Internet-Law

Der Bundesgerichtshof hat heute sein Urteil (Az.: VI ZR 233/17) zu der Frage verkündet, ob Aufnahmen von Dashcams, die das Verkehrsverhalten anderer Verkehrsteilnehmer erfassen, im Unfallprozess verwertbar sind.

Der BGH erläutert zunächst, dass zumindest das permanente Filmen des Verkehrsgeschehens mittels einer Dashcam gegen datenschutzrechtliche Verschriften verstößt. Aus diesem Umstand, so der BGH, folgt aber nicht ohne weiteres ein Beweisverwertungsverbot. Im Falle von Aufnahmen, die mit einer Dashcam gemacht wurden, würde die notwendige Interessen- und Güterabwägung zu dem Ergebnis führen, dass solche Aufnahmen im Zivilprozess als Beweismittel verwertet werden könnten.

Diese Entscheidung ist nicht wirklich überraschend, denn die deutsche Rechtsprechung ist mit Beweisverwertungsverboten eher zurückhaltend.

Zunächst ist allerdings festzuhalten, dass der BGH über eine prozessuale Frage entschieden hat. Aus dem Urteil lässt sich keinesfalls die Schlussfolgerung ziehen, der Einsatz von Dashcams sei damit legal. Ganz im Gegenteil. Der BGH betont ausdrücklich, dass der Dashcameinsatz einen Verstoß gegen das Datenschutzrecht darstellt. Das Beweismittel ist also rechtswidrig hergestellt und erlangt und darf dennoch im Zivilprozess verwendet werden.

Zumindest die Pressemitteilung des BGH lässt aber keine sachgerechte Abwägung des Senats erkennen. Die in der Pressemitteilung genanten Abwägungskriterien, die die Zulässigkeit der Beweisverwertung begründen sollen, erscheinen nicht stichhaltig. Den (möglichen) Verstoß gegen die Persönlichkeitsrechte des gefilmten Verkehrsteilnehmers erachtet der BGH offensichtlich schon deshalb als unerheblich, weil der Schutz des allgemeinen Persönlichkeitsrechts vor allem durch die Regelungen des Datenschutzrechts gewährleistet sei, die nicht auf ein Beweisverwertungsverbot abzielten.

Das Datenschutzrecht schützt aber nicht vordergründig das allgemeine Persönlichkeitsrecht, sondern spezifischer das Recht auf informationelle Selbstbestimmung. Wenn die Begründung des BGH zutreffend wäre, müsste sie selbst bei einem Eingriff in die Private- oder gar Intimsphäre greifen. Es ließe sich dann nicht mehr nachvollziehbar erklären, warum das heimliche Mithören oder Aufzeichnen von Telefongesprächen zu einem Beweisverwertungsverbot führen sollte. Der Schutz des Persönlichkeitsrechts erfolgt eben abgestuft, während des Datenschutzrecht ein solches abgestuftes Schutzkonzept nicht kennt. Datenschutzrecht und Persönlichkeitsrecht sind unterschiedliche Rechtsmaterien.

Die Frage ist auch, ob der Schutz, den die datenschutzrechtlichen Regelungen begründen sollen, nicht ausgehöhlt wird, wenn man Dashcam-Aufnahmen nicht mit einem Beweisverwertungsverbot belegt. Denn das wird nicht wenige Autofahrer, die schon bislang Dashcams einsetzen, ermutigen, dies auch weiterhin zu tun. Möglicherweise erfordert also die Notwendigkeit, Datenschutz effektiv durchzusetzen, in solchen Fällen auch ein prozessuales Beweisverwertungsverbot. Zumindest ist dieser Aspekt abwägungsrelevant, wird vom BGH aber nicht in die Abwägung eingestellt.

Auch wenn man für eine abschließende Bewertung den Volltext des Urteils abwarten muss, erscheint die Entscheidung auf den ersten Blick jedenfalls nicht zwingend zu sein.

Das Spannungsverhältnis zwischen Datenschutz und Meinungsfreiheit ist kein neues Thema, aber es wird durch die Datenschutzgrundverordnung (DSGVO), die ab 25.05.2018 gilt, noch deutlich verschärft. Den Grundkonflikt hatte ich bereits hier und hier erläutert. Im Netz finden sich lesenswerte Beiträge u.a. von Winfried Veil, von Jan Mönikes und aktuell für den Bereich der Bildnisveröffentlichung von Benjamin Horvath zu diesem Themenkreis.

Die Meinungsfreiheit umfasst insbesondere das Recht, sich kritisch zu bestimmten Personen und ihrem Verhalten und Wirken zu äußern. Speziell die DSGVO postuliert das Verbot, konkrete Personen im Internet überhaupt namentlich zu nennen. Das mag für den juristischen Laien absurd klingen, entspricht aber der Rechtslage, die in Deutschland ab dem 25.05.2018 gelten wird.

Die DSGVO gilt nach ihrem Art. 2 Abs. 1 für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Eine Ausnahme macht die Verordnung lediglich für den persönlichen oder familiären Bereich.

Wer sich also online zu einer namentlich benannten Person äußert, fällt grundsätzlich in den Anwendungsbereich der DSGVO. Diese Datenverarbeitung ist auch nicht nach Art. 6 DSGVO rechtmäßig, so dass sie an sich unzulässig ist. Dem europäischen Gesetzgeber war das Spannungsverhältnis zur Meinungsfreiheit freilich bewusst, denn er hat in Art. 85 DSGVO eine Öffnungsklausel aufgenommen, die lautet:

Die Mitgliedstaaten bringen durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten gemäß dieser Verordnung mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken, in Einklang.

In Deutschland wird die Neufassung des BDSG allerdings diesbezüglich keine Regelungen enthalten, weil der Bund davon ausgeht, dass derartige Regelungen der Gesetzgebungskompetenz der Länder unterliegen. In den Bundesländern wird für den Bereich von Presse und Rundfunk derzeit an entsprechenden gesetzlichen Regelungen gearbeitet, die aber kaum zum 25.05.2018 in Kraft sein werden. Darüber hinaus werden diese Regelungen vermutlich lediglich den journalistischen Bereich abdecken, aber nicht Meinungsäußerungen von Privatpersonen im Netz.

