Der Bundesgerichtshof hat dem Europäischen Gerichtshof (EuGH) die seit langem umstrittene Frage vorgelegt, ob es sich bei IP-Adressen um personenbezogene Daten handelt (Beschluss vom 28.10.2014, Az: VI ZR 135/13). Kritiker bemängeln, dass damit für den Datenschutz wenig gewonnen sei.
Auslöser des seit dem Jahr 2008 anhängigen Rechtsstreits ist die Klage von Patrick Breyer, Landtagsabgeordneter der Piratenpartei in Schleswig-Holstein und vormals als Richter am Amtsgericht Meldorf tätig. Bei der Beklagten handelt es sich um die Bundesrepublik Deutschland; diese betreibt eine Vielzahl allgemein zugänglicher Internetportale, auf denen aktuelle Informationen von Bundesbehörden vorgehalten und für jedermann zum Abruf bereit gestellt sind. Greift ein Nutzer auf diese Portale zu, hält die Beklagte dies in eigenen Protokolldateien fest mit dem Ziel, Angriffe abzuwehren und die strafrechtliche Verfolgung von Angreifern zu ermöglichen. Dabei werden unter anderem der Name der abgerufenen Seite, der Zeitpunkt des Abrufs und die IP-Adresse des zugreifenden Rechners über das Ende des jeweiligen Nutzungsvorgangs hinaus gespeichert. Mit seiner Klage begehrt Breyer, die Beklagte zu verurteilen, es zu unterlassen, ihm zugewiesene IP-Adressen über das Ende des jeweiligen Nutzungsvorgangs hinaus zu speichern. Damit fordere er das Recht der Generation Internet ein, sich im Netz ebenso unbeobachtet und unbefangen informieren zu können, wie es die Generation ihrer Eltern aus Zeitung, Radio oder Büchern konnte. Er wolle nicht in einer Welt leben, in der alles, was er im Netz sage, alles, was er tue, aufgezeichnet wird. Vor dem Amtsgericht in Berlin hatte er keinen, vor dem Landgericht Berlin nur teilweisen Erfolg, weshalb er vor den BGH zog.
Der Bundesgerichtshof hat nunmehr entschieden, das Verfahren auszusetzen und dem Europäischen Gerichtshof zwei Fragen zur Auslegung der EG-Datenschutz-Richtlinie zur Vorabentscheidung vorzulegen. Der Unterlassungsanspruch setze voraus, dass es sich bei den dynamischen IP-Adressen für die verantwortlichen Stellen der Beklagten, die die Adressen speichern, um »personenbezogene Daten« handelt. Daher will der BGH wissen, ob Art. 2 Buchstabe a der EG-Datenschutz-Richtlinie dahin auszulegen ist, dass eine IP-Adresse, die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn lediglich ein Dritter über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt. Gehe man von »personenbezogenen Daten« aus, so dürfen die IP-Adressen des Nutzers nicht ohne eine gesetzliche Erlaubnis gespeichert werden, wenn – wie hier – eine Einwilligung des Nutzers fehlt. In diesem Fall will der BGH weiter wissen, ob die EG-DatenschutzRichtlinie einer Vorschrift des nationalen Rechts mit dem Inhalt des § 15 Abs. 1 TMG entgegen steht, wonach der Diensteanbieter personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben und verwenden darf, soweit dies erforderlich ist, um die konkrete Inanspruchnahme des Telemediums durch den jeweiligen Nutzer zu ermöglichen und abzurechnen, und wonach der Zweck, die generelle Funktionsfähigkeit des Telemediums zu gewährleisten, die Verwendung nicht über das Ende des jeweiligen Nutzungsvorgangs hinaus rechtfertigen kann. Bis wann der EuGH sein Urteil fällt, ist noch völlig offen.
Alvar Freude, Netzaktivist und Mit-Gründer des Arbeitskreises gegen Internet-Sperren und Zensur (AK Zensur), kritisierte die Klage als entweder große Unkenntnis oder Show. Die IP-Adresse sei für »Anbieter wie Google oder Amazon« nahezu uninteressant für die Analyse des Nutzerverhaltens, da sie sich regelmäßig ändere. Stattdessen nutzen sie Cookies und andere Tracking-Mechanismen, die eine sehr viel einfachere Zuordnung ermöglichen würden – ganz ohne IP-Adresse. Dies würde auch gelten, sofern das IPv4-Nachfolgeprotokoll IPv6 zum Einsatz komme; dort seien zumeist die Privacy Extensions nach RFC 4941 aktiv. Allerdings nutzen viele Inhaber von Rechten geistigen Eigentums vor allem die IP-Adresse, um etwa beim Filesharing den Anschlussinhaber ausfindig zu machen und ihn – sei es auch nur als Störer – in die Haftung zu nehmen.