Heute hat der Generalanwalt am Europäischen Gerichtshof (EuGH), Campos Sánchez-Bordona, seine Schlussanträge in dem Verfahren „Breyer“ (C-582/14) vorgelegt. In dem diesem Vorabentscheidungsersuchen des Bundesgerichtshofs zugrundeliegenden Rechtsstreit geht es, sehr vereinfacht formuliert, um zwei Fragen:
1. Sind dynamische IP-Adressen, die ein Webseitenbetreiber über Seitenbesucher erhebt und verarbeitet personenbezogene Daten i. S. d. europäischen Datenschutzrechts (konkret: Art. 2 lit. a Datenschutzrichtlinie 95/46/EG), wenn ein Dritter (hier der Internetzugangsanbieter über Wissen verfügt, um die IP-Adresse einer natürlichen Person zuzuordnen)?
2. Sind die Vorgaben der Vorschrift des § 15 Abs. 1 TMG, wonach Diensteanbieter (z.B. Webseitenbetreiber oder App-Anbieter) personenbezogene Daten eines Nutzers nur erheben und verwenden dürfen, soweit dies erforderlich ist, um die Inanspruchnahme des Telemediums zu ermöglichen und abzurechnen, mit Art. 7 lit. f der Datenschutzrichtlinie vereinbar?
Das Ergebnis des Generalanwalts. Zu 1: ja. Zu 2: nein.
Nachfolgende einige Anmerkungen zu den Schlussanträgen.
Auf die Frage, ob eine dynamische IP-Adresse ein personenbezogenes Datum ist, möchte ich nicht weiter eingehen. Der Streit über diese Frage wird seit Jahren geführt und es gibt meines Erachtens Argumente für und gegen eine Einordnung der Adressen als personenbezogenes Datum. Dem Grunde nach kommt es für das Ergebnis darauf an, ob man bei der Bestimmbarkeit einer natürlichen Person anhand eines Datums allein auf die verantwortliche Stelle, z.B. den Webseitenbetreiber und die ihm zur Verfügung stehen Mittel abstellt. Oder aber man legt eine weitergehende Auffassung zugrunde, wonach es für die Einordnung einer Information als personenbezogenes Datum nicht nur auf die Stelle ankommt, die dieses Datum gerade verarbeitet, sondern auch auf Zusatzwissen von Dritten, im vorliegenden Fall des Access-Providers, ankommt. Der Generalanwalt vertritt die Letztere Auffassung, zumindest soweit er das Wissen Dritter berücksichtigen möchte, an die sich die verantwortliche Stelle „vernünftigerweise“ wenden könnte, um den Personenbezug herzustellen. Der Generalanwalt nimmt hierbei eine durchaus streitbare Auslegung des Erwägungsgrundes 26 der Datenschutzrichtlinie vor. Dort wird von „einem Dritten“ gesprochen. Der Generalanwalt möchte dies jedoch einschränkend auf „bestimmte Dritte“, worunter der Internetzugangsanbieter fällt, auslegen. Hinweisen möchte ich auch noch auf Rz. 50 der Schlussanträge, in denen klargestellt wird, dass hier nicht die Frage behandelt wird, ob dynamische IP Adressen grundsätzlich als personenbezogene Daten einzustufen sind.
Weitaus gravierender für die deutsche Rechtslage und die gesetzlichen Vorgaben zum Umgang mit personenbezogenen Daten im Internet oder in Apps (dafür gelten die §§ 13 ff. TMG), dürften die Ausführungen des Generalanwalts zur zweiten Frage sein.
Nach den Vorgaben des deutschen § 12 Abs. 1 TMG dürfen Diensteanbieter personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. Unterfallen personenbezogene Daten (als sog. Bestandsdaten, § 14 oder Nutzungsdaten, § 15) dem TMG, ist ihre Erhebung und Verwendung nur sehr eingeschränkt möglich, wenn keine Einwilligung des Betroffenen vorliegt. Außerhalb des Anwendungsbereichs des TMG ist das anders. So können personenbezogene Daten z.B. nach § 28 BDSG auch auf der Grundlage eines berechtigten Interesses der verantwortlichen Stelle oder zur Erfüllung einer gesetzlichen Verpflichtung verarbeitet werden. Das entspricht auch den europäischen Vorgaben des Art. 7 der Datenschutzrichtlinie. Die §§ 12, 14 und 15 TMG schränken den Umgang mit personenbezogenen Daten also (soweit keine Einwilligung vorliegt) sehr stark ein.
In dem vorliegenden Verfahren ging es in der zweiten Frage darum, ob diese gesetzliche Beschränkung im TMG (hier ging es konkret um § 15 Abs. 1 und Abs. 4 TMG) und quasi der Ausschluss von gesetzlichen Verarbeitungsgrundlagen, die europarechtlich vorgegeben sind, zulässig ist. Vorliegend wollte der Webseitenbetreiber (ich meine, dass es sich hierbei um das BMJV handelte) personenbezogene Daten für den Zweck, die Funktionsfähigkeit des Telemediums zu gewährleisten, verwenden. Ein solcher Verarbeitungszweck ist nach Auffassung des Generalanwalts auch grundsätzlich als ein berechtigtes Interesse anzusehen. Das Problem: § 15 Abs. 1 und Abs. 4 TMG erlauben die Verwendung der Daten für diesen Zweck dem Wortlaut nach wohl nicht. In jedem Fall aber nicht, wenn die Daten über den Nutzungsvorgang hinaus gespeichert werden sollen.
Diese Beschränkung der Verarbeitungsmöglichkeit und damit das gesetzliche Verbot einer Datenverarbeitung, die europarechtlich eigentlich nach Art. 7 lit. f Datenschutzrichtlinie zulässig sein kann, ist nach Ansicht des Generalanwalts nicht mit dem EU-Recht zu vereinbaren.
Die Argumentation des Generalanwalts lässt sich meines Erachtens auf alle Paragraphen des TMG übertragen, die eine Datenverarbeitung nur für ganz bestimmt Zwecke zulassen und vor allem das berechtigte Interesse des Diensteanbieters nicht berücksichtigen. Also auch die §§ 12 und 14 TMG.
Man darf gespannt die Entscheidung des EuGH in dieser Sache erwarten. Das Gericht ist an die Schlussanträge nicht gebunden, folgt diesen jedoch sehr häufig. Sollte der EuGH ebenfalls der Auffassung sein, dass § 15 Abs. 1 TMG nicht mit Art. 7 lit. f Datenschutzrichtlinie vereinbar ist, so dürfte die deutsche Vorschrift nur noch europarechtskonform angewendet werden, mit der Folge, dass Nutzungsdaten nach dem TMG auch durch Diensteanbeiter (hierbei handelt es sich um die bekannten verantwortlichen Stellen i. S. d. BDSG) verarbeitet werden dürfen, wenn diese zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, erforderlich ist, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.
Hammer.
Das Schlimme ist: Uns würde dann nicht nur im TMG die Rechtssicherheit völlig zerbröseln, sondern praktisch überall Datenschutzrecht, wo wir bisher ein wenig Rechtssicherheit haben.
Ein paar Gedanken meinerseits dazu unter
http://www.cr-online.de/blog/2016/05/12/generalanwalt-plaediert-fuer-ein-ende-jeder-rechtssicherheit-im-datenschutzrecht/