Wenn man also die DSGVO schematisch anwendet, wird die namentliche Nennung einer beliebigen Person zum Beispiel auf Twitter oder in einem Blog ein Vorgang sein, den die DSGVO verbietet. Andererseits ist dies etwas, was die im Grundgesetz, der Menschenrechtskonvention und der Grundrechtecharta der EU garantierte Meinungsfreiheit explizit erlaubt. Aus grundrechtlicher Sicht hat eine ergebnisoffene Abwägung der Grundrechte auf Meinungsfreiheit und des Persönlichkeitsrechts der genannten, betroffenen Person zu erfolgen. Einen schematischen Vorrang wie nach der DSGVO darf es nach der Wertung der Grundrechte nicht geben. Die DSGVO verfolgt also in diesem Punkt ein Regelungskonzept, das nicht mit grundrechtlichen Wertungen vereinbar ist. Dies ist zunächst eine Fehlleistung des europäischen Gesetzgebers. Auch wenn sich der Bürger nicht unmittelbar auf die Grundrechtecharta der EU berufen kann, so bindet sie doch die Organe und Einrichtungen der EU. Der europäische Gesetzgeber (Parlament, Kommission, Rat) hat mit Schaffung der DSGVO, soweit sie einen schematischen Vorrang des Datenschutzes vor der Meinungsfreiheit postuliert, gegen die Grundrechtecharta verstoßen. Daran ändert auch die Öffnungsklausel des Art. 85 DSGVO nichts, denn der europäische Gesetzgeber kann dadurch nicht gewährleisten, dass sämtliche Mitgliedsstaaten pünktlich und in ausreichendem Umfang von dieser Öffnungsklausel auch Gebrauch machen. Demgegenüber wäre es problemlos möglich gewesen, meinungs- und presserelevante Sachverhalte von der DSGVO auszunehmen und dieses Spannungsverhältnis von vornherein zu beseitigen.

Aber auch der deutsche Gesetzgeber wird es, allem Anschein nach, nicht gewährleisten, dass bis zum 25.05.2018 gesetzliche Regelungen in Kraft sind, die entsprechende Ausnahmen in ausreichendem Maße vorsehen.

Die spannende Frage ist, wie die Gerichte mit dieser Situation umgehen werden. Bei der schematischen Anwendung der DSGVO können sie es in meinungsrelevanten Fällen im Grunde nicht belassen. Denn die Gerichte sind unmittelbar an die Grundrechte gebunden. Die deutschen Gerichte müssen nicht nur das Grundgesetz, sondern auch die Grundrechtecharta der EU beachten, die auch für die Mitgliedstaaten bei der Durchführung des Rechts der Union gilt. Wenn die nationalen Gerichte also die DSGVO anwenden, müsse sie hierbei also (auch) die Grundrechtecharta berücksichtigen. Für den EuGH gilt dies ohnehin.

Vor diesem Hintergrund ist nicht davon auszugehen, dass die Gerichte bei Sachverhalten, die offensichtlich vom Grundrecht auf Meinungsfreiheit gedeckt sind, einen Verstoß gegen die DSGVO annehmen werden. Denn sie würden damit als Teil der öffentlichen Gewalt selbst gegen das Grundrecht auf Meinungsfreiheit verstoßen. Es ist damit naheliegend, dass ein nationales Gericht entweder eine grundrechtskonforme Auslegung wählt oder an den EuGH vorlegt.

Das alles ändert aber nichts daran, dass der datenschutzrechtliche Tunnelblick des europäischen Gesetzgebers eine formelle Rechtslage zugelassen hat, die aus rechtsstaatlicher Sicht schwer erträglich ist. Der deutsche Gesetzgeber hat von seiner Möglichkeit Abhilfe zu schaffen, bislang ebenfalls nicht Gebrauch gemacht.

Seit einigen Tagen wird in den Medien darüber berichtet, dass das Bundeskriminalamt Überwachungssoftware einsetzt, um Smartphones oder Computer zu überwachen und dort gespeicherte Informationen auszulesen.

Während die klassische Telefonüberwachung bei TK-Anbietern wie Telekom oder Vodafone ansetze und dort Telefonate belauschte, tritt im Zeitalter der internetgestützten Telekommunikation an deren Stelle ein Instrumentarium, das man gerne verharmlosend als Quellen-TKÜ bezeichnet. Die Überwachung findet hier an der Quelle, also direkt beim Nutzer statt. Für diese Form der Telekommunikationsüberwachung ist es allerdings grundsätzlich erforderlich, das Computersystem des Gesprächsteilnehmers heimlich mit einer speziellen Überwachungssoftware zu infiltrieren, die anschließend die Kommunikation überwacht und die Kommunikationsinhalte an die Strafverfolgungsbehörden übermittelt.

In technischer Hinsicht eng verwandt ist die sog. Online-Durchsuchung, bei der es ebenfalls erforderlich ist, auf dem Rechner des Betroffenen heimlich eine Spionagesoftware zu installieren. Diese Software überwacht dann allerdings nicht nur die laufende Kommunikation, sondern durchsucht die Festplatte des Betroffenen oder erfasst andere Kommunikationsvorgänge, wie beispielsweise die Nutzung des WWW.

Um zu verstehen, warum auch die neugeschaffene gesetzliche Regelung zur sog. Quellen-TKÜ in § 100a Abs. 1 S. 2 StPO nicht den verfassungsrechtlichen Anforderungen genügt, reicht die Lektüre folgender Passage aus der Entscheidung des BVerfG zur Onlinedurchsuchung:

Nach Auskunft der in der mündlichen Verhandlung angehörten sachkundigen Auskunftspersonen kann es im Übrigen dazu kommen, dass im Anschluss an die Infiltration Daten ohne Bezug zur laufenden Telekommunikation erhoben werden, auch wenn dies nicht beabsichtigt ist. In der Folge besteht für den Betroffenen – anders als in der Regel bei der herkömmlichen netzbasierten Telekommunikationsüberwachung – stets das Risiko, dass über die Inhalte und Umstände der Telekommunikation hinaus weitere persönlichkeitsrelevante Informationen erhoben werden. Den dadurch bewirkten spezifischen Gefährdungen der Persönlichkeit kann durch Art. 10 Abs. 1 GG nicht oder nicht hinreichend begegnet werden.

