Schlagwort: EuGH

EuGH-Urteil zum Zugriff auf Handydaten

9. Oktober 2018

Der EuGH hat nun entschieden, wann Behörden personenbezogene Daten der Betreiber elektronischer Kommunikationsdienste anfordern dürfen.

In dem bezeichneten Sachverhalt geht es um den Raub einer Brieftasche und eines Mobiltelefons. Die spanische Polizei wollte Zugriff auf Identifikationsdaten der Nutzer der Telefonnummer haben, die mit dem entwendeten Mobiltelefon aktiviert wurden. Identifikationsdaten wie u.a. Name und Adresse des Karteninhabers, sind personenbezogene Daten.

Nach spanischem Recht stellt ein Raub keine „schwere Straftat“ (mehr als 5 Jahre Strafandrohung) dar. In diesem Fall stellt sich nun die Frage, ob eine Verarbeitung dieser Identifikationsdaten zulässig ist, wenn es um Aufklärung einer Straftat geht, die gerade nicht als „schwer“ einzustufen ist. Anders gefragt: Wie weit dürfen die Behörden gehen, um Straftaten aufzuklären?

Zunächst stellt das Gericht u.a. fest, dass der Zugang von Behörden zu den von Betreibern elektronischer Kommunikationsdienste gespeicherten Daten einen Eingriff in die EU-Grundrechtecharta (insb. Art. 7 und 8 EU-GrCh) darstellt.

Sodann stellt der EuGH auf die Schwere des Eingriffs ab. Ein schwerer Eingriff könne nur bei einer schweren Straftat gerechtfertigt sein. Andererseits sei es aber auch grundsätzlich möglich, personenbezogene Daten für die Ermittlungsarbeit zu verarbeiten, wenn es sich nicht um eine schwere Straftat handelt. Um den Grundsatz der Verhältnismäßigkeit zu wahren, dürfte es sich dann aber entsprechend nicht um einen schweren Eingriff handeln.

Letztlich bleibt es aber eine Einzelfallprüfung inwieweit die Datenverarbeitung in die Privatsphäre des Betroffenen eingreift und um welche Straftat es sich handelt. In diesem Fall kommt der Gerichtshof zu dem Ergebnis, dass „der Zugang nur zu den Daten, auf die sich der im Ausgangsverfahren in Rede stehende Antrag bezieht, nicht als „schwerer“ Eingriff in die Grundrechte der Personen eingestuft werden kann, deren Daten betroffen sind, da sich aus diesen Daten keine genauen Schlüsse auf ihr Privatleben ziehen lassen.“

Zusammenfassend:

Erfolgt ein schwerer Eingriff in die Privatsphäre, ist ein Zugang zu den Daten nur für die Aufklärung „schwerer Straftaten“ möglich. Erfolgt kein schwerer Eingriff in die Privatsphäre, ist der Zugang auch für die Aufklärung „nicht schwerer“ Straftaten möglich.

Zeugen Jehovas müssen Datenschutzbestimmungen beachten (EuGH)

13. Juli 2018

Der Europäische Gerichtshof (EuGH) hat auf ein Vorabentscheidungsersuchen aus Finnland am 10.07.2018 (Az.: C-25/17) entschieden, dasss die Zeugen Jehovas bei ihren Hausbesuchen die EU-Vorschriften hinsichtlich des Datenschutzes beachten müssen.

Wie wir bereits berichteten, hat das finnische Oberste Verwaltungsgericht den EuGH im Wege des Vorabentscheidungsverfahren um Klärung ersucht. Der finnische Datenschutzbeauftragte ist der Ansicht, dass es sich bei den Notizen der Zeugen Jehovas um eine Datenerhebung handelt, für die sowohl die einzelnen Mitglieder als auch die Gemeinschaft der Zeugen Jehovas als solche verantwortlich sind und die dem europäischen Datenschutzrecht unterfällt.

