In seiner Entscheidung vom 3. November 2016 hat das französische Kassationsgericht geurteilt, dass es sich bei IP Adressen[1] um personenbezogene Daten nach Artikel 2 und 22 des französischen Gesetzes Nr. 78-17 vom 6. Januar 1978 handelt und sie daher als solche geschützt werden müssen.[2]
In einer Welt, in der das Internet und die Telekommunikation im Alltag unumgänglich geworden sind, ist diese Entscheidung von besonderer Tragweite.
Bereits seit einigen Jahren hat sich der Konflikt zwischen einem verschärften Datenschutz einerseits und den neuen Speicher- und Verarbeitungsmöglichkeiten elektronischer Daten andererseits, stetig intensiviert. Neben hitzigen Debatten auf nationaler Ebene, wirft diese Problematik auch auf europaweit regelmäßig Diskussionen auf.
Mit seiner Entscheidung hat das Kassationsgericht nun zumindest in Frankreich einer unentschlossenen Rechtsprechung ein Ende gesetzt (I) und sich dabei einer Entscheidung des Europäischen Gerichtshofes (EuGH) vom 19. Oktober 2016 angeschlossen. Auch dieser hatte IP Adressen[3] für persönliche Daten[4] erklärt und ihnen den entsprechenden Schutz zugesprochen (II).
I. Das Kassationsgericht setzt einer unentschlossenen französischen Rechtsprechung ein Ende…
In der besagten französischen Entscheidung hatte die Gruppe LOGISNEUF externe Zugriffe auf ihr Netzwerk festgestellt. Die Computer, die auf das Netzwerk zugriffen, gehörten dem Unternehmen nicht an, benutzten jedoch Zugangsdaten, die normalerweise nur den Administratoren der Internetseite logisneuf.com zur Verfügung stehen. Um die Identität der Personen hinter den Computern festzustellen, ordnete die Gruppe LOGISNEUF eine Untersuchung nach einem besonderen französischen Verfahren an und übermittelte die IP Adressen der umstrittenen Computer an den entsprechenden Richter.
Es stellte sich heraus, dass die IP Adressen zum Unternehmen PETERSON, einer Beratungsfirma für Investment und Management und direkter Konkurrent des Unternehmens LOGISNEUF gehörten. Das Unternehmen PETERSON erhob daraufhin gegen die unrechtmäßige Speicherung und Verarbeitung seiner IP Adressen durch die Gruppe LOGISNEUF Klage. PETERSON argumentierte, es handle sich bei den IP Adressen um personenbezogene Daten, deren Speicherung und Verarbeitung eine Benachrichtigung der CNIL (Nationale Kommission für Informatik und Freiheiten) erforderlich gemacht hätten.
In seinem Urteil bestätigt das Kassationsgericht, dass „IP Adressen (…) personenbezogene Daten sind, und somit das Sammeln von IP Adressen eine Verarbeitung personenbezogener Daten darstellt. Die Verarbeitung solcher Daten unterliegt wiederum einer Benachrichtigung der CNIL.“[5]
Mit dieser Feststellung hebt das Kassationsgericht nicht nur die Entscheidung des Berufungsgerichts von Rennes vom 28. April 2015 auf, das entschieden hatte, dass IP Adressen keine persönlichen Daten darstellen, da sie „sich auf einen Computer beziehen und nicht auf dessen Benutzer“[6], sondern es setzt auch einer unentschlossenen französischen Rechtsprechung ein Ende.
Im Jahre 2007 hatte das Oberlandgericht von Saint-Brieuc geurteilt, dass eine IP Adresse, die einem Internetzugangsanbieter zugeordnet ist, ein Mittel zur Identifikation einer Person darstellt und es sich somit dabei um ein personenbezogenes Datum handelt.[7] Noch im gleichen Jahr vertritt das Pariser Berufungsgericht die gegensätzliche Position und macht deutlich, dass „eine Adresse, die sich auf eine Maschine bezieht und nicht auf ein Individuum, das diese Maschine benutzt, in keinster Weise ein indirektes personenbezogenes Datum darstellen kann (…)“.[8]
Dann, ein Jahr später, widerspricht erneut das Berufungsgericht von Rennes der zuletzt geäußerten Position und verteidigt die Ansicht, nach der „die IP Adresse, [selbst] wenn sie allein weder erlaubt den Eigentümer noch den Nutzer des Computers festzustellen, (…), einen personenbezogenen Charakter dadurch erhält, dass sie eine Annäherung an die Datenbank des Internetzugangsanbieters erlaubt.“[9] Das zitierte Urteil wurde durch eine Entscheidung des Kassationsgerichts vom 13. Januar 2009 aufgehoben, ohne jedoch, dass sich das Gericht dabei explizit zur rechtlichen Einordnung von IP Adressen äußert.[10]
Der Staatsrat, das oberste Verwaltungsgericht Frankreichs, hatte seinerseits bereits in einer Entscheidung vom 11. März 2015 IP Adressen und einmalige Zugangsdaten als personenbezogene Daten anerkannt und hatte in seiner Entscheidung präzisiert, dass das Sammeln dieser Daten einer Einwilligung des Internetnutzers unterliegt.[11]
Das Urteil des Kassationsgerichts vom 3. November 2016 scheint nun der Unentschlossenheit in der französischen Rechtsprechung ein Ende zu setzen und etabliert das Prinzip, nach dem es sich bei IP Adressen eindeutig um personenbezogene Daten handelt.
II. …indem es sich einer Entscheidung des EuGH vom 19. Oktober 2016 anschließt
Die Entscheidung des französischen Gerichts scheint dabei einer Tendenz des europäischen Gerichtshofes zu folgen, die sich unmittelbar vorher, in einem Urteil vom 19. Oktober 2016 herauskristallisiert hatte.
Der europäischen Entscheidung lag ein deutscher Fall zu Grunde, in dem sich der deutsche Staatsbürger Patrick Breyer und die Bundesrepublik Deutschland gegenüber standen. Patrick Breyer widersetzte sich „der Aufzeichnung und Speicherung seiner Internetprotokoll-Adresse während seines Zugriffs auf mehrere Websites von Einrichtungen des Bundes.“[12] Die Speicherung dieser Daten geschieht unter dem Vorwand, sich „gegen Cyberattacken verteidigen zu wollen und wenn nötig Strafverfahren einleiten zu können.“[13]
Um in diesem Fall zu urteilen, wendete sich der Bundesgerichtshof mit zwei Fragen an den Europäischen Gerichtshof, von denen die erste wie folgt lautete:
„Ist Art. 2 Buchst. a der Richtlinie 95/46 dahin auszulegen, dass eine IP-Adresse, die ein Anbieter von Online-Mediendiensten im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn ein Dritter (hier: Zugangsanbieter) über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt?“[14]
Hinsichtlich dieser ersten Frage, ist es von großer Bedeutung auf die erwähnte Differenzierung zwischen den „Anbietern von Online-Mediendiensten“[15] auf der einen Seite und den „Zugangsanbietern“[16] auf der anderen Seite hinzuweisen. In der Tat verfügen nur Letztere über die nötigen Informationen, um eine IP Adresse einem bestimmten Nutzer zuzuordnen. Ein „Anbieter von Online-Mediendiensten“ kann, selbst wenn er im Besitz einer IP Adresse ist, anhand dieser nicht feststellen, welches Individuum sich hinter dieser Adresse verbirgt.
In seinem Urteil vom 19. Oktober 2016 urteilt der EuGH demnach, dass „eine dynamische Internetprotokoll-Adresse, die von einem Anbieter von Online-Mediendiensten (…) gespeichert wird, für den Anbieter ein personenbezogenes Datum im Sinne der genannten Bestimmung darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen.“[17]
Daraus resultiert, dass für den EuGH eine IP Adresse nur dann als personenbezogenes Datum gilt, wenn die Person, die sie gespeichert hat, über die rechtlichen Mittel verfügt die nötigen Zusatzinformationen zu erhalten, die für eine Identifikation des der IP Adresse zugehörigen Internetnutzers erforderlich sind.
Diese Präzision schließt an ein vorausgehendes Urteil des EuGH vom 24. November 2011 an, in dem der EuGH bereits urteilte, dass es sich bei IP Adressen „um personenbezogene Daten handelt, da sie die genaue Identifizierung der Nutzer ermöglichen.“ Die Entscheidung von 2011 bezog sich allerdings ausschließlich auf den Fall, dass ein Internetzugangsanbieter die IP Adresse speichert und verwertet, ohne jedoch den Fall zu berücksichtigen, in dem Anbieter von Internetdiensten diese Speicherung vornehmen. Der entscheidende Unterschied liegt dabei – wie bereits erwähnt – in der Tatsache, dass ein Zugangsanbieter über die nötigen Zusatzinformationen verfügt, um eine IP Adresse einem bestimmten Nutzer zuzuordnen. Ein Anbieter von Webseiten hingegen kann durch eine IP Adresse allein keine Rückschlüsse auf den konkreten Nutzer ziehen.
Mit seiner kürzlich erlassenen Rechtsprechung, hält der EuGH den restriktiven Standpunkt aufrecht, nachdem eine IP Adresse nur dann als personenbezogenes Datum gilt, wenn sie „in Kombination mit anderen Mitteln, die persönliche Identifizierung des Internetnutzers ermöglicht.“[18]
Die Entscheidung des französischen Kassationsgerichts geht zweifellos in die gleiche Richtung wie das europäische Urteil. Jedoch nur in begrenzter Form. Denn das Kassationsgericht ist in seiner Entscheidung weniger zurückhaltend als der EuGH. In seiner Entscheidung spricht es explizit davon, dass „IP Adressen, die eine indirekte Identifikation einer physischen Person ermöglichen, personenbezogene Daten sind, und somit das Sammeln von IP Adressen eine Verarbeitung personenbezogener Daten darstellt. Die Verarbeitung solcher Daten unterliegt wiederum einer Benachrichtigung der CNIL.“[19] Um eine IP Adresse als ein personenbezogenes Datum zu bezeichnen, ist es laut dem französischen Gericht gerade nicht notwendig über alle Elemente zu verfügen, um die Identität des Nutzers festzustellen. Es reicht vollkommen, dass der Nutzer indirekt festgestellt werden kann.
Das Urteil des Kassationsgerichts kann daher als ein besonders verbraucherschutzfreundliches Urteil aus Sicht der Internetnutzer angesehen werden. Jedenfalls ist es weit mehr im Interesse der Internetnutzer als das europäische Urteil.
[1] IP-Adresse: Bei einer IP-Adresse handelt es sich um eine Adresse in Computernetzen, basierend auf dem Internetprotokoll (IP). Geräte, die an das Netz angebunden sind, bekommen eine IP-Adresse zugewiesen. Dadurch werden die Geräte adressierbar und damit erreichbar.
[2] Kassationsgericht, 1. Zivilkammer, Urteil vom 3. November 2016
[3] Dieses Urteil bezog sich allerdings ausschließlich auf dynamische IP-Adressen: Unter einer dynamischen IP-Adresse versteht man eine IP-Adresse, die sich mit jeder neuen Verbindung an das Internet ändert. Im Gegensatz zu den statischen IP-Adressen, erlauben dynamische IP-Adressen somit keine Identifizierung des Nutzers anhand von öffentlich zugänglichen Informationen. Ausschließlich der Zugangsanbieter verfügt über die notwendigen Elemente zur Identifikation der Internetnutzer hinter dynamischen IP-Adressen.
[4] Info Curia – Rechtsprechung des Gerichtshofs; Patrick Breyer g. Bundesrepublik Deutschland; 19. Oktober 2016. http://curia.europa.eu/juris/document/document.jsf?text=&docid=184668&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1
[5] Kassationsgericht, 1. Zivilkammer, Urteil vom 3. November 2016
[6] Berufungsgericht Rennes, Handelskammer; 28. April 2015; n° 14/05 708
[7] Oberlandgericht Saint Brieuc, 6. September 2007
[8] Berufungsgericht Paris, Chambre correctionnelle, 13, Sektion A, 15. Mai 2007, n° 06/01954
[9] Berufungsgericht Rennes; 3. Kammer, 22. Mai 2008, n° 07/01495
[10] Kassationsgericht, Kammer für Kriminaltaten, 13. Januar 2009, n° des Einspruchs: 08-84088
[11] Staatsrat, Untersektion 9 und 10, 11. März 2015, n° 368624
[13] Idem.
[14] Info Curia – Rechtsprechung des Gerichtshofs; Patrick Breyer g. Bundesrepublik Deutschland; 19. Oktober 2016. http://curia.europa.eu/juris/document/document.jsf?text=&docid=184668&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1
[15] Idem.
[16] Idem.
[17] Idem.
[18] http://lexetius.com/2011,5504; Punkt 51
[19] Kassationsgericht, 1. Zivilkammer, Urteil vom 3. November 2016
Comments