Mit einer komplexen Frage rund um den Datenschutz bei IP-Adressen muss sich der EuGH derzeit befassen. Am 12. Mai 2016 veröffentlichte der Generalanwalt seinen Schlussantrag und gab damit zu erkennen, wohin das Gericht tendieren könnte.
Die datenschutzrechtliche Behandlung von IP-Adressen ist schon seit Jahren streitig. Im Mittelpunkt steht dabei die Frage, ob es sich bei dynamischen IP-Adressen um personenbezogene Daten handelt. Die Internetprovider weisen ihren Kunden für jede Verbindung mit dem Internet regelmäßig für einen begrenzten Zeitraum solche dynamischen IP-Adressen zu, die sich bei späteren Verbindungen ändern; gleichzeitig speichern sie die Information, welche IP-Adresse sie zum jeweiligen Zeitpunkt einem bestimmten Gerät zugewiesen hatten. Auch die Betreiber von Webangeboten speichern in der Regel und theoretisch für einen unbegrenzten Zeitraum, welche Seiten wann und von welcher dynamischen IP-Adresse aus aufgerufen wurden. Eine solche dynamische IP-Adresse reicht für sich allein nicht aus, damit der Diensteanbieter den Nutzer einer Internetseite identifizieren kann; dies kann er jedoch, wenn er die dynamische IP-Adresse mit anderen zusätzlichen Daten verbindet, über die der Internetprovider verfügt. Patrick Breyer, Mitglied der Piratenpartei, störte sich nun daran, dass zahlreiche öffentliche Einrichtungen beim Aufruf einer Webseite unter anderem die IP-Adressen speichern und erhob Klage gegen die Bundesrepublik Deutschland, in der er von dieser verlangte, es zu unterlassen, die IP-Adresse des zugreifenden Hostsystems zu speichern oder durch Dritte speichern zu lassen, soweit die Speicherung nicht im Störungsfall zur Wiederherstellung der Verfügbarkeit des Telemediums erforderlich ist. Diese Klage landete vor dem Bundesgerichtshof, der sich seinerseits mit zwei Vorlagefragen an den EuGH wandte (Rechtssache C‑582/14).
Das Urteil des EuGH steht noch aus, doch der Schlussantrag von Generalanwalt Manuel Campos Sánchez-Bordona deutet an, wie das Gericht entscheiden könnte. Die erste Frage war, ob eine IP-Adresse), die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn ein Dritter über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt. Die Frage bejaht der Generalanwalt; andernfalls könnte sie der Betreiber eines Internetangebots unbegrenzt speichern und jederzeit den Provider um die zusätzlichen Daten bitten, um sie mit der IP-Adresse zur Identifizierung des Nutzers zu verbinden. In diesem Fall würde aus einer dynamischen IP-Adresse ein personenbezogenes Datum, wenn die geeigneten zusätzlichen Daten zur Identifizierung des Nutzers ohne Verstoß gegen Datenschutzbestimmungen erhoben wurden. Die zweite Frage war komplexer: der BGH wollte wissen, ob Art. 7 Buchst. f der Datenschutz-Richtlinie einer Vorschrift des nationalen Rechts entgegensteht, wonach der Diensteanbieter personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben und verwenden darf, soweit dies erforderlich ist, um die konkrete Inanspruchnahme des Telemediums durch den jeweiligen Nutzer zu ermöglichen und abzurechnen, und wonach der Zweck, die generelle Funktionsfähigkeit des Telemediums zu gewährleisten, die Verwendung nicht über das Ende des jeweiligen Nutzungsvorgangs hinaus rechtfertigen kann. Der komplexen Frage folgte eine komplexe Antwort des Generalanwalts: danach ist die Vorschrift dahin auszulegen, dass der Zweck, die Funktionsfähigkeit des Telemediums zu gewährleisten, grundsätzlich als ein berechtigtes Interesse anzusehen ist, dessen Verwirklichung die Verarbeitung dieses personenbezogenen Datums rechtfertigt, sofern ihm Vorrang gegenüber dem Interesse oder den Grundrechten der betroffenen Person zuerkannt worden ist. Eine nationale Rechtsvorschrift, die die Berücksichtigung dieses berechtigten Interesses nicht zulässt, ist mit dem genannten Artikel nicht vereinbar. Diese Meinung birgt im Hinblick auf § 15 TMG rechtlichen Sprengstoff. Die Norm beschränkt das berechtigte Interesse, das die Verarbeitung von Daten rechtfertigen kann, darauf, dass sie für die Nutzung oder Abrechnung eines Online-Angebotes erforderlich sind. Diese Einschränkung hält der Generalanwalt jedoch für europarechtswidrig. Deutschland dürfe nicht einschränken, was die europäische Datenschutzrichtlinie weiter erlaube.
Ob der EuGH dem Schlussantrag von Campos Sánchez-Bordona folgt, bleibt abzuwarten. Ein Datum für die Verkündigung der Entscheidung steht noch nicht fest. Ebenfalls abzuwarten bleibt, welche Auswirkung die Einführung das neue Internetprotokoll IPv6 auf die gestellten Fragen hat, denn mit ihm dürften statische IP-Adressen häufiger werden; diese würden dann erst recht den Schluss darauf zulassen, welche Person eine IP-Adresse genutzt hat.