Skip to content

BGH: Speicherung von dynamischen IP-Adressen über Nutzungsvorgang hinaus kann zulässig sein um generelle Funktionsfähigkeit zu gewährleisten

BGH
Urteil vom 15.05.2017
VI ZR 135/13

Der BGH hat sich nach Enbtscheidung des EuGH (siehe EuGH: Betreiber einer Webseite darf dynamische IP-Adressen zur Abwehr von Cyberattacken speichern - dynamische IP-Adressen sind personenbezogene Daten
) erneut mit der Frage der Zulässigkeit der Speicherung dynamischer IP-Adressen durch Webseiten über den eigentlichen Nutzungsvorgang hinaus befasst. Der BGH hat die Sache an das LG Berlin zurückverwiesen, da bislang noch keine ausreichenden Feststellungen getroffen wurden, um die Interessen des Nutzers und des Webseitenbetreibers abzuwägen.


Die Pressemitteilung des BGH:

Bundesgerichtshof zur Zulässigkeit der Speicherung von dynamischen IP-Adressen

Der Kläger verlangt von der beklagten Bundesrepublik Deutschland Unterlassung der Speicherung von dynamischen IP-Adressen. Dies sind Ziffernfolgen, die bei jeder Einwahl vernetzten Computern zugewiesen werden, um deren Kommunikation im Internet zu ermöglichen. Bei einer Vielzahl allgemein zugänglicher Internetportale des Bundes werden alle Zugriffe in Protokolldateien festgehalten mit dem Ziel, Angriffe abzuwehren und die strafrechtliche Verfolgung von Angreifern zu ermöglichen. Dabei werden unter anderem der Name der abgerufenen Seite, der Zeitpunkt des Abrufs und die IP-Adresse des zugreifenden Rechners über das Ende des jeweiligen Nutzungsvorgangs hinaus gespeichert. Der Kläger rief in der Vergangenheit verschiedene solcher Internetseiten auf.

Mit seiner Klage begehrt er, die Beklagte zu verurteilen, es zu unterlassen, ihm zugewiesene IP-Adressen über das Ende des jeweiligen Nutzungsvorgangs hinaus zu speichern. Das Amtsgericht hat die Klage abgewiesen. Auf die Berufung des Klägers hat das Landgericht dem Kläger den Unterlassungsanspruch nur insoweit zuerkannt, als er Speicherungen von IP-Adressen in Verbindung mit dem Zeitpunkt des jeweiligen Nutzungsvorgangs betrifft und der Kläger während eines Nutzungsvorgangs seine Personalien angibt. Gegen dieses Urteil haben beide Parteien die vom Berufungsgericht zugelassene Revision eingelegt.

Der Bundesgerichtshof (vgl. Pressemitteilung Nr. 152/2014) hat mit Beschluss vom 28. Oktober 2014 - VI ZR 135/13, VersR 2015, 370 das Verfahren ausgesetzt und dem Europäischen Gerichtshof zwei Fragen zur Auslegung der EG-Datenschutz-Richtlinie zur Vorabentscheidung vorgelegt. Nachdem der Gerichtshof mit Urteil vom 19. Oktober 2016 - C-582/14, NJW 2016, 3579 die Fragen beantwortet hat, hat der VI. Zivilsenat des Bundesgerichtshofs nunmehr mit Urteil vom 16. Mai 2017 über die Revisionen der Parteien entschieden. Diese hatten Erfolg und führten zur Aufhebung des Berufungsurteils und zur Zurückverweisung der Sache an das Berufungsgericht.

Auf der Grundlage des EuGH-Urteils ist das Tatbestandsmerkmal "personenbezogene Daten" des § 12 Abs. 1 und 2 TMG in Verbindung mit § 3 Abs. 1 BDSG richtlinienkonform auszulegen: Eine dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Internetseite, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, stellt für den Anbieter ein (geschütztes) personenbezogenes Datum dar.

Als personenbezogenes Datum darf die IP-Adresse nur unter den Voraussetzungen des § 15 Abs. 1 TMG gespeichert werden. Diese Vorschrift ist richtlinienkonform entsprechend Art. 7 Buchst. f der Richtlinie 95/46 EG – in der Auslegung durch den EuGH – dahin anzuwenden, dass ein Anbieter von Online-Mediendiensten personenbezogene Daten eines Nutzers dieser Dienste ohne dessen Einwilligung auch über das Ende eines Nutzungsvorgangs hinaus dann erheben und verwenden darf, soweit ihre Erhebung und ihre Verwendung erforderlich sind, um die generelle Funktionsfähigkeit der Dienste zu gewährleisten. Dabei bedarf es allerdings einer Abwägung mit dem Interesse und den Grundrechten und -freiheiten der Nutzer.

