Skip to content

EuGH: Zugriff von Behörden auf mit IP-Adressen verknüpfte Identitätsdaten zur Verfolgung von Urheberrechtsverletzungen im Internet als ultima ratio zulässig

EuGH
Urteil vom 30.04.2024
C-470/21
La Quadrature du Net u. a.
(Personenbezogene Daten und Bekämpfung von Verletzungen der Rechte des geistigen Eigentums)


Der EuGH hat entschieden, dass der Zugriff von Behörden auf mit IP-Adressen verknüpfte Identitätsdaten zur Verfolgung von Urheberrechtsverletzungen im Internet als ultima ratio zulässig ist.

Tenor der Entscheidung:
Art. 15 Abs. 1 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 geänderten Fassung ist im Licht der Art. 7, 8 und 11 sowie von Art. 52 Abs. 1 der Charta der Grundrechte der Europäischen Union

dahin auszulegen, dass

er einer nationalen Regelung nicht entgegensteht, die der mit dem Schutz von Urheberrechten und verwandten Schutzrechten vor Verletzungen dieser Rechte im Internet betrauten Behörde den Zugang zu den von den Betreibern öffentlich zugänglicher elektronischer Kommunikationsdienste auf Vorrat gespeicherten Identitätsdaten, die IP-Adressen zuzuordnen sind, die zuvor von Einrichtungen der Rechteinhaber gesammelt wurden, gestattet, damit die Behörde die Inhaber dieser für Aktivitäten, die solche Rechtsverletzungen darstellen können, genutzten Adressen identifizieren und gegebenenfalls Maßnahmen gegen sie ergreifen kann, unter der Voraussetzung, dass nach dieser Regelung

– diese Daten zu Bedingungen und unter technischen Modalitäten gespeichert werden, die gewährleisten, dass es ausgeschlossen ist, dass aus der Vorratsspeicherung genaue Schlüsse auf das Privatleben der Inhaber der IP-Adressen, z. B. durch Erstellung ihres detaillierten Profils, gezogen werden können, was insbesondere dadurch erreicht werden kann, dass den Betreibern elektronischer Kommunikationsdienste eine Pflicht zur Vorratsspeicherung der verschiedenen Kategorien personenbezogener Daten wie Identitätsdaten, IP-Adressen sowie Verkehrs- und Standortdaten auferlegt wird, die eine wirksame strikte Trennung dieser verschiedenen Datenkategorien gewährleistet, mit der im Stadium der Speicherung jede kombinierte Nutzung dieser verschiedenen Datenkategorien verhindert wird, und die Dauer der Speicherung das absolut notwendige Maß nicht überschreitet;

– der Zugang dieser Behörde zu solchen wirksam strikt getrennt auf Vorrat gespeicherten Daten ausschließlich dazu dient, die Person zu identifizieren, die im Verdacht steht, eine Straftat begangen zu haben, und dieser Zugang mit den erforderlichen Garantien versehen ist, um auszuschließen, dass er, abgesehen von atypischen Situationen, genaue Schlüsse auf das Privatleben der Inhaber der IP-Adressen ermöglichen kann, z. B. durch die Erstellung ihres detaillierten Profils, was insbesondere impliziert, dass es den Bediensteten dieser Behörde, denen ein solcher Zugang gestattet worden ist, untersagt ist, Informationen über den Inhalt der von den Inhabern der IP-Adressen konsultierten Dateien, außer zum alleinigen Zweck der Befassung der Staatsanwaltschaft, in welcher Form auch immer offenzulegen, die von diesen Personen besuchten Internetseiten nachzuverfolgen und allgemeiner die IP-Adressen zu anderen Zwecken als dem der Identifizierung ihrer Inhaber im Hinblick auf den Erlass etwaiger gegen sie gerichteter Maßnahmen zu nutzen;

