohne unver­hält­nis­mä­ßi­gen Auf­wand iden­ti­fi­zie­ren kön­nen. Nach den getrof­fe­nen Fest­stel­lun­gen ist davon aus­zu­ge­hen, dass ihnen – die Nicht­an­ga­be der Per­so­na­li­en vor­aus­ge­setzt – kei­ne Infor­ma­tio­nen vor­la­gen, die dies ermög­licht hät­ten. Anders als es bei sta­ti­schen IP-Adres­sen der Fall sein kann, lässt sich die Zuord­nung dyna­mi­scher IP-Adres­sen zu bestimm­ten Anschlüs­sen kei­ner all­ge­mein zugäng­li­chen Datei ent­neh­men [17].

Der Zugangs­an­bie­ter des Klä­gers durf­te den Stel­len der Beklag­ten, wel­che die IP-Adres­sen spei­chern (sog. ver­ant­wort­li­che Stel­len), kei­ne Aus­kunft über des­sen Iden­ti­tät ertei­len, weil es dafür kei­ne gesetz­li­che Grund­la­ge gibt (§ 95 Abs. 1 Satz 3 TKG). Allei­ne die Befug­nis­se der zustän­di­gen Stel­len nach § 113 TKG (etwa die Staats­an­walt­schaft im Rah­men eines Ermitt­lungs­ver­fah­rens) recht­fer­ti­gen es noch nicht, die auf Grund die­ser Befug­nis­se beschaff­ba­ren Infor­ma­tio­nen auch für ande­re staat­li­che Stel­len (etwa die Stel­len des Bun­des, wel­che die IP-Adres­sen spei­chern), an die die­se Infor­ma­tio­nen nicht wei­ter­ge­ge­ben wer­den dür­fen, als zugäng­lich anzu­se­hen. Ille­ga­le Hand­lun­gen kön­nen – erst recht bei staat­li­chen Stel­len – nicht als Mit­tel der Infor­ma­ti­ons­be­schaf­fung ange­se­hen wer­den.

Erlaub­te Spei­che­rung nach § 15 Abs. 1 TMG?[↑]

Wäre davon aus­zu­ge­hen, dass es sich bei der IP-Adres­se im Zusam­men­hang mit den Daten des Zugriffs um per­so­nen­be­zo­ge­ne Daten han­del­te, wäre die Spei­che­rung über den Zugriff hin­aus nach § 12 Abs. 1 TMG nur zuläs­sig, soweit die­ses Gesetz oder eine ande­re Rechts­vor­schrift, die sich aus­drück­lich auf Tele­me­di­en bezieht, es erlaubt oder der Nut­zer ein­ge­wil­ligt hat. Eine sol­che Ein­wil­li­gung liegt hier nicht vor. Es kommt aber eine Erlaub­nis nach § 15 Abs. 1 TMG in Betracht. Auch inso­weit ist eine Vor­ab­ent­schei­dung des Gerichts­hofs der Euro­päi­schen Uni­on über die Aus­le­gung des Art. 7 Buch­sta­be f der Daten­schutz-Richt­li­nie ein­zu­ho­len.

Nach § 15 Abs. 1 TMG darf der Diens­te­an­bie­ter per­so­nen­be­zo­ge­ne Daten eines Nut­zers nur erhe­ben und ver­wen­den, soweit dies erfor­der­lich ist, um die Inan­spruch­nah­me von Tele­me­di­en zu ermög­li­chen und abzu­rech­nen (Nut­zungs­da­ten). Nut­zungs­da­ten sind dabei ins­be­son­de­re Merk­ma­le zur Iden­ti­fi­ka­ti­on des Nut­zers, Anga­ben über Beginn und Ende sowie des Umfangs der jewei­li­gen Nut­zung und Anga­ben über die vom Nut­zer in Anspruch genom­me­nen Tele­me­di­en.

Für die recht­li­che Prü­fung ist nach dem Vor­trag der Beklag­ten davon aus­zu­ge­hen, dass die Spei­che­rung der IP-Adres­sen zur Gewähr­leis­tung und Auf­recht­erhal­tung der Sicher­heit und Funk­ti­ons­fä­hig­keit ihrer Tele­me­di­en erfor­der­lich ist. Dies gilt ins­be­son­de­re für die Erken­nung und Abwehr häu­fig auf­tre­ten­der „Denialof-Service“-Attacken, bei denen die TK-Infra­struk­tur durch geziel­tes und koor­di­nier­tes Flu­ten ein­zel­ner Web­ser­ver mit einer Viel­zahl von Anfra­gen lahm gelegt wird.

Frag­lich ist, ob dadurch die Vor­aus­set­zun­gen des § 15 Abs. 1 TMG erfüllt sein kön­nen. Eine sol­che Aus­le­gung wäre mit dem Wort­laut der Vor­schrift ver­ein­bar. Denn die behaup­te­ten „Denialof-Service“-Attacken füh­ren dazu, dass das Tele­me­di­um nicht mehr erreich­bar und sei­ne Inan­spruch­nah­me somit nicht mehr mög­lich ist. Wenn und soweit Maß­nah­men des Diens­te­an­bie­ters erfor­der­lich sind, um sol­che Angrif­fe abzu­weh­ren, könn­ten die Maß­nah­men des­halb als erfor­der­lich ange­se­hen wer­den, „um die Inan­spruch­nah­me von Tele­me­di­en zu ermög­li­chen“ [18].

In der Lite­ra­tur wird aller­dings über­wie­gend die Auf­fas­sung ver­tre­ten, dass die Daten­er­he­bung und ver­wen­dung nur erlaubt ist, um ein kon­kre­tes Nut­zungs­ver­hält­nis zu ermög­li­chen und die Daten, soweit sie nicht für Abrech­nungs­zwe­cke benö­tigt wer­den, mit dem Ende des jewei­li­gen Nut­zungs­vor­gangs zu löschen sind. Dafür spricht ins­be­son­de­re § 15 Abs. 4 Satz 1 TMG, der eine Ver­wen­dung der Daten zu Abrech­nungs­zwe­cken auch über das Ende des Nut­zungs­vor­gangs hin­aus aus­drück­lich erlaubt und der im Fall einer wei­ten Aus­le­gung des § 15 Abs. 1 TMG nur klar­stel­len­de Bedeu­tung hät­te [19]. Die­ses Ver­ständ­nis des § 15 Abs. 1 TMG wür­de einer Erlaub­nis zur Spei­che­rung der IP-Adres­sen zur (gene­rel­len) Gewähr­leis­tung und Auf­recht­erhal­tung der Sicher­heit und Funk­ti­ons­fä­hig­keit von Tele­me­di­en ent­ge­gen­ste­hen.

Da für das Ver­ständ­nis des § 15 Abs. 1 TMG der die­sen Bereich regeln­de Art. 7 Buch­sta­be f der Daten­schutz-Richt­li­nie maß­ge­bend ist, stellt sich die Fra­ge, wie die­se Richt­li­ni­en­be­stim­mung aus­zu­le­gen ist.

Nach Art. 7 Buch­sta­be f der Daten­schutz-Richt­li­nie ist die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten recht­mä­ßig, wenn sie erfor­der­lich ist zur Ver­wirk­li­chung des berech­tig­ten Inter­es­ses, das von dem für die Ver­ar­bei­tung Ver­ant­wort­li­chen oder von dem bzw. den Drit­ten wahr­ge­nom­men wird, denen die Daten über­mit­telt wer­den, sofern nicht das Inter­es­se oder die Grund­rech­te und Grund­frei­hei­ten der betrof­fe­nen Per­son, die gemäß Art. 1 Abs. 1 der Richt­li­nie geschützt sind, über­wie­gen. Nach dem Urteil des Euro­päi­schen Gerichts­hofs vom 24.11.2011 in Sachen ASNEF und FECEMD [20] führt die Daten­schutz-Richt­li­nie zu einer grund­sätz­lich umfas­sen­den Har­mo­ni­sie­rung der natio­na­len Rechts­vor­schrif­ten. Des­halb steht Art. 7 Buch­sta­be f der Daten­schutz-Richt­li­nie hin­sicht­lich der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten jeder natio­na­len Rege­lung ent­ge­gen, die bei Feh­len der Ein­wil­li­gung der betrof­fe­nen Per­son neben den bei­den in der Vor­schrift genann­ten kumu­la­ti­ven Vor­aus­set­zun­gen zusätz­li­che Erfor­der­nis­se auf­stellt. Zwar dür­fen die Mit­glied­staa­ten in der Aus­übung ihres Ermes­sens gemäß Art. 5 der Daten­schutz-Richt­li­nie Leit­li­ni­en für die gefor­der­te Abwä­gung auf­stel­len. Eine natio­na­le Rege­lung darf jedoch nicht die Ver­ar­bei­tung bestimm­ter Kate­go­rien per­so­nen­be­zo­ge­ner Daten aus­schlie­ßen, indem sie für die­se Kate­go­rien das Ergeb­nis der Abwä­gung abschlie­ßend vor­schreibt, ohne Raum für ein Ergeb­nis zu las­sen, das auf Grund beson­de­rer Umstän­de des Ein­zel­falls anders aus­fällt [21].

