(Urteil vom 16. Mai 2017 – VI ZR 135/13)
Dürfen Websites der Bundesrepublik Deutschland die IP-Adresse ihrer Besucher speichern? Diese Frage beschäftigt Gerichte bundesweit seit nunmehr 10 Jahren und wird es nach der kürzlich ergangenen Entscheidung des Bundesgerichtshofs allem Anschein nach auch weiterhin tun. Eine abschließende Entscheidung konnte nicht getroffen werden. Denn bisher wurde die zentrale Frage nicht geklärt: Wie groß die Gefahr von Angriffen auf die in Rede stehenden Seiten wirklich ist.
Am vergangenen Dienstag, dem 16.05.2017 verkündete der BGH eine Entscheidung zu dieser Problematik: Websites, die von Cyberattacken bedroht sind, wird je nach Einzelfall gestattet, vorsorglich die IP-Adressen der Seitenbesucher zu speichern. Der Zweck der Speicherung muss darin liegen, mögliche Angriffe abzuwehren und eine mögliche Strafverfolgung der Angreifer zu erleichtern. Außerdem darf den Grundrechten der Homepagebesucher nicht zu wenig Beachtung geschenkt werden.
Der Sachverhalt
Der der Entscheidung zugrundeliegende Sachverhalt stellte sich folgendermaßen dar: Ein Politiker der Piratenpartei hatte Klage am zuständigen Amtsgericht erhoben, weil er in Rede stehende Seiten besucht hatte und seine IP-Adresse gespeichert wurde. Mit seiner Klage wollte er erreichen, dass die beklagte Bundesrepublik es unterlasse die IP-Adressen auch nach Abschluss des Homepagebesuchs zu speichern. Die Revisionen der Parteien hatten Erfolg und somit wies der BGH die Sache an das Berufungsgericht zurück.
Zuvor, im Jahre 2014 hatte der BGH mit einer ähnlichen Fallkonstellation zu tun. Im Zuge dessen legte der BGH dem Europäischen Gerichtshof zwei Fragen zur Auslegung der EG-Datenschutzrichtlinie vor, die dieser mit Urteil vom19. Oktober 2016 (C-582/14, NJW 2016, 3579) entschied.
Auf Grundlage des EuGH-Urteils fallen unter das Tatbestandsmerkmal der „personenbezogenen Daten“ aus § 12 Telemediengesetz (TMG) auch IP-Adressen, die von Anbietern von Internet-Mediendiensten bei Zugriff einer Person auf dieses Medium, erfasst werden. Nach § 12 TMG dürfen ebensolche personenbezogene Daten nur dann erfasst werden, wenn eine Rechtsvorschrift dies erlaubt oder der Nutzer eingewilligt hat.
Da IP-Adressen nach der EuGH-Entscheidung als personenbezogene Daten gelten, dürften sie also nur unter den Voraussetzungen des § 15 TMG erfasst werden. Nach der Auslegung des EuGH ist diese Vorschrift dahingehend anzuwenden, dass Betreiber von Online-Mediendiensten ohne Einwilligung des Nutzers IP-Adressen nur dann nach Abschluss des Websitebesuchs erfassen dürfen, wenn die Speicherung dieser Daten erforderlich sind, um die generelle Funktionsfähigkeit der Dienste zu gewährleisten. Hierbei muss eine Interessensabwägung zwischen der Aufrechterhaltung der Funktionsfähigkeit des Online-Mediendienstes und den Grundrechten des Klägers vorgenommen werden.
Im vorliegenden Streitfall konnte eine solche Abwägung nicht abschließend vorgenommen werden. Insbesondere fehlen konkrete Feststellungen dazu, wie hoch die Gefahr eines Angriffs auf Mediendienste des Bundes ist, auf die der Kläger zugreifen will. Erst wenn hierzu konkrete Anhaltspunkte zugrunde liegen, wird das Berufungsgericht nach dem EuGH-Urteil zur Auslegung der Tatbestandsmerkmale des TMG, eine gebotene Abwägung treffen können.
Kein Kommentar