– die Möglichkeit für die bei der betreffenden Behörde mit der Prüfung des Sachverhalts betrauten Personen, solche Daten mit Dateien zu verknüpfen, die Elemente enthalten, denen sich der Titel geschützter Werke entnehmen lässt, deren Bereitstellung im Internet die Sammlung der IP-Adressen durch Einrichtungen der Rechteinhaber gerechtfertigt hat, in Fällen der erneuten Entfaltung einer Aktivität, mit der dieselbe Person Urheberrechte oder verwandte Schutzrechte verletzt, von einer Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle abhängig gemacht wird, wobei die Kontrolle nicht vollständig automatisiert sein darf und vor einer solchen Verknüpfung erfolgen muss, da diese es in derartigen Fällen ermöglichen kann, genaue Schlüsse auf das Privatleben der Person zu ziehen, deren IP-Adresse für Aktivitäten genutzt wurde, die möglicherweise Urheberrechte oder verwandte Schutzrechte verletzen;

– das von der Behörde verwendete Datenverarbeitungssystem in regelmäßigen Abständen einer zur Überprüfung der Integrität des Systems, einschließlich wirksamer Garantien zum Schutz vor den Gefahren eines missbräuchlichen oder unberechtigten Zugangs zu den Daten und ihrer missbräuchlichen oder unberechtigten Nutzung, sowie seiner Wirksamkeit und Zuverlässigkeit bei der Aufdeckung etwaiger Verstöße dienenden Kontrolle durch eine unabhängige Stelle unterliegt, bei der es sich im Verhältnis zu dieser Behörde um einen Dritten handelt.

Den Volltext der Entscheidung finden Sie hier:

EuGH-Generalanwalt: Zugriff von Behörden auf mit IP-Adressen verknüpfte Identitätsdaten zur Verfolgung von Urheberrechtsverletzungen im Internet als ultima ratio zulässig

EuGH-Generalanwalt
Schlussanträge vom 29.09.2023
C-470/21
La Quadrature du Net u. a.
(Personenbezogene Daten und Bekämpfung von Verletzungen der Rechte des geistigen Eigentums)


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass der Zugriff von Behörden auf mit IP-Adressen verknüpfte Identitätsdaten zur Verfolgung von Urheberrechtsverletzungen im Internet als ultima ratio zulässig ist.

Die Pressemitteilung des EuGH:
Generalanwalt Szpunar: die Vorratsspeicherung und der Zugriff auf Identitätsdaten, die mit der verwendeten IP-Adresse verknüpft sind, sollten erlaubt sein, wenn diese Daten den einzigen Anhaltspunkt darstellen, um die Identität von Personen zu ermitteln, die ausschließlich im Internet Urheberrechtsverletzungen begangen haben

Seiner Ansicht nach ist die von der Verwaltungsbehörde für den Schutz der Urheberrechte in Frankreich angewandte Regelung der abgestuften Reaktion mit den Anforderungen des Unionsrechts im Bereich des Schutzes der personenbezogenen Daten vereinbar.

Die heutigen Schlussanträge werden im Rahmen der Wiedereröffnung des Verfahrens in dieser Rechtssache vorgelegt. Auf Betreiben der Großen Kammer hat der Gerichtshof nämlich beschlossen, die Rechtssache an das Plenum zu verweisen und Fragen zu stellen, die in der Sitzung vom 15 und 16. Mai 2023 beantwortet werden sollten.

Der Erste Generalanwalt Maciej Szpunar hat seine Schlussanträge zum ersten Mal am 27. Oktober 2022 vorgelegt (vgl. PM Nr. 172/22).

