IP-Adressen sollten in Deutschland auch längerfristig gespeichert werden dürfen, meint EuGH-Generalanwalt Manuel Campos Sánchez-Bordona in einem Verfahren um komplexe Datenschutzfragen.
Die längerfristige Speicherung von IP-Adressen durch Webseiten-Anbieter in Deutschland sollte nach Ansicht eines wichtigen EU-Gutachters unter Umständen möglich sein. Voraussetzung dafür könne etwa das Interesse des Anbieters sein, dadurch Cyber-Attacken abwehren und die Funktionsfähigkeit einer Seite sicherstellen zu können, argumentierte Generalanwalt Manuel Campos Sánchez-Bordona in einer Stellungnahme für den Europäischen Gerichtshof (EuGH) (Rechtssache C-582/14). Allerdings müsse dies im Einzelfall gegen Datenschutzinteressen von Internetnutzern abgewogen werden.
Wie weit reicht der Datenschutz?
Das Datenschutzrecht erfasst Informationen, die einer "bestimmten" oder auch nur einer "bestimmbaren" Person zugeordnet werden können. Wie die Bestimmbarkeit bestellt ist, ist eine bis heute ungeklärte Frage des Datenschutzrechts. Der Streit rankt sich seit Jahren insbesondere um IP-Adressen. Dynamische IPv4-Adressen taugen als gutes Beispiel für die entscheidende Frage zur Reichweite des Datenschutzes: Während der Access-Provider vorübergehend weiß, welchem Anschluss er dynamisch welche IP-Adresse zugewiesen hat, sehen die besuchten Webseitenbetreiber nur Adressen, hinter denen sich zu unterschiedlichen Zeitpunkten verschiedene Surfer oder Anschlussinhaber verbergen.
Diese unterschiedlichen Wissenspositionen bescherten dem Datenschutz seit Jahrzehnten Diskussionen: Sind für den Webseitenbetreiber IP-Adressen ein datenschutzrechtliches Problem, weil zumindest der Access-Provider die Information auf den Anschlussinhaber beziehen kann? Oder kommt es allein auf das konkrete Wissen des Webseitenbetreibers an? Dann wären IP-Adressen ohne Zusatzinformationen datenschutzrechtlich für den Webseitenbetreiber nicht relevant.
Relative und absolute Beziehbarkeit
Wenn ein Dritter Daten auf eine Person beziehen kann, wäre beinahe jede Information ein personenbeziehbares Datum und damit ein Fall für den Datenschutz. Juristen sprechen dabei von einer "absoluten Beziehbarkeit". Soll hingegen die "Personenbeziehbarkeit" nur relativ verstanden werden, könnte das Bundesdatenschutzgesetz nicht uferlos angewendet werden, das wäre dann eine Frage des Einzelfalls: Ob Informationen in den Händen eines Unternehmens auf eine Person beziehbar sind, hinge beim relativen Personenbezug allein vom Wissen und den Fähigkeiten des jeweiligen Unternehmens ab, das die Daten nutzt. Was für die eine Stelle ein personenbezogenes Datum wäre, bliebe für eine andere Stelle eine bloße anonyme Information.
Auch die kommende Europäische Datenschutzgrundverordnung wird die Frage wohl nicht klären. Denn die Formulierungen in der neuen EU-Datenschutzgrundverordnung ähneln in diesem Punkt zu sehr der Datenschutzrichtlinie. Klarheit wird deshalb am ehesten eine höchstinstanzliche Gerichtsentscheidung liefern.
Sánchez-Bordonas Mittelweg
Seit einem ersten Urteil im Jahr 2007 dazu treibt der Datenschutzrechtler und Landtagsabgeordneter der Piratenpartei Patrick Breyer die Frage durch alle Instanzen. 2014 legte der Bundesgerichtshof dem Europäischen Gerichtshof die Fragen zu Klärung vor. Generalanwalt Sánchez-Bordona hält es für erforderlich, Daten auch bereits dann zu schützen, wenn nur ein Dritter in der Lage wäre, den Bezug der Daten zu einer Person herzustellen. Damit erteilt der dem relativen Ansatz eine Absage, sieht aber auch die Problematik einer uferlosen Reichweite des Datenschutzes.
Damit schlägt Sánchez-Bordona letztlich einen Mittelweg ein: Es sei nicht jedes Wissen eines hypothetischen, unbekannten und unerreichbaren Dritten relevant. Aber zu beachten sei eben doch zumindest das Wissen auch solcher Akteure, die "vernünftigerweise durchführbar oder praktikabel" die Zusatzinformationen zum Personenzug liefern könnten.
Viele europarechtswidrige Vorschriften
Der EuGH hat aber noch eine zweite Frage zu klären: Dürfen auch dann Daten gespeichert werden, wenn sie dem Datenschutz unterfallen? Deutschland hat dazu eine besonders strenge Vorschrift: Paragraph 15 Absatz 1 des Telemediengesetzes erlaubt, Daten nur zu speichern, wenn sie für die Nutzung oder Abrechnung eines Online-Angebotes erforderlich sind. Andere Interessen des Betreibers spielen keine Rolle. Diese Einschränkung aber hält Sánchez-Bordona für europarechtswidrig. Deutschland dürfe nicht einschränken, was die europäische Datenschutzrichtlinie weiter erlaube.
Der Generalanwalt vertritt damit eine Auffassung, nach der zahlreiche nationale Datenschutzvorschriften europarechtswidrig wären und deshalb um eine vage Interessensabwägung ergänzt werden müssten. Das Datenschutzrecht greife weit, insbesondere IP-Adressen unterfielen dem Datenschutzrecht. Dennoch müsse Anbietern erlaubt werden, aus bestimmten eigenen Interessen heraus IP-Adressen zu speichern.
Schlussanträge des Generalanwalts sind oft ein Indiz für das spätere Urteil. Nicht immer, aber doch recht häufig folgt der EuGH dem Generalanwalt. Wäre dies auch hier der Fall, wäre die Reichweite des Datenschutzrechts nicht uferlos, hätte aber reichlich unklare Grenzen. Weder Unternehmen noch Betroffenen wäre damit geholfen: Die alte Unsicherheit hinsichtlich des richtiges Maßstabs wäre ersetzt durch die neue Unsicherheit hinsichtlich der reichlich abstrakten Fragen, was denn nun im Einzelfall vernünftigerweise durchführbar oder praktikabel wäre. Zusätzlich stünde hinter zahlreichen Vorschriften aus dem Telemedien- und Telekommunikationsrecht ein großes Fragezeichen, ob sie überhaupt wirksam wären.
Quelle: heise
Die längerfristige Speicherung von IP-Adressen durch Webseiten-Anbieter in Deutschland sollte nach Ansicht eines wichtigen EU-Gutachters unter Umständen möglich sein. Voraussetzung dafür könne etwa das Interesse des Anbieters sein, dadurch Cyber-Attacken abwehren und die Funktionsfähigkeit einer Seite sicherstellen zu können, argumentierte Generalanwalt Manuel Campos Sánchez-Bordona in einer Stellungnahme für den Europäischen Gerichtshof (EuGH) (Rechtssache C-582/14). Allerdings müsse dies im Einzelfall gegen Datenschutzinteressen von Internetnutzern abgewogen werden.
Wie weit reicht der Datenschutz?
Das Datenschutzrecht erfasst Informationen, die einer "bestimmten" oder auch nur einer "bestimmbaren" Person zugeordnet werden können. Wie die Bestimmbarkeit bestellt ist, ist eine bis heute ungeklärte Frage des Datenschutzrechts. Der Streit rankt sich seit Jahren insbesondere um IP-Adressen. Dynamische IPv4-Adressen taugen als gutes Beispiel für die entscheidende Frage zur Reichweite des Datenschutzes: Während der Access-Provider vorübergehend weiß, welchem Anschluss er dynamisch welche IP-Adresse zugewiesen hat, sehen die besuchten Webseitenbetreiber nur Adressen, hinter denen sich zu unterschiedlichen Zeitpunkten verschiedene Surfer oder Anschlussinhaber verbergen.
Diese unterschiedlichen Wissenspositionen bescherten dem Datenschutz seit Jahrzehnten Diskussionen: Sind für den Webseitenbetreiber IP-Adressen ein datenschutzrechtliches Problem, weil zumindest der Access-Provider die Information auf den Anschlussinhaber beziehen kann? Oder kommt es allein auf das konkrete Wissen des Webseitenbetreibers an? Dann wären IP-Adressen ohne Zusatzinformationen datenschutzrechtlich für den Webseitenbetreiber nicht relevant.