Dieser Ansicht wurde bereits von dem Generalanwalt, in seinem vorbereitenden, Schlussantrag, gefolgt. Diesem sind die Richter nun gefolgt: Die notierten Daten, wie etwa Name, Adresse und religiöse Orientierung unterfallen den EU-Vorschriften  und sowohl die Mitglieder als auch die Gemeinschaft als solche sind verantwortlich für die Datenverarbeitung.

Der EuGH begründet die Entscheidung folgendermaßen: zunächst ist keine der normierten Ausnahmen einschlägig, was insbesondere damit zusammenhängt, dass es sich nicht um eine ausschließlich persönliche oder familiäre Tätigkeit handelt. Eine andere Sichtweise ergibt sich auch nicht daraus, dass die Verkündungstätigkeit unter Art. 10 Abs. 1 EU-Grundrechtecharta fällt, denn sie geht über die private Sphäre hinaus. Darüber hinaus wendet der EuGH einen weiten „Datei“-Begriff an, der nicht notwendigerweise ein Speichern im technischen Sinne vorsieht. Ausreichend ist, die strukturierte Sammlung personenbezogener Daten nach bestimmten Kriterien, damit sie in der Praxis zur späteren Verwendung leicht wiederauffindbar sind. Diese Voraussetzungen sah der EuGH als gegeben an.

Zu beachten ist, dass die Fragen sich auf die Datenschutzrichtlinie 95/46/EG bezogen, welche am 25.05.2018 von der Datenschutzgrundverordnung (DSGVO) abgelöst wurde. Nichts desto trotz ist davon auszugehen, dass dieses Urteil auch den Anforderungen der DSGVO genügt, denn die DSGVO ist in ihren Voraussetzungen strenger als die alte Richtlinie.

Fanpage-Betreiber auf Facebook sind Verantwortliche für die Datenverarbeitung

5. Juni 2018

Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 5. Juni 2018 entschieden, dass der Betreiber einer Fanseite auf Facebook gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten verantwortlich ist. Dies hat insbesondere zur Folge, dass Seitenbetreiber auf Facebook nun ihre Besucher über die Datenverarbeitungen und ihren Zweck informieren müssen und dass Besucher ihre Betroffenenrechte den Betreibern gegenüber geltend machen können.

In dem zugrundeliegenden Fall ging es um einen Streit zwischen der Wirtschaftsakademie Schleswig-Holstein und dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) (wir berichteten). Das ULD hat die Wirtschaftsakademie aufgefordert seine Fanpage auf Facebook zu deaktivieren. Als Grund führte das ULD auf, dass Nutzerdaten ohne Einwilligung der Betroffenen auf der Facebook-Fanpage verarbeitet wurden. Dafür sei nicht nur Facebook, sondern auch die Wirtschaftsakademie als Betreiber verantwortlich. Die Wirtschaftsakademie wehrte sich gegen diesen Vorwurf und zog vor Gericht. Das OVG setzte das Verfahren aus und reichte ein Vorabentscheidungsersuchen beim EuGH ein.

Die Richter am EuGH stellten in ihrem Urteil fest, dass „mit Hilfe von durch Facebook zur Verfügung gestellten Filtern […] der Betreiber […] Kriterien festlegen [kann], nach denen [Nutzer-]Statistiken erstellt werden sollen, und sogar die Kategorien von Personen bezeichnen, deren personenbezogene Daten von Facebook ausgewertet werden.“

„Insbesondere kann der Fanpage-Betreiber demografische Daten über seine Zielgruppe – und damit die Verarbeitung dieser Daten – verlangen.“  So kann der Betreiber beispielsweise Tendenzen in den Bereichen Alter, Geschlecht, Beziehungsstatus und berufliche Situation, Informationen über den Lebensstil und die Interessen seiner Zielgruppe und Informationen über die Käufe und das Online-Kaufverhalten der Besucher seiner Seite, die Kategorien von Waren oder Dienstleistungen, die sie am meisten interessieren, sowie geografische Daten, die ihn darüber informieren, wo spezielle Werbeaktionen durchzuführen oder Veranstaltungen zu organisieren sind, erhalten.

Die EuGH-Richter entschieden, dass der Betreiber einer auf Facebook unterhaltenen Fanpage zur Verarbeitung der personenbezogenen Daten der Besucher seiner Seite beiträgt. Deshalb ist er (Mit-)Verantwortlicher für die Datenverarbeitung (Joint Controller im Sinne des Art. 26 DSGVO).

Dieses Urteil wird jedoch nicht nur Folgen für Facebook haben, sondern sämtliche Social Media Plattformen betreffen. Somit trifft es nicht nur Unternehmen die selbst erstellte Unternehmenspräsenz auf Facebook haben, sondern auch Plattformen wie LinkedIn, Twitter, Google+ usw., sofern ähnliche Tracking-Funktionen oder andere Datenerhebungen bietet bzw. beinhaltet sind.

Es wird daher empfohlen etwaige Social-Media-Unternehmensseiten bis auf weiteres zu deaktivieren. Es ist zu erwarten, dass die Betreiber der Plattformen in Kürze auf das Urteil reagieren und den Kunden die notwendigen Informationen und eine standardisierte Vereinbarung (Art. 26 DSGVO) zur Verfügung stellen, um die Seiten weiter zu betreiben.

 

OVG NRW: Google-Streit an den EuGH verwiesen

28. Februar 2018

Das Oberverwaltungsgericht NRW (OVG NRW)in Münster setzt ein Verfahren zwischen der Bundesnetzagentur und Google um deren E-Mail-Dienst GMail aus und verweist den Streit an den Europäischen Gerichtshof (EuGH) in Luxemburg.

Dem Verfahren liegt ein seit 2012 geführter Rechtsstreit zwischen den Parteien zu der Frage zugrunde, ob GMail ein Telekommunikationsdienst im Sinne des deutschen Telekommunikationsgesetzes (TKG) ist und Google daher den dort normierten Pflichten nachkommen muss. Hierzu gehören mitunter spezielle Anforderungen an den Datenschutz, sowie die Anmeldung bei der Budesnetzagentur. Speziell streiten die Parteien über die gesetzliche Definition, wonach ein Telekommuniukationsdienst in der Regel gegen Entgelt Dienste erbringt, die ganz oder überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen. Google weigerte sich dieser Anmeldepflicht als Telekommunikationsdienst nachzukommen und vertritt die Auffassung, dasss die Regelungen des TKG für GMail nicht einschlägig sind, da sie sich lediglich das Internet als bestehendes Telekommunikationsnetz zu Eigen machen und darüber hinaus ihre Dienste unentgeltlich zur Verfügung stellen.

Der entscheidenede 13. Senat des OVG führt zur Begründung der Verweisung die „unionsrechtliche Dimension“ des Sachverhaltes an, da das TKG im Wesentlichen auf die EU-Richtlinie 1001/21/EG zurückgeht. Der EuGH soll nun im Rahmen einer Vorabentscheidung klären, ob offen im Inernet bereitgestellte E-Mail-Dienste von der Richtlinie erfasst werden.

Datenschutzpflicht der Zeugen Jehovas

14. Februar 2018

Die Zeugen Jehovas sind dafür bekannt, dass sie von Tür zu Tür ziehen um mit den angetroffenen Menschen über deren Glauben zu reden.

Dabei machen sie sich häufig Notizen über den Gesprächsverlauf. Diese Notizen beinhalten insbesondere Angaben über Religionszugehörigkeit und Familienstand des Gesprächspartners.

In einem Rechtsstreit, der vor dem finnischen Obersten Verwaltungsgericht anhängig ist, wurde die Frage relevant, ob es sich bei diesen Notizen um Datenverarbeitung handelt, auf die das europäische Datenschutzrecht Anwendung findet. Diese Frage legte das Gericht dem Europäischen Gerichtshof (EuGH) vor, welches nun entscheiden muss.

Der finnische Datenschutzbeauftragte ist der Ansicht, dass es sich um eine Datenerhebung handelt, für die sowohl die einzelnen Mitglieder als auch die Gemeinschaft der Zeugen Jehovas als solche verantwortlich sind und die dem europäischen Datenschutzrecht unterfällt.

Die Zeugen Jehovas hingegen berufen sich darauf, dass die Notizen nur von ihren Mitgliedern im Rahmen ihrer Religionsausübung angefertigt und nicht weiter gegeben werden, sodass eine Verantwortlichkeit für die Daten im Sinne des Datenschutzrechts nicht besteht.

Der Generalanwalt am EuGH, Paolo Mengozzi, ist in seinem, die Entscheidung des EuGH vorbereitenden, Schlussantrag, der Einschätzung des finnischen Datenschutzbeauftragten gefolgt: Es kommt gerade nicht darauf an, ob Zugriff auf die personenbezogenen Daten besteht, sondern dass die Möglichkeit der Einflussnahme auf die Erhebung besteht. Nach seinem Antrag handelt es sich bei den Notizen auch nicht um Aufzeichnungen die durch eine natürliche Person zu ausschließlich privaten Zwecken erfolgt sind.

Das Gutachten des Generalanwalts ist nicht bindend, in den meisten Fällen folgen die EuGH-Richter jedoch den Einschätzungen des Generalanwalts. Das Urteil wird für die nächsten Monate erwartet.

Keine Möglichkeit einer Sammelklage gegen Facebook

25. Januar 2018

Der Europäische Gerichtshof (EuGH) sprach sich am 25.01.2018 gegen eine Sammelklage gegen Facebook vor einem österreichischen Gericht aus (Urt. v. 25.01.2018, Az. C-498/16).

Max Schrems ist Datenschutzaktivist und kippte im Jahr 2015 vor dem EuGH das sog. Safe-Harbor-Abkommen zwischen der EU und den USA. Nun hat er vor einem österreichischen Gericht, im Namen von 25.000 Facebook-Nutzern aus aller Welt, gegen Facebook Klage erhoben. Seine Sammelklage wurde jedoch vom EuGH abgelehnt.

Facebook steuert sein europäisches Geschäft von Irland aus. Max Schrems ist der Ansicht, dass Facebook bei der Sammlung von Informationen über seine Nutzer und beim Umgang mit diesen, gegen europäisches Datenschutzrecht verstößt. Facebook bestritt die internationale Zuständigkeit des österreichischen Gerichts für Nutzer aus aller Welt, sowie Max Schrems‘ Verbrauchereigenschaft, die ihn selbst erst zu einer Klage an seinem Wohnort berechtigte. Hintergrund sei, das professionelle Vorgehen Schrems im Kampf für den Datenschutz. Facebook argumentierte damit, dass Max Schrems eine Facebook-Seite unterhält, wo er über seine Arbeit gegen den Konzern informiert. Dies sei als berufliche Aktivität einzustufen. Dieser Ansicht schloss sich zunächst auch das Landgericht Wien an. Der Oberste Gerichtshof in Österreich bat den EuGH diese Fragen zu klären. Dieser entschied, dass Max Schrems als Verbraucher einzustufen ist. Nur weil ein Nutzer etwa Bücher publiziere, Vorträge halte, Websites betreibe und Spenden sammle, verliere er nicht seine Verbrauchereigenschaft, so der EuGH.

Der EuGH gestattete Schrems eine Klage im eigenen Namen zu führen. Die Möglichkeit einer Sammelklage wurde jedoch verneint. Max Schrems will nun in Österreich eine Musterklage anstrengen.

Facebook zeigte sich mit der Entscheidung  dass eine Sammelklage nach wie vor nicht möglich ist, zufrieden. Man freue sich darauf, die Angelegenheit beizulegen, erklärte eine Sprecherin von Facebook.

Datentransfer in Drittländer – Kippen die EU-Standardvertragsklauseln?

12. Oktober 2017

Datentransfers in Drittländer, die kein dem europäischen Standard vergleichbares Datenschutzniveau bieten, sind aus datenschutzrechtlicher Sicht als kritisch einzuordnen. Zu einem solchen Drittland gehören auch die USA. Bis zum Jahr 2015 konnte die Übermittlung in solche Drittländer durch das sogenannte Safe Harbor – Abkommen datenschutzrechtlich legitimiert werden. Durch ein Urteil des EuGH vom 6. Oktober 2015 wurde das Safe Harbor – Abkommen jedoch aufgehoben. Dies wurde damit begründet, dass das Abkommen nach dem EuGH einen Verstoß gegen die europäische Grundrechtecharta darstellt.

Nach dem Ende des Safe Harbor – Abkommens konnte eine Übertragung personenbezogener Daten in die USA nur noch durch die Verwendung von EU-Standardvertragsklauseln oder aufgrund des 2016 als Nachfolger des Safe Harbour – Abkommens beschlossenen EU-US-Privacy Shield legitimiert werden. Kernstück des Privacy Shield ist die Verpflichtung zur Selbstzertifizierung von US-Unternehmen, mit der sichergestellt werden soll, dass gewisse Datenschutzanforderungen eingehalten werden. Daneben wurden durch das Privacy Shield für betroffene EU-Bürger erstmals Rechtsschutzmöglichkeiten gegen Unternehmen mit Sitz in den USA und so Klagemöglichkeiten geschaffen. Jedoch legte bereits Ende Oktober 2016 die irische Nichtregierungsorganisation Digital Rights Ireland Klage vor dem EuGH gegen den Privacy Shield ein und auch mit den Standardvertragsklauseln wird sich der EuGH nun beschäftigen müssen.

Angestoßen durch eine Klage des Anwalts Max Schrems gegen den Datentransfer an Facebook aufgrund der Verwendung von Standardvertragsklauseln hat sich der irische oberste Gerichtshof dazu entschlossen, verschiedene diesbezügliche Fragen zur Vorlage an den EuGH zur Klärung weiterzuleiten. Die irische High Court-Richterin Carolin Costello führte in ihrem Beschluss unter anderem an, dass es begründete Hinweise darauf gebe, dass es in den USA an wirksamen Maßnahmen zum Schutz der Daten von EU-Bürgern fehlen würde. Insbesondere der Rechtschutz für europäische Bürger in den USA sei nur fragmentarisch ausgebildet und die US-Geheimdienste hätten fast unbegrenzte Zugriffsmöglichkeiten auf die Daten.

Nach der Vorlage der konkreten Rechtsfragen an den EuGH wird abzuwarten sein, wie der EuGH die rechtliche Zulässigkeit der Standardvertragsklauseln beurteilt. Sollte der EuGH zum Ergebnis der Unzulässigkeit der Standardvertragsklauseln kommen, dürfte dies viele Unternehmen hinsichtlich der Legitimität von Datentransfers in die USA oder sonstige Drittländer vor ernsthafte Probleme stellen.

Weltweite Geltung des Rechts auf Vergessenwerden?

25. Juli 2017

Zurzeit befasst sich der Europäische Gerichtshof (EuGH) erneut mit dem sogenannten „Recht auf Vergessenwerden“, wie heise berichtet. Hintergrund hierfür ist ein Rechtsstreit zwischen dem US-amerikanischen Suchmaschinenbetreiber Google und der französischen Datenschutzaufsichtsbehörde CNIL. CNIL hatte Google zuvor eine Strafe von € 100.000 auferlegt, da Links aus den Suchmaschinenergebnissen nicht weltweit gelöscht wurden. Um die Strafe gerichtlich prüfen zu lassen, zog Google vor das französische Verwaltungsgericht. Dieses legte die Frage, ob sich der Löschungsanspruch auf weltweite Suchergebnisse erstreckt, nun dem EuGH zur Entscheidung vor.

Vor drei Jahren hatte der EuGH das Recht auf Vergessenwerden in seinem Urteil manifestiert. Das Recht auf Vergessenwerden berechtigt Individuen von Suchmaschinenbetreibern die Löschung von Links zu Informationen zu verlangen, die veraltet sind oder ihre Privatsphäre verletzen. Seit Mai 2014 erhielt Google mehr als 2 Millionen dieser Aufforderungen. Sofern nach der Ansicht von Google die Voraussetzungen für die Löschung vorliegen, wird der beanstandete Link aus den Suchmaschinenergebnissen entfernt. Die Löschung findet jedoch nur auf den europäischen Versionen von Google statt. CNIL geht dies jedoch nicht weit genug und fordert eine weltweite Löschung, damit dem Recht auf Vergessen umfassend entsprochen wird. Google hält diese Forderung für absurd. Zum einen werde die Freiheit des Internets beschränkt. Außerdem könnte Google nationales Recht nicht weltweit umsetzen.

Mit Spannung wird deswegen nun die Entscheidung des EuGH erwartet.

Sammelklage gegen Facebook vor dem EuGH

20. Juli 2017

Der österreichische Datenschützer Maximilian Schrems will mit einer Sammelklage von 25.000 Verbrauchern aus der ganzen Welt gegen Facebook vorgehen. Vor dem OGH in Wien hatte der Jurist schon gegen die missbräuchliche Verwendung von Nutzerdaten geklagt. In Österreich ist es möglich, dass viele Personen ihre Ansprüche an eine Person abtreten, die dann alle Ansprüche gesammelt geltend machen kann, die sogenannte „Sammelklage österreichischer Prägung“. Mehr als 25.000 Verbraucher hatten über Schrems´ Webseite ihre Ansprüche gegen Facebook an Maximilian Schrems abgetreten.

Facebook führte an, dass die österreichischen Gerichte hierfür nicht zuständig seien. Somit bliebe Betroffenen nur der Weg einer einzelnen Klage gegen Facebook. Der Europäische Gerichtshof (EuGH) muss nun klären, ob eine Sammelklage gegen Facebook grundsätzlich zulässig ist.

Je nach der Entscheidung des EuGH könnte eine europaweite, oder gar weltweite Sammelklage möglich, oder aber auch nur für Verbraucher aus bestimmten Ländern zulässig sein. Andernfalls müssten viele parallele Verfahren in Österreich und anderen Ländern geführt werden. Mit einer schnellen Entscheidung ist aber nicht zu rechnen. Der EuGH-Generalanwalt will erst nach dem Sommer eine Einschätzung abgeben.

Schrems ist vor dem EuGH kein Unbekannter. Er hatte bereits eine Klage vor den EuGH gebracht. Dieser Rechtsstreit drehte sich um die Weitergabe von Facebook-Daten an den US-amerikanischen Geheimdienst NSA. Der EuGH setzte darauf das Safe-Harbor-Abkommen aus.

Dynamische IP-Adressen stellen personenbezogene Daten dar

17. Mai 2017

In seinem Urteil vom 16.05.2017 (Az. VI ZR 135/13) hat sich der Bundesgerichtshof (BGH) unter anderem mit den Fragen befasst, ob eine dynamische IP-Adresse ein personenbezogenes Datum darstellt und ob ein Webseitenbetreiber die IP-Adressen der Nutzer länger speichern darf als diese tatsächlich auf der Seite verweilen.

Anlass für dieses BGH-Urteil war, dass das Bundesministerium für Justiz und Verbraucherschutz die IP-Adressen aller Besucher seiner Webseite für eine Zeitspanne von 14 Tagen speicherte. In dieser Speicherung sah ein schleswig-holsteinischer Abgeordneter der Piratenpartei eine unzulässige Überwachung der Internetnutzer und erhob Klage gegen die Bundesrepublik als Betreiberin der Webseite. Die Bundesregierung argumentierte, dass die Speicherung nötig sei, um den sicheren Betrieb der Webseiten zu ermöglichen. Nur so könne man gegebenenfalls Hackerangriffe abwehren und die Angreifer identifizieren um strafrechtliche Schritte einleiten zu können.

Maßgeblich für die Entscheidung war die Frage, ob auch dynamische IP-Adressen personenbezogene Daten darstellen. Um im Internet agieren zu können, bekommt jedes internetfähige Endgerät vom jeweiligen Internetprovider eine eigene IP-Adresse zugewiesen. Bei diesen IP-Adressen unterscheidet man zwischen statischen und dynamischen Adressen. Im Gegensatz zu statischen IP-Adressen können sich dynamische IP-Adressen alle paar Stunden oder Tage ändern. Der Webseitenbetreiber selbst kann die Nutzer einer solchen dynamischen IP-Adresse in aller Regel nicht identifizieren. Lediglich die Internetprovider (bspw. Telekom oder Vodafon) sind hierzu in der Lage, da sie dem Nutzer die dynamische IP-Adresse zuweisen. Wenn dynamische IP-Adressen nicht als personenbezogene Daten anzusehen sind, ist eine Speicherung grundsätzlich als zulässig anzusehen. Sofern man sie jedoch als personenbezogene Daten qualifiziert, ist eine Speicherung nur nach den Maßgaben des Datenschutzrechts zulässig.

Nach § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) sind personenbezogene Daten „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).“ Ähnlich wird dies auch in der EG-Datenschutzrichtlinie 95/46/EG definiert. Gerade bei dynamischen IP-Adressen drängt sich die Frage auf, ob auch diese eine hinreichende Bestimmbarkeit im Sinne der oben genannten Norm aufweisen. Diese Frage hat der BGH vor einiger Zeit dem Europäischen Gerichtshof (EuGH) zur Entscheidung vorgelegt. Der EuGH hat dargelegt, dass eine dynamische IP-Adresse dann ein personenbezogenes Datum darstellt, wenn es dem Webseitenbetreiber möglich ist, mit Hilfe rechtlicher Mittel die betroffene Person hinter der dynamischen IP-Adresse zu bestimmen oder bestimmen zu lassen. In seinem Urteil folgte der BGH dieser Leitlinie und stellte fest, dass dynamische IP-Adressen für die Bundesrepublik als Webseitenbetreiber ein personenbezogenes Datum darstellen, da mit Hilfe der Strafverfolgungsbehörden der Nutzer identifiziert werden könne.

Zur Frage der Speicherung einer dynamischen IP-Adresse als personenbezogenes Datum über das Ende des Nutzungsvorgangs hinaus führte der BGH weiter aus, dass eine solche Speicherung durch den Webseitenbetreiber ohne Einwilligung des Nutzers nur unter den Voraussetzungen des § 15 Abs. 1 Telemediengesetz (TMG) zulässig sei. Diese Norm sei europarechtskonform dahingehend auszulegen, dass die Erhebung und Verwendung erforderlich sein müsse, um die generelle Funktionsfähigkeit des Dienstes zu gewährleisten. Im vorliegenden Fall konnte der BGH kein abschließendes Urteil dazu treffen, ob die Speicherung der IP-Adresse des Nutzers über das Ende des Nutzungsvorgangs hinaus durch das Bundesministerium für Justiz und Verbraucherschutz erforderlich war, um die generelle Funktionsfähigkeit des Dienstes zu gewährleisten. Bei der Frage der Erforderlichkeit sollen aber in einer Abwägung insbesondere das Gefahrenpotential und der „Angriffsdruck“ zu berücksichtigen sein. In einem nächsten Schritt sollen dann das Interesse an der Aufrechterhaltung und der Funktionsfähigkeit des Online-Mediendienstes mit den jeweiligen Grundrechten und Grundfreiheiten des Nutzers der Seite abgewogen und in Einklang gebracht werden.

1 2 3 4