Die Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet (Hohe Behörde für die Verbreitung von Werken und den Schutz von Rechten im Internet, Hadopi) hat in Frankreich die Aufgabe, die Wahrung der Eigentumsrechte sicherzustellen. Wird eine Urheberrechtsverletzung eines Internetnutzers entdeckt, richtet die Hadopi eine Empfehlung an Letzteren und trägt ihm auf, keine weitere Verletzung mehr zu begehen, worauf eine neuerliche Warnung im Fall der wiederholten Verletzung erfolgt. Werden die ersten beiden Warnungen missachtet und wird eine dritte Verletzung begangen, kann sich die Hadopi an die zuständige Justizbehörde wenden, um eine Strafverfolgung einzuleiten.

Dieses System der abgestuften Reaktion setzt voraus, dass die Hadopi den Täter ermitteln kann, um ihm diese Empfehlungen zukommen zu lassen. Hierfür wurde im Jahr 2010 ein Dekret erlassen, das der Hadopi erlaubt, sich an die Betreiber elektronischer Kommunikation zu richten, damit Letztere ihr die Identitätsdaten des Nutzers übermitteln, dem die für die Begehung der Straftat verwendete IP-Adresse zugeordnet ist.

Vier Vereinigungen zum Schutz der Rechte und Freiheiten im Internet fechten den Erlass dieses Dekrets gerichtlich an. Der Conseil d’État befragt den Gerichtshof, ob das Sammeln der Identitätsdaten, die IP-Adressen zugeordnet sind, sowie die automatisierte Verarbeitung dieser Daten zur Verhinderung von Verletzungen der Rechte des geistigen Eigentums ohne vorherige Kontrolle durch ein Gericht oder eine Verwaltungsstelle mit dem Unionsrecht vereinbar sind.

In seinen heute vorgelegten Schlussanträgen vertritt der Erste Generalanwalt Maciej Szpunar die Auffassung, dass das Unionsrecht dem nicht entgegensteht, dass die Betreiber elektronischer Kommunikation die IP-Adressen und die entsprechenden Identitätsdaten auf Vorrat zu speichern haben und dass eine Verwaltungsbehörde für den Schutz der Urheberrechte gegen Urheberrechtsverletzungen im Internet darauf Zugriff hat.

Nach Ansicht des Generalanwalts ermöglichen die IP-Adresse, die bürgerliche Identität des Inhabers eines Internetzugangs und die Informationen über das fragliche Werk keine genauen Schlüsse auf das Privatleben der Person, die der Begehung einer Urheberrechtsverletzung verdächtigt wird. Es handelt sich hierbei lediglich um die Offenlegung eines zu einem bestimmten Zeitpunkt abgerufenen Inhalts, der für sich genommen nicht geeignet ist, ein detailliertes Profil der Person zu erstellen, die diesen Inhalt abgerufen hat.

Diese Maßnahme soll dieser Behörde ermöglichen, die Inhaber dieser Adressen, die im Verdacht stehen, für diese Rechtsverletzungen verantwortlich zu sein, zu ermitteln und gegebenenfalls Maßnahmen gegen sie zu ergreifen.

Außerdem ist es nicht erforderlich, dass dieser Zugang einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle unterliegt. Diese Daten stellen nämlich den einzigen Anhaltspunkt dar, der es ermöglicht, die Identität der Person zu ermitteln, der diese Adresse zugeordnet war, als die Tat begangen wurde.

Er betont, dass es sich nicht um eine Abkehr von der bisherigen Rechtsprechung handelt, sondern um deren pragmatische Weiterentwicklung, wodurch unter besonderen und sehr eng abgegrenzten Umständen eine differenziertere Lösung gefunden werden kann. Seiner Auffassung nach liegt dieser Würdigung ein Ausgleich der verschiedenen einander gegenüberstehenden Interessen entsprechend dem Grundsatz der Verhältnismäßigkeit zugrunde, der eine Verfeinerung der Rechtsprechung des Gerichtshofs zur Vorratsspeicherung von und zum Zugriff auf Daten wie IP-Adressen, die mit Identitätsdaten verknüpft sind, rechtfertigt, um so eine systematische Straflosigkeit der ausschließlich online begangenen Gesetzesverletzungen zu verhindern.