Nach die­sen Maß­stä­ben könn­te das vom Beru­fungs­ge­richt befür­wor­te­te enge Ver­ständ­nis des § 15 Abs. 1 TMG nicht in Ein­klang mit Art. 7 Buch­sta­be f der Daten­schutz-Richt­li­nie ste­hen [22]. Denn nach die­ser Aus­le­gung dürf­te der Diens­te­an­bie­ter per­so­nen­be­zo­ge­ne Daten des Nut­zers ohne des­sen Ein­wil­li­gung über das Ende des jewei­li­gen Nut­zungs­vor­gangs hin­aus nur zu einem bestimm­ten Zweck, näm­lich dem der Abrech­nung, ver­wen­den; für ande­re Zwe­cke dürf­ten die Daten nach Ende des Nut­zungs­vor­gangs unab­hän­gig von einer Abwä­gung der im Ein­zel­fall berühr­ten Inter­es­sen nicht ver­wen­det wer­den.

Danach stellt sich die Fra­ge, ob § 15 Abs. 1 TMG richt­li­ni­en­kon­form dahin aus­ge­legt wer­den muss, dass auch der von dem Diens­te­an­bie­ter ver­folg­te Zweck, die Funk­ti­ons­fä­hig­keit des Tele­me­di­ums zu gewähr­leis­ten, die Ver­wen­dung per­so­nen­be­zo­ge­ner Daten des Nut­zers auch über das Ende des jewei­li­gen Nut­zungs­vor­gangs hin­aus recht­fer­ti­gen kann, wenn, soweit und solan­ge die Ver­wen­dung zu die­sem Zweck erfor­der­lich ist.

Die Fra­ge ist auch ent­schei­dungs­er­heb­lich.

Wenn nach der Ent­schei­dung des Uni­ons­ge­richts­hofs zu Art. 2 Buch­sta­be a der Daten­schutz-Richt­li­nie der Per­so­nen­be­zug der gespei­cher­ten IP-Adres­sen zu beja­hen sein soll­te, könn­te der Anspruch des Klä­gers gleich­wohl ent­fal­len, wenn der Erlaub­nis­tat­be­stand des § 15 Abs. 1 TMG – bei einem von der Daten­schutz-Richt­li­nie gefor­der­ten wei­te­ren Ver­ständ­nis – ein­grif­fe.

