top of page
  • AutorenbildMarie-Avril Roux SteinkĂŒhler

đŸ‡©đŸ‡Ș - Die IP-Adresse ist nun Teil der Familie der persönlichen Daten


In seiner Entscheidung vom 3. November 2016 hat das französische Kassationsgericht geurteilt, dass es sich bei IP Adressen[1] um personenbezogene Daten nach Artikel 2 und 22 des französischen Gesetzes Nr. 78-17 vom 6. Januar 1978 handelt und sie daher als solche geschĂŒtzt werden mĂŒssen.[2]


In einer Welt, in der das Internet und die Telekommunikation im Alltag unumgÀnglich geworden sind, ist diese Entscheidung von besonderer Tragweite.


Bereits seit einigen Jahren hat sich der Konflikt zwischen einem verschĂ€rften Datenschutz einerseits und den neuen Speicher- und Verarbeitungsmöglichkeiten elektronischer Daten andererseits, stetig intensiviert. Neben hitzigen Debatten auf nationaler Ebene, wirft diese Problematik auch auf europaweit regelmĂ€ĂŸig Diskussionen auf.


Mit seiner Entscheidung hat das Kassationsgericht nun zumindest in Frankreich einer unentschlossenen Rechtsprechung ein Ende gesetzt (I) und sich dabei einer Entscheidung des EuropĂ€ischen Gerichtshofes (EuGH) vom 19. Oktober 2016 angeschlossen. Auch dieser hatte IP Adressen[3] fĂŒr persönliche Daten[4] erklĂ€rt und ihnen den entsprechenden Schutz zugesprochen (II).


I. Das Kassationsgericht setzt einer unentschlossenen französischen Rechtsprechung ein Ende



In der besagten französischen Entscheidung hatte die Gruppe LOGISNEUF externe Zugriffe auf ihr Netzwerk festgestellt. Die Computer, die auf das Netzwerk zugriffen, gehörten dem Unternehmen nicht an, benutzten jedoch Zugangsdaten, die normalerweise nur den Administratoren der Internetseite logisneuf.com zur VerfĂŒgung stehen. Um die IdentitĂ€t der Personen hinter den Computern festzustellen, ordnete die Gruppe LOGISNEUF eine Untersuchung nach einem besonderen französischen Verfahren an und ĂŒbermittelte die IP Adressen der umstrittenen Computer an den entsprechenden Richter.


Es stellte sich heraus, dass die IP Adressen zum Unternehmen PETERSON, einer Beratungsfirma fĂŒr Investment und Management und direkter Konkurrent des Unternehmens LOGISNEUF gehörten. Das Unternehmen PETERSON erhob daraufhin gegen die unrechtmĂ€ĂŸige Speicherung und Verarbeitung seiner IP Adressen durch die Gruppe LOGISNEUF Klage. PETERSON argumentierte, es handle sich bei den IP Adressen um personenbezogene Daten, deren Speicherung und Verarbeitung eine Benachrichtigung der CNIL (Nationale Kommission fĂŒr Informatik und Freiheiten) erforderlich gemacht hĂ€tten.


In seinem Urteil bestĂ€tigt das Kassationsgericht, dass „IP Adressen (
) personenbezogene Daten sind, und somit das Sammeln von IP Adressen eine Verarbeitung personenbezogener Daten darstellt. Die Verarbeitung solcher Daten unterliegt wiederum einer Benachrichtigung der CNIL.“[5]


Mit dieser Feststellung hebt das Kassationsgericht nicht nur die Entscheidung des Berufungsgerichts von Rennes vom 28. April 2015 auf, das entschieden hatte, dass IP Adressen keine persönlichen Daten darstellen, da sie „sich auf einen Computer beziehen und nicht auf dessen Benutzer“[6], sondern es setzt auch einer unentschlossenen französischen Rechtsprechung ein Ende.


Im Jahre 2007 hatte das Oberlandgericht von Saint-Brieuc geurteilt, dass eine IP Adresse, die einem Internetzugangsanbieter zugeordnet ist, ein Mittel zur Identifikation einer Person darstellt und es sich somit dabei um ein personenbezogenes Datum handelt.[7] Noch im gleichen Jahr vertritt das Pariser Berufungsgericht die gegensĂ€tzliche Position und macht deutlich, dass „eine Adresse, die sich auf eine Maschine bezieht und nicht auf ein Individuum, das diese Maschine benutzt, in keinster Weise ein indirektes personenbezogenes Datum darstellen kann (
)“.[8]


Dann, ein Jahr spĂ€ter, widerspricht erneut das Berufungsgericht von Rennes der zuletzt geĂ€ußerten Position und verteidigt die Ansicht, nach der „die IP Adresse, [selbst] wenn sie allein weder erlaubt den EigentĂŒmer noch den Nutzer des Computers festzustellen, (
), einen personenbezogenen Charakter dadurch erhĂ€lt, dass sie eine AnnĂ€herung an die Datenbank des Internetzugangsanbieters erlaubt.“[9] Das zitierte Urteil wurde durch eine Entscheidung des Kassationsgerichts vom 13. Januar 2009 aufgehoben, ohne jedoch, dass sich das Gericht dabei explizit zur rechtlichen Einordnung von IP Adressen Ă€ußert.[10]


Der Staatsrat, das oberste Verwaltungsgericht Frankreichs, hatte seinerseits bereits in einer Entscheidung vom 11. MÀrz 2015 IP Adressen und einmalige Zugangsdaten als personenbezogene Daten anerkannt und hatte in seiner Entscheidung prÀzisiert, dass das Sammeln dieser Daten einer Einwilligung des Internetnutzers unterliegt.[11]


Das Urteil des Kassationsgerichts vom 3. November 2016 scheint nun der Unentschlossenheit in der französischen Rechtsprechung ein Ende zu setzen und etabliert das Prinzip, nach dem es sich bei IP Adressen eindeutig um personenbezogene Daten handelt.

II. 
indem es sich einer Entscheidung des EuGH vom 19. Oktober 2016 anschließt


Die Entscheidung des französischen Gerichts scheint dabei einer Tendenz des europÀischen Gerichtshofes zu folgen, die sich unmittelbar vorher, in einem Urteil vom 19. Oktober 2016 herauskristallisiert hatte.


Der europĂ€ischen Entscheidung lag ein deutscher Fall zu Grunde, in dem sich der deutsche StaatsbĂŒrger Patrick Breyer und die Bundesrepublik Deutschland gegenĂŒber standen. Patrick Breyer widersetzte sich „der Aufzeichnung und Speicherung seiner Internetprotokoll-Adresse wĂ€hrend seines Zugriffs auf mehrere Websites von Einrichtungen des Bundes.“[12] Die Speicherung dieser Daten geschieht unter dem Vorwand, sich „gegen Cyberattacken verteidigen zu wollen und wenn nötig Strafverfahren einleiten zu können.“[13]


Um in diesem Fall zu urteilen, wendete sich der Bundesgerichtshof mit zwei Fragen an den EuropÀischen Gerichtshof, von denen die erste wie folgt lautete:

„Ist Art. 2 Buchst. a der Richtlinie 95/46 dahin auszulegen, dass eine IP-Adresse, die ein Anbieter von Online-Mediendiensten im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, fĂŒr diesen schon dann ein personenbezogenes Datum darstellt, wenn ein Dritter (hier: Zugangsanbieter) ĂŒber das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfĂŒgt?“[14]


Hinsichtlich dieser ersten Frage, ist es von großer Bedeutung auf die erwĂ€hnte Differenzierung zwischen den „Anbietern von Online-Mediendiensten“[15] auf der einen Seite und den „Zugangsanbietern“[16] auf der anderen Seite hinzuweisen. In der Tat verfĂŒgen nur Letztere ĂŒber die nötigen Informationen, um eine IP Adresse einem bestimmten Nutzer zuzuordnen. Ein „Anbieter von Online-Mediendiensten“ kann, selbst wenn er im Besitz einer IP Adresse ist, anhand dieser nicht feststellen, welches Individuum sich hinter dieser Adresse verbirgt.


In seinem Urteil vom 19. Oktober 2016 urteilt der EuGH demnach, dass „eine dynamische Internetprotokoll-Adresse, die von einem Anbieter von Online-Mediendiensten (
) gespeichert wird, fĂŒr den Anbieter ein personenbezogenes Datum im Sinne der genannten Bestimmung darstellt, wenn er ĂŒber rechtliche Mittel verfĂŒgt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, ĂŒber die der Internetzugangsanbieter dieser Person verfĂŒgt, bestimmen zu lassen.“[17]


Daraus resultiert, dass fĂŒr den EuGH eine IP Adresse nur dann als personenbezogenes Datum gilt, wenn die Person, die sie gespeichert hat, ĂŒber die rechtlichen Mittel verfĂŒgt die nötigen Zusatzinformationen zu erhalten, die fĂŒr eine Identifikation des der IP Adresse zugehörigen Internetnutzers erforderlich sind.


Diese PrĂ€zision schließt an ein vorausgehendes Urteil des EuGH vom 24. November 2011 an, in dem der EuGH bereits urteilte, dass es sich bei IP Adressen „um personenbezogene Daten handelt, da sie die genaue Identifizierung der Nutzer ermöglichen.“ Die Entscheidung von 2011 bezog sich allerdings ausschließlich auf den Fall, dass ein Internetzugangsanbieter die IP Adresse speichert und verwertet, ohne jedoch den Fall zu berĂŒcksichtigen, in dem Anbieter von Internetdiensten diese Speicherung vornehmen. Der entscheidende Unterschied liegt dabei – wie bereits erwĂ€hnt – in der Tatsache, dass ein Zugangsanbieter ĂŒber die nötigen Zusatzinformationen verfĂŒgt, um eine IP Adresse einem bestimmten Nutzer zuzuordnen. Ein Anbieter von Webseiten hingegen kann durch eine IP Adresse allein keine RĂŒckschlĂŒsse auf den konkreten Nutzer ziehen.


Mit seiner kĂŒrzlich erlassenen Rechtsprechung, hĂ€lt der EuGH den restriktiven Standpunkt aufrecht, nachdem eine IP Adresse nur dann als personenbezogenes Datum gilt, wenn sie „in Kombination mit anderen Mitteln, die persönliche Identifizierung des Internetnutzers ermöglicht.“[18]

Die Entscheidung des französischen Kassationsgerichts geht zweifellos in die gleiche Richtung wie das europĂ€ische Urteil. Jedoch nur in begrenzter Form. Denn das Kassationsgericht ist in seiner Entscheidung weniger zurĂŒckhaltend als der EuGH. In seiner Entscheidung spricht es explizit davon, dass „IP Adressen, die eine indirekte Identifikation einer physischen Person ermöglichen, personenbezogene Daten sind, und somit das Sammeln von IP Adressen eine Verarbeitung personenbezogener Daten darstellt. Die Verarbeitung solcher Daten unterliegt wiederum einer Benachrichtigung der CNIL.“[19] Um eine IP Adresse als ein personenbezogenes Datum zu bezeichnen, ist es laut dem französischen Gericht gerade nicht notwendig ĂŒber alle Elemente zu verfĂŒgen, um die IdentitĂ€t des Nutzers festzustellen. Es reicht vollkommen, dass der Nutzer indirekt festgestellt werden kann.


Das Urteil des Kassationsgerichts kann daher als ein besonders verbraucherschutzfreundliches Urteil aus Sicht der Internetnutzer angesehen werden. Jedenfalls ist es weit mehr im Interesse der Internetnutzer als das europÀische Urteil.

[1] IP-Adresse: Bei einer IP-Adresse handelt es sich um eine Adresse in Computernetzen, basierend auf dem Internetprotokoll (IP). GerÀte, die an das Netz angebunden sind, bekommen eine IP-Adresse zugewiesen. Dadurch werden die GerÀte adressierbar und damit erreichbar.

[2] Kassationsgericht, 1. Zivilkammer, Urteil vom 3. November 2016

[3] Dieses Urteil bezog sich allerdings ausschließlich auf dynamische IP-Adressen: Unter einer dynamischen IP-Adresse versteht man eine IP-Adresse, die sich mit jeder neuen Verbindung an das Internet Ă€ndert. Im Gegensatz zu den statischen IP-Adressen, erlauben dynamische IP-Adressen somit keine Identifizierung des Nutzers anhand von öffentlich zugĂ€nglichen Informationen. Ausschließlich der Zugangsanbieter verfĂŒgt ĂŒber die notwendigen Elemente zur Identifikation der Internetnutzer hinter dynamischen IP-Adressen.

[4] Info Curia – Rechtsprechung des Gerichtshofs; Patrick Breyer g. Bundesrepublik Deutschland; 19. Oktober 2016. http://curia.europa.eu/juris/document/document.jsf?text=&docid=184668&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1

[5] Kassationsgericht, 1. Zivilkammer, Urteil vom 3. November 2016

[6] Berufungsgericht Rennes, Handelskammer; 28. April 2015; n° 14/05 708

[7] Oberlandgericht Saint Brieuc, 6. September 2007

[8] Berufungsgericht Paris, Chambre correctionnelle, 13, Sektion A, 15. Mai 2007, n° 06/01954

[9] Berufungsgericht Rennes; 3. Kammer, 22. Mai 2008, n° 07/01495

[10] Kassationsgericht, Kammer fĂŒr Kriminaltaten, 13. Januar 2009, n° des Einspruchs: 08-84088

[11] Staatsrat, Untersektion 9 und 10, 11. MÀrz 2015, n° 368624

[13] Idem.

[14] Info Curia – Rechtsprechung des Gerichtshofs; Patrick Breyer g. Bundesrepublik Deutschland; 19. Oktober 2016. http://curia.europa.eu/juris/document/document.jsf?text=&docid=184668&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1

[15] Idem.

[16] Idem.

[17] Idem.

[19] Kassationsgericht, 1. Zivilkammer, Urteil vom 3. November 2016

Comments


bottom of page