Zulässige Verwendung personenbezogener Nutzerdaten durch Diensteanbieter

Der EuGH hat sich in einer aktuellen Entscheidung (EuGH, Urt. v. 19.10.2016, Az. C-582/14) zur Zulässigkeit der Verwendung personenbezogener Daten durch Webseitenbetreiber geäußert.

Gegenstand des zugrundeliegenden Rechtsstreits zwischen einem Internetuser und der Bundesrepublik Deutschland war die Frage, ob der Bund bei Zugriffen auf seine allgemein zugänglichen Webseiten über das Zugriffsende hinaus die Abrufe in Protokolldateien speichern darf, in denen u.a. der Zeitpunkt des Abrufs und die dynamische IP-Adresse des zugreifenden Hostsystems festgehalten werden. Da es in dem Rechtsstreit um die Auslegung von EU-Recht ging, rief der in der Revisionsinstanz zuständige BGH den Europäischen Gerichtshof an.

Dynamische IP-Adressen werden – im Unterschied zu statischen – dem Computer des Nutzers vom Internetzugangsanbieter nicht dauerhaft zugewiesen, sondern sie ändern sich mit jeder neuen Einwahl ins Internet. Eine dauerhafte Identifizierung des an das Netz angebundenen und für den Zugriff genutzten Computers ist über die dynamische IP-Adresse nicht möglich. Der Internetzugangsanbieter allerdings verfügt über zusätzliche Informationen, anhand derer in Verbindung mit der gespeicherten IP-Adresse eine Identifizierung des Nutzers möglich ist.

Dynamische IP-Adressen als personenbezogene Daten

Der EuGH hatte zunächst die Frage zu beantworten, ob die vom Bund beim Zugriff auf seine Webseiten gespeicherten dynamischen IP-Adressen „personenbezogene Daten“ darstellen, wenn zwar nicht der Webseitenbetreiber selbst, aber der Internetzugangsanbieter als „Dritter“ über zusätzliche Informationen verfügt, die eine Feststellung der Identität der betroffenen Person ermöglichen. Dies haben die Richter in Luxemburg für den Fall bejaht, dass der Betreiber, hier also die Einrichtungen der Bundesrepublik Deutschland, über die notwendigen rechtlichen Möglichkeiten verfügt, um – beispielsweise zum Zwecke der Strafverfolgung – den Internetnutzer über die Zusatzinformationen identifizieren zu lassen.

Interessenabwägung bei Datenverwendung

Zudem hatte der EuGH zu klären, ob Betreiber von Webseiten („Anbieter von Online-Mediendiensten“) personenbezogene Daten von Nutzern ohne deren Einverständnis nur in dem Umfang erheben und verwenden dürfen, der zur Ermöglichung und Abrechnung der jeweiligen konkreten Inanspruchnahme eines elektronischen Mediums notwendig ist. Eine solche einschränkende Regelung, wie sie das deutsche Recht in § 15 Telemediengesetz enthält, hat der EuGH jedoch für unionsrechtswidrig erachtet. Vielmehr könnten nach EU-Recht personenbezogene Daten von Nutzern auch insoweit verarbeitet werden, als es zur Verwirklichung berechtigter Interessen des jeweiligen Diensteanbieters notwendig sei.

Dabei sei eine Abwägung mit dem Interesse bzw. den Grundrechten und -freiheiten der betroffenen Personen vorzunehmen. Zu den berechtigten Interessen des Diensteanbieters und Verwenders der Daten könne auch „der Zweck, die generelle Funktionsfähigkeit des Online-Mediums zu gewährleisten“, zählen, in diesem Fall also das Interesse des Bundes, die Funktionsfähigkeit der von seinen Einrichtungen betriebenen allgemein zugänglichen Webseiten über den jeweiligen konkreten Zugriff hinaus sicherzustellen. Eine Datennutzung zu diesem Zweck könne durch nationales Recht nicht kategorisch ausgeschlossen werden.