Relative und absolute Beziehbarkeit
Wenn ein Dritter Daten auf eine Person beziehen kann, wäre beinahe jede Information ein personenbeziehbares Datum und damit ein Fall für den Datenschutz. Juristen sprechen dabei von einer "absoluten Beziehbarkeit". Soll hingegen die "Personenbeziehbarkeit" nur relativ verstanden werden, könnte das Bundesdatenschutzgesetz nicht uferlos angewendet werden, das wäre dann eine Frage des Einzelfalls: Ob Informationen in den Händen eines Unternehmens auf eine Person beziehbar sind, hinge beim relativen Personenbezug allein vom Wissen und den Fähigkeiten des jeweiligen Unternehmens ab, das die Daten nutzt. Was für die eine Stelle ein personenbezogenes Datum wäre, bliebe für eine andere Stelle eine bloße anonyme Information.
Auch die kommende Europäische Datenschutzgrundverordnung wird die Frage wohl nicht klären. Denn die Formulierungen in der neuen EU-Datenschutzgrundverordnung ähneln in diesem Punkt zu sehr der Datenschutzrichtlinie. Klarheit wird deshalb am ehesten eine höchstinstanzliche Gerichtsentscheidung liefern.
Sánchez-Bordonas Mittelweg
Seit einem ersten Urteil im Jahr 2007 dazu treibt der Datenschutzrechtler und Landtagsabgeordneter der Piratenpartei Patrick Breyer die Frage durch alle Instanzen. 2014 legte der Bundesgerichtshof dem Europäischen Gerichtshof die Fragen zu Klärung vor. Generalanwalt Sánchez-Bordona hält es für erforderlich, Daten auch bereits dann zu schützen, wenn nur ein Dritter in der Lage wäre, den Bezug der Daten zu einer Person herzustellen. Damit erteilt der dem relativen Ansatz eine Absage, sieht aber auch die Problematik einer uferlosen Reichweite des Datenschutzes.
Damit schlägt Sánchez-Bordona letztlich einen Mittelweg ein: Es sei nicht jedes Wissen eines hypothetischen, unbekannten und unerreichbaren Dritten relevant. Aber zu beachten sei eben doch zumindest das Wissen auch solcher Akteure, die "vernünftigerweise durchführbar oder praktikabel" die Zusatzinformationen zum Personenzug liefern könnten.
Viele europarechtswidrige Vorschriften
Der EuGH hat aber noch eine zweite Frage zu klären: Dürfen auch dann Daten gespeichert werden, wenn sie dem Datenschutz unterfallen? Deutschland hat dazu eine besonders strenge Vorschrift: Paragraph 15 Absatz 1 des Telemediengesetzes erlaubt, Daten nur zu speichern, wenn sie für die Nutzung oder Abrechnung eines Online-Angebotes erforderlich sind. Andere Interessen des Betreibers spielen keine Rolle. Diese Einschränkung aber hält Sánchez-Bordona für europarechtswidrig. Deutschland dürfe nicht einschränken, was die europäische Datenschutzrichtlinie weiter erlaube.
Der Generalanwalt vertritt damit eine Auffassung, nach der zahlreiche nationale Datenschutzvorschriften europarechtswidrig wären und deshalb um eine vage Interessensabwägung ergänzt werden müssten. Das Datenschutzrecht greife weit, insbesondere IP-Adressen unterfielen dem Datenschutzrecht. Dennoch müsse Anbietern erlaubt werden, aus bestimmten eigenen Interessen heraus IP-Adressen zu speichern.
Schlussanträge des Generalanwalts sind oft ein Indiz für das spätere Urteil. Nicht immer, aber doch recht häufig folgt der EuGH dem Generalanwalt. Wäre dies auch hier der Fall, wäre die Reichweite des Datenschutzrechts nicht uferlos, hätte aber reichlich unklare Grenzen. Weder Unternehmen noch Betroffenen wäre damit geholfen: Die alte Unsicherheit hinsichtlich des richtiges Maßstabs wäre ersetzt durch die neue Unsicherheit hinsichtlich der reichlich abstrakten Fragen, was denn nun im Einzelfall vernünftigerweise durchführbar oder praktikabel wäre. Zusätzlich stünde hinter zahlreichen Vorschriften aus dem Telemedien- und Telekommunikationsrecht ein großes Fragezeichen, ob sie überhaupt wirksam wären.
Quelle: heise