Die vollständigen Schlussanträge finden Sie hier:

EuGH-Generalanwalt: Zugriff von Behörden auf mit IP-Adressen verknüpfte Identitätsdaten zur Verfolgung von Urheberrechtsverletzungen unionsrechtskonform wenn sie der einzige Anhaltspunkt sind

EuGH-Generalanwalt
Schlussanträge vom 27.10.2022
C-470/21
La Quadrature du Net u.a. (Personenbezogene Daten und Bekämpfung von Verletzungen der Rechte des geistigen Eigentums)


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass der Zugriff von Behörden auf mit IP-Adressen verknüpfte Identitätsdaten zur Verfolgung von Urheberrechtsverletzungen unionsrechtskonform ist, wenn diese der einzige Anhaltspunkt sind.

Die Pressemitteilung des EuGH:

Erster Generalanwalt Szpunar: Eine nationale Behörde müsste auf Identitätsdaten zugreifen dürfen, die mit IP-Adressen verknüpft sind, wenn diese Daten den einzigen Anhaltspunkt darstellen, um die Identität der Inhaber dieser Adressen, die der Urheberrechtsverletzungen verdächtigt werden, zu ermitteln

Seiner Ansicht nach erfüllt ein solcher Vorschlag voll und ganz die Anforderung der Verhältnismäßigkeit und stellt die Wahrung der von der Charta verbürgten Grundrechte sicher

Die Frage der Vorratsspeicherung bestimmter Daten von Internetnutzern ist eine Frage von ständiger Aktualität und Gegenstand einer noch jungen, aber bereits umfangreichen Rechtsprechung des Gerichtshofs.

Vier Vereinigungen zum Schutz der Rechte und Freiheiten im Internet (La Quadrature du Net, die Fédération des fournisseurs d'accès à Internet associatifs, Franciliens.net und das French Data Network) haben beim Conseil d'État (Staatsrat, Frankreich) einen Antrag auf Nichtigerklärung der stillschweigenden Entscheidung gestellt, mit der der Premierminister ihren Antrag auf Aufhebung eines Dekrets abgelehnt hat. Zum Schutz bestimmter geistiger Werke im Internet wurde eine automatisierte Verarbeitung personenbezogener Daten eingeführt.

Der Zweck dieser Verarbeitung liegt darin, an Einzelne die im Code de la propriété intellectuelle (Gesetzbuch über geistiges Eigentum) vorgesehene Warnung zu richten, deren Ziel es ist, die Straftat einer „négligence caractérisée“ (qualifizierte Fahrlässigkeit) zu bekämpfen, die eine Person begeht, wenn sie nicht verhindert, dass ihr Internetzugang der Begehung von Verletzungen der Rechte des geistigen Eigentums dient. Die Empfehlungen an die betreffenden Inhaber von Abonnements werden nach dem sogenannten Verfahren der „réponse graduée“ (abgestufte Reaktion) ausgesprochen. Die Vereinigungen machen geltend, dieses Dekret erlaube in unverhältnismäßiger Weise ohne vorherige Kontrolle durch einen Richter oder eine Behörde, die Garantien für Unabhängigkeit und Unparteilichkeit biete, wie es die Rechtsprechung des Gerichtshofs verlange
, den Zugang zu Verbindungsdaten im Hinblick auf Urheberrechtsverletzungen, die im Internet begangen würden und nicht
schwerwiegend seien.

Der Conseil d’État stellt fest, dass die Bediensteten der Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet (Hohe Behörde für die Verbreitung von Werken und den Schutz von Rechten im Internet, Hadopi) für diese Empfehlungen jedes Jahr eine beträchtliche Anzahl von Daten über die Identität der betroffenen Nutzer erheben. Diese Erhebung einer vorherigen Kontrolle zu unterwerfen, würde angesichts der Fülle dieser Empfehlungen die Gefahr bergen, dass die Umsetzung der Empfehlungen unmöglich würde. Er befragt daher den Gerichtshof nach der Tragweite einer solchen vorherigen Kontrolle und insbesondere zu der Frage, ob dieser Kontrolle die Identitätsdaten unterliegen, die einer IP-Adresse zugeordnet sind.