Die Quellen-TKÜ ist in technischer Hinsicht also eine Online-Durchsuchung, die vom Gesetzgeber im Käfig der Telefonüberwachung gehalten werden muss, um rechtmäßig sein zu können. Dies hat der Gesetzgeber durch die Abs. 5 und 6 von § 100a StPO versucht. Juristisch interessant ist hierbei u.a. die Frage, was bei einer Kommunikation mittels eines Messenger wie WhatsApp konkret unter laufender Kommunikation verstanden werden soll. Bei der Sprachtelefefonie ist die laufende Kommunikation klar durch den Anfang und das Ende eines Telefonats begrenzt. In einem Messenger erfolgt die Kommunikation nicht in Echtzeit, so dass allein hierdurch eine massive qualitative Ausweitung erfolgt. Ist eine Unterhaltung via WhatsApp, die sich über Tage hinweg fortsetzt und immer wieder durch längere Pausen unterbrochen wird, noch laufend?

Den Vorgaben des BVerfG hätte der Gesetzgeber auch nur dann gerecht werden können, wenn er konkrete Vorgaben an die Anforderungen der einzusetzenden Software definiert hätte. Dies wird stattdessen den Ermittlungsbehörden überlassen, so dass faktisch kein Unterschied zwischen Quellen-TKÜ und Onlinedurchsuchung besteht. Der Einsatz multifunktionaler Programme wird vom Gesetzgeber gerade nicht unterbunden. Das Gesetz macht keinerlei Vorgaben zur Qualitätssicherung und Überprüfung der eingesetzten Software.

Die vom BVerfG vorgegebene Differenzierung zwischen Online-Überwachung und Quellen-TKÜ wird vom Gesetzgeber nicht nachvollzogen. Es stellt sich aber auch ganz generell die Frage, ob dies in technischer Hinsicht überhaupt trennscharf und zuverlässig möglich ist, denn die Quellen-TKÜ ist in technischer Hinsicht stets eine Onlinedurchsuchung. Der Begriff des Staatstrojaners erscheint daher mehr als passend.

Schwer wiegt auch der Umstand, dass die gesetzliche Regelung die Ermittlungsbehörden ermutigt, vorhandene  Sicherheitslücken auszunutzen, um fremde informationstechnischen Systeme mit Schadsoftware zu infiltrieren. Der Staat verhält sich also wie ein Cyberkrimineller. Das schafft, wie Ulf Buermeyer in seiner sachverständigen Stellungnahme für den Bundestag beklagt, fatale Fehlanreize, weil die Behörden damit ein erhebliches Interesse daran haben, Sicherheitslücken in informationstechnischen Systemen nicht an die Hersteller zu melden, sondern sie vielmehr gezielt aufrecht zu erhalten. Das läuft dem Allgemeininteresse an möglichst sicheren informationstechnischen System zuwider und begründet eine Gefährdung der IT-Sicherheit, die sich auf allen Ebenen (Staat, Unternehmen, Bürger) auswirkt und insgesamt eine Gefahr gerade für sicherheitskritische Infrastrukturen begründet. Aufgabe des Staates wäre es freilich, derartige Gefahren zu vermeiden und abzuwehren. Wer die Fortsetzung der GroKo für vernünftig hält, sollte auch derartige Gesetze in seine Betrachtung einbeziehen.

Viele Menschen haben in den letzten Tagen vermutlich erstmals vom sog. Besonderen Elektronischen Anwaltspostfach (beA) gehört. Noch bevor es richtig in Betrieb gehen konnte, wurde es aufgrund von Sicherheitsmängeln schon wieder vom Netz genommen. Was hat es mit diesem beA überhaupt auf sich?

§ 31a Bundesrechtsanwaltsordnung (BRAO) verpflichtet die Bundesrechtsanwaltskammer (BRAK) dazu, jedem in Deutschland zugelassenen Anwalt ein besonderes elektronisches Anwaltspostfach empfangsbereit einzurichten. Mit diesem beA sollen die Anwälte am elektronischen Rechtsverkehr mit den Gerichten teilnehmen. Der Gesetzgeber stellt sich dabei vor, dass dieses Verfahren von einem sehr hohen Maß an Datensicherheit geprägt ist. Das kommt u.a. in § 31 a Abs. 3 BRAO zum Ausdruck.

Kurz vor Weihnachten hat Markus Drenger vom CCC bemerkt, dass der beA-Client den bei der Verschlüsselung notwenigen privaten Schlüssel, der geheim zu halten ist, online bereitstellte. Er hat dies dem Anbieter des Sicherheitszertifikats und dem BSI mitgeteilt. Das Zertifikat musste daher vom Anbieter umgehend für ungültig erklärt werden. Die BRAK forderte ihre Mitglieder anschließend auf Empfehlung des beauftragten IT-Dienstleister Atos dazu auf, ein neues Zertifikat zu installieren, womit das Sicherheitsproblem allerdings nicht gelöst, sondern drastisch verschärft wurde, weil das neue Zertifikat wiederum den privaten Schlüssel verteilte und es sich zudem um ein Root-Zertifikat handelte, das beliebige andere Zertifikate signieren kann. Details hierzu lassen sich bei Golem und dem Kollegen Bergt nachlesen.

In seinem Vortrag auf dem 34C3 hat Markus Drenger außerdem erläutert, warum das beA über keine wirkliche Ende-zu-Ende-Verschlüsselung verfügt, sondern alle Nachrichten von der BRAK bzw. dem technischen Dienstleister Atos geöffnet werden. Drenger ist der Meinung, dass der beA-Client komplett neu geschrieben werden müsste, um gängigen Sicherheitsstandards zu entsprechen und dies nicht innerhalb eines Zeitraums von drei bis vier Monaten möglich sein dürfte. Die fehlende Ende-zu-Ende-Verschlüsselung ist auch deshalb brisant, weil das beA als TK-Dienst grundsätzlich auch Überwachungsregelungen wie der Vorratsdatenspeicherung unterliegt, selbst wenn insoweit die einschränkenden Regelungen für Berufsgeheimnisträger gelten.

Auch wenn allein die Empfehlung von Atos, ein eigenes Root-Zertifikat als Workaround zu installieren, sicherlich ausreichend Grund dafür geboten hätte, den Vertrag mit dem Dienstleister außerordentlich aus wichtigem Grund zu kündigen, hat man sich bei der BRAK offenbar dazu entschlossen, weiter auf diesen Dienstleister zu setzen. Das ist ganz bestimmt keine gute Idee, zumal das Vertrauen der Anwaltschaft in die Sicherheit und Funktionsfähigkeit des von Atos entwickelten Systems erschüttert ist. Aber nicht nur die technisch mangelhafte und nicht den gesetzlichen Vorgaben des § 31a Abs. 3 BRAO genügende Sicherheitsarchitektur des beA wirft Fragen auf, sondern auch die immensen Entwicklungskosten von bislang 38 Mio. EUR, zu denen laufende Kosten von jährlich 11 Mio. EUR hinzukommen.

Es hat ganz den Anschein, als würde sich das beA zum Berliner Flughafen der Anwaltschaft entwickeln. Die vorhandenen Sicherheitsmängel lassen einen baldigen Betrieb in der ersten Jahreshälfte kaum zu. Jedenfalls dann nicht, wenn man es mit dem gesetzlich geforderten hohen Sicherheitsniveau bei der BRAK diesmal ernst nimmt.

Das Kammergericht hat ein Urteil des Landgerichts Berlin bestätigt, das es Facebook (Irland) untersagt, Spiele so zu präsentieren, dass der Nutzer mit dem Betätigen des Buttons „Spiel spielen“ die Erklärung abgibt, einer Übermittlung personenbezogener Daten an den (externen) Betreiber des Spiels zuzustimmen. Unwirksam ist nach Auffassung des Gerichts zudem eine Klausel, die es dem Betreiber des Spiels gestattet, im Namen des Nutzers auf Facebook zu posten. (Urteil des KG vom 22.09.2017, Az.: 5 U 155/14). Das Gericht geht davon aus, dass eine hinreichende Einwilligung des Nutzers in die Datenverarbeitung nicht erteilt wird.

Das Interessante an dem Urteil ist vor allem, dass das Kammergericht die Anwendung deutschen Datenschutzrechts bejaht, weil es Facebook Deutschland als eine Niederlassung von Facebook Ireland betrachtet. Das genügt, um die Datenverarbeitung als im Rahmen der Tätigkeit der Zweigniederlassung anzusehen, selbst dann, wenn die Daten nicht von der deutschen Niederlassung verarbeitet werden.

Eine Entscheidung eines hessischen Familiengerichts (Beschluss des AG Bad Hersfeld vom 15.05.2017, Az.: F 120/17 EASO) verursacht gerade mächtig Aufruhr. Denn das AG Bad Hersfeld geht davon aus, dass jeder Nutzer von WhatsApp durch die Nutzung des Messengers laufend Rechtsverletzungen begeht und, dass Eltern, deren minderjährige Kinder WhatsApp nutzen, verpflichtet sind, bei allen Kontakten, die im Adressbuch des Smartphones des Kindes gespeichert sind, schriftliche Zustimmungserklärungen für die Datenübermittlung an den Dienst einzuholen. Werden diese Erklärungen dem Gericht nicht vorgelegt, müssen die Eltern die App vom Smartphone des Kindes löschen. Hintergrund der Auseinandersetzung ist folgende Klausel in den Nutzungsbedingungen von WhatsApp:

Du stellst uns regelmäßig die Telefonnummern von WhatsApp-Nutzern und deinen sonstigen Kontakten in deinem Mobiltelefon-Adressbuch zur Verfügung. Du bestätigst, dass du autorisiert bist, uns solche Telefonnummern zur Verfügung zu stellen, damit wir unsere Dienste anbieten können.

Vorausschicken möchte ich, dass ich kein Familienrechtler bin und deshalb nicht zu spezifisch familienrechtlichen Aspekten Stellung nehmen kann.

Der Ausgangspunkt, dass das Auslesen der Kontaktdaten eines Nutzers durch WhatsApp (Facebook) illegal ist, dürfte kaum zu beanstanden sein. Die entsprechende Regelung in den Nutzungsbedingungen des Dienstes ist sowohl als überraschende Klausel (§ 305 c BGB) als auch wegen Verstoß gegen wesentliche Grundgedanken des Gesetzes (§ 307 Abs. 2 BGB) unwirksam. Unabhängig davon, verschafft sich WhatsApp Daten Dritten ohne ausreichende rechtliche Grundlage.

Schon schwieriger wird es allerdings bei der Frage, ob der Nutzer von WhatsApp eine Rechtsverletzung begeht. Das Gericht lehnt die Anwendung des BDSG ausdrücklich ab, bejaht dann aber eine Verletzung des allgemeinen Persönlichkeitsrechts bzw. des Rechts auf informationelle Selbstbestimmung, worin es zivilrechtlich eine unerlaubte Handlung i.S.v. § 823 BGB sieht. An dieser Stelle thematisiert das Gericht allerdings nicht, ob es den Nutzer hier als Täter oder Teilnehmer ansieht. Dieser Aspekt ist schon deshalb von Bedeutung, weil es eine fahrlässige Beihilfe nicht gibt. Nachdem das Gericht in seiner Entscheidung mehrfach von Fahrlässigkeit spricht, deutet dies daraufhin, dass es von einer Täterschaft des Nutzers ausgeht. Dies ist allerdings wegen der passiven Rolle des Nutzers bedenklich. Die Tathandlung des Auslesen von Daten wird durch WhatsApp begangen. Nach überkommener Dogmatik käme ergänzend auch eine Haftung als Störer für die fremde Rechtsverletzung in Betracht. Hierfür müsste man dann aber eine Verletzung zumutbarer Prüfpflichten durch das Kind annehmen. Die Annahme des Gerichts, das Kind würde eine tatbestandsmäßige und rechtswidrige unerlaubte Handlung begehen, kann man also durchaus in Zweifel ziehen. Andererseits wären möglicherweise, entgegen der Ansicht des Gerichts, datenschutzrechtliche Grundsätze anzuwenden gewesen.

Die weitere Annahme des Gerichts, es bestünde die Gefahr, dass das Kind durch andere Personen abgemahnt und zur Unterlassung aufgefordert wird, erscheint nach der bisherigen Rechtspraxis zumindest noch fernliegend. Derartige Abmahnungen sind mir bislang jedenfalls nicht bekannt.

Ob die sehr weitreichenden Anordnungen des Gerichts familienrechtlich statthaft sind, möchte ich nicht beurteilen.

Der BGH hatte (erneut) die Frage zu entscheiden, ob die vom Betreiber eines Webservers geloggten IP-Adressen der Nutzer der Website als personenbezogene Daten im datenschutzrechtlichen Sinne zu betrachten sind. Der BGH hatte die Frage zunächst an den EuGH vorgelegt und nach der Entscheidung des EuGH nunmehr in der Sache entschieden (Urteil vom 16. Mai 2017 – VI ZR 135/13).

In seiner heutigen Entscheidung bejaht der BGH den Personenbezug von IP-Adressen aus Sicht des Betreibers des Webservers. In der Pressemitteilung des Bundesgerichtshofs heißt es dazu:

Eine dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Internetseite, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, stellt für den Anbieter ein (geschütztes) personenbezogenes Datum dar.

Auch wenn bislang lediglich die Pressemitteilung vorliegt, darf man bezweifeln, dass der BGH die Rechtsprechung des EuGH damit korrekt umsetzt. Denn die Vorlagefrage zum Personenbezug von IP-Adressen hatte der EuGH folgendermaßen beantwortet:

Art. 2 Buchst. a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass eine dynamische Internetprotokoll-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Website, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, für den Anbieter ein personenbezogenes Datum im Sinne der genannten Bestimmung darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen.

Entscheidend ist also, ob der Betreiber des Onlinediensts/Webservers über rechtliche Mittel verfügt, die es ihm erlauben, mithilfe des Access-Providers die Nutzer zu identifizieren. Solche rechtlichen Mittel gibt es in Deutschland allerdings nicht allgemein, sondern nur in Ausnahmefällen aufgrund puntktueller gesetzlicher Regelungen wie z.B. § 101 Abs. 2 und Abs. 9 UrhG oder im Falle von strafbarem Verhalten über den Umweg als Betroffener Einsicht in die Ermittlungsakte der Staatsanwaltschaft nehmen zu können. Grundsätzlich verfügt der Betreiber eines Webservers also nicht über die rechtlichen Mittel, einen User anhand der IP-Adresse zu identifizieren.

Zu dem geplanten Netzwerkdurchsetzungsgesetz, das ich erst kürzlich kritisch beleuchtet habe, liegt nunmehr ein weiterer, geänderter Referentenentwurf vor, der den Katalog derjenigen Inhalte, die das Gesetz als rechtswidrig qualifiziert erweitert und zudem – jedenfalls nach Ansicht des BMJ und einiger Blogs – den Weg hin zu einem zvilrechtlichen Auskunftsanspruch bei Persönlichkeitsrechtsverletzung ebnen soll. Dies soll erreicht werden, indem § 14 Abs. 2 TMG um die Wörter „oder anderer absolut geschützter Rechte“ ergänzt wird.

Insoweit ist zunächst zu beachten, dass § 14 Abs. 2 TMG unstreitig keinen Auskunftsanspruch begründet, sondern lediglich eine datenschutzrechtliche Gestattung des Anbieters darstellt, die es Facebook & Co. erlauben würde, Bestandsdaten eines Nutzers an eine zuständige Stelle zu übermitteln. Der BGH hat in einer Entscheidung zu Bewertungsportalen (Urteil vom 1.7.2014, Az.: VI ZR 345/13) die Auffassung vertreten, dass bei Persönlichkeitsrechtsverletzungen zwar grundsätzlich ein Auskunftsanspruch auch gegen den Portalbetreiber aus § 242 BGB in Betracht kommt, aber einem solchen Auskunftsanspruch das Gebot der engen datenschutzrechtlichen Zweckbindung (§ 12 Abs. 2 TMG) entgegen stünde. Wer jetzt allerdings glaubt, ein solcher Auskunftsanspruch ließe sich bereits begründen, indem man die datenschutzrechtliche Gestattung des § 14 Abs. 2 TMG erweitert, übersieht gleich mehrere Aspekte.

Die Vorschrift des § 14 Abs. 2 TMG ist ersichtlich auf Behörden ausgelegt, was sich bereits aus dem Wortlaut „auf Anordnung der zuständigen Stelle“ und die anschließende Aufzählung hoheitlicher Aufgaben ergibt. Da es sich um einen Ausnahmetatbestand handelt, ist die Vorschrift entgegen anderslautender Ansichten auch nicht analogiefähig. Die vom BMJ geplante Erweiterung führt also nur dazu, dass der Anbieter befugt ist, Bestandsdaten an Behörden herauszugeben. Eine Öffnungsklausel, die eine Datenweitergabe an private Anspruchsteller ermöglichen würde, stellt § 14 Abs. 2 TMG folglich nicht dar.

Eine solche Auslegung stünde auch in Konflikt mit § 13 Abs. 6 TMG, der den Anbieter grundsätzlich dazu verpflichtet, dem Nutzer eine anonyme oder pseudonyme Nutzung des Dienstes zu ermöglichen. Es stellt einen Wertungswiderspruch dar, von einem Anbieter Auskunft über die Person eines Nutzers zu verlangen, dessen Anonymität er gleichzeitig wahren und gewährleisten soll. Dieses Problem wird übrigens auch in der genannten Entscheidung des BGH angerissen, aber vom BGH nicht weitergehend erörtert.

