Eine mit der Bekämpfung online begangener Nachahmungen betraute nationale Behörde kann anhand einer IP-Adresse Zugang zu Identitätsdaten erhalten. Der Gerichtshof der Europäischen Union präzisiert insoweit die Anforderungen an die Modalitäten einer zulässigen Vorratsspeicherung dieser Daten und des Zugangs zu ihnen.
Die Mitgliedstaaten können den Internetzugangsanbietern mit dem Ziel der Bekämpfung von Straftaten im Allgemeinen eine Pflicht zur allgemeinen und unterschiedslosen Vorratsspeicherung von IP-Adressen auferlegen, sofern eine solche Speicherung keine genauen Schlüsse auf das Privatleben der fraglichen Person zulässt. Dafür können Speichermodalitäten sorgen, die eine wirksame strikte Trennung der IP-Adressen und der übrigen Kategorien personenbezogener Daten, insbesondere der Identitätsdaten, gewährleisten.
Die Mitgliedstaaten können zudem unter bestimmten Bedingungen der zuständigen nationalen Behörde Zugang zu den Identitätsdaten gewähren, die IP-Adressen zuzuordnen sind, sofern eine solche, die strikte Trennung der verschiedenen Datenkategorien gewährleistende Vorratsspeicherung sichergestellt worden ist.
Können in atypischen Situationen die Besonderheiten des einen solchen Zugang regelnden nationalen Verfahrens es ermöglichen, durch die Verknüpfung der gesammelten Daten und Informationen genaue Schlüsse auf das Privatleben der betreffenden Person zu ziehen, muss der Zugang zu ihnen einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle unterworfen werden.
Zum Schutz der Werke, an denen ein Urheberrecht oder ein verwandtes Schutzrecht besteht, vor Rechtsverletzungen im Internet wurden in einem französischen Dekret zwei Verarbeitungen personenbezogener Daten vorgesehen:
- Die erste besteht darin, dass Einrichtungen der Rechteinhaber IP-Adressen sammeln, die in Peer-to-Peer-Netzen zur Begehung solcher Rechtsverletzungen genutzt worden zu sein scheinen, und sie der Hohen Behörde für die Verbreitung von Werken und den Schutz von Rechten im Internet (Hadopi) zur Verfügung stellen. Zum 1. Januar 2022 fusionierte die Hadopi mit der Aufsichtsbehörde für die audiovisuellen Medien (CSA) zur Regulierungsbehörde für die audiovisuelle und digitale Kommunikation (Arcom). Das im Wesentlichen unverändert gebliebene Verfahren der abgestuften Reaktion wird seitdem von zwei Mitgliedern des Kollegiums der Arcom durchgeführt, von denen eines vom Conseil d’État (Staatsrat) und das andere von der Cour de cassation (Kassationshof) benannt wird.
- Die zweite umfasst u. a. den Abgleich der IP-Adresse mit den Identitätsdaten ihres Inhabers durch die Internetzugangsanbieter auf Ersuchen der Hadopi. Diese Datenverarbeitungen ermöglichen es der Hadopi, gegen die identifizierten Personen ein Verfahren einzuleiten, bei dem pädagogische und repressive Maßnahmen kombiniert werden und das in den gravierendsten Fällen zur Befassung der Staatsanwaltschaft führen kann.
Vier Vereinigungen zum Schutz der Rechte und Freiheiten im Internet haben den französischen Conseil d’État (Staatsrat) mit einer Klage auf Nichtigerklärung des fraglichen Dekrets befasst. Der Conseil d’État richtete daraufhin ein Vorabentscheidungsersuchen an den Gerichtshof der Europäischen Union zu der Frage, ob die genannten Datenverarbeitungen mit dem Unionsrecht vereinbar sind.
Im Wege eines solchen Vorabentscheidungsersuchens können die Gerichte der Mitgliedstaaten in einem bei ihnen anhängigen Rechtsstreit dem Gerichtshof der Europäischen Unino Fragen nach der Auslegung des Unionsrechts oder nach der Gültigkeit einer Handlung der Europäischen Union vorlegen. Der Unionsgerichtshof antwortet dabei nur über die vorgelegten Rechtsfragen, er entscheidet dagegen nicht über den nationalen Rechtsstreit selbst. Es ist und bleibt vielmehr Sache des nationalen Gerichts, über die Rechtssache im Einklang mit der Entscheidung des Unionsgerichtshofs zu entscheiden. Diese Entscheidung des Unionsgerichtshofs bindet in gleicher Weise andere nationale Gerichte, die mit einem ähnlichen Problem befasst werden.
Das Plenum des Gerichtshofs der Europäischen Union entschied nun, dass die allgemeine und unterschiedslose Vorratsspeicherung von IP-Adressen nicht zwangsläufig einen schweren Eingriff in die Grundrechte darstellt. Eine solche Vorratsspeicherung ist zulässig, wenn die nationale Regelung Speichermodalitäten vorschreibt, die eine wirksame strikte Trennung der verschiedenen Kategorien personenbezogener Daten gewährleisten und es damit ausschließen, dass genaue Schlüsse auf das Privatleben der betreffenden Person gezogen werden können.
Der Unionsgerichtshof fügt hinzu, dass das Unionsrecht einer nationalen Regelung nicht entgegensteht, die es gestattet, der zuständigen nationalen Behörde allein zu dem Zweck, eine Person zu identifizieren, die im Verdacht steht, eine Straftat begangen zu haben, Zugang zu den einer IP-Adresse zuzuordnenden Identitätsdaten zu gewähren, die von den Internetzugangsanbietern wirksam strikt getrennt auf Vorrat gespeichert wurden. Die Mitgliedstaaten müssen allerdings gewährleisten, dass der Zugang keine genauen Schlüsse auf das Privatleben der Inhaber der betreffenden IP-Adressen ermöglicht. Dies impliziert, dass es den Bediensteten, die über den Zugang verfügen, untersagt ist, Informationen über den Inhalt der konsultierten Dateien offenzulegen, die unter den IP-Adressen besuchten Internetseiten nachzuverfolgen und allgemeiner diese Adressen zu anderen Zwecken als dem der Identifizierung ihrer Inhaber im Hinblick auf den Erlass etwaiger gegen sie gerichteter Maßnahmen zu nutzen.
Wenn der Zugang zu Identitätsdaten der Nutzer elektronischer Kommunikationsmittel allein zur Identifizierung des betreffenden Nutzers dient, ist eine vorherige Kontrolle des Zugangs durch ein Gericht oder eine unabhängige Verwaltungsstelle nicht erforderlich, sofern der mit dem Zugang verbundene Grundrechtseingriff nicht als schwerwiegend eingestuft werden kann. Diese Kontrolle muss jedoch vorgesehen sein, falls die Besonderheiten des einen solchen Zugang regelnden nationalen Verfahrens es durch die Verknüpfung der im Lauf der verschiedenen Stufen dieses Verfahrens gesammelten Daten und Informationen ermöglichen können, genaue Schlüsse auf das Privatleben der betreffenden Person zu ziehen, sodass ein schwerer Eingriff in ihre Grundrechte vorliegt. In einem solchen Fall muss die Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle vor einer solchen Verknüpfung erfolgen, unter Wahrung der Effektivität des genannten Verfahrens, das es insbesondere ermöglichen muss, Fälle einer möglichen Wiederholung des fraglichen rechtswidrigen Verhaltens zu ermitteln.
Gerichtshof der Europäischen Union, Urteil vom 30. April 2024 – C-470/21
Bildnachweis:
- Gerichtshof der Europäischen Union (Große Kammer): Gerichtshof der Europäischen Union (Laurent Antonelli, Blitz Agency 2015)