In seinen Schlussanträgen vom heutigen Tag vertritt der Erste Generalanwalt Maciej Szpunar die Ansicht, dass das Unionsrecht dahin ausgelegt werden sollte, dass es Maßnahmen nicht entgegensteht, die eine allgemeine und unterschiedslose Speicherung von IP-Adressen, die der Quelle einer Verbindung zugeordnet sind, für einen Zeitraum, der zeitlich auf das absolut Notwendige beschränkt ist, zum Zweck der Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten im Internet vorsehen, bei denen die IP-Adresse der einzige Anhaltspunkt ist, um die Identität der Person zu ermitteln, der diese Adresse zugewiesen war, als die Tat begangen wurde. Damit schlägt er dem Gerichtshof eine gewisse Anpassung der Rechtsprechung über im Licht des
Unionsrechts ausgelegte nationale Maßnahmen zur Vorratsspeicherung von IP-Adressen vor, ohne jedoch das Erfordernis der Verhältnismäßigkeit in Frage zu stellen, dem die Vorratsspeicherung von Daten angesichts der Schwere des mit ihr verbundenen Eingriffs in die in der Charta der Grundrechte der Europäischen Union verankerten Grundrechte unterliegt.

Der Erste Generalanwalt fügt hinzu, dass der Zugang der Hadopi zu den mit einer IP-Adresse verknüpften Identitätsdaten auch offenbar durch das dem Gemeinwohl dienende Ziel gerechtfertigt ist, zu dem die Vorratsspeicherung den Anbietern elektronischer Kommunikationsdienste auferlegt worden ist, sodass zur Verfolgung des gleichen Zwecks der Zugang zu diesen Daten ermöglicht werden sollte, weil andernfalls eine allgemeine Straflosigkeit für ausschließlich im Internet begangene Straftaten hingenommen werden müsste.

Seiner Ansicht nach verlangt das Unionsrecht nicht, den Zugang der Hadopi zu den mit den IP-Adressen der Nutzer verknüpften Identitätsdaten der vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle zu unterwerfen, und zwar aus zweierlei Gründen: Zum einen bleibt der Zugang der Hadopi darauf beschränkt, die Identitätsdaten mit der verwendeten IP-Adresse und der zu einem bestimmten Zeitpunkt aufgerufenen Datei in Verbindung zu bringen, ohne dass dies dazu führt, dass die zuständigen Behörden die vom betroffenen Nutzer besuchten Internetseiten nachverfolgen können, so dass sie daher auch keine genauen Schlüsse auf sein Privatleben ziehen können, die über die Kenntnis der bestimmten Datei, die zum Zeitpunkt des Verstoßes aufgerufen wurde, hinausgehen. Zum anderen ist der Zugriff der Hadopi zu den mit den IP-Adressen verknüpften
Identitätsdaten streng auf das beschränkt, was zur Erreichung des verfolgten Ziels notwendig ist, nämlich die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten im Internet zu ermöglichen, bei denen die IP-Adresse der einzige Anhaltspunkt ist, um die Identität der Person zu ermitteln, der diese Adresse zugewiesen war, als die Tat begangen wurde, ein Ziel, in das sich der Mechanismus der abgestuften Reaktion einfügt. Der Erste Generalanwalt weist schließlich darauf hin, dass das Verfahren der abgestuften Reaktion weiterhin den Bestimmungen der Richtlinie 2016/680 unterliegt und somit die von der Hadopi erfassten natürlichen Personen eine Reihe von materiellen und prozeduralen Garantien genießen.


Die vollständigen Schlussanträge finden Sie hier: