Skip to content

BGH: Speicherung von dynamischen IP-Adressen über Nutzungsvorgang hinaus kann zulässig sein um generelle Funktionsfähigkeit zu gewährleisten

BGH
Urteil vom 15.05.2017
VI ZR 135/13

Der BGH hat sich nach Enbtscheidung des EuGH (siehe EuGH: Betreiber einer Webseite darf dynamische IP-Adressen zur Abwehr von Cyberattacken speichern - dynamische IP-Adressen sind personenbezogene Daten
) erneut mit der Frage der Zulässigkeit der Speicherung dynamischer IP-Adressen durch Webseiten über den eigentlichen Nutzungsvorgang hinaus befasst. Der BGH hat die Sache an das LG Berlin zurückverwiesen, da bislang noch keine ausreichenden Feststellungen getroffen wurden, um die Interessen des Nutzers und des Webseitenbetreibers abzuwägen.


Die Pressemitteilung des BGH:

Bundesgerichtshof zur Zulässigkeit der Speicherung von dynamischen IP-Adressen

Der Kläger verlangt von der beklagten Bundesrepublik Deutschland Unterlassung der Speicherung von dynamischen IP-Adressen. Dies sind Ziffernfolgen, die bei jeder Einwahl vernetzten Computern zugewiesen werden, um deren Kommunikation im Internet zu ermöglichen. Bei einer Vielzahl allgemein zugänglicher Internetportale des Bundes werden alle Zugriffe in Protokolldateien festgehalten mit dem Ziel, Angriffe abzuwehren und die strafrechtliche Verfolgung von Angreifern zu ermöglichen. Dabei werden unter anderem der Name der abgerufenen Seite, der Zeitpunkt des Abrufs und die IP-Adresse des zugreifenden Rechners über das Ende des jeweiligen Nutzungsvorgangs hinaus gespeichert. Der Kläger rief in der Vergangenheit verschiedene solcher Internetseiten auf.

Mit seiner Klage begehrt er, die Beklagte zu verurteilen, es zu unterlassen, ihm zugewiesene IP-Adressen über das Ende des jeweiligen Nutzungsvorgangs hinaus zu speichern. Das Amtsgericht hat die Klage abgewiesen. Auf die Berufung des Klägers hat das Landgericht dem Kläger den Unterlassungsanspruch nur insoweit zuerkannt, als er Speicherungen von IP-Adressen in Verbindung mit dem Zeitpunkt des jeweiligen Nutzungsvorgangs betrifft und der Kläger während eines Nutzungsvorgangs seine Personalien angibt. Gegen dieses Urteil haben beide Parteien die vom Berufungsgericht zugelassene Revision eingelegt.

Der Bundesgerichtshof (vgl. Pressemitteilung Nr. 152/2014) hat mit Beschluss vom 28. Oktober 2014 - VI ZR 135/13, VersR 2015, 370 das Verfahren ausgesetzt und dem Europäischen Gerichtshof zwei Fragen zur Auslegung der EG-Datenschutz-Richtlinie zur Vorabentscheidung vorgelegt. Nachdem der Gerichtshof mit Urteil vom 19. Oktober 2016 - C-582/14, NJW 2016, 3579 die Fragen beantwortet hat, hat der VI. Zivilsenat des Bundesgerichtshofs nunmehr mit Urteil vom 16. Mai 2017 über die Revisionen der Parteien entschieden. Diese hatten Erfolg und führten zur Aufhebung des Berufungsurteils und zur Zurückverweisung der Sache an das Berufungsgericht.

Auf der Grundlage des EuGH-Urteils ist das Tatbestandsmerkmal "personenbezogene Daten" des § 12 Abs. 1 und 2 TMG in Verbindung mit § 3 Abs. 1 BDSG richtlinienkonform auszulegen: Eine dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Internetseite, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, stellt für den Anbieter ein (geschütztes) personenbezogenes Datum dar.

Als personenbezogenes Datum darf die IP-Adresse nur unter den Voraussetzungen des § 15 Abs. 1 TMG gespeichert werden. Diese Vorschrift ist richtlinienkonform entsprechend Art. 7 Buchst. f der Richtlinie 95/46 EG – in der Auslegung durch den EuGH – dahin anzuwenden, dass ein Anbieter von Online-Mediendiensten personenbezogene Daten eines Nutzers dieser Dienste ohne dessen Einwilligung auch über das Ende eines Nutzungsvorgangs hinaus dann erheben und verwenden darf, soweit ihre Erhebung und ihre Verwendung erforderlich sind, um die generelle Funktionsfähigkeit der Dienste zu gewährleisten. Dabei bedarf es allerdings einer Abwägung mit dem Interesse und den Grundrechten und -freiheiten der Nutzer.

Diese Abwägung konnte im Streitfall auf der Grundlage der vom Berufungsgericht getroffenen Feststellungen nicht abschließend vorgenommen werden. Das Berufungsgericht hat keine hinreichenden Feststellungen dazu getroffen, ob die Speicherung der IP-Adressen des Klägers über das Ende eines Nutzungsvorgangs hinaus erforderlich ist, um die (generelle) Funktionsfähigkeit der jeweils in Anspruch genommenen Dienste zu gewährleisten. Die Beklagte verzichtet nach ihren eigenen Angaben bei einer Vielzahl der von ihr betriebenen Portale mangels eines "Angriffsdrucks" darauf, die jeweiligen IP-Adressen der Nutzer zu speichern. Demgegenüber fehlen insbesondere Feststellungen dazu, wie hoch das Gefahrenpotential bei den übrigen Online-Mediendiensten des Bundes ist, welche der Kläger in Anspruch nehmen will. Erst wenn entsprechende Feststellungen hierzu getroffen sind, wird das Berufungsgericht die nach dem Urteil des Europäischen Gerichtshofs gebotene Abwägung zwischen dem Interesse der Beklagten an der Aufrechterhaltung der Funktionsfähigkeit ihrer Online-Mediendienste und dem Interesse oder den Grundrechten und -freiheiten des Klägers vorzunehmen haben. Dabei werden auch die Gesichtspunkte der Generalprävention und der Strafverfolgung gebührend zu berücksichtigen sein.

Vorinstanzen:

AG Tiergarten - Urteil vom 13. August 2008 - 2 C 6/08

LG Berlin - Urteil vom 31. Januar 2013 - 57 S 87/08

Karlsruhe, den 16. Mai 2017

§ 12 Telemediengesetz - Grundsätze

(1) Der Diensteanbieter darf personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.

(2) …

§ 15 Telemediengesetz - Nutzungsdaten

(1) Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten)…



EuGH: Betreiber einer Webseite darf dynamische IP-Adressen zur Abwehr von Cyberattacken speichern - dynamische IP-Adressen sind personenbezogene Daten

EuGH
Urteil vom 19.10.2016
C-582/14
Patrick Breyer / Bundesrepublik Deutschland


Der EuGH hat entschieden, dass Webseitenetreiber dynamische IP-Adressen zur Abwehr von Cynerattacken bzw. zur Aufrechterhaltung der Funktionsfähigkeit der Webseite speichern dürfen.

Wenig überraschend teilt der EuGH mit, dass auch dynamische IP-Adressen regelmäßig als personenbezogene Daten zu qualifizieren sind. Der EuGH hat bereits im Jahr 2011 - allerdingsohne nähere Begründung - wie selbstverständlich angenommen, dass IP-Adressen personenbezogene Daten sind ( EuGH, Urteil vom 24.11.2011 - C‑70/10 - EuGH: Internetprovider dürfen nicht dazu verpflichtet werden, den Netzverkehr präventiv zu filtern und zu sperren - Verstoß gegen Europarecht). Dies wird in der öffentlichen Diskussion oft vergessen.

Die restriktive Regelung zur Speicherung in § 15 Abs. 1 TMG verstößt gegen EU-Recht, da ein Webseitenbetreiber auch nach Abschluss des Nutzungsvorgangs ein berechtigtes Interesse an der Speicherung dynamische IP-Adressen haben kann.

Die Pressemitteilung des EuGH:

Der Betreiber einer Website kann ein berechtigtes Interesse daran haben, bestimmte personenbezogene Daten der Nutzer zu speichern, um sich gegen Cyberattacken zu verteidigen

Die dynamische Internetprotokoll-Adresse eines Nutzers stellt für den Betreiber der Website ein personenbezogenes Datum dar, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, den betreffenden Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen

Herr Patrick Breyer klagt vor deutschen Gerichten dagegen, dass die von ihm abgerufenen Websites von Einrichtungen des Bundes seine Internetprotokoll-Adressen („IP-Adressen“) aufzeichnen und speichern. Von diesen Einrichtungen werden außer dem Zeitpunkt des Zugriffs auch die IP-Adressen der Nutzer aufgezeichnet und gespeichert, um sich gegen Cyberattacken zu
wappnen und eine Strafverfolgung zu ermöglichen.

Der deutsche Bundesgerichtshof möchte vom Gerichtshof wissen, ob in diesem Zusammenhang auch „dynamische“ IP-Adressen für den Betreiber der Website personenbezogene Daten darstellen, so dass sie den für solche Daten vorgesehenen Schutz genießen. Eine „dynamische“ IP-Adresse ist eine IP-Adresse, die sich bei jeder neuen Internetverbindung ändert. Anders als statische IP-Adressen erlauben dynamische IP-Adressen es nicht, anhand allgemein zugänglicher Dateien eine Verbindung zwischen einem Computer und dem vom Internetzugangsanbieter verwendeten physischen Netzanschluss herzustellen. Somit verfügt ausschließlich der Internetzugangsanbieter von Herrn Breyer über die zu dessen Identifizierung erforderlichen
Zusatzinformationen.

Der Bundesgerichtshof möchte ferner wissen, ob der Betreiber einer Website zumindest grundsätzlich die Möglichkeit haben muss, personenbezogene Daten der Nutzer zu erheben und zu verwenden, um die generelle Funktionsfähigkeit seiner Website zu gewährleisten. Er weist insoweit darauf hin, dass die einschlägige deutsche Regelung von der deutschen Lehre überwiegend dahin ausgelegt werde, dass die Daten am Ende des jeweiligen Nutzungsvorgangs zu löschen seien, soweit sie nicht für Abrechnungszwecke benötigt würden.

Mit seinem heutigen Urteil antwortet der Gerichtshof zunächst, dass eine dynamische IP-Adresse, die von einem „Anbieter von Online-Mediendiensten“ (d. h. vom Betreiber einer Website, hier den Einrichtungen des Bundes) beim Zugriff auf seine allgemein zugängliche Website gespeichert wird, für den Betreiber ein personenbezogenes Datum darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, den Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen.

Der Gerichtshof führt hierzu aus, dass es in Deutschland offenbar rechtliche Möglichkeiten gibt, die es dem Anbieter von Online-Mediendiensten erlauben, sich insbesondere im Fall von Cyberattacken an die zuständige Behörde zu wenden, um die fraglichen Informationen vom Internetzugangsanbieter zu erlangen und anschließend die Strafverfolgung einzuleiten.

Zweitens antwortet der Gerichtshof, dass das Unionsrecht einer Regelung eines Mitgliedstaats entgegensteht, nach der ein Anbieter von Online-Mediendiensten personenbezogene Daten eines Nutzers dieser Dienste ohne dessen Einwilligung nur erheben und verwenden darf, soweit ihre Erhebung und ihre Verwendung erforderlich sind, um die konkrete Inanspruchnahme der Dienste durch den betreffenden Nutzer zu ermöglichen und abzurechnen, ohne dass der Zweck, die generelle Funktionsfähigkeit der Dienste zu gewährleisten, die Verwendung der Daten über das Ende eines Nutzungsvorgangs hinaus rechtfertigen kann.

Die Verarbeitung personenbezogener Daten ist nach dem Unionsrecht u. a. rechtmäßig, wenn sie zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, erforderlich ist, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Die deutsche Regelung schränkt nach ihrer in der Lehre überwiegend vertretenen Auslegung die Tragweite dieses Grundsatzes ein, indem sie es ausschließt, dass der Zweck, die generelle Funktionsfähigkeit des Online-Mediums zu gewährleisten, Gegenstand einer Abwägung mit dem Interesse oder den Grundrechten und Grundfreiheiten der Nutzer sein kann.

Der Gerichtshof hebt in diesem Zusammenhang hervor, dass die Einrichtungen des Bundes, die Online-Mediendienste anbieten, ein berechtigtes Interesse daran haben könnten, die Aufrechterhaltung der Funktionsfähigkeit der von ihnen allgemein zugänglich gemachten Websites über ihre konkrete Nutzung hinaus zu gewährleisten



OLG Frankfurt: Anlasslose Speicherung von IP-Daten über einen Zeitraum von 7 Tagen zur Ermittlung von Störungen nach § 100 Abs. 1 TKG zulässig

OLG Frankfurt
Urteil vom 28.08.2013
13 U 105/07


Das OLG Frankfurt hat entschieden, dass die anlasslose Speicherung von IP-Daten durch den Provider über einen Zeitraum von 7 Tagen zur Ermittlung von Störungen nach § 100 Abs. 1 TKG zulässig ist.

Siehe zu diesem Verfahren auch: BGH, Urteil vom 13.01.2011 -III ZR 146/10 - Speicherung dynamischer IP-Adressen: Zur Zulässigkeit der Speicherung dynamischer IP-Adressen zu Abrechnungszwecken


Den Volltext der Entscheidung finden Sie hier:


BGH: Zur Zulässigkeit der Speicherung dynamischer IP-Adressen zu Abrechnungszwecken

BGH
Urteil vom 13.01.2011
III ZR 146/10
Speicherung dynamischer IP-Adressen
TKG § 97 Abs. 1 Satz 1, Abs. 2 Nr. 1, § 100 Abs. 1



Leitsätze des BGH:
a) Zu den Voraussetzungen für die Befugnis, dynamische IP-Adressen zum Zweck der Entgeltermittlung und Abrechnung gemäß § 97 Abs. 1 Satz 1, Abs. 2 Nr. 1 TKG zu speichern.

b) Die Befugnis zur Speicherung von IP-Adressen zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern an Telekommunikationsanlagen gemäß § 100 Abs. 1 TKG setzt nicht voraus, dass im Einzelfall bereits Anhaltspunkte für eine Störung oder einen Fehler vorliegen. Es genügt vielmehr, dass die in Rede stehende Datenerhebung und -verwendung geeignet, erforderlich und im engeren Sinn verhältnismäßig ist, um abstrakten Gefahren für die Funktionstüchtigkeit des Telekommunikationsbetriebs entgegenzuwirken.
BGH, Urteil vom 13. Januar 2011 - III ZR 146/10 - OLG Frankfurt am Main
LG Darmsta

Den Volltext der Entscheidung finden Sie<a href="http://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&Datum=Aktuell&Sort=12288&nr=54979&pos=3&anz=642"> hier: