Wieder mal: IP-Adressen als personenbezogene Daten
Der BGH hatte (erneut) die Frage zu entscheiden, ob die vom Betreiber eines Webservers geloggten IP-Adressen der Nutzer der Website als personenbezogene Daten im datenschutzrechtlichen Sinne zu betrachten sind. Der BGH hatte die Frage zunächst an den EuGH vorgelegt und nach der Entscheidung des EuGH nunmehr in der Sache entschieden (Urteil vom 16. Mai 2017 – VI ZR 135/13).
In seiner heutigen Entscheidung bejaht der BGH den Personenbezug von IP-Adressen aus Sicht des Betreibers des Webservers. In der Pressemitteilung des Bundesgerichtshofs heißt es dazu:
Eine dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Internetseite, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, stellt für den Anbieter ein (geschütztes) personenbezogenes Datum dar.
Auch wenn bislang lediglich die Pressemitteilung vorliegt, darf man bezweifeln, dass der BGH die Rechtsprechung des EuGH damit korrekt umsetzt. Denn die Vorlagefrage zum Personenbezug von IP-Adressen hatte der EuGH folgendermaßen beantwortet:
Art. 2 Buchst. a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass eine dynamische Internetprotokoll-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Website, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, für den Anbieter ein personenbezogenes Datum im Sinne der genannten Bestimmung darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen.
Entscheidend ist also, ob der Betreiber des Onlinediensts/Webservers über rechtliche Mittel verfügt, die es ihm erlauben, mithilfe des Access-Providers die Nutzer zu identifizieren. Solche rechtlichen Mittel gibt es in Deutschland allerdings nicht allgemein, sondern nur in Ausnahmefällen aufgrund puntktueller gesetzlicher Regelungen wie z.B. § 101 Abs. 2 und Abs. 9 UrhG oder im Falle von strafbarem Verhalten über den Umweg als Betroffener Einsicht in die Ermittlungsakte der Staatsanwaltschaft nehmen zu können. Grundsätzlich verfügt der Betreiber eines Webservers also nicht über die rechtlichen Mittel, einen User anhand der IP-Adresse zu identifizieren.