Darüber hinaus wäre es auch die falsche Schlussfolgerung aus der Entscheidung des BGH, anzunehmen, gegen einen Portalbetreiber wie Facebook ließe sich aus § 242 BGB ein uneingeschränkter Auskunftsanspruch ableiten. Der Auskunftsanspruch ist seinem Wesen nach ein Hilfsanspruch, der der Durchsetzung eines Hauptanspruchs dient, also regelmäßig eines Unterlasungs- und/oder Schadensersatzanspruchs. Voraussetzung eines Auskunftsanspruchs, gerade aus § 242 BGB, ist allerdings das Bestehen des Hauptanspruchs. Soweit es um Portalbetreiber geht, besteht allerdings die Besonderheit, dass ihre Haftung auf Schadensersatz nach § 10 TMG und die Haftung auf Unterlassung nach den Grundsätzen der Störerhaftung eingeschränkt ist. Eine uneingeschränkte Haftung des Diensteanbieters tritt erst ein, wenn er nach Kenntnis von einer Rechtsverletzung nicht unverzüglich handelt und den beanstandeten Inhalt nicht entfernt. Wenn also zunächst nur ein eingeschränkter Hauptanspruch besteht, ist es nicht naheliegend, dem Portalbetreiber sogleich einen uneingeschränkten Auskunftsanspruch aufzuerlegen. Der Auskunftsanspruch muss nämlich derselben Haftungsprivilegierung unterliegen. In der Entscheidung des BGH, auf die sich das BMJ bezieht, hat sich diese Frage nicht gestellt, denn das Bewertungsportal hatte gerade nicht reagiert und wurde daher rechtskräftig zu einer vollständigen Unterlassung verurteilt.

Wenn das BMJ meint, durch eine bloße Ergänzung des § 14 Abs. 2 TMG ließe sich faktisch ein zivilrechtlicher Auskunftsanspruch bei Persönlichkeitsrechtsverletzungen begründen, so ist es einem juristischen Irrtum aufgesessen. Wenn der politische Wille vorhanden ist, einen Auskunftsanspruch auch für solche Fälle zu schaffen, wie es beispielsweise der Deutsche Richterbund fordert, dann müsste der Gesetzgeber einen solchen Auskunftsanspruch positiv normieren und zusätzlich eine klare datenschutzrechtliche Gestattung schaffen. Was wir stattdessen sehen, ist nur ein weiterer handwerklicher Mangel eines insgesamt nicht wirklich stimmigen Gesetzesentwurfs.

Von Dr. Arnd-Christian Kulow und Thomas Stadler

Am 30.11.2016 hat eine Initiative von Netzaktivisten, Politikern, Wissenschaftlern und Autoren den Entwurf einer „Charta der Digitalen Grundrechte der Europäischen Union“ vorgestellt.

Wir entsprechen dem Wunsch der Initiatoren und kommentieren den Vorschlag nachfolgend. „Gewogen und für zu leicht befunden“ ist vielleicht noch das mildeste Verdikt, jedenfalls von juristischer Seite. Die im einzelnen geäußerte und höchst berechtigte Kritik soll hier allerdings nicht nochmals vollständig wiederholt werden. Wir haben am Textende einige weiterführende Links zu kritischen Anmerkungen aufgenommen.

Die grundlegende Frage die sich uns stellt ist, ob das Vorgehen der Initiatoren als solches überhaupt hilfreich war und ist oder eher nicht. Um die Antwort vorwegzumehmen: Diese Charta ist nicht geeignet, die Grundrechte im digitalen Zeitalter zu stärken und sollte daher nicht weiter verfolgt werden. Eine öffentliche Debatte jedenfalls dieses Textes halten wir nicht für zielführend.

Wir unterstellen eine gute Absicht bei den Initiatoren und ja, die Digitalisierung wirft Fragen auf, die auch das Recht beantworten muss. Eine „Charta“ zu entwerfen, ist eine Möglichkeit einen Diskurs anzustoßen. Andern Orts ist schon gesagt worden, dass die Charta mit „digitalen“ Grundrechten allerdings etwas fordert, was es nicht gibt. Nein, das ist keine Beckmesserei, sondern mahnt sprachliche Klarheit an, die gerade bei solchen Texten notwendige Bedingung der Wirksamkeit ist.

Die Charta ist in doppelter Hinsicht anmaßend. Sie kombiniert Elemente des deutschen Grundgesetzes mit denen der Charta der Grundrechte der Europäischen Union, berücksichtigt aber in keinster Weise verfassungsjuristisches Handwerkszeug. Dies verwundert, sind doch renommierte Juristen unter den Initiatoren. Es ist längst verfassungsrechtliches Allgemeingut, dass Verfassungstexte und diesen nachempfundene „Charten“ Textstufen durchlaufen. In rechtlichen Kontexten, zumal wenn sie Neuland betreten ist „robustes“ Arbeiten angesagt und nicht mehr oder weniger freies Assoziieren.

Was hätte die Verfasser also tun sollen?

Es wäre zunächst eine Bestandsaufnahme von Grundrechten und einfachgesetzlichen Regelungen mit Bezug auf digitale Sachverhalte in allen Verfassungen und Rechtsordnungen der EU-Mitgliedstaaten durchzuführen gewesen. Brauchen wir überhaupt „digitale Grundrechte“ oder genügen uns die vorhandenen vollauf? So haben ja bekanntlich der Bundesgerichtshof und das Bundesverfassungsgericht mit dem Allgemeinen Persönlichkeitsrecht schon sehr früh ein unbenanntes Grundrecht geschaffen, das gleichwohl in der Lage ist, auf neue Fragen der Digitalisierung zu antworten: das Grundrecht auf informationelle Selbstbestimmung und das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme zeugen davon.

In einem zweiten Schritt hätte dann eine Defizitanalyse, bzw. wertende Rechtsvergleichung stattfinden müssen, um festzustellen, welche Lücken vorhanden sind und wie diese geschlossen werden können.

Die so gefundenen Ergebnisse hätte man anschließend mit dem Ziel einer Präzisierung bestehender Grundrechte sowohl in Fachkreisen als auch generell öffentlich diskutieren können. An einer derart strukturierten, methodischen Vorgehensweise fehlt es ganz augenscheinlich aber vollständig.

Was hat man stattdessen getan?

Die Verfasser versuchen, parallel zur bereits vorhandenen Grundrechtecharta der EU eine zweite (vollständige) Charta der digitalen Grundrechte zu schaffen, wobei beide offenbar gleichberechtigt nebeneinander stehen sollen. Der Ansatz verwundert bereits deshalb, weil man meinen könnte, die Unterscheidung zwischen einer Online- und Offlinewelt sei zu überwinden und nicht zu vertiefen.

Gibt es etwa eine besondere Menschenwürde im digitalen Raum oder vielleicht doch nur eine einzige universelle Menschenwürde? Wer die Frage in letzterem Sinne beantwortet, wird sich der Erkenntnis nicht verschließen können, dass Art. 1 Abs. 1 des Chartaentwurfs vollständig überflüssig ist.

Das erste ernsthafte juristische Problem wirft sodann bereits Art. 1 Abs. 3 des Entwurfs auf, der postuliert, dass die Charta gegenüber staatlichen Stellen und Privaten gelten soll. Das ist in zweierlei Hinsicht bemerkenswert. Grundrechtsverpflichtete waren bislang stets nur staatliche Stellen, nachdem Grundrechte per definitionem Abwehrrechte gegenüber dem Staat sind. Träger von Grundrechten sind demzufolge (nur) Private, vorrangig natürliche Personen. Wenn man nun den Kreis der Grundrechtsverpflichteten auf Private ausdehnt, stellt dies nicht nur einen Bruch mit der bisherigen verfassungsrechtlichen Dogmatik dar, sondern wirft Folgefragen auf, die niemand mehr widerspruchsfrei wird beantworten können. Es entstünde nämlich dadurch die Situation, dass Private (zugleich) Grundrechtsberechtigte und –verpflichtete wären. Wird also das Verfassungsrecht zum Privatrecht, oder welche Bedeutung hat es, wenn Grundrechte zwischen Privaten gelten? Und wer wacht darüber? Diese Rolle wird selbstverständlich der Staat einehmen. Was das bedeutet ist klar. Die Charta macht ihn zum Leviathan: zum freiheitsfressenden Monster.

Darüber hinaus gilt die Grundrechtecharta der EU nach ihrem Art. 51 nur für Stellen der EU, für die Mitgliedsstaaten aber nur dann, wenn sie Unionsrecht durchführen. Das hat seinen  Grund darin, dass die EU keine umfassende Regelungskompetenz für alle Rechts- und Lebensbereiche besitzt und demzufolge auch keinen Grundrechtskatalog definieren kann, der uneingeschränkt für sämtliches Handeln der Mitgliedsstaaten gilt. Das soll nach Art. 1 Abs. 3 dieses Entwurfs allerdings anders sein, die Charta soll für jedwedes staatliches Handeln gelten und damit auch jegliches Handeln der Mitgliedsstaaten regeln. Das ist schlicht nicht europarechtskonform.

Die Grundkonzeption der Charta funktioniert auch bei anderen Grundrechten nicht, was wir exemplarisch anhand von Art. 5 (Meinungsfreiheit) verdeutlichen wollen. Soweit Art. 5 Abs. 1 des Entwurfs die Meinungsfreiheit auch für die digitale Welt – was ist das eigentlich? – gewährleistet, so ist dies schlicht überflüssig. Die Meinungsfreiheit ist bereits in Art. 11 der Grundrechtecharta und in sämtlichen Verfassungen der Mitgliedsstaaten gewährleistet, in Deutschland in Art. 5 GG.

Die sich anschließende Regelung in Art. 5 Abs. 2 der Digitalcharta ist je nach Lesart merkwürdig, gefährlich oder überflüssig. Eine Auslegung, die auf eine sinnvolle Regelung hindeuten könnte, erschließt sich uns derzeit nicht. Die Vorschrift fordert, dass digitale Hetze, Mobbing sowie Aktivitäten, die geeignet sind, den Ruf oder die Unversehrtheit einer Person ernsthaft zu gefährden, zu verhindern sind und zwar durch die Grundrechtsverpflichteten, also durch staatliche Stellen und Private. Wenn also alle staatlichen Stellen und alle Privaten diese Pflicht trifft, ist also im Grunde jeder dazu verpflichtet das zu verhindern. Auch der Hetzer ist danach verpflichtet, sich selbst in die Schranken zu weisen. Hier zeigt sich bereits die Absurdität der Ausweitung des Kreises der Grundrechtsverpflichteten auf Private.

Was soll damit aber sachlich-inhaltlich geregelt werden? Handelt es sich um eine Schranke wie in Art. 5 Abs. 2 GG, wonach das Grundrecht auf Meinungsfreiheit seine Schranken in den allgemeinen Gesetzen, den gesetzlichen Bestimmungen des Jugend- und Ehrschutzes findet? Wenn das gemeint sein sollte, ist die Formulierung komplett misslungen. Dem Wortlaut nach soll eine unmittelbare Handlungspflicht normiert werden, was Fragen aufwirft, zumal es sich bei unbestimmten Begriffen wie Mobbing und Hetze noch nicht einmal um Rechtsbegriffe handelt. Letztlich gehört eine solche Regelung systematisch in ein einfaches Gesetz. Sie kann nicht Verfassungsrang haben, weil sonst unterbunden wird, dass  sie uneingeschränkt auch anhand des Grundrechts überprüft und an diesem gemessen wird. Hetzerische Postings sind nach unserem aktuellen Verständnis von Meinungsfreiheit, wie es durch das Bundesverfassungsgericht (BVerfG) und den Europäischen Gerichtshof für Menschenrechte (EGMR) geprägt worden ist, keineswegs per se unzulässig. Es ist ganz im Gegenteil so, dass ein freiheitlich-demokratischer Staat in diesem Bereich u.U. sehr viel von dem ertragen muss, was man als hetzerisch, rassistisch oder diskriminierend empfindet.

Darüber hinaus muss der hier zum Grundrechtsverpflichteten mutierte Private – angesprochen sind damit u.a. Betreiber von sozialen Netzen oder Meinungsportalen – auch immer die Informationsfreiheit seiner Nutzer berücksichtigen. Die Informationsfreiheit regelt Art. 5 des Entwurfs interessanterweise aber nicht, sie wird vielmehr scheinbar in Art. 2 Abs. 1 als Recht auf freie Information angesprochen. Ob damit tatsächlich die Informationsfreiheit im Sinne von Art. 5 Abs. 1 S. 1 (2. Alt.) GG und Art. 11 Abs. 1 S. 2 EU-Grundrechtecharta abgebildet wird, erscheint angesichts des Wortlauts fraglich. Wer, wie die Verfasser dieser Charta, den Anspruch hat, die Meinungsfreiheit nochmals für den Digitalbereich zu regeln, der sollte dies zumindest vollständig tun und nicht die Hälfte weglassen.

Der aktuelle Textvorschlag wirft insgesamt die Frage auf, ob die dort skizzierte Vorstellung von Meinungsfreiheit nicht möglicherweise (deutlich) hinter dem Rahmen zurückbleibt, den EGMR und BVerfG abgesteckt haben. Die Meinungsfreiheit soll hier in einer Art und Weise einschränkt werden, die die Bedeutung und Tragweite dieses für jeden demokratischen Rechtsstaat schlicht konstituierenden Grundrechts fundamental verkennt.

Man kann insgesamt sicherlich darüber diskutieren, ob der tradierte Katalog der Grundrechte ergänzungsbedürftig ist. Existierende Grundrechte wie die Meinungsfreiheit müssen dafür aber nicht neu- und vor allem nicht umdefiniert werden.

Die Charta vergisst zudem auch, dass das vom BVerfG in der Lebach-Entscheidung in seiner Verfassungsgemäßheit bestätigte Allgemeine Persönlichkeitsrecht in seinen Ausprägungen des Rechts auf informationelle Selbstbestimmung und Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme sehr wohl in der Lage ist, den Herausforderungen der Digitalisierung zu begegnen. Dass die datenschutzrechtlichen Regelungen des Entwurfs defizitär sind und der Entwurf insoweit ein „heilloses Durcheinander aus Buzzwords, unvollständigen Begriffssammlungen und ungenutzten Chancen“ darstellt, hat Malte Engeler treffend herausgearbeitet. Insgesamt ist die Frage zu stellen, ob wirklich Lücken des grundrechtlichen Systems zu beklagen sind oder ob wir nicht eher ein Vollzugsgedefizit beobachten können, an dem auch neue und veränderte Grundrechte nichts ändern werden. Die Schaffung neuer Grundrechtskataloge ist nicht die Antwort auf die zunehmende Gefährdung der Grundrechte in der sog. digitalen Welt. Vielmehr sollte man sich Gedanken darüber machen, wie man den bereits vorhandenen und weitestgehend ausreichenden Rechten und Regelungen zu stärkerer Geltung verhilft.

Eine methodische und wissenschaftliche Vorgehensweise unter Berücksichtigung des vorhandenen Grundrechtsniveaus hätte die Intiatoren vor ihrem zentralen Fehler bewahrt: Den an das Grundgesetz angelehnten und um Elemente der Grundrechtecharta ergänzten Entwurf allen Ernstes Europa als Lösung anzudienen. Wolfgang Michal kritisiert den Entwurf völlig zurecht als deutschen Sonderweg. Bescheidenheit und Integrationskompetenz, das sollten wir Europa anbieten, auch im Bereich der Informationstechnologie.

Weiterführende Links:

Unstable – Der Digitalcharta fehlt ihr Datenschutzfundament (Malte Engeler)

Verkehrte Welt: Zur Zweckentfremdung von “Grundrechten” und zur Verklärung des “Nichtwissens” (Niko Härting)

„Digi­tale Grund­rechte“ – warum eigent­lich? (Niko Härting)

Digitale Chartastimmung (Markus Kompa)

Kommentare zur “Charta der digitalen Grundrechte der Europäischen Union” (Jürgen Geuter)

Vorschlag für EU-Digitalgrundrechte: Nachbesserungen beim Urheberrecht nötig (Julia Reda)

Digitalcharta: Dinge verbieten, im Namen der Freiheit (Simon Assion)

Die Digitalcharta – und was wir statt dessen brauchen (Marc Pütz-Poulalion)

Zu der Frage, ob und unter welchen Voraussetzungen IP-Adressen personenbezogene Daten im Sinne des Datenschutzrechts darstellen, existiert seit vielen Jahren eine kontroverse Diskussion in der deutschen Rechtswissenschaft. Den Streitstand habe ich in einem älteren Blogbeitrag dargestellt.

Vor zwei Jahren hat der BGH dem EuGH die Frage vorgelegt, ob eine IP-Adresse, die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn lediglich ein Dritter – also der Zugangsprovider – über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt. Zudem wollte der BGH vom EuGH wissen, ob eine Vorschrift des nationalen Rechts mit dem Inhalt des § 15 Abs. 1 TMG gegen die Datenschutzrichtlinie verstößt.

In seiner Entscheidung vom 19.10.2016 (Az.: C-582/14) schließt sich der EuGH in der Tendenz der Theorie vom relativen Personenbezug an und führt aus, dass eine IP-Adresse nicht stets als personenbezogenes Datum im Sinne der Datenschutzrichtlinie zu betrachten ist, sondern nur dann, wenn der speichernde Diensteanbieter über rechtliche Mittel verfügt, die es ihm erlauben, den Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen. Solche rechtlichen Mittel gibt es allerdings nicht allgemein, sondern nur aufgrund puntktueller gesetzlicher Regelungen wie z.B. § 101 Abs. 2 und Abs. 9 UrhG oder im Falle von strafbarem Verhalten über den Umweg als Betroffener Einsicht in die Ermittlungsakte der Staatsanwaltschaft nehmen zu können. Man wird vor diesem Hintergrund davon auszugehen haben, dass dynamische IP-Adressen, entgegen der beispielsweise von den Datenschutzaufsichtsbehörden vertretenen Auffassung, jedenfalls nicht generell als personenbezogen zu betrachten sind. Der EuGH geht zwar in seiner Entscheidung davon aus, dass das deutsche Recht entsprechende Mittel vorsehen würde, betont aber, dass das vorlegende Gerich, diese Frage zu prüfen habe.

Des weiteren hält der EuGH die deutsche Vorschrift des § 15 Abs. 1 TMG für europarechtswidrig, weil auch der Zweck, die generelle Funktionsfähigkeit des Online-Mediums zu gewährleisten, zu einer Speicherung personenbezogener Daten berechtigen könne. Der speichernde Anbieter kann nach Ansicht des EuGH ein berechtigtes Interesse daran haben, die Aufrechterhaltung der Funktionsfähigkeit der von ihm allgemein zugänglich gemachten Websites über die konkrete Nutzung hinaus zu gewährleisten. Zu diesem Zweck darf er personenbezogene Daten, auch IP-Adressen, speichern.