Der Schutz der IP-Adresse im deutschen und europäischen Datenschutzrecht: Zur Auslegung des Begriffs des personenbezogenen Datums [1 ed.] 9783428541102, 9783428141104

Citation preview

Beiträge zum Informationsrecht Band 34

Der Schutz der IP-Adresse im deutschen und europäischen Datenschutzrecht Zur Auslegung des Begriffs des personenbezogenen Datums Von Christina Schmidt-Holtmann

Duncker & Humblot · Berlin

CHRISTINA SCHMIDT-HOLTMANN

Der Schutz der IP-Adresse im deutschen und europäischen Datenschutzrecht

Beiträge zum Informationsrecht Herausgegeben von Prof. Dr. Hansjürgen Garstka, Prof. Dr. Michael Kloepfer, Prof. Dr. Eva Inés Obergfell, Prof. Dr. Friedrich Schoch

Band 34

Der Schutz der IP-Adresse im deutschen und europäischen Datenschutzrecht Zur Auslegung des Begriffs des personenbezogenen Datums

Von Christina Schmidt-Holtmann

Duncker & Humblot · Berlin

Der Fachbereich Rechtswissenschaft der Universität Trier hat diese Arbeit im Jahre 2012 als Dissertation angenommen.

Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

Alle Rechte vorbehalten

© 2014 Duncker & Humblot GmbH, Berlin

Fremddatenübernahme: L101 Mediengestaltung, Berlin Druck: Berliner Buchdruckerei Union GmbH, Berlin Printed in Germany ISSN 1619-3547 ISBN 978-3-428-14110-4 (Print) ISBN 978-3-428-54110-2 (E-Book) ISBN 978-3-428-84110-3 (Print & E-Book) Gedruckt auf alterungsbeständigem (säurefreiem) Papier entsprechend ISO 9706

Internet: http://www.duncker-humblot.de

Vorwort Die vorliegende Arbeit wurde im Wintersemester 2012/2013 vom Fachbereich Rechtswissenschaft der Universität Trier als Dissertation angenommen. Mein Dank gilt meinem Doktorvater, Prof. Dr. Meinhard Schröder, der mir bei der Themensuche und während der Anfertigung meiner Arbeit jederzeit mit Rat zur Seite stand. Danken möchte ich auch Prof. Dr. Gerhard Robbers für die zügige Erstellung des Zweitgutachtens. Gleichzeitig möchte ich mich bei Herrn Thomas Bücheler und beim Team am Lehrstuhl von Prof. Dr. Schröder für die freundschaftliche Unterstützung während der Promotionszeit bedanken. Die Drucklegung wurde unterstützt durch den Wissenschaftspreis des Landesbeauftragten für den Datenschutz und die Informationsfreiheit und durch einen Förderpreis des Freundeskreis Trierer Universität e. V., gestiftet von der Volksbank Trier. Mein besonderer Dank gilt meinen Eltern für ihre uneingeschränkte Unterstützung während meines Studiums und der anschließenden Promotionszeit. Ihnen widme ich diese Arbeit. Berlin, im Februar 2014

Christina Schmidt-Holtmann

Inhaltsverzeichnis A. Einführung in die Thematik und Darstellung der Untersuchung . . . . . . . I. Einführung in die Thematik. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Gang der Untersuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

15 15 19

B. Einführung in die technischen Grundlagen und Regelungsansätze des Datenschutzes im Internet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Technische Grundlagen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. IP-Adresse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Provider . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Access-Provider . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Host-Provider . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Cookies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . d) Logdaten/Logfiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . e) Nutzungsprofile. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Regelungsansätze für das Datenschutzrecht im Internet . . . . . . . . . . . . . . . 1. Staatliche Regulierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Selbstregulierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Stellungnahme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

24 24 24 27 27 28 28 29 29 30 30 32 33

C. Die nationale datenschutzrechtliche Situation in Bezug auf den Schutz von IP-Adressen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Die Behandlung von IP-Adressen im deutschen Recht. . . . . . . . . . . . . . . . 1. IP-Adressen als personenbezogene Daten gemäß § 3 Abs. 1 BDSG? a) Einzelangaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Über persönliche oder sachliche Verhältnisse . . . . . . . . . . . . . . . . . . c) Einer bestimmten oder bestimmbaren Person . . . . . . . . . . . . . . . . . . aa) Bestimmte Person . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . bb) Bestimmbare Person . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (1) Relative Bestimmbarkeit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . (2) Absolute Bestimmbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . (3) Fazit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . cc) Aufhebung der Bestimmtheit oder Bestimmbarkeit?. . . . . . . . (1) Anonyme Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (2) Pseudonyme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (3) Fazit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Schutz von IP-Adressen im TKG und TMG . . . . . . . . . . . . . . . . . . . . . . a) TKG. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

37 37 38 39 40 41 41 42 43 44 45 49 49 51 53 58 58

8

Inhaltsverzeichnis aa) bb) cc) dd) ee)

Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bestands- und Verkehrsdaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bestandsdaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verkehrsdaten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (1) Erlaubnistatbestände nach dem TKG . . . . . . . . . . . . . . . . . . (2) Sonderfall: Vorratsdatenspeicherung . . . . . . . . . . . . . . . . . . . (3) Das Urteil des BVerfG zur Vorratsdatenspeicherung . . . . (a) Kernaussagen des Urteils des BVerfG zur Vorratsdatenspeicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (b) Stellungnahmen des BVerwG und des BGH. . . . . . . . (c) Stellungnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (4) Gesetzgeberischer Wille im Rahmen der § 111, §§ 113a, 113b TKG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) TMG. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . aa) Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . bb) Bestands- und Nutzungsdaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . cc) Erlaubnistatbestände nach dem TMG . . . . . . . . . . . . . . . . . . . . . 3. Weitere einfachrechtliche Vorschriften. . . . . . . . . . . . . . . . . . . . . . . . . . . . a) § 101 UrhG. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) § 100g StPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Beispiele aus der Rechtsprechung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Zur Speicherung einer dynamischen IP-Adresse bei der Nutzung eines Internetportals durch den Webseitenbetreiber . . . . . . . . . . . . . b) Zur Speicherung von IP-Adressen durch den Access-Provider bei sogenannten Flatrate-Verträgen . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Zur Frage nach Auskunftsansprüchen für IP-Adressen . . . . . . . . . . d) Zur Frage nach Verwertungsverboten für IP-Adressen . . . . . . . . . . e) Zur Frage nach einem Anspruch auf Speicherung von IP-Adressen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . D. Europarechtliche Vorgaben für den Datenschutz . . . . . . . . . . . . . . . . . . . . . . I. Sekundärrecht. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Allgemeine Datenschutzrichtlinie RL 95/46/EG. . . . . . . . . . . . . . . . . . . a) Zielsetzung der Richtlinie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Gewährleistungsumfang. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . aa) Grundsätze bei der Verarbeitung personenbezoger Daten . . . . bb) Rechte der von der Verarbeitung personenbezogener Daten Betroffenen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . d) Artikel 29-Gruppe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . aa) Arbeitsdokument Privatsphäre im Internet – Ein integrierter EU-Ansatz zum Online-Datenschutz . . . . . . . . . . . . . . . . . . . . . .

58 59 59 60 62 63 64 65 65 68 69 71 72 73 73 75 77 77 79 80 81 83 86 92 94 97 99 99 100 100 103 106 106 107 107 108

Inhaltsverzeichnis bb) Stellungnahme 2/2002 über die Verwendung eindeutiger Kennungen bei Telekommunikationsendeinrichtungen: das Beispiel IPv6. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . cc) Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (1) „alle Informationen“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (2) „über“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (a) Inhaltselement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (b) Zweckelement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (c) Ergebniselement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (3) „eine bestimmte oder bestimmbare“ . . . . . . . . . . . . . . . . . . (4) „natürliche Person“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . dd) Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ee) Stellungnahme 1/2008 zu Datenschutzfragen im Zusammenhang mit Suchmaschinen . . . . . . . . . . . . . . . . . . . . . . . . . . . . ff) Stellungnahme 2/2008 zur Überprüfung der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . gg) Stellungnahme 1/2009 über die Vorschläge zur Änderung der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) . . . . . . . . . . . . . . . . . . . . . . . . . . . hh) Schlussfolgerung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . e) Umsetzung in anderen EU-Mitgliedstaaten . . . . . . . . . . . . . . . . . . . . f) Reform des Rechtsrahmens zum Schutz personenbezogener Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Datenschutzrichtlinie für elektronische Kommunikation RL 2002/ 58/EG (geändert durch RL 2009/136/EG) . . . . . . . . . . . . . . . . . . . . . . . a) Regelungen in Bezug auf personenbezogene Daten . . . . . . . . . . . . b) Regelungen in Bezug auf Cookies. . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Regelungen in Bezug auf Verkehrsdaten . . . . . . . . . . . . . . . . . . . . . . 3. Richtlinie zur Vorratsdatenspeicherung RL 2006/24/EG . . . . . . . . . . . 4. VO 45/2001/EG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Grundrechtliche Gewährleistungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Die EMRK als völkerrechtlicher Vertrag . . . . . . . . . . . . . . . . . . . . . . b) Die Geltung der EMRK im Rahmen des Unionsrechts . . . . . . . . . c) Gewährleistungen der EMRK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . aa) Art. 8 EMRK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

9

109 110 111 111 111 112 112 112 114 115 115

117

117 118 118 119 121 121 123 124 125 127 128 129 129 129 130 131 132

10

Inhaltsverzeichnis

2. 3. 4.

5.

(1) Persönlicher Schutzumfang . . . . . . . . . . . . . . . . . . . . . . . . . . . (2) Sachlicher Schutzumfang . . . . . . . . . . . . . . . . . . . . . . . . . . . . (a) Achtung des Privatlebens. . . . . . . . . . . . . . . . . . . . . . . . . (b) Achtung der Korrespondenz . . . . . . . . . . . . . . . . . . . . . . (c) Datenschutzrechtliche Rechtsprechung des EGMR . . (aa) Klass und andere ./. Deutschland. . . . . . . . . . . . . (bb) Malone ./. Vereinigtes Königreich . . . . . . . . . . . . (cc) Leander ./. Schweden . . . . . . . . . . . . . . . . . . . . . . . (dd) Gaskin ./. Vereinigtes Königreich . . . . . . . . . . . . (ee) Niemitz ./. Deutschland . . . . . . . . . . . . . . . . . . . . . (ff) Kopp ./. Schweiz . . . . . . . . . . . . . . . . . . . . . . . . . . . (gg) Amann ./. Schweiz . . . . . . . . . . . . . . . . . . . . . . . . . (hh) Rotaru ./. Rumänien . . . . . . . . . . . . . . . . . . . . . . . . (ii) Weber und Saravia ./. Deutschland . . . . . . . . . . . (jj) Copland ./. Vereinigtes Königreich . . . . . . . . . . . (kk) K. U. ./. Finnland. . . . . . . . . . . . . . . . . . . . . . . . . . . (d) Zwischenergebnis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . bb) Art. 10 EMRK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Übereinkommen des Europarates zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten . . . . . . . . . Relevanz der Unionsgrundrechte bei der Auslegung des deutschen Rechts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Allgemeine Rechtsgrundsätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Datenschutzrechtliche Rechtsprechung des EuGH . . . . . . . . . . . . . . aa) Rechtssache Stauder. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . bb) Rechtssache Fisheries and Food . . . . . . . . . . . . . . . . . . . . . . . . . cc) Rechtssache Österreichischer Rundfunk . . . . . . . . . . . . . . . . . . dd) Rechtssache Lindqvist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ee) Rechtssache Fluggastdaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ff) Rechtssache Bavarian Lager . . . . . . . . . . . . . . . . . . . . . . . . . . . . gg) Rechtssache Promusicae . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . hh) Rechtssache Satamedia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ii) Rechtssache Huber (Schlussanträge von GA Poiares Maduro) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . jj) Rechtssache Rijkeboer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . kk) Rechtssache Vorratsdatenspeicherung . . . . . . . . . . . . . . . . . . . . ll) Rechtssache Volker und Markus Schecke GbR. . . . . . . . . . . . mm) Rechtssache Scarlet/SABAM . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Auswertung der Rechtsprechung des EuGH. . . . . . . . . . . . . . . . . . . . Charta der Grundrechte der Europäischen Union . . . . . . . . . . . . . . . . . . a) Verbindlichkeit der Charta der Grundrechte der Europäischen Union . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

132 132 133 136 138 138 138 139 140 141 142 142 143 144 145 146 147 148 150 152 157 158 158 159 159 164 168 169 172 175 175 176 177 178 180 182 183 184

Inhaltsverzeichnis

11

b) Gewährleistungsumfang des Art. 8 GrCh. . . . . . . . . . . . . . . . . . . . . . c) Verhältnis zu den Gewährleistungen der EMRK . . . . . . . . . . . . . . . III. Primärrecht. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Art. 16 AEUV. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Art. 39 EUV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Bestimmung des europäischen Prüfungsmaßstabs (Ergebnis) . . . . . . . . . .

184 188 190 190 192 193

E. Zusammenfassende Bewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196 Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 Sachwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211

Abkürzungsverzeichnis a. A. ABl. Abschn. AG Anm. AöR Art. Aufl. AVR Az. BB Bd. BDSG BerlKomm. BGBl. BGH BMJ BT-Drucks. BVerfG BVerfGE BVerfGG BVerwG CML Rev. CR ders. dies. DSB DuD DVBl. Erl. EG EGMR EGV Einl.

andere Ansicht Amtsblatt der Europäischen Union Abschnitt Amtsgericht Anmerkung Archiv des öffentlichen Rechts Artikel Auflage Archiv des Völkerrechts Aktenzeichen Betriebs-Berater Band Bundesdatenschutzgesetz Berliner Kommentar Bundesgesetzblatt Bundesgerichtshof Bundesministerium der Justiz Bundestagsdrucksache Bundesverfassungsgericht Entscheidungen des Bundesverfassungsgerichts Gesetz über das Bundesverfassungsgericht Bundesverwaltungsgericht Common Market Law Review Computer und Recht derselbe dieselbe Die Zeitschrift für Datenschutzbeauftragte Datenschutz und Datensicherheit Deutsches Verwaltungsblatt Erläuterung Europäische Gemeinschaft Europäischer Gerichtshof für Menschenrechte Vertrag zur Gründung der Europäischen Gemeinschaft (in der Fassung des Vertrages von Nizza) Einleitung

Abkürzungsverzeichnis EMRK EU EuGH EuGRZ EuR EUV EUV a. F. EuZW f. FAZ ff. Fn. FS GA GA GAin gen. GG GrCh Hrsg. Hs. i. d. R. ITRB i. V. m. JA JurisPR-ITR JuS JZ Kap. KJ Komm. K&R LG lit. LS MMR m. w. N. NJW Nr.

13

Europäische Konvention zum Schutze der Menschenrechte und Grundfreiheiten vom 4. November 1950 Europäische Union Europäischer Gerichtshof Europäische Grundrechte-Zeitschrift Europarecht Vertrag über die Europäische Union (in der Fassung des Vertrages von Lissabon) Vertrag über die Europäische Union (in der Fassung des Vertrages von Nizza) Europäische Zeitschrift für Wirtschaftsrecht folgende Frankfurter Allgemeine Zeitung fortfolgende Fußnote Festschrift Generalanwalt Goldammer’s Archiv für Strafrecht Generalanwältin genannt Grundgesetz Charta der Grundrechte der Europäischen Union Herausgeber Halbsatz in der Regel IT-Rechts-Berater in Verbindung mit Juristische Arbeitsblätter Juris Praxisreport IT-Recht Juristische Schulung JuristenZeitung Kapitel Kritische Justiz Kommentar Kommunikation & Recht Landgericht litera (lateinisch für Buchstabe) Leitsatz MultiMedia und Recht mit weiteren Nachweisen Neue Juristische Wochenschrift Nummer

14 NRW NVwZ o. ä. OGH ÖJZ OLG OVG RDV RL Rn. Rs. RStV RuP S. S. s. SA Slg. StGB StPO TDDSG TDSV TKG TMG u. u. a. UrhG UWG VBlBW verb. Rs. VG vgl. VO WP z. B. ZEuS Ziff. ZÖR ZRP ZUM

Abkürzungsverzeichnis Nordrhein-Westfalen Neue Zeitschrift für Verwaltungsrecht oder ähnlich(-e/-em/-en/-es) Oberster Gerichtshof Wien Österreichische Juristen-Zeitung Oberlandesgericht Oberverwaltungsgericht Recht der Datenverarbeitung Richtlinie Randnummer Rechtssache Rundfunkstaatsvertrag Recht und Politik Satz Seite siehe Schlussanträge Sammlung Strafgesetzbuch Strafprozeßordnung Gesetz über den Datenschutz bei Telediensten Telekommunikationsdatenschutzverordnung Telekommunikationsgesetz Telemediengesetz und und andere/unter anderem Gesetz über Urheberrecht und verwandte Schutzrechte Gesetz gegen den unlauteren Wettbewerb Verwaltungsblätter für Baden-Württemberg verbundene Rechtssachen Verwaltungsgericht vergleiche Verordnung Workingpaper zum Beispiel Zeitschrift für europarechtliche Studien Ziffer Zeitschrift für öffentliches Recht Zeitschrift für Rechtspolitik Zeitschrift für Urheber- und Medienrecht

A. Einführung in die Thematik und Darstellung der Untersuchung I. Einführung in die Thematik „Wer nicht mit hinreichender Sicherheit überschauen kann, welche ihn betreffenden Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind, und wer das Wissen möglicher Kommunikationspartner nicht einigermaßen abzuschätzen vermag, kann in seiner Freiheit wesentlich gehemmt werden, aus eigener Selbstbestimmung zu planen oder zu entscheiden. Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß. Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen.“1

Als das Bundesverfassungsgericht im Jahre 1983 diesen Satz im „Volkszählungsurteil“2 formulierte, dachte noch niemand an das Internet und die damit einhergehenden Gefahren für den Datenschutz. Mehr als 25 Jahre später zeigt sich aber, dass das vom Bundesverfassungsgericht beschriebene Szenario, „in [dem] Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß“, durch die automatische Datenverarbeitung im Internet stets aktuell ist und bleiben wird. Wie alltäglich das Internet für die Mehrzahl der Bürger geworden ist, zeigen die aktuellen Zahlen des Statistischen Bundesamts Deutschland3, wonach im Jahre 2009 73% der privaten Haushalte (29 Millionen) über einen Internetanschluss verfügten; im Jahre 2008 waren es lediglich 69% (27 Millionen). Dabei nutzten im ersten Quartal 2009 73% der Gesamtbevölkerung (ab zehn Jahren) das Internet, wobei der Anteil derjenigen, die das Medium täglich oder fast jeden Tag verwenden, davon bei 70% lag.4 1

BVerfGE 65, 1 (43). BVerfGE 65, 1 ff. 3 Statistisches Bundesamt Deutschland, Pressemitteilung Nr. 464 vom 03.12.2009; abrufbar unter: http://www.destatis.de/jetspeed/portal/cms/Sites/desta tis/Internet/DE/Presse/pm/2009/12/PD09__464__IKT.psml. 4 s. Fn. 3. 2

16

A. Einführung in die Thematik und Darstellung der Untersuchung

So nutzen immer mehr Menschen die Vorzüge des Internets, die insbesondere in der schnellen Informationsbeschaffung, den grenzenlosen Kommunikationsmöglichkeiten und im grundsätzlich freien Meinungsaustausch in Foren oder Ähnlichem liegen. Allerdings hinterlassen die Bewegungen im World Wide Web auch Spuren, die es dem Staat und privaten Akteuren ermöglichen, das Nutzungsverhalten Einzelner nachzuvollziehen.5 Anders als beim herkömmlichen Fernmeldenetz, über das die Kommunikation bisher abgewickelt wurde, sind die durch die Internetverbindung entstandenen Daten auch noch nach deren Beendigung verfügbar, da diese an verschiedenen Stellen protokolliert und gespeichert werden. Daraus resultiert die latente Gefahr der Analyse und Zusammenführung der Daten, die wiederum in ihrer Gänze Informationen über den Internetnutzer preisgeben können.6 Sobald ein Internetnutzer online geht hinterlässt er als Spur die IPAdresse des Anschlusses, welche die Grundvoraussetzung für das Surfen im Netz ist.7 Kennt der Staat oder ein Privater die IP-Adresse eines Nutzers, kann er dessen Weg durch das Internet problemlos nachverfolgen. Mithin ermöglicht das Internet das Zugänglichmachen von Daten für die Allgemeinheit in einem zuvor nie gekannten Ausmaß unabhängig von Ort und Zeit.8 Die Fülle an verschiedenen Daten eröffnet die Aussicht auf Informationen über unterschiedlichste Personen, so dass Nutzerprofile erstellt werden können, ohne dass der Betroffene davon Kenntnis erlangt oder gar sein Einverständnis dazu erklärt.9 Zu der Datensammlung im Netz kommt die Möglichkeit der Verknüpfung dieser Daten mit solchen, die außerhalb des Internets erfasst werden. Wegen der Bandbreite der Wege zur Profilerstellung kann am Ende davon gesprochen werden, dass es keine Daten mehr gibt, die ohne Relevanz für den Einzelnen sind, denn die Profilbildung ermöglicht die Rückführung jedes Schrittes auf einen konkreten Anschlussinhaber.10 5

Gartska, in: Schulze/Haddouti, S. 51; Golembiewski, in: Bäumler/von Mutius, S. 110; Kost, KJ 2009, 196 (197); Kotzur, EuGRZ 2011, 105 (106); Kugelmann, EuGRZ 2003, 16 (22); Roßnagel, MMR 2002, 67 (68), Schaar, Datenschutz im Internet, Rn. 32 ff.; ders., Das Ende der Privatsphäre, S. 43; Schmitz, S. 39, 53, 56; Scholz, S. 23; Worms, RuP 2009, 138 (141); Empfehlung Nr. R (99) 5 des Ministerkomitees des Europarates an die Mitgliedstaaten über den Schutz des Privatlebens im Internet. 6 Gartska, in: Schulze-Haddouti, S. 51; Köhler/Arndt/Fetzer, S. 294; Artikel 29Gruppe, WP 37, 5063/2000/DE-ENDG, S. 16. 7 Boehme-Neßler, CyberLaw, S. 292; Golembiewski, in: Bäumler/von Mutius, S. 110; Scholz, S. 33 f. 8 Gartska, in: Schulze-Haddouti, S. 51; Gounalakis/Rhode, Rn. 1. 9 Schmitz, S. 56; Scholz, S. 105. 10 Sachs, S. 38.

I. Einführung in die Thematik

17

Neben der Bildung von Nutzerprofilen besteht auch die Gefahr der sogenannten Geolokalisation durch IP-Adressen. Dabei kann anhand der aus Zahlen zusammengesetzten IP-Adresse eine – zumindest ungefähre – Bestimmung des Rechnerstandortes vorgenommen werden.11 Die räumliche Zuordnung von IP-Adressen findet ihren Ausgangspunkt in den nationalen Vergabemethoden der Schlüssel.12 Die Zuordnung einer bekannten IPAdresse ist dann über eine sogenannte „Who-is-Abfrage“ möglich, die ohne Einwilligung des Nutzers erfolgen kann.13 Einerseits können die durch diese Szenarien ausgelösten Überwachungsängste zur Nicht-Ausübung von grundgesetzlich garantierten Freiheiten, insbesondere der Meinungsfreiheit und Informationsfreiheit aus Art. 5 Abs. 1 S. 1 GG, führen.14 Ist der Nutzer sich sicher, dass nicht jeder seiner Schritte protokoliert wird, so besteht zumindest die Möglichkeit, dass er sich anders – nämlich freier – im Netz bewegt. Datenschutz kann damit als Grundlage für die Freiheitsausübung gesehen werden. Andererseits kann eine Überinterpretation der datenschutzrechtlichen Vorschriften in Konkurrenz zu der Pressefreiheit, Art. 5 Abs. 1 S. 2 GG, der Freiheit der Forschung, Art. 5 Abs. 3 S. 1 GG, und der Wirtschaftsfreiheit, Art. 12 GG, treten.15 Datenschutzbestimmungen sollten daher einen ausgleichenden Rahmen bilden, der auf der einen Seite den Nutzern die Sicherheit gibt, dass ihr Surfverhalten im Netz anonym beziehungsweise nur insoweit aufgedeckt wird, wie sie es selbst zulassen wollen. Auf der anderen Seite muss es Möglichkeiten für den Staat geben, das – häufig als „rechtsfreier Raum“16 bezeichnete – Internet zu regeln und teilweise – insbesondere auch aus sicherheitspolitischen Gründen17 – zu kontrollieren. 11

Backu, ITRB 2009, 88; Hoeren, MMR 2007, 3. Zur genauen Beschreibung der Funktionsweise und Vergabe von IP-Adressen vgl. Backu, ITRB 2009, 88; Hoeren, MMR 2007, 3 (4 f.). 13 Backu, ITRB 2009, 88 (89). Allerdings besteht über die Treffsicherheit dieser Form der Geolokalisation Uneinigkeit, die Backu in seinem Beitrag m. w. N. ebenfalls darstellt. 14 BVerfG 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08 vom 02.03.2010, Rn. 212; Britz, JA 2011, 81 (82); Härting, BB 2009, 744 (745); Roßnagel, in: Roßnagel, 1. Einleitung, Rn. 9; Rudolf, in: Bitburger Gespräche 1999/I, S. 135; Schaar, Datenschutz im Internet, Rn. 145 f.; Schnabel, ZUM 2008, 657. Vgl. etwa zur Informationsfreiheit Tinnefeld/Ehmann/Gerling, S. 84 ff. 15 Vgl. dazu übersichtsartig: Gridl, S. 84 ff. Zur Vertiefung: Eberle, MMR 2008, 508 ff. 16 Vgl. Lischka, Deutsches Internet-Recht, Die Rache des Textmonsters, Spiegel Online vom 13.08.2009, abrufbar unter: http://www.spiegel.de/netzwelt/web/0,1518, 641659,00.html. Dass mit „rechtsfrei“ üblicherweise „gesetzesfrei“ gemeint sei, siehe Schneider, Abschn. O, Rn. 41 f. 17 Schaar, Das Ende der Privatsphäre, S. 98. 12

18

A. Einführung in die Thematik und Darstellung der Untersuchung

Neben dem Staat können aber auch Private die schützenswerten Belange der Internetnutzer beeinträchtigen.18 Dies liegt zum einen darin begründet, dass der Zugang zum Internet nicht in staatlicher Hand liegt, sondern durch Unternehmen der Privatwirtschaft offeriert wird19, die somit unmittelbaren Zugriff auf die durch die Verbindung entstehenden Daten haben. Zum anderen haben die Daten der Internetnutzer einen erheblichen wirtschaftlichen Wert20, da gewisse Daten es beispielsweise ermöglichen, im Internet personalisierte Werbung zu schalten. Um die akute Gefährdungslage in Bezug auf die Speicherung von IPAdressen durch Private an einem praktischen Beispiel zu verdeutlichen, sei auf die Speicherpraxis von Google Inc. hingewiesen.21 Neben der von Internetnutzern meistgebrauchten Suchmaschine Google Search22, bietet der US-amerikanische Großkonzern mittlerweile unter anderem auch ein Email-Programm (Google Mail) und einen eigenen Browser (Google Chrome) an. Trotz technischer Innovationen, die die Handhabung der Internetdienste nutzerfreundlicher gestalten sollen, steht Google Inc. bezüglich des Umgangs mit Nutzerdaten häufig im Kreuzfeuer der Kritik.23 Grund dafür ist die Speicherpraxis des Konzerns, die nur schwerlich mit dem deutschen beziehungsweise europäischen Datenschutzrecht zu vereinbaren scheint. Dass zur Nutzung der Google-Dienste, wie zur Nutzung jedes anderen Internetangebots auch, die Übertragung von IP-Adressen notwendig ist, steht dabei nicht zur Diskussion. Allerdings gelingt es Google Inc. über die Bandbreite seiner Internetangebote, eine Vielzahl von Nutzerdaten zu speichern und Dienste übergreifend zusammenzuführen.24 Bei der Nutzung des Browsers Google Chrome werden beispielsweise die dort 18 Scholz, S. 39 f. Zur grundrechtlichen Gefährdungslage durch Private und dem daraus resultierenden Bedürfnis nach einer Drittwirkung der Grundrechte siehe Jarass, § 12, Rn. 42; Johlen, in: Tettinger/Stern, Art. 8, Rn. 6; Rengeling/Szczekalla, Rn. 684. 19 Boehme-Neßler, CyberLaw, S. 3; Gridl, S. 119; Härting, CR 2008, 743 (747); Kugelmann, EuGRZ 2003, 16 (23). 20 Simitis, in: Datenschutz im Spannungsfeld von Freiheit und Sicherheit, S. 16; Scholz, S. 93. Vgl. für eine ausführliche Darstellung der Daten als wirtschaftliches Gut Dworschak, Der Spiegel 2/2011, S. 114 ff. 21 Zu weiteren Gefährdungsszenarien, die bei der Speicherung von IP-Adressen auftreten können, insbesondere auch bei Google, siehe Heidrich/Wegener, DuD 2010, 172 ff. und Ott, MMR 2009, 448 ff. 22 Vgl. die Zahlen zum Zeitpunkt Juni 2009: http://www.pcgameshardware.de/ aid,692784/Google-bleibt-auch-im-Juni-meist-genutzte-Suchmaschine/Internet/News/. 23 Vgl. hierzu etwa: Ott, MMR 2009, 448 ff.; Pordesch/Seitz/Steffan/Steidle, DuD 2009, 47 ff.; Voigt, MMR 2009, 377 ff. 24 Pordesch/Seitz/Steffan/Steidle, DuD 2009, 47 (50 f.); Voigt, MMR 2009, 377 (378).

II. Gang der Untersuchung

19

gemachten Eingaben zusammen mit der IP-Adresse gespeichert und anschließend auf den Google-Servern abgelegt, wo die Angaben mit aus anderen Google-Diensten gewonnenen Daten zusammengeführt werden können.25 Da die IP-Adresse bei jeglicher Nutzung des Browser übertragen wird26, wird so eine Profilbildung anhand der gespeicherten Daten ermöglicht. Zwar ist eine Deaktivierung der Speicherungspraxis – auf technischen Umwegen – möglich, allerdings geht diese meist mit einer Nutzungsbeeinträchtigung der Google-Dienste einher27, so dass für den Internetnutzer ein Nachteil begründet wird, wenn er auf eine sparsame Datenspeicherung achten möchte. Dieser Problemaufriss zeigt die Relevanz eines wirksamen Schutzes von IP-Adressen während und nach der Internetnutzung. Allerdings ist, wie im Folgenden gezeigt werden soll, bis heute nicht abschließend geklärt, wie diese im Internet generierten Daten wirksam geschützt werden können.

II. Gang der Untersuchung Im Folgenden soll die Frage nach der rechtlichen Klassifizierung von IPAdressen kurz in den Kontext des Datenschutzrechtes eingeordnet und der Gang der sich anschließenden Untersuchung des nationalen und europäischen Rechts28 dargestellt werden. Nach den oben29 aufgeführten Zahlen des Statistischen Bundesamts Deutschland sind drei von vier deutschen Bürgern als Internetnutzer potenziell der Gefahr des Datenmissbrauchs beim Surfen, Email-Schreiben oder ähnlichem ausgesetzt. Um dieser entgegenzuwirken, hat sich das Konzept des Schutzes der personenbezogenen Daten entwickelt und etabliert. Kann ein Datum als personenbezogen qualifiziert werden, eröffnet dies die Anwendbarkeit des Datenschutzrechts. Dabei steht – zumindest nach der deutschen Konzeption, wie sie das Bundesverfassungsgericht im „Volkszählungsurteil“30 entwickelt hat31 – nicht der Schutz der Daten im Vorder25

Ott, MMR 2009, 448 (450 f.); Pordesch/Seitz/Steffan/Steidle, DuD 2009, 47

(48). 26

Vgl. Pordesch/Seitz/Steffan/Steidle, DuD 2009, 47 (49), Tabelle 1. Pordesch/Seitz/Steffan/Steidle, DuD 2009, 47 (50). 28 Vgl. für einen Überblick über die Entwicklung des deutschen und europäischen Datenschutzrechts Rudolf, ZEuS 2003, 217 ff. 29 s. A. I. 30 s. Fn. 2. 31 Zu einem Recht auf informationelle Selbstbestimmung im internationalen Bereich: Gridl, S. 282. 27

20

A. Einführung in die Thematik und Darstellung der Untersuchung

grund, sondern vielmehr der Persönlichkeitsschutz des Einzelnen32, was bereits die Verankerung des informationellen Selbstbestimmungsrechts im Grundgesetz im Rahmen von Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG zum Ausdruck bringt. Aus dieser Konzeption resultiert, dass es unerlässlich ist, den Begriff der personenbezogenen Daten einer umfänglichen Begriffsdefinition zu unterziehen, um den genauen Schutzumfang des Datenschutzrechts bestimmen zu können. Auf den ersten Blick scheint § 3 Abs. 1 BDSG eine solche Definition eindeutig zu liefern, denn er bestimmt, dass „[p]ersonenbezogene Daten [. . .] Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person (Betroffener) [sind]“. Die Frage nach den Anforderungen an die Bestimmbarkeit einer Person wirft dabei in der Praxis die größten Probleme auf. Eine erste Hilfestellung zur Auslegung bietet Art. 2 lit. a) der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr33, auf dem die Legaldefinition des deutschen Datenschutzgesetzes basiert. Danach wird eine Person „als bestimmbar [. . .] angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind“. Eine Anlehnung der Auslegung der Legaldefinition des BDSG an die Richtlinie 95/46/EG ist notwendig, da die Normen des deutschen Datenschutzrechts im Zuge der Richtlinienumsetzung erlassen wurden und so einer richtlinienkonforme Auslegung unterzogen werden müssen.34 Seit geraumer Zeit wird als praktisch relevantes Beispiel zur Auslegung der Bestimmbarkeit und somit zum Gewährleistungsumfang des Schutzes personenbezogener Daten die Diskussion geführt, ob IP-Adressen zur Bestimmbarkeit einer Person führen können.35 Die Lösung dieser Streitfrage 32

Boehme-Neßler, CyberLaw, S. 292; Däubler/Klebe/Wedde/Weichert, BDSG, Einl., Rn. 1; Gartska, in: Schulze-Haddouti, S. 49; Rudolf, ZEuS 2003, 217 (218); Schnabel, ZUM 2008, 657; Siemen, S. 48; Wohlgemuth/Gerloff, S. 7; Yildirim, S. 88. 33 Im Folgenden: RL 95/46/EG oder allgemeine Datenschutzrichtlinie. 34 Kraus, in: Marauhn/Grote, Kap. 3, Rn. 37 ff.; Klug, S. 1. Die richtlinienkonforme Auslegung ergibt sich schon aus dem in Art. 4 Abs. 3 EUV normierten effet utile, wonach dem Unionsrecht die größtmögliche Wirksamkeit zukommen muss. 35 Exemplarisch sollen an dieser Stelle nur die gegensätzlichen Urteile des AG Berlin, Az. 5 C 314/06 vom 27.03.2007 und des AG München, Az. 133 C 5677/08 vom 30.09.2008 genannt sein, die unter C. I. 4. a). näher dargestellt werden.

II. Gang der Untersuchung

21

hat für die Praxis der Anschlussinhaber und der Diensteanbieter erhebliche Auswirkungen. Allein die Anwendung der Vorschriften des BDSG für personenbezogene Daten hätte zur Folge, dass unter anderem die Erhebung, Verarbeitung und Nutzung von IP-Adressen nur zulässig ist, soweit diese gesetzlich erlaubt ist oder der Betroffene in diese eingewilligt hat. Sollte das BDSG anwendbar sein, müssten die Datenverwender ihre Speicherpraxis massiv verändern, da der vom Gesetz vorgesehene Umgang mit personenbezogenen Daten in Bezug auf IP-Adressen momentan kaum eingehalten wird.36 Der Streit um die rechtliche Einordnung von IP-Adressen ist darüber hinaus nicht auf das BDSG beschränkt, sondern dehnt sich auch auf die bereichsspezifischen Datenschutzregelungen aus. Diskutiert wird insbesondere die Klassifizierung von IP-Adressen unter die Tatbestände des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG), so dass sich die folgende Untersuchung nicht auf das BDSG beschränken wird. Um sich dem Begriff der personenbezogenen Daten zu nähern, ist es nicht ausreichend sich alleine auf die Legaldefinition des deutschen Rechts zu beziehen.37 Vielmehr muss wegen des Anwendungsvorrangs des europäischen Rechts die Definition der Richtlinie 95/46/EG und der Einfluss weiterer bereichsspezifischer Datenschutzregelungen in die Beurteilung mit einbezogen werden38, was eine Reihe weiterer Fragestellungen nach sich zieht: So gilt es zu prüfen, ob und wenn ja in welchem Umfang die Richtlinie 95/46/EG dem deutschen Gesetzgeber einen Spielraum in Bezug auf die Umsetzung der Richtlinienvorgaben lässt. Mit der Bestimmung des Umsetzungsspielraumes geht die Frage einher, inwiefern die nationale Legislative bei der Gesetzgebung lediglich an die europäischen Grundrechte gebunden ist, oder ob sie ebenfalls die nationalen Grundrechte beachten muss. Klärungsbedarf besteht weiterhin hinsichtlich der Frage, ob der europäische Grundrechtsstandard eine gewisse Auslegung des Terminus’ der personenbezogenen Daten im Rahmen der Richtlinie 95/46/EG vorgibt. Ob und wenn ja in welchem Umfang der Datenschutz als Unionsgrundrecht gewährleistet wird, ist nicht vollumfänglich geklärt. Als Grundrechts(erkennt36 Vgl. etwa an dieser Stelle zunächst nur den Sachverhalt zur Speicherung von IP-Adressen auf der Homepage des BMJ: AG Berlin-Mitte, Az. 5 C 314/06, Urteil vom 27.03.2007. 37 So aber zum Beispiel Dammann, in: Simitis BDSG, § 3, Rn. 22 ff. 38 Kraus, in: Marauhn/Grote, Kap. 3, Rn. 37 ff.; Tinnefeld, in: Roßnagel, 4.1 Geschützte Daten, Rn. 7.

22

A. Einführung in die Thematik und Darstellung der Untersuchung

nis)quellen kommen insofern die Europäische Konvention zum Schutze der Menschenrechte und Grundfreiheiten vom 4. November 1950 (EMRK) und die Charta der Grundrechte der Europäischen Union (Charta) in Frage. Die grundrechtlichen Gewährleistungen der EMRK sind gemäß Art. 6 Abs. 3 EUV allgemeine Grundsätze des Unionsrechts und stellen somit unmittelbar einen Teil des europäischen Grundrechtskataloges dar.39 Art. 8 Abs. 1 EMRK gewährleistet jeder Person das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung und ihrer Korrespondenz. Zwar kann man dem Wortlaut des Art. 8 Abs. 1 EMRK nicht zwingend ein Grundrecht auf Datenschutz entnehmen, jedoch handelt es sich bei der Konvention um eine sogenannte living constitution, was bedeutet, dass der Europäische Gerichtshof für Menschenrechte (EGMR) bei der Auslegung der Konventionsrechte den Schutz auf neue Gefahrenlagen ausdehnen beziehungsweise auf geänderte Wertevorstellungen reagieren kann.40 So hat der EGMR in einer Reihe von Urteilen den Datenschutz unter Art. 8 Abs. 1 EMRK gefasst. Wie weit dieser Schutz tatsächlich geht, wird zu untersuchen sein, da der EGMR bisher hauptsächlich fallbezogen entschieden hat und daher keine Notwendigkeit für eine abstrakte Schutzbereichsbestimmung bestand. Eine möglichst allgemeingültige Aussage über das Mindestschutzniveau des Art. 8 Abs. 1 EMRK zu treffen, wird daher ein Teil der nachfolgenden Untersuchung sein. Das Grundrechtsniveau der Union wird aber nicht nur durch die EMRK geprägt. Daneben gilt auch die Charta der Grundrechte der Europäischen Union, die seit Inkrafttreten des Vertrags von Lissabon am 1. Dezember 2009 den Rang des verbindlichen Primärrechts erlangt hat, Art. 6 Abs. 1 S. 1 EUV. In Art. 8 Abs. 1 GrCh wird der Schutz der personenbezogenen Daten ausdrücklich formuliert: „Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.“ Inwieweit die Definitionen der personenbezogenen Daten im Rahmen der Charta und der Richtlinie 95/46/EG 39 In Art. 6 Abs. 2 S. 1 EUV ist mittlerweile vorgesehen, dass die Europäische Union der EMRK beitritt. Dieser primärrechtlichen Vorschrift bedurfte es nach einem Gutachten des EuGH zum EMRK-Beitritt (EuGH Slg. 1996, I-1759). Zudem mussten die Voraussetzungen der EMRK geändert werden, da diese zunächst nur einen Beitritt für Staaten und nicht für internationale Organisationen vorsah. Durch das Zusatzprotokoll Nr. 14 vom 13.05.2004 wird der Union nunmehr der Beitritt ermöglicht. Mittlerweile hat auch Russland das Zusatzprotokoll Nr. 14 ratifiziert, so dass dieses am 01.06.2010 in Kraft getreten ist. (Vgl. zum Stand der Ratifikation: http://conventions.coe.int/Treaty/Commun/ChercheSig.asp?NT=194&CM=7&DF=& CL=GER). 40 Meyer-Ladewig, Einl., Rn. 32.

II. Gang der Untersuchung

23

differieren oder gar deckungsgleich sind, ist noch nicht umfänglich geklärt und im Gang der Untersuchung daher unerlässlich zu diskutieren. An die Bestimmung der Schutzbereiche schließt sich zwingend die Frage an, in welchem Verhältnis die Gewährleistungen der EMRK zu denen der Charta stehen. Dies ist vor allem davon abhängig, welche Gewährleistung weiter gefasst ist. Am Ende der Bearbeitung steht eine Auslegung des Begriffs der personenbezogenen Daten, der mit den unterschiedlichen aufgeführten Prüfungsmaßstäben zu vereinbaren ist.

B. Einführung in die technischen Grundlagen und Regelungsansätze des Datenschutzes im Internet Zum besseren Verständnis des Themenfeldes ist es unerlässlich, eine kurze Einführung in die technischen Begrifflichkeiten zu geben, die im Laufe der Bearbeitung relevant sein werden. Des Weiteren soll der Regelungsansatz, der im deutschen Datenschutzrecht – bezogen auf das Internet – im Gegensatz zum angloamerikanischen Recht verfolgt wird, in der gebotenen Kürze dargestellt werden.

I. Technische Grundlagen Die rechtliche Katalogisierung von IP-Adressen kann nur dann erfolgen, wenn erkennbar ist, welchen Einfluss dieses Datum beim Surfen im Internet hat und welche Informationen über den Anschlussinhaber aus der Adresse abgelesen werden können. Darüber hinaus wird im Laufe der Untersuchung neben den IP-Adressen auch noch auf bestimmte andere technische Begriffe Bezug genommen, die zum besseren Verständnis vorab kurz erläutert werden sollen.41 1. IP-Adresse Die Abkürzung IP-Adresse steht für den Begriff der InternetprotokollAdresse. Darunter versteht man eine Nummer, die entweder einem bestimmten Anschluss bei der Einwahl in das Internet fest zugeordnet ist (statische IP-Adresse) oder die von dem jeweiligen Access-Provider bei jeder Einwahl des Anschlussinhabers neu vergeben wird (dynamische IP-Adresse). Ob im Einzelfall eine statische oder dynamische IP-Adresse für die Internetnutzung zugewiesen wird, hängt von dem Kontingent der zur Verfügung stehenden Adress-Kombinationen ab. Üblicherweise werden privaten Anschlussinhabern jedoch dynamische IP-Adressen zur Verfügung gestellt.

41 Die folgenden Ausführungen sollen nur einen groben Überblick über die technischen Begriffe geben. Sie erheben keinen Anspruch auf Vollständigkeit. Zu weiterführenden Erläuterungen siehe Schmitz, S. 24 ff.

I. Technische Grundlagen

25

Zwar ist theoretisch eine Differenzierung zwischen statischen und dynamischen IP-Adressen möglich, praktisch kann man allerdings anhand der bloßen Adresse nicht erkennen, unter welche der genannten Kategorien das Datum fällt.42 Die IP-Adresse ermöglicht es, jedem Rechner eine eindeutige Adresse zuzuordnen, sei es auch nur in Bezug auf den bestimmten Zeitraum der tatsächlichen Internetnutzung, wie es bei den dynamischen IP-Adressen der Fall ist.43 Sie ist damit Grundvoraussetzung für die Kommunikation im Internet, das ein globales Rechnernetzwerk darstellt, in dem mehrere Subnetzwerke über das Internetprotokoll TCP/IP (Übertragungs-/Internetprotokoll) miteinander verbunden sind.44 Das Internet dient als technischer Rahmen für die Datenübermittlung von einem Absender zu einem Empfänger. Ohne die IP-Adresse wäre eine Übermittlung von Datenpakten vom Absender an den Empfänger nicht möglich, da die jeweiligen Rechner, die an der Datenübermittlung teilnehmen sollen, nicht identifiziert werden könnten. Demnach ist es für den Einzelnen unumgänglich, dass ihm eine IP-Adresse zugewiesen wird, sofern er das Medium Internet nutzen will. Bei jeder Abfrage von Inhalten im Netz hinterlässt der Nutzer wegen der Übermittlung der IP-Adresse Datenspuren, die dann durch technische Mittel erhoben, gespeichert und verwendet werden können.45 Anhand der vollständigen IP-Adresse kann man sowohl die Netz- als auch die Rechneradresse des betreffenden Zugangs ablesen.46 Wird ein Rechner genutzt, der fest, also statisch, mit dem Internet verbunden ist, so identifiziert die IP-Adresse genau diesen Rechner. Der beschriebene Zugangsweg steht wegen des begrenzten Kontingents an Adressen hauptsächlich nur großen Unternehmen oder Universitäten mit eigenen Rechenzentren zur Verfügung. Privatpersonen nutzen hingegen meist eine andere Zugangsweise: Sie wählen sich über einen Access-Provider ein, der dem Anschlussinhaber eine IP-Adresse zuweist, so dass die IP-Adresse auf den Rechner des Providers verweist. Bei jeder neuen Einwahl in das Internet bekommt der Anschlussinhaber dann eine neue IP-Adresse von seinem Provider zugeordnet (dynamische IP-Adresse). Anhand der beim Provider gespeicherten Verbindungsdaten wie Datum und Uhrzeit der Einwahl ist es diesem möglich, die zu einem bestimmten Zeitpunkt verwendete IP-Adresse einem bestimmten 42 43 44 45 46

Heidrich/Wegener, DuD 2010, 172 (174). Ghersi/Lee/Karadagi, S. 108. Ghersi/Lee/Karadagi, S. 101. Schmitz, S. 56, 58. Hinner, S. 196.

26

B. Einführung in die technischen Grundlagen des Datenschutzes im Internet

Anschlussinhaber aus seinem Kundenstamm zuzuordnen und den Nutzer dadurch zu identifizieren. Momentan stehen zwei Versionen von IP-Adressen – unabhängig davon ob diese statisch oder dynamisch vergeben werden – zur Verfügung: Die Internet Protocol Version 4 (IPv4) und die Internet Protocol Version 6 (IPv6). Erstere ist noch die geläufigere, wobei bei dieser Version das Problem der Endlichkeit besteht, denn IPv4-Adressen bestehen lediglich aus 32 Bits47, so dass im Rahmen dieses Protokolltyps knapp über vier Milliarden verfügbare Adressen vergeben werden können.48 Die Darstellung der Adressen erfolgt durch die Angabe der Bytes49 im Bereich von 0 bis 255, die in vier Blöcke eingeteilt sind (z. B.: 193.134.1.20).50 Anfang 2011 teilte die oberste Vergabestelle für IP-Adressen, die IANA51, mit, dass alle verfügbaren IPv4-Adressen vergeben wurden, mithin die Endlichkeit der Adressen erreicht wurde.52 Die mittlerweile erreichte Komplettvergabe des alten IPv4-Adressenkontingents führt zur Einführung eines modifizierten Protokolls: Die neuere Internet Protocol Version IPv6 besteht nunmehr aus 128 Bit, so dass 25616 Adressen53 darstellbar sind und vergeben werden können.54 Mithin bestünde mit der endgültigen Einführung der neuen Protokoll-Version die Möglichkeit, dass jedem Anschlussinhaber eine eigene, persönliche und unabänderliche IP-Adresse zugewiesen wird, die auf Dauer besteht.55 Insofern wird im Zuge der Einführung der neuen Protokollversion bereits von einer „Renaissance der statischen IP-Adressen“56 gesprochen, da die dynamische Zuweisung angesichts der unendlichen Vergabemöglichkeiten obsolet erscheint. 47 Ein Bit ist die kleinste (Speicher-)Einheit in der Informatik. Als Binärziffer kann es zwei Zustände annehmen – den Wert 0 oder 1. Durch die Kombination (das Aneinanderreihen) von x Bits können 2x Zustände dargestellt werden. Mit 32 Bit sind somit 232 Zustände bzw. IP-Adressen möglich. 48 Hinner, S. 201. 49 Ein Byte ist eine Speicher- bzw. Datenmenge in der Informatik. Es entspricht acht Bits und ermöglicht folglich die Darstellung von 28 bzw. 256 Zuständen (Zustand 0 bis 255). Durch das Aneinaderreihen von 4 Bytes, wie es beispielweise bei IP-Adressen unter IPv4 der Fall ist, können 32 Bit dargestellt werden. 50 s. Fn. 48. 51 The Internet Assigned Numbers Authority. 52 Vgl. dpa-Mitteilung unter http://www.spiegel.de/netzwelt/web/0,1518,743393, 00.html (zuletzt abgerufen am: 26.04.2012); Wegener/Heidrich, CR 2011, 479. 53 Dies entspricht 340 Sextillionen Adressen. 54 Hinner, S. 202; Wegener/Heidrich, CR 2011, 479. 55 Hoeren, ZRP 2010, 251 (253); Freund/Schnabel, MMR 2011, 495; Wiese, in: Bäumler, S. 18. 56 Schaar, Datenschutz im Internet, Rn. 176.

I. Technische Grundlagen

27

Die IPv6-Adresse besteht aus zwei Teilen: der vordere Teil, das sogenannte Präfix, wird durch die Provider vergeben, während der hintere Teil der Adresse (Interface Identifier) gerätespezifisch angelegt ist, was dazu führt, dass dieser durch den Anschlussinhaber oder durch das Gerät selbst bestimmt wird.57 Da die Gerätenummer dem Gerät dauerhaft zugeordnet ist, bedeutet dies, dass der Interface Indentifier der IP-Adresse dauerhaft derselbe ist und somit einen statischen Teil darstellt, auch wenn das Präfix durch den Provider dynamisch vergeben werden kann.58 Eine rein dynamische IP-Adresse kann es nach der Einführung des IPv6-Standards nicht mehr geben. Da die Internet Protocol Version IPv6 noch nicht vollständig einsatzfähig ist59, wird momentan noch hauptsächlich die Vorgängerversion IPv4 genutzt, jedoch ist eine alsbaldige60 Umstellung auf die neue Protokollversion unumgänglich. 2. Provider Provider ist die englische Bezeichnung für Anbieter oder Dienstleister. Dabei wird in Bezug auf das Internet zwischen dem Access-Provider und Host-Provider unterschieden.61 a) Access-Provider Der Access-Provider vermittelt dem Internetnutzer den Zugang zum Netz.62 Jeder Zugangsanbieter hat einen gewissen Pool an IP-Adressen, aus dem er diese dann dynamisch an seine Kunden vergeben kann. Da nie alle Anschlussinhaber des gleichen Dienstleisters online gehen werden, ist es nicht notwendig, dass für jeden Kunden auf Dauer eine eigene IP-Adresse zur Verfügung gestellt wird. Diese Vorgehensweise hat die praktische Konsequenz, dass ein und dieselbe IP-Adresse am selben Tag unterschiedlichen Nutzern mehrfach zugewiesen werden kann. 57

Probst, DSB 2/2011, 10. Wegener/Heidrich, CR 2011, 479 (483 f.). 59 Vgl. dpa-Mitteilung unter http://www.spiegel.de/netzwelt/web/0,1518,743393, 00.html (zuletzt abgerufen am: 26.04.2012). 60 Die Deutsche Telekom will als großer Access-Provider Ende 2011 damit beginnen, IPv6-Adressen an Privatkunden zu vergeben; siehe hierzu http://www.spie gel.de/netzwelt/web/0,1518,743393,00.html (zuletzt abgerufen am: 26.04.2012). Siehe auch Probst, DSB 2/2011, 10; Wegener/Heidrich, CR 2011, 479. 61 Hinner, S. 293. 62 Ghersi/Lee/Karadagi, S. 101. 58

28

B. Einführung in die technischen Grundlagen des Datenschutzes im Internet

b) Host-Provider Unter einem Host-Provider versteht man einen Internetdiensteanbieter63, der Plattformen64 anbietet, auf denen sich der Internetnutzer aktiv beteiligen beziehungsweise diese nutzen kann, um beispielsweise Informationen abzurufen. Während der Inanspruchnahme der Dienste des Host-Providers kann dieser die IP-Adressen des Anschlussinhabers erkennen (und gegebenenfalls speichern, um sie zu einem späteren Zeitpunkt zu übermitteln oder anderweitig zu verwenden).65 Die Speicherung der IP-Adresse während des Nutzungsvorganges ermöglicht es dem Host-Provider, das Surfverhalten seiner Besucher auszuwerten, da erkennbar wird, wie und wo sich der Nutzer auf der Seite bewegt und wie lange er sich dort aufgehalten hat. c) Cookies Textdateien, die von einem Provider auf dem Rechner des Nutzers abgelegt werden, um Informationen über diesen zu sammeln, nennt man Cookies. Zu den gesammelten Informationen gehören beispielsweise Benutzername und Passwort des Surfers oder zuletzt besuchte Homepages.66 Cookies sollen dazu dienen, den Nutzer bei einer späteren Anwendung des gleichen Dienstes wiederzuerkennen und ihm mit den gespeicherten Daten die Anwendung zu erleichtern.67 Erkennt der Server einen Nutzer, so kann er auf die im dazugehörigen Cookie abgelegten Daten zurückgreifen, so dass der Nutzer nicht alle (persönlichen) Angaben über die Eingabemaske wiederholen muss. Der Nutzer kann theoretisch selbst darüber entscheiden, ob er möchte, dass Cookies gespeichert werden. Allerdings sind die meisten Browser vorab darauf eingestellt, Cookies zu speichern, ohne dass viele Anwender wüssten, dass und wie man die automatische Speicherung verhindern beziehungsweise rückgängig machen kann.68 In einem Cookie wird regelmäßig eine Identifikationsnummer (Kennung) gespeichert, die bei wiederholten Nutzungsvorgängen (unbemerkt) an den Anbieter übertragen wird und von diesem ausgewertet werden kann. So 63

Ghersi/Lee/Karadagi, S. 92. Zur Verdeutlichung sei beispielsweise das zur Verfügung stellen eines EmailServices im Internet genannt. 65 Einen Überblick über die Arbeit eines Host-Providers bietet Tomik, FAZ Nr. 50 vom 01.03.2010, S. 2. 66 Gäbler, S. 44. 67 Hinner, S. 87; Koch, S. 934; Wiese, in: Bäumler, S. 13. 68 s. Fn. 66. 64

I. Technische Grundlagen

29

wird es dem Provider unter anderem ermöglicht, sich über das Surfverhalten des Nutzers zu informieren.69 Cookies versuchen somit das Defizit der Server auszugleichen, die unterschiedlichen Nutzer und ihr Surfverhalten nicht wiedererkennen zu können.70 d) Logdaten/Logfiles Logdaten beziehungsweise Logfiles bezeichnen Dateien, in denen alle Zugriffe auf eine Webseite durch den Host-Provider protokolliert werden.71 Dabei werden ebenfalls Uhrzeit, Dauer und Abfolge des Webseitenbesuches gespeichert, so dass am Ende der Verbindung ein Verhaltensprofil des Nutzers für den speichernden Provider verfügbar ist. Daraus können dann nicht nur Rückschlüsse auf Verkehrsdaten gezogen werden, sondern auch auf den Inhalt der Internetnutzung.72 Häufig wird in den Logfiles auch die IPAdresse des Anschlussinhabers gespeichert.73 Ansonsten kann eine Zuordnung oder Identifizierung der Logdaten auch durch andere persönliche Kennungen wie einen Benutzernamen oder ähnliches erfolgen. e) Nutzungsprofile Werden die Logdaten desselben Nutzers von verschiedenen Seitenaufrufen zusammengeführt, so entstehen so genannte Nutzungsprofile.74 Diese Zusammenführung von Logdaten bietet sich insbesondere dann an, wenn ein Host-Provider (wie beispielsweise Google Inc.) mehrere Dienstangebote unterhält und somit Logdaten in unterschiedlichen Bereichen sammeln und speichern kann. Auf diese Weise können nicht nur Verbindungsdaten gespeichert werden, sondern auch die vom Nutzer auf der Homepage abgerufenen Inhalte. Um aus Logdaten ein Nutzungsprofil erstellen zu können, müssen diese jedoch einen eindeutigen nutzerspezifischen Wert, den so genannten Identifikator, enthalten.75 Unter diesem Wert werden dann sämtliche Logdaten eines Nutzers zusammengefasst, um eine Zuordnung der Daten zu gewährleisten. Als Identifikator kann beispielsweise die IP-Adresse des Anschluss69 70 71 72 73 74 75

s. Fn. 67. Hobert, S. 71. Schleipfer, RDV 2008, 143. Zöller, GA 2007, 393 (407). Sachs, S. 40. Schaar, Datenschutz im Internet, Rn. 36; Schmitz, S. 56. s. Fn. 71.

30

B. Einführung in die technischen Grundlagen des Datenschutzes im Internet

inhabers dienen. Darüber hinaus kommt als Identifikator aber auch die Email-Adresse oder gar der Name des Nutzers in Betracht, wenn dieser eingegeben wird. Nutzungsprofile haben einen hohen wirtschaftlichen Wert, denn anhand der dort gespeicherten Informationen kann das Surfverhalten des Nutzers verfolgt beziehungsweise analysiert werden.76 Nach Auswertung der Nutzungsprofile können Host-Provider dann beispielsweise nutzerspezifische Direktwerbung erstellen, für die werbende Firmen bereit sind zu zahlen.77

II. Regelungsansätze für das Datenschutzrecht im Internet Sobald über Datenschutz im Internet diskutiert wird, steht die Frage im Raum, wie dieser am effektivsten gewährleistet werden kann. Anders als bei Datenschutzproblemen, die außerhalb des Internets auftreten, sind die fraglichen Daten einem globalen Zugriff von Unternehmen, Behörden oder privaten Nutzern ausgesetzt.78 Dabei stellt sich die rechtliche Problematik, wie die Daten, die weltweit verarbeitet, genutzt oder gespeichert werden können, einem möglichst einheitlichen Schutzniveau zugeführt werden können. Zur Lösung dieser systemimmanenten Problematik kann sowohl der Weg der staatlichen Regulierung als auch der der Selbstregulierung beschritten werden. Die dabei vertretenen Lösungsansätze könnten jedoch unterschiedlicher nicht sein.79 Vertreter, die ihre Wurzeln im kontinentaleuropäischen Recht haben, sehen als einzig wirksame Möglichkeit zur Durchsetzung von Datenschutzstandards die staatliche Regulierung durch Gesetze. Dem stehen die Verfechter der Selbstregulierung gegenüber, die ihren Ursprung meist im angloamerikanischen Rechtskreis haben. 1. Staatliche Regulierung Die Grundidee der Gewährleistung des Datenschutzrechtes durch staatliche Regulierung ist, dass nur verbindliche Normen das Fundament für ein einheitliches Schutzniveau für die in Rede stehenden Daten bilden können. 76 Hobert, S. 56 f., 186; Köhler/Arndt/Fetzer, S. 294, 296; Scholz, S. 94 f.; Wiese, in: Bäumler, S. 12. 77 Grimm, in: Roßnagel/Banzhaf/Grimm, S. 55; Hobert, S. 57; Köhler/Arndt/Fetzer, S. 295. 78 Schaar, Datenschutz im Internet, Rn. 71. 79 Vgl. zur Übersicht Boehme-Neßler, CyberLaw, S. 286 ff.; Kost, KJ 2009, 196 (198 ff.); Roßnagel, MMR 2002, 67 (68 ff.).

II. Regelungsansätze für das Datenschutzrecht im Internet

31

In diesem Rahmen stellt sich jedoch zum einen die Frage, wer Adressat der staatlichen Regulierung des Datenschutzrechtes sein kann, also durch diese gebunden wird, und zum anderen, worin die Vor- und Nachteile eines solchen Lösungsmodells liegen können. Selbstverständlich ist, dass die staatliche Regulierung zwingend für die Datenverarbeitung durch den Staat selbst zum Tragen kommen muss.80 Hier ist eine Selbstregulierung per se ausgeschlossen. Der staatlichen Regulierung steht jedoch dann der Alternative der Selbstregulierung gegenüber, wenn auf der Seite des Datenverwenders nicht der Staat selbst, sondern ein privatwirtschaftliches Unternehmen steht, so dass sich die aufgeworfene Frage stellt, welchem Modell der Vorzug zu erteilen ist. Der Vorteil einer staatlichen Regulierung des Datenschutzes liegt auf der Hand: Sowohl für alle Datenverwender als auch für die betroffenen Personen gelten dieselben Vorschriften, so dass ein gleichmäßiges Schutzniveau für sämtliche Vorgänge der Datenverarbeitung gewährleistet werden kann. Dies geschieht beispielsweise unabhängig davon, welche Marktmacht der Datenverwender inne hat oder wie technisch versiert der von der Datenverwendung Betroffene ist. Es kommt für die Sicherung eines einheitlichen Danteschutzstandards somit nicht auf die Kenntnisse der an der Datenverarbeitung Beteiligten an, sondern der Staat bestimmt das Schutzniveau unter Wahrung der unterschiedlichen Interessen. Jedoch ist das Internet kein bloß nationales, sondern ein globales Phänomen81, das unabhängig von Ort und Zeit ein Meer an Informationen bereithält82. Dies hat zur Folge, dass die nationalstaatliche Gesetzgebung naturgemäß an ihre Grenzen stößt, weil diese unter anderem durch das völkerrechtliche Territorialitätsprinzip beschränkt wird.83 Der einzelne Staat hat demnach grundsätzlich nur die Gesetzgebungshoheit für sein Staatsgebiet. Da Internetnutzer wegen der Grenzenlosigkeit des Internets auch mit global agierenden Unternehmen in Kontakt treten, die ihren Sitz oder ihre Server in jedem beliebigen Land auf der Welt haben können, ist nicht gewährleistet, dass diese an das deutsche Datenschutzrecht gebunden sind. 80

Gridl, S. 289. Boehme-Neßler, MMR 2009, 439 (442); Darnstädt/Hornig/Müller/Rosenbach/ Schmundt, Der Spiegel 33/2009, S. 68 (74); Kost, KJ 2009, 196; Sachs, S. 81; Roßnagel, MMR 2002, 67 (68); Schaar, Datenschutz im Internet, Rn. 71; Scholz, S. 36; Uerpmann-Wittzack, AVR Bd. 47 (2009), 261. 82 Gartska, in: Schulze/Haddouti, S. 51. 83 Bergmann, S. 26; Herdegen, Völkerrecht, § 26, Rn. 2, 4; Schaar, Datenschutz im Internet, Rn. 74. 81

32

B. Einführung in die technischen Grundlagen des Datenschutzes im Internet

Die einzige Möglichkeit, einen einheitlich bindenden Schutz für alle Datenverwender zu erlangen, wäre die Installierung eines für alle Staaten verbindlichen völkerrechtlichen Datenschutzabkommens84, das etwa Fragen, wie die der Notwendigkeit einer Einwilligung des von der Datenverarbeitung Betroffenen, regelt. Ein solches Übereinkommen ist momentan jedoch nicht absehbar85, so dass eine Schutzlücke besteht. 2. Selbstregulierung Das System der Selbstregulierung ist das Gegenkonzept zur staatlichen Regulierung des Datenschutzes. Dabei werden zwei Arten von möglichen Datenschutzregelungen ohne staatliche Beteiligung diskutiert: Auf der einen Seite kann auf das Prinzip der so genannten Eigenregulierung zurückgegriffen werden. Danach besteht die Möglichkeit, dass sich private Datenverwender, wie beispielsweise große Wirtschaftsunternehmen, selbst Regeln im Wege einer Selbstverpflichtung auferlegen, die dem Kunden ein gewisses Niveau an Datensicherheit garantieren sollen. Auf der anderen Seite können Datenverwender und von der Verwendung Betroffene Parteivereinbarungen schließen, in denen im gegenseitigen Einverständnis über die Verwendung der Daten bestimmt wird. Diese können unter Umständen auch eine Reglung darüber beinhalten, ob und wenn ja welche Gegenleistung zur Verwendung von Daten erbracht werden muss. Parteivereinbarungen zwischen Netznutzern und Datenverarbeitenden sowie Eigenregulierungen folgen dabei ebenfalls der Struktur einer öffentlichrechtlichen Norm, nämlich der Unterscheidung zwischen Voraussetzungen zur Anwendbarkeit der Regelung und deren Rechtsfolge.86 Der wesentliche Unterschied und gleichzeitige Hauptvorteil des Konzepts der Selbstregulierung ist hingegen, dass Selbstverpflichtungen und Parteivereinbarungen ungeachtet nationalstaatlicher Grenzen Geltung zwischen den Beteiligten erlangen können, denn das Territorialitätsprinzip findet unter Privaten keine Beachtung. Im Idealfall können gut ausgearbeitete Datenschutzbestimmungen oder Vereinbarungen zu einem Wettbewerbsvorteil für die Anbieter von Tele84 Gridl, S. 299; Scholz, S. 37; Uerpmann-Wittzack, AVR Bd. 47 (2009), 261 (262 f.). 85 Erste Ansätze eines grenzüberschreitenden Schutzes personenbezogener Daten zeigt aber das Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten vom 28. Januar 1981, das im Rahmen des Europarates ausgehandelt wurde. 86 Sachs, S. 100.

II. Regelungsansätze für das Datenschutzrecht im Internet

33

kommunikationsleistungen oder sonstigen Internetangeboten führen87, so dass sich ein Wettbewerb um das höchste Datenschutzniveau entwickelt. Selbstverständlich setzt dies aber den bewussten Umgang der von der Datenverarbeitung Betroffenen mit ihren Daten voraus. Im Gegensatz zur staatlichen Regulierung können, insbesondere bei der Möglichkeit der Parteivereinbarung, die Wünsche der Betroffenen an ein nach ihrem Empfinden ideales Datenschutzniveau berücksichtigt werden.88 Dabei ist zu beachten, dass der Einzelne durchaus ein unterschiedliches Schutzbedürfnis für seine Daten haben kann, dem durch die Gewährung von Parteiautonomie Rechnung getragen werden kann. Ein weiterer Vorteil der Datenverarbeitung besteht darin, dass die Datenverwender die selbst erstellten Regularien unmittelbar an technische Neuerungen anpassen können. Im Gegensatz dazu handelt der Gesetzgeber meist nur reaktiv, ohne selbst vorausschauend Regelungen zu treffen. Dies liegt vor allem darin begründet, dass die tatsächlich an der Datenverarbeitung Beteiligten meist über ein größeres technisches Know-how verfügen als der staatliche Regulierer.89 Dabei zeigt sich auch das aus anderen Zusammenhängen90 bekannte Problem, dass der Gesetzgeber häufig bloß auf neue Entwicklungen beziehungsweise geschaffene Tatsachen der Wirtschaft reagiert, da er meist nicht die Fähigkeit besitzt, innovative Technologien vorherzusehen oder gar einzuleiten. 3. Stellungnahme Zu klären bleibt demnach die Frage, welches der dargestellten Konzepte für einen effektiven Datenschutz besser geeignet ist. Dabei ist zu beobachten, dass die Grenzen der Ansichten immer weniger trennscharf verlaufen, insbesondere wenn es um die datenschutzrechtliche Entwicklung im Bereich des Internets geht. Grund dafür ist, dass die Konzepte kaum mehr in ihrer Reinform umgesetzt werden, sondern Elemente der Selbstregulierung auch im Rahmen der staatlichen Regulierung zu finden sind und umgekehrt. 87 Stellungnahme des Europäischen Datenschutzbeauftragten, ABl. C 255/9, Rn. 65 vom 27.10.2007. 88 Sachs, S. 78 f. 89 Gridl, S. 299; Sachs, S. 81. 90 Unter diesem Gesichtspunkt brisante Felder stellen etwa auch die Fragen nach den Grenzen der medizinischen Forschung dar oder nach den Möglichkeiten der Bekämpfung der sich stetig wandelnden Terrorismusbedrohung. Hier reagiert der Staat üblicherweise nur auf neue Entwicklungen und Potenziale der Forschung oder neue Gefahrenlagen. Zur Kurzlebigkeit datenschutzrechtlicher Regelungen siehe auch Simitis, in: Datenschutz im Spannungsfeld von Freiheit und Sicherheit, S. 24 f.

34

B. Einführung in die technischen Grundlagen des Datenschutzes im Internet

In Deutschland und Europa, wo grundsätzlich das Konzept der staatlichen Regulierung verfolgt wird, werden beispielsweise mittlerweile Datenschutzstandards auch dadurch gewahrt, dass die privaten Akteure im Netz untereinander Vereinbarungen treffen, die den Umgang mit ihren personenbezogenen Daten bestimmen sollen.91 Vor allem kommt es zu Vereinbarungen, die den Zweckbindungsgrundsatz lockern92, wonach an sich personenbezogene Daten nur für bestimmte von vorneherein (das heißt bei der Erhebung) feststehende Zwecke verwendet werden dürfen.93 Die Rechtfertigung dieses Grundsatzes liegt darin, dass der Betroffene ab dem frühestmöglichen Zeitpunkt der Datenverarbeitung über deren Ausmaß informiert sein muss, um die Risiken der Speicherung und Verwendung abzuschätzen, um davon gegebenenfalls seine Einwilligung abhängig machen zu können.94 Da der Zweckbindungsgrundsatz zu einer starken Einschränkung der Datenverwendung führt, haben die Datenverwender ein großes Interesse an der Abmilderung dieser strikten Regelung. Dieses Beispiel zeigt, dass der Datenschutz nicht mehr nur vertikal (Staat-Bürger), sondern auch auf horizontaler Ebene (zwischen Privaten) geregelt wird. Mit dieser sich momentan immer stärker etablierenden Praxis wird ein sinnvoller Mittelweg beschritten: Eine bloße Selbstregulierung würde zu kurz greifen, denn gesetzliche Regelungen, die einen Mindeststandard an Datenschutz setzen, sind zwingend erforderlich und unverzichtbar. Viele Internetdienstanbieter haben eine solche Marktmacht inne, dass ohne gesetzliche Regelungen die Gefahr bestünde, dass diese ausgenutzt würde. Diensteanbieter könnten Nutzern ihrer Angebote schwache Datenschutzregelungen aufzwingen, ohne dass diese aufgrund der Marktmacht eine äquivalente Wechselmöglichkeit hätten. Eine freie Entscheidung über die Wahrnehmung des Angebotes wäre somit kaum möglich, will der von der Datenverwendung Betroffene nicht vollkommen auf den angebotenen Dienst verzichten. So verbietet zum Beispiel das in § 12 Abs. 3 TMG statuierte Kopplungsverbot, dass Diensteanbieter die Bereitstellung von Telemedien davon abhängig machen dürfen, dass der Nutzer in eine Verwendung seiner Daten 91

Sachs, S. 4, 129. Sachs, S. 151. 93 Däubler/Klebe/Wedde/Weichert, BDSG, Einl., Rn. 17; Köhler/Arndt/Fetzer, S. 298. Der Zweckbindungsgrundsatz ergibt sich aus den europarechtlichen Vorgaben des Art. 6 Abs. 1 lit. b) RL 95/46/EG. Ausdrücklich wird er hingegen im BDSG nicht geregelt, allerdings finden sich in vereinzelten Vorschriften Hinweise beziehungsweise darauf beruhende Unterrichtungspflichten (vgl. etwa § 4 und § 14 Abs. 1 BDSG). 94 s. Fn. 93. 92

II. Regelungsansätze für das Datenschutzrecht im Internet

35

für andere Zwecke einwilligt, wenn dem Nutzer ein anderer Zugang zu diesen Telemedien nicht oder in nicht zumutbarer Weise möglich ist. Das skizzierte Szenario kann auf Situationen übertragen werden, in denen sich Anbieter der gleichen Dienste in Bezug auf ihre – wohlmöglich niedrigen – Datenschutzbestimmungen untereinander absprechen, so dass dem Nutzer tatsächlich keine Wahlmöglichkeit bleibt.95 Hinzukommt, dass Eigenregulierungen der Datenverwender nur schwer durchsetzbar sind, da es ihnen häufig an Rechtsverbindlichkeit fehlt.96 Dieses gilt hingegen nicht für Parteivereinbarungen, die, wie andere vertragliche Ansprüche auch, im Wege eines Zivilprozesses einklagbar wären. Aber auch hinsichtlich der Parteivereinbarungen ist es wünschenswert, dass es einen gesetzlichen Mindeststandard gibt, der eingehalten werden muss. Ansonsten drohte ein Ausverkauf von Daten, wenn sich wirtschaftlich Schwächere aufgrund von guten Angeboten97 dazu hinreißen ließen, in die Verwendung ihrer personenbezogenen Daten einzuwilligen. Dabei besteht die Gefahr darin, dass das Grund- und Menschenrecht des Datenschutzes zu einer wirtschaftlich handelbaren Ware degradiert wird, die sich nicht jeder leisten kann.98 Nicht zu folgen ist daher dem Ansatz, der personenbezogene Daten „als eine geldwerte Position [. . .], die stufenweise aufgegeben werden kann, um hierfür eine Gegenleistung zu erhalten“99, ansieht. Der Einstufung des Datenschutzes als Grund- und Menschenrecht entspringt vielmehr die Idee, dass jedes personenbezogene Datum schützenswert ist. Durch einen gesetzlichen Mindestschutz wird dem Betroffenen daher nicht etwa vorgeschrieben, welchen Wert seine Daten haben. Vielmehr ist davon auszugehen, dass personenbezogene Daten per se schützenswert sind, ohne dass ihnen ein Marktwert zukommen muss beziehungsweise ihr Wert verhandelbar ist. Sofern der gesetzliche Mindeststandard gewahrt bleibt, kann der Einzelne selbstverständlich über die weitergehende Verarbeitung entscheiden, die dann auch gegen Entgelt geschehen kann. Eine andere Handhabung wäre mit dem aus den Grundrechten, hier insbesondere Art. 2 Abs. 1 95 Zu diesem Problemfeld siehe auch: Gridl, S. 299. Ob in dieser Fallkonstellation ebenfalls § 12 Abs. 3 TMG Anwendung findet, kann für die weitere Bearbeitung aber dahinstehen. Mit dieser Frage setzt sich u. a. Sachs, S. 133, auseinander. 96 Gridl, S. 289. 97 Denkbar wären beispielsweise Rabatte bei Interneteinkäufen, wenn der Käufer die Zustimmung zur umfängreichen Verwendung seiner personenbezogenen Daten gibt. 98 Gridl, S. 299; Roßnagel, MMR 2002, 67 (69). 99 So aber Sachs, S. 24.

36

B. Einführung in die technischen Grundlagen des Datenschutzes im Internet

i. V. m. Art. 1 Abs. 1 GG, bestehenden Schutzanspruch des Bürgers nicht vereinbar.100 Zudem ist fraglich, ob technisch weniger versierte Nutzer den tatsächlichen Umfang von Parteivereinbarungen in Bezug auf ihre Daten abschätzen können, was für die Notwendigkeit der Garantie eines gesetzlichen Mindeststandards spricht. So kann der normale Internetnutzer oft gar nicht nachvollziehen, welche Daten genau beim Surfen erhoben, gespeichert und verwendet werden beziehungsweise welche Schlüsse man aus ihnen ziehen kann. Da dies dem Datenverwender aber durchaus bewusst ist, fehlt es an der für die Parteiautonomie konstituierenden Voraussetzung der Waffengleichheit zwischen den Akteuren. Die Wahl zwischen datenschutzrechtlichen Alternativen, bei denen die Nutzer tatsächlich über die Reichweite ihrer Wahl informiert sind101, ist daher momentan eher illusorisch. Die Selbstregulierung sollte aber nicht völlig ausgeschlossen werden. Eine Derogation des gesetzlichen Datenschutzrechts102 ist nicht zu befürchten, wenn ein gesetzlicher Mindeststandard als indisponibel festgeschrieben wird. Vielmehr können sowohl selbstgesetzte Standards als auch Parteivereinbarungen dazu dienen, Anregungen für künftige Gesetzgebungsprozesse zu liefern.103 Dieses Leitbild vor Augen habend soll im folgenden Gang der Untersuchung davon ausgegangen werden, dass es für einen effektiven Datenschutz notwendig ist, die wesentlichen Mindestanforderungen gesetzlich festzuschreiben. Dazu gehört als grundlegende Voraussetzung der Anwendbarkeit der Datenschutznormen auch die Festschreibung darüber, was unter den schützenswerten personenbezogenen Daten zu verstehen ist.

100 101 102 103

Boehme-Neßler, Cyber-Law, S. 311. Von diesen aber ausgehend: Sachs, S. 233. Diese nimmt Sachs, S. 24, an. So im Ergebnis auch Roßnagel, MMR 2002, 67 (69).

C. Die nationale datenschutzrechtliche Situation in Bezug auf den Schutz von IP-Adressen Zunächst sollen die nationalen datenschutzrechtlichen Vorschriften, die zum Schutz von IP-Adressen in Betracht kommen, einer genaueren Analyse unterzogen werden.

I. Die Behandlung von IP-Adressen im deutschen Recht Das deutsche Recht kennt mehrere gesetzliche Regelungen, die sich mit der Erhebung, Verarbeitung und Nutzung von Daten, die unter anderem im Wege der Telekommunikation anfallen, auseinandersetzen. Dazu gehören neben dem Bundesdatenschutzgesetz, das den Umgang mit personenbezogenen Daten regelt, auch die Vorschriften über die Bestands- und Verkehrsdaten im Telekommunikationsgesetz und über Bestands- und Nutzungsdaten im Telemediengesetz. Den genannten Gesetzen ist der Grundgedanke des datenschutzrechtlichen Erlaubnisvorbehaltes gemein. Daten, die vom jeweiligen gesetzlichen Anwendungsbereich umfasst werden, dürfen nur dann gespeichert werden, wenn dieses entweder gesetzlich vorgesehen ist oder wenn der Betroffene in die Speicherung eingewilligt hat. Grundsätzlich ist daher davon auszugehen, dass zunächst ein Speicherungsverbot besteht, wenn eine Erlaubnis nicht auf einem der genannten Wege hergeleitet werden kann.104 Werden Daten durch den Anwendungsbereich des Datenschutzrechts erfasst, stehen dem Betroffen neben der eben genannten Einwilligungsmöglichkeit Ansprüche auf Auskunft, Berichtigung, Löschung und Sperrung seiner Daten zu.105 Dabei stellt sich die Frage, ob die aktuelle Fassung des BDSG den Anforderungen der modernen Informationstechnologien genügt106 und prakti104

Tinnefeld/Ehmann/Gerling, S. 88. Wächter, S. 293. 106 Gartska, in: Schulze-Haddouti, S. 50, der davon ausgeht, dass bereits das BDSG 2001 zur Umsetzung der Datenschutzrichtlinie 95/46/EG den Anforderungen an die neuen Technologien nicht gerecht wurde. Gola/Klug, RDV 2009, Sonderbeilage zu Heft 4, S. 1 ff. gehen davon aus, dass bei der Novellierung des BDSG 2009 105

38

C. Die nationale datenschutzrechtliche Situation

kable Lösungsansätze für Fragestellungen bereithält, die mit dem Medium Internet einhergehen. Insbesondere problematisch ist hierbei die rechtliche Einordnung von IP-Adressen, welche im Folgenden zunächst abstrakt und dann anhand von Fallbeispielen aus der jüngeren Rechtsprechung aufgezeigt werden soll. 1. IP-Adressen als personenbezogene Daten gemäß § 3 Abs. 1 BDSG? Die Regelungen des BDSG umfassen personenbezogene Daten, die erhoben, verwendet oder genutzt werden. Dabei können sowohl öffentliche als auch nicht-öffentliche Stelle Daten verarbeiten. Je nachdem, welche Stelle als Datenverarbeiter in Rede steht, werden unterschiedliche Voraussetzungen an die Verarbeitung gestellt, damit das BDSG Anwendung findet. Im nicht-öffentlichen Bereich muss die Erhebung, Verarbeitung oder Nutzung automatisiert erfolgen. Bei der nicht automatisierten Verarbeitung müssen die Daten zumindest im Rahmen einer Datei verarbeitet werden, damit das BDSG anwendbar ist.107 Für den öffentlichen Bereich der Datenverarbeitung ist der Anwendungsbereich des BDSG hingegen weiter gefasst, denn auch Akten oder sonstige einfache Papierunterlagen werden in die datenschutzrechtlichen Regelungen mit einbezogen.108 Wie bereits oben109 dargestellt, sind personenbezogene Daten in § 3 Abs. 1 BDSG als solche Daten legal definiert, die Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen110 Person (Betroffener) beinhalten. IP-Adressen sind insofern schwer zu katalogisieren, als dass sie lediglich mittelbar zur tatsächlichen Identifizierung einer Person führen können und dies meist nur im Zusammenhang mit weiteren Informationen, die während der Internetnutzung gespeichert wurden.111 Im Folgenden ist daher zu untersuchen, inwiefern IP-Adressen unter die Begriffsmerkmale des § 3 Abs. 1 BDSG zu fassen sind. Dabei ist anzumereben so wenig auf die spezifischen Probleme, die das Internet aufwirft, eingegangen wurde. 107 Schild, in: Roßnagel, 4.2 Datenerhebung, -verarbeitung, -nutzung, Rn. 31; Tinnefeld/Ehmann/Gerling, S. 269. 108 Schild, in: Roßnagel, 4.2 Datenerhebung, -verarbeitung, -nutzung, Rn. 31. 109 s. A. II. 110 Juristische Personen können sich als solche nicht auf den Schutz personenbezogener Daten berufen. 111 Moos, K&R 2008, 137 (138).

I. Die Behandlung von IP-Adressen im deutschen Recht

39

ken, dass die Gesetzesbegründung zur Anpassung des BDSG an die Vorgaben der Richtlinie 95/46/EG keine Aussagen zum Begriff der personenbezogenen Daten beinhaltet.112 Vergleicht man die Vorschrift des § 3 Abs. 1 BDSG mit § 19 Abs. 1 S. 1 Nr. 1, S. 2 BDSG, so wird deutlich, dass der Terminus „personenbezogenes Datum“ synonym zum Begriff „zu seiner (des Betroffenen) Person gespeicherte Daten“ verwendet wird.113 a) Einzelangaben Daten, die sich auf eine bestimmte natürliche Person beziehen oder geeignet sind, einen bestimmten Bezug zu dieser Person herzustellen, werden als Einzelangaben im Sinne des § 3 Abs. 1 BDSG definiert.114 Dabei kommt es weder auf die Form der Datenwiedergabe beziehungsweise -speicherung noch auf die Art der Darstellung an.115 Nicht ausreichend für das Vorliegen von Einzelangaben ist, dass sich die Informationen zwar auf eine bestimmte Person beziehen lassen, diese jedoch nicht identifizierbar ist, beispielweise, wenn die Angaben über sie anonymisiert wurden.116 Dabei kann es im Rahmen dieses Tatbestandsmerkmals aber noch nicht darauf ankommen, für wen – ob für den Datenverwender oder einen anderen Dritten – die Daten identifizierbar sind. Die Beantwortung dieser Frage ist auf der Ebene der Bestimmtheit beziehungsweise Bestimmbarkeit der Person zu beantworten, da diese Tatbestandsvoraussetzung ansonsten überflüssig wäre. Unbestritten ist, dass es sich trotz der Formulierung im Plural (Einzelangaben statt Einzelangabe oder personenbezogene Daten statt personenbezogenes Datum) auch um eine Einzelangabe handeln kann, um von den datenschutzrechtlichen Vorschriften erfasst zu sein.117 Sowohl dynamische als auch statische IP-Adressen geben – unter Einbeziehung gewisser Zusatzinformationen – Auskunft darüber, wann eine be112 Die Begründung des Regierungsentwurfs (BT-Drucks. 14/4393), abgeändert beziehungsweise angepasst durch die Begründung der Beschlussempfehlung des Innenausschusses (BT-Drucks. 14/5793), ist abgedruckt in Klug, S. 151 ff. 113 BVerwG Urteil vom 24.03.2010, Az.: 6 A 2.09, Rn. 33. 114 Dammann, in: Simitis BDSG, § 3, Rn. 5; Gola, in: Gola/Schomerus BDSG, § 3, Rn. 3; Schaffland/Wiltfang, BDSG, 5001, § 3, Rn. 4. 115 Dammann, in: Simitis BDSG, § 3, Rn. 4. 116 Gola, in: Gola/Schomerus BDSG, § 3, Rn. 3, 43. 117 Dammann, in: Simitis BDSG, § 3, Rn. 3; Schaffland/Wiltfang, BDSG, 5001, § 3, Rn. 5.

40

C. Die nationale datenschutzrechtliche Situation

stimmte Person über diese IP-Adresse Zugang zum Internet hatte beziehungsweise welche Homepages sie besucht hat. Von einer Anonymisierung kann noch nicht gesprochen werden, da bei dynamischen IP-Adressen eine Zuordnung über die Rahmendaten der Verbindung möglich ist und statische IP-Adressen sowieso nur genau einem Anschlussteilnehmer zugeordnet sind. IP-Adressen stellen daher Einzelangaben im Sinne des § 3 Abs. 1 BDSG dar. b) Über persönliche oder sachliche Verhältnisse Als weitere Voraussetzung müssen sich die Einzelangaben auf persönliche oder sachliche Verhältnisse der Person beziehen. Unter persönlichen oder sachlichen Verhältnissen sind Informationen über den Betroffenen oder über einen auf diesen bezogenen Sachverhalt zu verstehen.118 Sachliche Verhältnisse sind nur solche, die einen direkten Bezug zu der Person aufweisen.119 Durch die Einbeziehung von persönlichen und sachlichen Verhältnissen wird zum Ausdruck gebracht, dass der Definition der personenbezogenen Daten ein umfassendes Begriffsverständnis zugrunde liegt.120 Es werden also nicht nur persönliche Eigenschaften erfasst, die zwangsläufig mit dem Personsein an sich zusammenhängen, sondern jegliche Sachverhalte, die die Bestimmtheit und Bestimmbarkeit einer natürlichen Person ermöglichen, so dass auch Informationen über eine Sache erfasst werden können. Da die Unterscheidung zwischen persönlichen oder sachlichen Verhältnissen keine rechtlichen Konsequenzen nach sich zieht, ist es für die Einordnung der Daten auch nicht erforderlich, dass nach diesen differenziert wird.121 Eine genaue Zuordnung ist mithin entbehrlich. Unter die persönlichen und sachlichen Verhältnisse sind auch Namen und als Namensersatz dienende Einzelangaben zu fassen, die einer späteren Identifizierung einer Person, die hinter dem Datum steht, dienen. Dabei kann es sein, dass sich diese Angaben nicht zwingend auf Verhältnisse im Sinne der Legaldefinition beziehen122, sondern lediglich eine Hinweisfunktion in Bezug auf die Bestimmtheit oder Bestimmbarkeit einnehmen123. Daten mit Hinweisfunktion sind aber zwingend vonnöten, um den Personenbe118

Weichert, in: Däubler/Klebe/Wedde/Weichert BDSG, § 3, Rn. 19. s. Fn. 118. 120 Dammann, in: Simitis BDSG, § 3, Rn. 7; Gola, in: Gola/Schomerus BDSG, § 3, Rn. 5; Yildirim, S. 148. 121 Dammann, in: Simitis BDSG, § 3, Rn. 7; Schaffland/Wiltfang, BDSG, 5001, § 3, Rn. 5; Tinnefeld, in: Roßnagel, 4.1 Geschützte Daten, Rn. 18. 122 Dammann, in: Simitis BDSG, § 3, Rn. 10. 123 Dammann, in: Simitis BDSG, § 3, Rn. 6. 119

I. Die Behandlung von IP-Adressen im deutschen Recht

41

zug von Angaben über sachliche oder persönliche Verhältnisse offenzulegen. Daher sind sie notwendigerweise auch unter die personenbezogenen Daten zu fassen.124 Eine IP-Adresse kann mithin ein solches persönliches oder sachliches Verhältnis darstellen, da sie – je nach Art der IP-Adresse125 – Auskunft darüber erteilen kann, wann ein bestimmter Nutzer zu einem bestimmten Zeitpunkt das Internet beziehungsweise ein konkretes Angebot im Netz genutzt hat.126 c) Einer bestimmten oder bestimmbaren Person Zur Begründung des Personenbezuges muss eine natürliche Person127 bestimmt oder bestimmbar sein. Dabei kommt es nicht darauf an, eine exakte Abgrenzung zwischen den Merkmalen bestimmt und bestimmbar zu erzielen, denn die Unterscheidung kann im Einzelfall schwierig sein, ohne dass das Ergebnis Auswirkungen auf die Anwendbarkeit des BDSG hätte. Vielmehr ist die Grenzziehung zwischen der Bestimmbarkeit und der Nicht-Bestimmbarkeit einer Person entscheidend für die Anwendung der Datenschutzvorschriften.128 Daher bestehen bezüglich dieses Tatbestandsmerkmals auch die größten Auslegungsstreitigkeiten, die im Folgenden zunächst dargestellt werden sollen. Die Streitfrage wird insbesondere in Bezug auf das (Nicht-)Vorliegen der Bestimmbarkeit einer Person unter Zuhilfenahme von IP-Adressen diskutiert. aa) Bestimmte Person Die Bestimmtheit einer Person durch ein Datum ist zu bejahen, wenn der Betroffene durch seinen Namen oder auf andere Weise unmittelbar identifiziert werden kann.129 Es muss sich also aus dem in Rede stehenden Datum selbst ergeben, auf welche Person es sich bezieht.130 124

Dammann, in: Simitis BDSG, § 3, Rn. 10. s. C. I. 1. a). 126 Dammann, in: Simitis BDSG, § 3, Rn. 10; Fröhle, S. 85; Scholz, S. 184; Yildirim, S. 148. 127 Zur Problematik des Datenschutzes bei juristischen Personen und Personengruppen siehe: Dammann, in: Simitis BDSG, § 3, Rn. 17 ff. m. w. N. 128 Dammann, in: Simitis, § 3, Rn. 23; Tinnefeld, in: Roßnagel, 4.1 Geschützte Daten, Rn. 22. 129 Gola, in: Gola/Schomerus BDSG, § 3, Rn. 10; Schaffland/Wiltfang, BDSG, 5001, § 3, Rn. 17. 130 Schmidt, G., Rn. 93. 125

42

C. Die nationale datenschutzrechtliche Situation

IP-Adressen dienen hingegen primär zur Bestimmung eines Rechners, so dass der Bezug zu einer Person zumindest erst durch einen weiteren Zwischenschritt erfolgen kann.131 So kann in Bezug auf IP-Adressen nicht von Einzelangaben zu einer von vorneherein bestimmten Person gesprochen werden. bb) Bestimmbare Person Ist der Personenbezug eines Datums lediglich mittelbar, das heißt über weitere Informationen herzustellen, so handelt es sich um Einzelangaben einer bestimmbaren Person.132 Probleme ergeben sich bei der Beantwortung der Frage, wann eine Person bestimmbar ist, da der Wortlaut der Norm keine Anhaltspunkte für eine unstrittige Auslegung bietet.133 Wie bereits oben134 dargestellt, lehnt sich das BDSG mit der Definition der personenbezogenen Daten an Art. 2 lit. a) RL 95/46/EG an. Demnach ist die Bestimmbarkeit zu bejahen, wenn die Person direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind. Zwar nehmen deutsche Autoren immer wieder Bezug auf diese Konkretisierung der Richtlinie, allerdings ohne daraus tatsächliche Schlüsse für die Anforderungen an die Bestimmbarkeit zu ziehen.135 Vielmehr dominiert in der deutschen Diskussion stetig die Differenzierung zwischen der sogenannten relativen und absoluten Sichtweise, mit Hilfe derer man sich dem Begriff der Bestimmbarkeit nähern müsse.136 Weder in der Rechtsprechung noch im Schrifttum ist ein einheitliches Meinungsbild bezüglich einer vorzugswürdigen Sichtweise erkennbar. Insbesondere lässt sich nicht bestimmen, welche Ansicht dominierend ist.

131

Eckhardt, K&R 2008, 768. Schaffland/Wiltfang, BDSG, 5001, § 3, Rn. 17. 133 Dammann, in: Simitis BDSG, § 3, Rn. 23. 134 s. C. I. 1. 135 Vgl. beispielsweise Simitis, in: Simitis BDSG, Einl., Rn. 89 ff. u. 212 ff., der zwar allgemeine Ausführungen zum Einfluss der Datenschutzrichtlinie 95/46/EG auf das nationale Recht macht, aber in der Kommentierung zum Begriff der Bestimmbarkeit von Dammann, in: Simitis BDSG, § 3, Rn. 20 ff., eine Auseinandersetzung mit der Definition der Richtlinie fehlt. Zur generellen Problematik, dass unbestimmte Rechtsbegriffe und Generalklauseln ohne Rücksicht auf das europäische Recht lediglich im Lichte des Grundgesetzes ausgelegt werden siehe Ritter, NJW 2010, 1110 ff. 136 Härting, CR 2008, 743 (746). 132

I. Die Behandlung von IP-Adressen im deutschen Recht

43

(1) Relative Bestimmbarkeit Nach dem Ansatz der relativen Bestimmbarkeit muss für jeden einzelnen Datenverwender gesondert geprüft werden, ob dieser über das nötige Wissen verfügt, um die hinter dem Datum stehende Person mit vertretbarem Aufwand zu identifizieren.137 Die Vertreter dieser Ansicht gehen mithin davon aus, dass dasselbe Datum für verschiedene Datenverwender personenbezogen sein kann oder nicht. Die Bestimmbarkeit solle anhand objektiver Kriterien im konkreten Fall festgemacht werden.138 Abzustellen sei daher auf die Kenntnisse, Mittel und Möglichkeiten der speichernden Stelle.139 Hinzu kommen müsse, dass die Bestimmbarkeit im Rahmen eines verhältnismäßigen Aufwands möglich sei, ansonsten lägen keine personenbezogenen, sondern anonyme Daten vor.140 Ein unverhältnismäßig hoher Aufwand wäre insbesondere dann gegeben, wenn die Identifizierung der hinter dem Datum stehenden Person nur durch illegale Mittel erfolgen könnte. Es solle allein auf das rechtskonforme Verhalten der Akteure abgestellt werden.141 Sollte allerdings, aus welchen Gründen auch immer, ein an sich Nichtberechtigter die Fähigkeit zur Bestimmung der Person erlangen, so läge jedenfalls ab diesem Zeitpunkt der Personenbezug und somit ein personenbezogenes Datum im Sinne des § 3 Abs. 1 BDSG vor.142 Ginge man nicht von der relativen Bestimmbarkeit des Personenbezugs aus, wäre es für den Datenverwender als potenziell durch die Vorschriften des BDSG Verpflichteten nicht erkennbar, ob er an die Normen gebunden wäre oder nicht. Schließlich sei es für einen Dritten nicht erkennbar, ob irgendjemand die Fähigkeit besitzt, die Daten einer Person zuzuordnen. Das 137

Dammann, in: Simitis BDSG, § 3, Rn. 33; Eckhardt, K&R 2007, 602; Fröhle, S. 88; Gola, in: Gola/Schomerus BDSG, § 3, Rn. 10; Härting, ITRB 2009, 35 (37); Kirchberg-Lennartz/Weber, DuD 2010, 479 (480); Klug, RDV 2009, 76 (78); Roßnagel/Scholz, MMR 2000, 721 (723); Scholz, S. 185; Tinnefeld, in: Roßnagel, 4.1 Geschützte Daten, Rn. 22; Tinnefeld/Ehmann/Gerling, S. 280. 138 Albers, in: Hofmann-Riem/Schmidt-Aßmann/Voßkuhle, Bd. 2, Rn. 29; Dammann, in: Simitis BDSG, § 3, Rn. 31; Koch, S. 951; Wehr/Ujica, MMR 2010, 667 (668). 139 Dammann, in: Simitis BDSG, § 3, Rn. 20; Eckhardt, K&R 2008, 768; Härting, CR 2008, 743 (746); Krüger/Maucher, MMR 2011, 433 (436); Moos, K&R 2008, 137 (139); Schaffland/Wiltfang, BDSG, 5001, § 3, Rn. 17; Schmitz, S. 91. 140 Barnitzke, DuD 2010, 482 (483); Boehme-Neßler, CyberLaw, S. 293; Eckhardt, K&R 2007, 602 (603); ders., in: CR 2011, 339 (342); Gola, in: Gola/Schomerus BDSG, § 3, Rn. 43 f. 141 Eckhardt, K&R 2007, 602 (603); ders., K&R 2008, 768; Fröhle, S. 89; Meyerdierks, MMR 2009, 8 (11). 142 Eckhardt, K&R 2008, 768 (769).

44

C. Die nationale datenschutzrechtliche Situation

Gebot der Rechtssicherheit erfordere mithin die relative Sichtweise auf die Bestimmbarkeit des Personenbezuges.143 Für diese Sichtweise sprächen auch die Betroffenenrechte, die das BDSG statuiert. Betroffener ist derjenige, dessen personenbezogene Daten erhoben, verarbeitet oder genutzt werden. Dem Betroffenen werden durch das BDSG zahlreiche Ansprüche und Rechte bei der Verarbeitung seiner Daten gewährt.144 Der Datenverwender könne diesen Ansprüchen aber nur gerecht werden, das heißt seinen Verpflichtungen nur dann nachkommen, wenn er den Betroffenen auch tatsächlich bestimmen könne und wisse, dass es sich bei den fraglichen Einzelangaben um personenbezogene Daten handelt.145 Anderenfalls bestünde beispielsweise gegen das Begehren auf Unterlassung der Speicherung von IP-Adressen bei einem Webseitenbesuch die Einwendung des Unvermögens146, da es dem Speichernden mit legalen – und somit verhältnismäßigen – Mitteln nicht möglich sei, die Zuordnung einer ihm bekannten IP-Adresse zu einer bestimmten Person vorzunehmen. Eine Schutzlücke entstünde durch die Annahme des relativen Personenbezuges ebenfalls nicht, denn wenn dieser verneint werde, müssten auch nicht die Schutzmechanismen des BDSG greifen. Argumentiere man anders, unterliege man einem Zirkelschluss.147 (2) Absolute Bestimmbarkeit Dagegen reicht es im Rahmen einer absoluten Sichtweise auf die Bestimmbarkeit aus, wenn irgendjemand, nicht notwendig der momentane Datenverwender, den Bezug zwischen dem Datum und der Person herstellen kann. Die Möglichkeit einer Identifizierung mache das Datum für jedermann zu einem personenbezogenen Datum und dies unabhängig von den Kenntnissen, Mitteln und Möglichkeiten der speichernden Stelle.148 Bestimmbar könne eine Person beispielsweise anhand von Referenzdaten sein149, wozu unter anderem Zahlen- oder Buchstabenabfolgen, die mittels 143

Meyerdierks, MMR 2009, 8 (10). So etwa die Auskunftsrechte aus §§ 19 und 34 BDSG und die Rechte auf Berichtigung, Löschung oder Sperrung, die in §§ 20 und 35 BDSG gewährleistet werden. 145 Meyerdierks, MMR 2009, 8 (12). 146 Meyerdierks, MMR 2009, 8 (13). 147 Eckhardt, K&R 2007, 602 (603); ders., MMR 2011, 339 (343). 148 Schaar, Datenschutz im Internet, Rn. 153; Schmidt, S., S. 191; Schmidt, G., Rn. 93; Wagner, S. 163; Weichert, in: Däubler/Klebe/Wedde/Weichert BDSG, § 3, Rn. 13. 149 Weichert, in: Däubler/Klebe/Wedde/Weichert BDSG, § 3, Rn. 14. 144

I. Die Behandlung von IP-Adressen im deutschen Recht

45

eines „Schlüssels“ mit einer Person in Verbindung gebracht werden können, zählen. Dabei spielt es nach der Ansicht der Vertreter der absoluten Bestimmbarkeit ebenfalls keine Rolle, wie groß der Aufwand ist, der betrieben werden muss, um das Datum einer Person tatsächlich zuzuordnen. Ausreichend für die Bejahung der Bestimmbarkeit sei, dass überhaupt die theoretische Möglichkeit der Bestimmung bestehe.150 Insbesondere müssten auch illegale Identifizierungsmethoden berücksichtigt werden, da die Regelungen des BDSG gerade auch vor der unbefugten Nutzung von Daten schützen sollen.151 (3) Fazit Die soeben dargestellten Ansichten zur absoluten und relativen Sichtweise auf die Bestimmbarkeit kommen in Bezug auf die Einordnung von IP-Adressen zu unterschiedlichen Ergebnissen. Betrachtet man die Diskussion aus einem rein theoretischen Blickwinkel, so ist zwischen statischen und dynamischen IP-Adressen zu differenzieren: Statische IP-Adressen sind dauerhaft nur einem Rechner zugeordnet. Insofern gibt es keine vorherige Vermittlung der Adresse über einen AccessProvider an den einzelnen Anschlussinhaber, die bei jeder neuen Einwahl erneut erfolgen müsste. Über Angebote im Internet152 kann jeder, der die IP-Adresse kennt, die Person bestimmen, auf die der Rechner mit der dazugehörigen Adresse angemeldet ist. Insofern käme es nicht darauf an, ob man die Bestimmbarkeit aus einer absoluten oder relativen Sichtweise heraus betrachtet. Folgt man der absoluten Sichtweise so ist die IP-Adresse sowieso bestimmbar, da es lediglich darauf ankommt, dass irgendjemand die IP-Adresse einer Person zuordnen kann. Dies wäre jedenfalls der Provider, der diese erstmalig vergeben hat. Aber selbst die relative Sichtweise kann bei einer statischen IP-Adresse von der Bestimmbarkeit der Person ausgehen. Der Aufwand, den ein Kenner der statischen IP-Adresse betreiben muss, um die dahinter stehende Person zu bestimmen, kann nicht als unverhältnismäßig bezeichnet werden. Denn die Identifizierung einer IP-Adresse über Angebote im World Wide Web ist jedem mit Zugang zum Internet möglich, ohne dass die Nutzung solcher Angebote illegal wäre. Über die eben genannten Angebote kann 150 Karg, MMR 2011, 345 (346); Weichert, in: Däubler/Klebe/Wedde/Weichert BDSG, § 3, Rn. 13. 151 Brunst, S. 344; Pahlen-Brandt, K&R 2008, 288 (290). 152 Diese Rückverfolgung von IP-Adressen bietet beispielsweise folgende Homepage an: http://ipnr.rehbein.net/.

46

C. Die nationale datenschutzrechtliche Situation

man herausfinden, ob die IP-Adresse einer Person (dann handelt es sich um eine statische IP-Adresse) oder einem Access-Provider (in diesem Fall läge eine dynamische IP-Adresse vor) zugewiesen ist. Insofern ist es auch unerheblich, dass durch die IP-Adresse nicht immer genau eine Person ermittelt werden kann, die in diesem Moment gerade tatsächlich den PC nutzt und im Internet surft. Vielmehr wird der Anschluss bestimmt, der mit dem Internet verbunden ist und so der Personenkreis konkretisiert, der tatsächlich Zugang zur Nutzung des Rechners mit einer Internetverbindung hat. Diese Eingrenzung des möglichen Nutzerkreises reicht zur Annahme der Bestimmbarkeit einer Person aus. Insofern ähnelt die IPAdresse einer Postanschrift, die genügt, um mehrere in einem Haushalt lebende Personen bestimmbar zu machen.153 Anders kann der Fall aus dem Blickwinkel des relativen Personenbezuges nur dann zu lösen sein, wenn die statische IP-Adresse nicht auf eine konkrete Person, sondern auf ein bestimmtes Netzwerk, wie beispielsweise das einer Universität verweist. Dann kann die IP-Adresse zwar einem konkreten Ort oder gar einer Rechnerkennung zugewiesen werden, allerdings verfügt allein das das Netzwerk betreuende Rechenzentrum über die Kenntnis, wer an dem ausgewiesenen Rechner arbeitet.154 Gleiches gilt insbesondere auch für Internet-Cafés oder Hotels, die ihren Kunden und Gästen Internetanschlüsse zur Verfügung stellen, deren IP-Adresse lediglich Rückschlüsse auf den Anschlussinhaber zulässt, aber ohne zusätzliche Informationen dieses Inhabers keine Rückschlüsse auf den tatsächlichen Nutzer ermöglicht. Insofern sind diese Situationen mit denen bei der Verarbeitung dynamischer IP-Adressen vergleichbar. Dort kann alleine der die IP-Adresse vergebende Access-Provider den Rückschluss zur Identität des Internetnutzers ziehen. Dies geschieht durch Zuordnung des Zeitpunkts der Internetnutzung der fraglichen IP-Adresse zu einem Anschlussinhaber, worüber der AccessProvider beispielweise zu Abrechnungszwecken Aufzeichnungen vorhalten kann. Dem Ansatz der relativen Sichtweise folgend, weisen dynamische IPAdressen in der beschriebenen Konstellation nur für den Access-Provider einen Personenbezug auf, da dieser der einzige ist, der mit einem verhältnismäßigen Aufwand die IP-Adresse einer Person zuordnen kann. Die illegale Zusammenführung, beispielweise durch das Beschaffen der Daten beim Access-Provider, darf insofern nicht berücksichtigt werden. Anders ist dies nur zu beurteilen, wenn man bezüglich der Bestimmbarkeit von einer absoluten Sichtweise ausgeht. Die Kenntnis des Access-Pro153 154

Vgl. Scholz, S. 240. So auch Voigt, MMR 2009, 377 (380).

I. Die Behandlung von IP-Adressen im deutschen Recht

47

viders genügt, um die fragliche IP-Adresse für jeden Dritten zum personenbezogenen Datum im Sinne des § 3 Abs. 1 BDSG zu machen, da es ausreicht, wenn irgendjemand den Personenbezug herstellen kann. So lässt sich allein als unstrittig festhalten, dass der Personenbezug für Access-Provider in Bezug auf dynamische IP-Adressen und für jedermann in Bezug auf statische IP-Adressen zu bejahen ist.155 Bezüglich der weiterhin streitigen Einordnung von dynamischen IPAdressen, von denen andere als der Access-Provider Kenntnis haben, ist jedoch genau zwischen der grundsätzlichen Möglichkeit der Herstellung des Personenbezugs einerseits und dem tatsächlichen Zuordnungsvorgang und dessen rechtlicher Zulässigkeit andererseits zu differenzieren.156 Dabei setzen die datenschutzrechtlichen Regelungen des BDSG bereits in dem Zeitpunkt an, in dem die personenbezogenen Daten erstmals gespeichert werden, ohne dass feststehen muss, dass eine tatsächliche Zuordnung zu einer Person stattfinden wird beziehungsweise ob diese möglich ist. Dies würde für eine absolute Sichtweise der Bestimmbarkeit sprechen. Unabhängig davon werden aber auch nach der relativen Sichtweise personenbezogene Daten im Sinne des § 3 Abs. 4 S. 1 Nr. 3 BDSG übermittelt, wenn der Empfänger der Daten ohne unverhältnismäßig großen Aufwand in der Lage ist, den Personenbezug herzustellen.157 Dabei ist aber darüber hinausgehend zu beachten, dass die übermittelnde Stelle, die im Zweifel gar nicht weiß, ob die Daten für den Empfänger personenbezogen sind, die Daten ebenfalls als personenbezogen behandeln muss, da es ansonsten bezüglich desselben Datenvorgangs zu unterschiedlichen rechtlichen Maßstäben kommen würde. Das Übermitteln im Sinne des § 3 Abs. 4 S. 1 Nr. 3 BDSG muss schon seinem Wortlaut nach auch aus der Sicht des Übermittelnden und nicht nur des Empfängers bestimmt werden, was wiederum für die absolute Sichtweise auf den Personenbezug spricht. Zudem wird versucht aus der Systematik des Datenschutzrechts über das BDSG hinaus, Erkenntnisse über die Art der Bestimmbarkeit nach § 3 Abs. 1 BDSG herzuleiten. Diesbezüglich wird § 13 Abs. 6 TMG ins Feld geführt, der für eine relative Bestimmbarkeit sprechen solle.158 Nach dieser Vorschrift hat der Diensteanbieter die Nutzung von Telemedien und ihre Bezahlung anonym zu ermöglichen, soweit dies technisch möglich ist. Es wird argumentiert, dass wenn IP-Adressen, wie nach der absoluten Sicht155

Golembiewski, in: Bäumler/von Mutius, S. 109; Moos, K&R 2008, 137

(139). 156 157 158

So auch Nietsch, K&R 2011, 101 (102). Barnitzke, DuD 2010, 482 (483). Krüger/Maucher, MMR 2011, 433 (437); Sachs, CR 2010, 547 (550).

48

C. Die nationale datenschutzrechtliche Situation

weise auf die Bestimmbarkeit, jedenfalls immer personenbezogene Daten wären, die Anforderungen des § 13 Abs. 6 TMG nicht erfüllbar seien, da die Erhebung und Verarbeitung der IP-Adresse zur Nutzung von Telediensten im Internet zwingend erforderlich ist.159 Diese Ansicht geht jedoch aus zweierlei Gründen fehl: Zum einen schreibt § 13 Abs. 6 TMG die Anonymisierung nur dann vor, wenn und soweit dies technisch möglich ist. Im Falle der Nutzung von Internettelediensten läge diese Einschränkung mithin vor. Zum anderen geht die Vorschrift deswegen aber nicht in die Leere, da es noch andere Telemediendienste neben dem Internet gibt, die anonym genutzt werden können, da beispielweise auch Fernseh- und Radiotext und Teleshopping von der Begriffsdefinition der Telemedien in § 1 Abs. 1 TMG erfasst werden.160 § 13 Abs. 6 TMG kann daher nicht als systematisches Argument für die relative Bestimmbarkeit genutzt werden. Schließlich erscheint es aus einem praktischen Blickwinkel betrachtet problematisch, dass der Verwender einer IP-Adresse anhand dieser nicht erkennen kann, ob diese statischer oder dynamischer Natur ist. Insofern wird als einzige Lösung zur Vermeidung von Rechtsunsicherheit für den Datenverwender als Ergebnis gesehen, dass beide Arten von IP-Adressen datenschutzrechtlich gleich behandelt werden müssen161, was einer absoluten Sichtweise auf die Bestimmbarkeit entspricht. Die im Rahmen des Volkszählungsurteils des BVerfG162 entwickelte Rechtsprechung zum Schutz personenbezogener Daten untermauert das bisher gefundene Ergebnis. In diesem Urteil wurde das in Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG verankerte Grundrecht auf informationelle Selbstbestimmung konkretisiert, wodurch gewährleistet werden soll, dass jedermann die Befugnis zukommt, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen, was insbesondere auch im Rahmen der automatischen Datenverarbeitung berücksichtigt werden muss.163 Das BVerfG sah bereits 1983 die Gefahr, dass personenbezogene Daten „technisch gesehen unbegrenzt speicherbar und jederzeit ohne Rücksicht auf Entfernungen in Sekundenschnelle abrufbar sind.“164 Bei der Zusammenführung personenbezogener Daten könne ein Persönlichkeitsbild 159

Sachs, CR 2010, 547 (550). Holznagel/Ricke, in: Spindler/Schuster, § 1 TMG, Rn. 10. 161 Vgl. Heidrich/Wegener, DuD 2010, 172 (174); Weichert, in: Kilian/Heussen, Teil 13, Telekommunikation und Internet, Rn. 33. 162 BVerfGE 65, 1. 163 BVerfGE 65, 1 (42). 164 BVerfGE 65, 1 (42). 160

I. Die Behandlung von IP-Adressen im deutschen Recht

49

entstehen, ohne dass dies dem Einfluss oder der Kontrolle des Betroffenen unterliege.165 Dies widerspreche jedoch der informationellen Selbstbestimmung.166 Das vom BVerfG beschriebene Szenario, dass bei einer unbegrenzten Speicherung von personenbezogenen Daten dem Bürger die Freiheit genommen werde, zu machen was er wolle, „da er nicht mehr wissen könne, wer was wann und bei welcher Gelegenheit über ihn weiß“167, ist unproblematisch auf die Speicherung von IP-Adressen zu übertragen, die Aufschluss über das Surfverhalten eines jeden Anschlussinhabers geben können. In diesem Zusammenhang hält das BVerfG fest, dass es „unter den Bedingungen der automatischen Datenverarbeitung kein ‚belangloses‘ Datum mehr gebe.“168 Sobald versucht werden soll, anhand des Datums den Personenbezug herzustellen, muss mithin der Schutz der informationellen Selbstbestimmung und des darauf fußenden Datenschutzrechts greifen. Im Folgenden gilt es zu klären, ob diese absolute Sichtweise zur Beurteilung der Personenbeziehbarkeit mit den übrigen datenschutzrechtlichen Vorschriften auf nationaler und europäischer Ebene korrespondiert. cc) Aufhebung der Bestimmtheit oder Bestimmbarkeit? Nach der möglichen Bejahung der Personenbezogenheit von Daten stellt sich die Frage, ob man diesen wiederum den Personenbezug entziehen kann beziehungsweise die Bestimmtheit oder Bestimmbarkeit von Personen verhindern kann. Dazu könnte grundsätzlich das Anonymisieren der Daten oder das Verwenden der Daten unter einem Pseudonym in Betracht kommen. (1) Anonyme Daten Beim Anonymisieren werden personenbezogene Daten derart verändert, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren Person zugeordnet werden können, § 3 Abs. 6 BDSG. Aus dem Umkehrschluss zu § 3 Abs. 6 BDSG kann nach einer vertretenen Ansicht geschlussfolgert werden, dass selbst dann, wenn eine Zuord165 166 167 168

Wie Fn. 164. BVerfGE 65, 1 (42 f.). BVerfGE 65, 1 (43). BVerfGE 65, 1 (45).