Diese Abwägung konnte im Streitfall auf der Grundlage der vom Berufungsgericht getroffenen Feststellungen nicht abschließend vorgenommen werden. Das Berufungsgericht hat keine hinreichenden Feststellungen dazu getroffen, ob die Speicherung der IP-Adressen des Klägers über das Ende eines Nutzungsvorgangs hinaus erforderlich ist, um die (generelle) Funktionsfähigkeit der jeweils in Anspruch genommenen Dienste zu gewährleisten. Die Beklagte verzichtet nach ihren eigenen Angaben bei einer Vielzahl der von ihr betriebenen Portale mangels eines "Angriffsdrucks" darauf, die jeweiligen IP-Adressen der Nutzer zu speichern. Demgegenüber fehlen insbesondere Feststellungen dazu, wie hoch das Gefahrenpotential bei den übrigen Online-Mediendiensten des Bundes ist, welche der Kläger in Anspruch nehmen will. Erst wenn entsprechende Feststellungen hierzu getroffen sind, wird das Berufungsgericht die nach dem Urteil des Europäischen Gerichtshofs gebotene Abwägung zwischen dem Interesse der Beklagten an der Aufrechterhaltung der Funktionsfähigkeit ihrer Online-Mediendienste und dem Interesse oder den Grundrechten und -freiheiten des Klägers vorzunehmen haben. Dabei werden auch die Gesichtspunkte der Generalprävention und der Strafverfolgung gebührend zu berücksichtigen sein.

Vorinstanzen:

AG Tiergarten - Urteil vom 13. August 2008 - 2 C 6/08

LG Berlin - Urteil vom 31. Januar 2013 - 57 S 87/08

Karlsruhe, den 16. Mai 2017

§ 12 Telemediengesetz - Grundsätze

(1) Der Diensteanbieter darf personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.

(2) …

§ 15 Telemediengesetz - Nutzungsdaten

(1) Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten)…



EuGH: Betreiber einer Webseite darf dynamische IP-Adressen zur Abwehr von Cyberattacken speichern - dynamische IP-Adressen sind personenbezogene Daten

EuGH
Urteil vom 19.10.2016
C-582/14
Patrick Breyer / Bundesrepublik Deutschland


Der EuGH hat entschieden, dass Webseitenetreiber dynamische IP-Adressen zur Abwehr von Cynerattacken bzw. zur Aufrechterhaltung der Funktionsfähigkeit der Webseite speichern dürfen.

Wenig überraschend teilt der EuGH mit, dass auch dynamische IP-Adressen regelmäßig als personenbezogene Daten zu qualifizieren sind. Der EuGH hat bereits im Jahr 2011 - allerdingsohne nähere Begründung - wie selbstverständlich angenommen, dass IP-Adressen personenbezogene Daten sind ( EuGH, Urteil vom 24.11.2011 - C‑70/10 - EuGH: Internetprovider dürfen nicht dazu verpflichtet werden, den Netzverkehr präventiv zu filtern und zu sperren - Verstoß gegen Europarecht). Dies wird in der öffentlichen Diskussion oft vergessen.

Die restriktive Regelung zur Speicherung in § 15 Abs. 1 TMG verstößt gegen EU-Recht, da ein Webseitenbetreiber auch nach Abschluss des Nutzungsvorgangs ein berechtigtes Interesse an der Speicherung dynamische IP-Adressen haben kann.

Die Pressemitteilung des EuGH:

Der Betreiber einer Website kann ein berechtigtes Interesse daran haben, bestimmte personenbezogene Daten der Nutzer zu speichern, um sich gegen Cyberattacken zu verteidigen

Die dynamische Internetprotokoll-Adresse eines Nutzers stellt für den Betreiber der Website ein personenbezogenes Datum dar, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, den betreffenden Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen

Herr Patrick Breyer klagt vor deutschen Gerichten dagegen, dass die von ihm abgerufenen Websites von Einrichtungen des Bundes seine Internetprotokoll-Adressen („IP-Adressen“) aufzeichnen und speichern. Von diesen Einrichtungen werden außer dem Zeitpunkt des Zugriffs auch die IP-Adressen der Nutzer aufgezeichnet und gespeichert, um sich gegen Cyberattacken zu
wappnen und eine Strafverfolgung zu ermöglichen.

Der deutsche Bundesgerichtshof möchte vom Gerichtshof wissen, ob in diesem Zusammenhang auch „dynamische“ IP-Adressen für den Betreiber der Website personenbezogene Daten darstellen, so dass sie den für solche Daten vorgesehenen Schutz genießen. Eine „dynamische“ IP-Adresse ist eine IP-Adresse, die sich bei jeder neuen Internetverbindung ändert. Anders als statische IP-Adressen erlauben dynamische IP-Adressen es nicht, anhand allgemein zugänglicher Dateien eine Verbindung zwischen einem Computer und dem vom Internetzugangsanbieter verwendeten physischen Netzanschluss herzustellen. Somit verfügt ausschließlich der Internetzugangsanbieter von Herrn Breyer über die zu dessen Identifizierung erforderlichen
Zusatzinformationen.

Der Bundesgerichtshof möchte ferner wissen, ob der Betreiber einer Website zumindest grundsätzlich die Möglichkeit haben muss, personenbezogene Daten der Nutzer zu erheben und zu verwenden, um die generelle Funktionsfähigkeit seiner Website zu gewährleisten. Er weist insoweit darauf hin, dass die einschlägige deutsche Regelung von der deutschen Lehre überwiegend dahin ausgelegt werde, dass die Daten am Ende des jeweiligen Nutzungsvorgangs zu löschen seien, soweit sie nicht für Abrechnungszwecke benötigt würden.

Mit seinem heutigen Urteil antwortet der Gerichtshof zunächst, dass eine dynamische IP-Adresse, die von einem „Anbieter von Online-Mediendiensten“ (d. h. vom Betreiber einer Website, hier den Einrichtungen des Bundes) beim Zugriff auf seine allgemein zugängliche Website gespeichert wird, für den Betreiber ein personenbezogenes Datum darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, den Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen.

Der Gerichtshof führt hierzu aus, dass es in Deutschland offenbar rechtliche Möglichkeiten gibt, die es dem Anbieter von Online-Mediendiensten erlauben, sich insbesondere im Fall von Cyberattacken an die zuständige Behörde zu wenden, um die fraglichen Informationen vom Internetzugangsanbieter zu erlangen und anschließend die Strafverfolgung einzuleiten.

Zweitens antwortet der Gerichtshof, dass das Unionsrecht einer Regelung eines Mitgliedstaats entgegensteht, nach der ein Anbieter von Online-Mediendiensten personenbezogene Daten eines Nutzers dieser Dienste ohne dessen Einwilligung nur erheben und verwenden darf, soweit ihre Erhebung und ihre Verwendung erforderlich sind, um die konkrete Inanspruchnahme der Dienste durch den betreffenden Nutzer zu ermöglichen und abzurechnen, ohne dass der Zweck, die generelle Funktionsfähigkeit der Dienste zu gewährleisten, die Verwendung der Daten über das Ende eines Nutzungsvorgangs hinaus rechtfertigen kann.

Die Verarbeitung personenbezogener Daten ist nach dem Unionsrecht u. a. rechtmäßig, wenn sie zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, erforderlich ist, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Die deutsche Regelung schränkt nach ihrer in der Lehre überwiegend vertretenen Auslegung die Tragweite dieses Grundsatzes ein, indem sie es ausschließt, dass der Zweck, die generelle Funktionsfähigkeit des Online-Mediums zu gewährleisten, Gegenstand einer Abwägung mit dem Interesse oder den Grundrechten und Grundfreiheiten der Nutzer sein kann.

Der Gerichtshof hebt in diesem Zusammenhang hervor, dass die Einrichtungen des Bundes, die Online-Mediendienste anbieten, ein berechtigtes Interesse daran haben könnten, die Aufrechterhaltung der Funktionsfähigkeit der von ihnen allgemein zugänglich gemachten Websites über ihre konkrete Nutzung hinaus zu gewährleisten



"Canvas Fingerprinting - Die Grenzen des Trackings" - Neuer Beitrag in der Internet World Business von RA Marcus Beckmann zur Rechtswidrigkeit des Einsatzes derartiger Trackingmethoden

In Ausgabe 16/14, S. 19 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann. In dem Beitrag "Canvas Fingerprinting - Die Grenzen des Trackings" befasst sich RA Beckmann mit den der im Regelfall rechtswidrigen Praxis beim Einsatz von Canvas Fingerprinting / Digital Fingerprinting zum Erfassen des Nutzerverhaltens.


"Tracking ohne Risiko" - Neuer Beitrag in der Internet World Business von RA Marcus Beckmann

In Ausgabe 8/14, S. 18 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann. In dem Beitrag "Tracking ohne Risiko" befasst sich Beckmann mit dem rechtskonformen Einsatz von Tracking-Tools wie Google Analytics und Piwik vor dem Hintergrund der Piwik-Entscheidung des LG Frankfurt - Urteil vom 18.02.2014 - 3-10 O 86-12.


LG Frankfurt: Nutzung von Piwik und anderer Trackingtools ohne Belehrung und Hinweis auf Widerspruchsmöglichkeit ein abmahnfähiger Wettbewerbsverstoß

LG Frankfurt
Urteil vom 18.02.2014
3-10 O 86-12
Piwik


Das LG Frankfurt hat entschieden, dass die Nutzung von Piwik und anderer Trackingtools ohne Belehrung und Hinweis auf Widerspruchsmöglichkeit gemäß §§ 15 Abs. 3, 13 Abs. 1 TMG ein abmahnfähiger Wettbewerbsverstoß ist.

Aus den Entscheidungsgründen:

"b) Die Antragsgegnerin ist aber verpflichtet, den Nutzer zu Beginn des Nutzungsumfangs und später jederzeit abrufbar auf die Widerspruchsmöglichkeit hinzuweisen (§§ 15 Abs. 3, 13 Abs. 1 TMG). Nach § 15 Abs. 3 Satz 1 TMG darf der Diensteanbieter zwar für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Er hat den Nutzer allerdings „im Rahmen der Unterrichtung nach § 13 Abs. 1 TMG" auf sein Widerspruchsrecht hinzuweisen (§ 15 Abs. 3 Satz 1 TMG).
§15 Abs. 3 TMG findet auf die von der Antragsgegnerin mit dem Programm Piwik erstellten Nutzerprofile Anwendung.
[…]
bb) Die Frage, ob § 15 Abs. 3 TMG auch für anonymisierte Daten gilt, kann jedoch letztlich offen bleiben, weil die Antragsgegnerin bei Erstellung der Nutzungsprofile mit Hilfe des Programms Piwik - entgegen der von dem Hersteller von Piwik selbst gewählten Begrifflichkeit (vgl. dazu den Screenshot Anlage 26, Bl. 263 sowie die als Anlage AG 6, Bl. 121 ff. d.A. vorgelegte Stellungnahme eines Mitarbeiters der Vertretung Piwik Deutschland) - Pseudonyme im Sinne des § 15 Abs. 3 TMG verwendet.
[…]
d) Bei § 15 Abs. 3 TMG handelt es sich schließlich auch um eine Marktverhaltersregel im Sinne des § 4 Nr. 11 UWG. Maßgeblich für die Einordnung Ist, ob die Norm das Auftreten auf einem Markt regelt und damit zumindest auch die Interessen der Betroffenen als Marktteilnehmer schützt (vgl. Köhler, in; Köhler/Bornkamm, UWG, 32. Aufl. 2014, § 4 Rdn. 11.42). Der Anwendungsbereich des § 4 Nr. 11 UWG ist nicht auf solche Marktverhaltensregelungen beschränkt, die eine spezifisch wettbewerbsbezogene Schutzfunktion in dem Sinne aufweisen, dass sie die Marktteilnehmer speziell vor dem Risiko einer unlauteren Beeinflussung ihres Marktverhaltens schützen (vgl. BGH, Urteil vom 04.11.2010, l ZR 139/09, zitiert nach Juris Tz. 34-BIO TABAK). Auch eine dem Schutz von Rechten oder Rechtsgütern dienende Vorschrift ist dann eine Marktverhaltensvorschrift, wenn das geschützte Interesse gerade durch die Marktteilnahme berührt wird (OLG Karlsruhe, Urteil vom 09.05.2012, 6 U 38/11, zitiert nach Juris Tz. 34). Auf dieser Grundlage können Datenschutzvorschriften jedenfalls auch Marktverhaltensregeln sein, wenn sie die Grenzen der Zulässigkeit der Nutzung der Daten für Zwecke der Werbung bestimmen (vgl. OLG Köln, Urteil vom 14.08.2009, 6 U 70/09, zitiert nach Juris Tz. 5; zu § 28 Abs. 3 BDSG OLG Karlsruhe, Urteil vom 09.05.2012. 6 U 38/11, zitiert nach Juris Tz. 34; a.A.zu § 28 Abs. 3 BDSG OLG München, Urteil vom 12.01.2012, 29 U 3926/11, zitiert nach Juris Tz. 29; vgl. auch zu § 13 TMG als Marktverhaltensregel OLG Hamburg, Urteil vom 27.06.2013, 3 U 26/12, zitiert nach Juris Tz. 58 unter Verweis auf die Erwägungsgründe zu Art. 10 der Datenschutzrichtlinie 95/46/EG; a.A. zu § 13 TMG KG Berlin, Beschluss vom 29.04.2011, 5 W 88/11, zitiert nach Juris Tz. 38 ff.).
Ausgehend von diesem Maßstab Ist die Regelung des § 15 Abs. 3 TMG auch dazu bestimmt, im Interesse der Marktteilnehmer das Marktverhalten zu regeln. § 15 Abs. 3 TMG regelt den Umgang mit Daten für eigene Geschäftszwecke - einschließlich Werbung - und dient damit jedenfalls auch dem Schutz von Rechtsgütern der Kunden im Zusammenhang mit ihrer Marktteilnahme."