Der Kieler Jurist Patrick Breyer, Fraktionsvorsitzender der Piratenfraktion in Schleswig-Holstein, hat eine nicht unwesentliche Berichtigung des von ihm erstrittenen EuGH-Urteils zum Personenbezug von IP-Adressen erreicht: für den Personenbezug genügt es demnach, wenn zum Beispiel Strafverfolger die IP-Adresse zuordnen können.
Mit Urteil vom 19. Oktober 2016 hat der EuGH entschieden, dass der Betreiber einer Website ein berechtigtes Interesse daran haben kann, IP-Adressen der Nutzer zu speichern, um sich gegen Cyberattacken zu verteidigen. Damit klärte der EuGH einen lange schwelenden Rechtsstreit um die Frage, ob es sich bei dynamischen IP-Adressen um personenbezogene Daten handelt. Eine dynamische IP-Adresse reicht für sich allein nicht aus, damit der Diensteanbieter den Nutzer einer Internetseite identifizieren kann; dies kann er jedoch, wenn er die dynamische IP-Adresse mit anderen zusätzlichen Daten verbindet. Breyer störte sich nun daran, dass zahlreiche öffentliche Einrichtungen beim Aufruf einer Webseite unter anderem die IP-Adressen speichern und erhob Klage gegen die Bundesrepublik Deutschland. Auf Vorlage des Bundesgerichtshofes landete der Rechtsstreit vor dem EuGH. Der entschied, dass eine dynamische IP-Adresse ein personenbezogenes Datum darstellt, wenn der Anbieter von Online-Mediendiensten über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen. Außerdem kam der EuGH zu dem Ergebnis, dass die Verarbeitung personenbezogener Daten unter anderem dann rechtmäßig ist, wenn sie zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, erforderlich ist, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.
In einem entscheidenden Punkt der Urteilsbegründung sah Breyer jedoch ein Problem, das mit der Übersetzung zusammenhing. Nach Ansicht von Breyer führte es zu dem Missverständnis, dass der EuGH keineswegs entschieden hat, dass das Datenschutzrecht nur dann gelte, wenn die speichernde Stelle selbst den Betroffenen identifizieren könne (sogenannter relativer Begriff des Personenbezugs). In der englischen Übersetzung fehlte insoweit ein Zusatz; maßgeblich ist danach, dass es für den Anbieter von Online-Mediendiensten rechtliche Möglichkeiten gibt, die es ihm erlauben, sich insbesondere im Fall von Cyberattacken an die zuständige Behörde zu wenden, »damit diese die nötigen Schritte« unternimmt, um die fraglichen Informationen vom Internetzugangsanbieter zu erlangen und die Strafverfolgung einzuleiten. Nur die Strafverfolger müssten also die IP-Adresse zuordnen können, nicht bereits der Betreiber einer Webseite selbst. Dies veranlasste Breyer, über seinen Rechtsanwalt Meinhard Starostik am 25. Oktober 2016 beim EuGH einen Berichtigungsantrag zu stellen; diese Möglichkeit eröffnet Artikel 154 der Verfahrensordnung des Gerichtshofes. Diesem Antrag hat der EuGH mit Beschluss vom 6. Dezember 2016 entsprochen.
Bis wann der Bundesgerichtshof sich erneut mit dem Sachverhalt befasst, ist öffentlich bisher nicht bekannt. Breyer gibt sich in jedem Fall offensiv:
Ich werde dafür kämpfen, dass rechtstreue Internetnutzer nicht aufgezeichnet werden und anonym surfen dürfen. Allenfalls eine zielgerichtete Speicherung der Quelle eines Angriffs wäre akzeptabel, nicht aber die dauerhafte und flächendeckende Aufzeichnung des Surfverhaltens völlig ungefährlicher Nutzer.
(Quelle: europa.eu, heise.de)