Bun­des­ge­richts­hof, Beschluss vom 28. Okto­ber 2014 – VI ZR 135/​13

  1. Abl. EG 1995, L 281/​31[]
  2. AG Ber­lin-Mit­te, Urteil vom 13.08.2008 – 2 C 6/​08[]
  3. LG Ber­lin, Urteil vom 31.01.2013 – 57 S 87/​08, ZD 2013, 618[]
  4. KG, K&R 2011, 418; Moos in Taeger/​Gabel, BDSG, 2. Aufl., § 12 TMG Rn. 5[]
  5. vgl. Simitis/​Dammann, BDSG, 8. Aufl., § 3 Rn. 10; Sachs, CR 2010, 547, 548[]
  6. vgl. BGH, Urteil vom 12.05.2010 – I ZR 121/​08, BGHZ 185, 330 Rn. 15[]
  7. vgl. Schulz in Roß­na­gel, Beck­RTD-Komm., § 11 TMG Rn. 22; Gola/​Schomerus, BDSG, 11. Aufl., § 3 Rn. 10[]
  8. Buch­ner in Taeger/​Gabel, BDSG, 2. Aufl., § 3 Rn. 11; Plath/​Schreiber in Plath, BDSG, § 3 Rn. 13[]
  9. so etwa Pah­len-Brandt, K&R 2008, 286, 289; dies., DuD 2008, 34 ff.; Karg, MMR 2011, 345, 346; Schaar, Daten­schutz im Inter­net, Kap. 3 Rn. 153, 174 f.; ähn­lich Wei­chert in Däubler/​Klebe/​Wedde/​ders., BDSG, 4. Aufl., § 3 Rn. 13, 15; vgl. auch Schwei­zer BVG, Urteil vom 27.05.2009 – A3144/​2008 – Beck­RS 2009, 22471 unter J.02.2.1[]
  10. Simitis/​Dammann, BDSG, 8. Aufl., § 3 Rn. 23, 196; Wei­chert in Däubler/​Klebe/​Wedde/​ders., BDSG, 4. Aufl., § 3 Rn. 13; Moos in: Taeger/​Gabel, BDSG, 2. Aufl., § 12 TMG Rn. 8; Mantz, ZD 2013, 625[]
  11. Buch­ner in Taeger/​Gabel, aaO, § 3 BDSG Rn. 12; Simitis/​Dammann, aaO Rn. 24[]
  12. vgl. EuGH, Slg. 2011, I12006 Rn. 51 – Scar­let Exten­ded[]
  13. so etwa LG Fran­ken­thal, MMR 2008, 687, 689; LG Wup­per­tal, K&R 2010, 838, 839; AG Mün­chen, K&R 2008, 767 m. zust. Anm. Eck­hardt; ders., CR 2011, 339, 342 ff.; Mey­er­dierks, MMR 2009, 8, 10 ff.; Krüger/​Maucher, MMR 2011, 433, 436 ff.; Simitis/​Dammann, BDSG, 8. Aufl., § 3 Rn. 32 f.; Plath/​Schreiber in Plath, BDSG, § 3 Rn. 14 f.; Gola/​Schomerus, BDSG, 11. Aufl., § 3 Rn. 10; Bergmann/​Möhrle/​Herb, Daten­schutz­recht, § 3 BDSG Rn. 32 [Stand: Janu­ar 2012]; Spindler/​Nink in Spindler/​Schuster, Recht der elek­tro­ni­schen Medi­en, 2. Aufl., § 11 TMG Rn. 5b; Moos in: Taeger/​Gabel, BDSG, 2. Aufl., § 12 TMG Rn. 8; Schulz in Roß­na­gel, Beck­RTD-Komm., § 11 TMG Rn. 23; Bizer/​Hornung, ebd., § 12 TMG Rn. 44; Mül­ler-Broich, TMG, § 11 Rn. 5; Schmitz in Hoeren/​Sieber/​Holznagel, Hdb. Mul­ti­me­dia-Recht, Kap. 16.2 Rn. 76 [Stand: Dezem­ber 2009]; Här­ting, Inter­net­recht, 5. Aufl., Kap. B Rn. 276[]
  14. vgl. Pah­len-Brandt, DuD 2008, 34, 38; Sachs, CR 2010, 547, 550 f.[]
  15. Buch­ner in Taeger/​Gabel, BDSG, 2. Aufl., § 3 BDSG Rn. 12; Simitis/​Dammann, BDSG, 8. Aufl., § 3 Rn. 24[]
  16. zur Befug­nis des Anbie­ters vgl. BGH, Urtei­le vom 13.01.2011 – III ZR 146/​10, NJW 2011, 1509; und vom 03.07.2014 – VI ZR 391/​13, NJW 2014, 2500[]
  17. Ger­lach, CR 2013, 478, 480[]
  18. vgl. Meyerdierks/​Gendelev, ZD 2013, 626, 627[]
  19. vgl. Zscher­pe in Taeger/​Gabel, BDSG, 2. Aufl., § 15 TMG Rn. 32, 40; juris­PK-Inter­net­rech­t/Heck­mann, 4. Aufl., Kap. 9 Rn. 362; Schmitz in Hoeren/​Sieber/​Holznagel, Hdb. Mul­ti­me­dia-Recht, Kap. 16.2 Rn.204 [Stand: Dezem­ber 2009][]
  20. EuGH, Urteil „ASNEF und FECEMD“, Slg. 2011, I12181 Rn. 29 ff.[]
  21. EuGH, aaO[]
  22. Dre­wes, ZD 2012, 115, 118; vgl. auch Meyerdierks/​Gendelev, ZD 2013, 626, 627 und BGH, Urteil vom 04.06.2013 – 1 StR 32/​13, BGHSt 58, 268 Rn. 70 ff.[]