50

C. Die nationale datenschutzrechtliche Situation

nung zu einer bestimmten Person faktisch noch möglich ist, diese aber nur unter einem unverhältnismäßig hohen Aufwand erfolgen kann, schon nicht mehr von einem personenbezogenen Datum gesprochen werden kann.169 Könnten Einzelangaben keiner Person jemals mehr zugeordnet werden, so sei der Personenbezug zu verneinen.170 Dem liegt die Annahme zu Grunde, dass anonyme Daten und personenbezogene Daten sich notwendigerweise gegenseitig ausschließen. Eine andere Ansicht hingegen hält den Personenbezug auch bei anonymen Daten nicht für ausgeschlossen, schließlich reicht es nach dem Wortlaut des § 3 Abs. 6 BDSG für die Anonymisierung aus, dass die Bestimmbarkeit lediglich erschwert wird, ohne dass sie mit Sicherheit ausgeschlossen werden muss. Nur wenn gewährleistet sei, dass die Daten einer Person überhaupt nicht mehr – und nicht nur mittels eines unverhältnismäßig Aufwands – zugeordnet werden können, werde die Bestimmbarkeit und somit der Personenbezug aufgehoben.171 Die Frage nach einer möglichen Identifizierbarkeit im Rahmen der Verhältnismäßigkeitsprüfung kann allerdings zu einer Wahrscheinlichkeitsfrage werden.172 So ist vorstellbar, dass es zu einem späteren Zeitpunkt technische Mittel gibt, die eine Identifizierung von heute noch anonymen Daten ermöglichen. Ein Restrisiko der De-Anonymisierung bleibt. Daraus wird im Umkehrschluss gefolgert, dass auch die Frage nach der Feststellbarkeit des Personenbezuges eine Frage der Wahrscheinlichkeit ist. Die Abgrenzung zwischen anonymen und personenbezogenen Daten verlaufe somit nicht statisch, sondern graduell nach der Wahrscheinlichkeit der Identifizierung.173 Für die Wahrscheinlichkeitsprüfung sei der „Maßstab der praktischen Vernunft“ anzulegen, das heißt, dass nicht alle Eventualitäten einer Re-Identifizierung ausgeschlossen werden müssen.174 Aufgrund dessen wird zum Teil zwischen absoluter und faktischer Anonymität unterschieden. Absolute Anonymität solle nur dann anzunehmen sein, wenn tatsächlich kein Restrisiko der Identifizierung besteht, die Ano169 Bizer, in: Bäumler/von Mutius, S. 86; Meyerdierks, MMR 2009, 8 (10); Roßnagel, in: Roßnagel, 3.4 Konzepte des Selbstdatenschutzes, Rn. 57; Schmidt, G., Rn. 93; Tinnefeld, in: Roßnagel, 4.1 Geschützte Daten, Rn. 23; Weichert, in: Däubler/Klebe/Wedde/Weichert BDSG, § 3, Rn. 13. 170 Albers, in: Hofmann-Riem/Schmidt-Aßmann/Voßkuhle, Bd. 2, Rn. 109; Roßnagel/Scholz, MMR 2000, 721 (723); Scholz, S. 186; so wohl im Ergebnis auch Wohlgemuth/Gerloff, S. 30 f. 171 Dammann, in: Simitis BDSG, § 3, Rn. 24, 196. 172 Härting, CR 2008, 743 (745); Scholz, S. 187. 173 Roßnagel/Scholz, MMR 2000, 721 (723, 726); Yildirim, S. 151. 174 Roßnagel/Scholz, MMR 2000, 721 (726).

I. Die Behandlung von IP-Adressen im deutschen Recht

51

nymisierung demnach irreversibel ist.175 Sobald ein solches Restrisiko aber nicht auszuschließen und der Eintritt der De-Anonymisierung nur unter einem unverhältnismäßig großen Aufwand möglich sei, läge eine bloß faktische Anonymität vor.176 (2) Pseudonyme Neben dem Anonymisieren kommt auch das Pseudonymisieren von personenbezogenen Daten in Betracht, wobei offen ist, ob man bei Pseudonymen noch von personenbezogenen Daten sprechen kann. Unter Pseudonymisieren ist nach der Legaldefinition des § 3 Abs. 6a BDSG das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren, zu verstehen. Dabei ist darauf zu achten, dass sowohl der Name als auch die anderen Identifikationsmerkmale kumulativ verändert werden müssen. Ein Ersetzen des Namens alleine reicht für eine Pseudonymisierung im Sinne des § 3 Abs. 6a BDSG nicht aus.177 Eine Verschlüsselung der Daten ändert nichts daran, dass es sich bei den Daten um Einzelangaben über sachliche oder persönliche Verhältnisse handelt.178 Allein das Kriterium der Bestimmtheit oder Bestimmbarkeit einer Person könnte durch die Pseudonymisierung in einer solchen Form verändert werden, dass der Personenbezug im Ergebnis zu verneinen wäre. Mittels einer Verschlüsselung oder Zuordnungsregel sollen personenbezogene Daten in der Art unkenntlich gemacht werden, dass es nur unter einem unverhältnismäßig großen Aufwand möglich ist, sie wieder zu entschlüsseln.179 Hier stellt sich allerdings die Frage, worin der Unterschied zur Anonymisierung liegt, die ebenfalls das Ziel hat, den Personenbezug auszuschließen oder ihn zumindest nur unter unverhältnismäßig großem Aufwand zuzulassen. Bei der Unterscheidung ist hervorzuheben, dass die Anonymisierung und Pseudonymisierung an unterschiedlichen Punkten zur Erschwerung der Identifizierung der Person ansetzen: Während bei der Anonymisierung das Löschen von Identifikationsmerkmalen im Vorder175 Dammann, in: Simitis BDSG, § 3, Rn. 200; Schaar, Datenschutz im Internet, Rn. 159. 176 Bizer, DuD 1998, 277 (278); Dammann, in: Simitis BDSG, § 3, Rn. 196; Mantz, S. 69; Scholz, S. 187; Schaar, Datenschutz im Internet, Rn. 158, 160; Tinnefeld, in: Roßnagel, 4.1 Geschützte Daten, Rn. 23; Tinnefeld/Ehmann/Gerling; S. 287; Weichert, in: Däubler/Klebe/Wedde/Weichert BDSG, § 3, Rn. 50. 177 Bizer, in: Simitis BDSG, § 3, Rn. 215. 178 Schaffland/Wiltfang, BDSG, 5001, § 3, Rn. 13. 179 Roßnagel/Scholz, MMR 2000, 721 (724); Scholz, S. 189.

52

C. Die nationale datenschutzrechtliche Situation

grund steht, beschränkt sich die Pseudonymisierung darauf den Namen und andere Identifikationsmerkmale der betroffenen Person zu ersetzen und gerade nicht zu löschen. Pseudonyme setzen zudem eine Zuordnungsregel zur Re-Identifizierung voraus, die bei anonymen Daten fehlt. Das Bestehen einer solchen Zuordnungsregel kann mithin als Abgrenzungskriterium zwischen der Anonymisierung und Pseudonymisierung verstanden werden.180 Tatsächlich gibt es drei verschiedene Möglichkeiten, um Daten zu pseudonymisieren: Zum einen kann sich der Betroffene selbst ein Pseudonym geben, unter dem er sich dann in der Öffentlichkeit beziehungsweise im Internet bewegen kann, ohne seine tatsächliche Identität preiszugeben. Somit hat zunächst allein der Betroffene selbst Kenntnis über die Zuordnungsregel, um den Bezug zu seiner Person herzustellen.181 Zum anderen kann ein Pseudonym aber auch von einem zuverlässigen Dritten verwaltet werden. Dabei kann sich entweder der Betroffene selbst ein Pseudonym generieren oder diese Aufgabe wird ebenfalls von dem zuverlässigen Dritten übernommen. Je nach Ausgestaltung der Wahl des Pseudonyms hat mithin der Dritte und/oder der Betroffene Kenntnis von der Zuordnungsregel.182 Diese Varianten verfolgen primär das Ziel, dass der Personenbezug für den tatsächlichen Datenverwender nur schwer herzustellen ist. Schließlich besteht jedoch noch die Möglichkeit, dass der eigentliche Datenverwender die Daten pseudonymisiert. In diesem Fall gewährleistet das Pseudonym jedoch keinen Schutz vor dem Datenverwender, da er Kenntnis von der Zuordnungsregel hat. Vielmehr steht bei dieser Variante der Schutz der Daten gegenüber Dritten im Vordergrund.183 Im Rahmen der Betrachtung des Aufwandes der Re-Identifizierung stellt sich wiederum die Frage, ob dabei auf die relative oder absolute Bestimmbarkeit abzustellen ist. Folgt man der relativen Sichtweise, kommt es entscheidend darauf an, ob der Datenverwender in zulässiger Weise und unter verhältnismäßigem Aufwand auf die Zuordnungsregel zugreifen kann. Für den Kenner der Regel ist die Re-Identifizierung derart einfach, dass für ihn auch die unter einem Pseudonym gespeicherten Daten personenbezogen bleiben.184 Für Datenverwender, die hingegen keine Kenntnis davon haben und diese auch nicht mit vertretbarem Aufwand erlangen können, liegt kein Personenbezug vor. 180 181 182

Bizer, in: Simitis BDSG, § 3, Rn. 216. Roßnagel/Scholz, MMR 2000, 721 (725). Bizer, in: Simitis BDSG, § 3, Rn. 221; Roßnagel/Scholz, MMR 2000, 721

(725). 183

Roßnagel/Scholz, MMR 2000, 721 (725). Härting, CR 2008, 743 (744); Kirchberg-Lennartz/Weber, DuD 2010, 479 (480); Roßnagel, in: Roßnagel, 3.4 Konzepte des Selbstdatenschutzes, Rn. 60. 184

I. Die Behandlung von IP-Adressen im deutschen Recht

53

Ansonsten, also für den Fall der absoluten Bestimmbarkeit, genügt es, dass überhaupt eine Zuordnungsregel besteht, damit von personenbezogenen Daten die Rede sein kann. Können die Daten auch anhand einer Zuordnungsregel nicht entschlüsselt werden – da diese beispielsweise unwiderruflich gelöscht wurde –, liegen wiederum anonyme Daten vor.185 Die Vertreter der relativen Bestimmbarkeit können hingegen dann bereits von anonymen Daten sprechen, wenn die Zuordnungsregel nicht mit einem verhältnismäßigem Aufwand genutzt werden kann, beispielsweise in dem Fall, dass sie dem Datenverwender schlicht unbekannt ist und er auch keine legale Möglichkeit hat, diese in Erfahrung zu bringen.186 Es ist daher auch von „faktisch anonymen Pseudonymen“ die Rede.187 Die datenschutzrechtlichen Vorschriften müssten dann auch keine Anwendung finden, da es bereits an der für das Datenschutzrecht typischen Gefährdungslage fehle, wenn der Personenbezug von dem Datenverarbeiter nicht hergestellt werden kann.188 (3) Fazit Schlussendlich stellt sich die Frage, ob anonyme und pseudonyme Daten noch einen Personenbezug aufweisen oder ob es ihnen an der notwendigen Bestimmbarkeit fehlt. Darüber hinaus bedarf es der Klärung, ob IP-Adressen als Pseudonyme oder sogar als anonyme Daten angesehen werden können. Gemäß einer vertretenen Ansicht stellen bloß faktisch anonyme und pseudonyme Daten noch personenbezogene Daten dar.189 Diese Ansicht wird dadurch begründet, dass bei diesen Daten zumindest die theoretische Möglichkeit der Re-Identifizierung besteht.190 Die Wahrscheinlichkeit müsse aus Sicht eines objektiven Betrachters bestimmt werden, dem alle Möglichkeiten zur Re-Identifizierung offen stehen. Allein auf diese objektive Sichtweise könne sich die Bestimmung des verhältnismäßigen Aufwandes beziehen.191 Dies entspricht der absoluten Sichtweise auf die Bestimmbarkeit des Personenbezuges. Demnach handele es sich lediglich bei absolut anonymen Daten, bei denen also selbst die theoretische Möglichkeit der Re185

s. C. I. 1. c) cc) (1). Scholz, S. 189; Yildirim, S. 152. 187 Roßnagel/Scholz, MMR 2000, 721 (725). 188 Härting, CR 2008, 743 (747). 189 Dammann, in: Simitis BDSG, § 3, Rn. 196. 190 Schaffland/Wiltfang, BDSG, 5001, § 3, Rn. 15; Weichert, in: Däubler/Klebe/ Wedde/Weichert BDSG, § 3, Rn. 42. 191 Weichert, in: Däubler/Klebe/Wedde/Weichert BDSG, § 3, Rn. 47. 186

54

C. Die nationale datenschutzrechtliche Situation

Identifizierung ausgeschlossen ist, um Daten, denen es am Personenbezug fehle, da die Person nicht bestimmbar sei. Im Rahmen des Grundsatzes der Datenvermeidung und -sparsamkeit werden die Datenverwender dazu angehalten, von der Möglichkeit des Anonymisierens und Pseudonymisierens Gebrauch zu machen.192 Aus dem Wortlaut der Vorschrift lässt sich hingegen nicht erkennen, ob dies zur Folge hat, dass die in dieser Form verarbeiteten Daten keinen Personenbezug mehr aufweisen. Es werden lediglich die Mittel zur Datenvermeidung und -sparsamkeit aufgezeigt, ohne aber eine (Rechts)Folge oder ein Ergebnis der Anwendung der Mittel anzuordnen oder festzustellen. Ebenso wenig können Schlussfolgerungen aus den § 4d Abs. 4 Nr. 2, § 4f Abs. 1 S. 5 oder § 30 Abs. 1 S. 1 BDSG gezogen werden, da diese nur Regelungen zur anonymisierten Übermittlung von personenbezogenen Daten beinhalten. Wiederum wird keine Aussage darüber getroffen, ob man mittels der Daten noch einen Personenbezug herstellen kann. Insbesondere die Regelung des § 30 Abs. 1 BDSG wirft Zweifel auf, ob die Daten nach der Anonymisierung nicht doch noch personenbezogen sind. Nach dem Wortlaut geht der Gesetzgeber davon aus, dass sowohl die bereits anonymisierten Daten und der zur De-Anonymisierung notwendige Schlüssel in einer Hand liegen.193 Mithin wäre der Aufwand, die Daten anhand des Schlüssels wieder zu identifizieren nicht unverhältnismäßig groß. Faktisch heißt dies aber, dass von vorneherein gar keine anonymen Daten vorlagen und diese nie ihren Personenbezug verloren haben. Eine Erklärung für diesen Widerspruch wäre, dass der Gesetzgeber im Rahmen des § 30 Abs. 1 BDSG nicht den selben Anonymisierungsbegriff wie in § 3 Abs. 6 BDSG zugrunde gelegt hat.194 Nach Sinn und Zweck des § 30 Abs. 1 S. 2 BDSG ist die Wiederherstellung des Personenbezuges ausdrücklich vorgesehen, wenn nicht gar gewünscht. Diese Wiederherstellung soll anhand eines Zuordnungsschlüssels vollzogen werden. Das Bestehen eines solchen Schlüssels spricht aber gerade gegen das Vorliegen von anonymen Daten. Vielmehr handelt es sich um einen Fall von Pseudonymen, die durch das Bestehen einer Zuordnungsregel gekennzeichnet sind. Insofern kann festgehalten werden, dass die Vorschrift des § 30 Abs. 1 BDSG weder zur Begründung noch zur Ablehnung des Personenbezuges 192 Gemäß § 3a BDSG sind „keine oder so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere ist von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen, [. . .]“. Vgl. auch Gola/Klein, RDV 2009, Sonderbeilage zu Heft 4, S. 1 (4). 193 Meyerdierks, MMR 2009, 8 (10). 194 So wohl auch Ehmann, in: Simitis BDSD, § 30, Rn. 57.

I. Die Behandlung von IP-Adressen im deutschen Recht

55

bei anonymen Daten verwendet werden kann, da sie nicht dem Begriff des Anonymisierens im Sinne des § 3 Abs. 6 BDSG entspricht. Entgegen der erstgenannten Ansicht wird vertreten, dass sowohl pseudonymen als auch anonymen Daten der Personenbezug mangels Bestimmbarkeit fehlt.195 Insbesondere komme eine Unterscheidung zwischen faktisch und absolut anonymen Daten nicht in Betracht, da sich die Frage, ob ein Datum anonym ist, allein nach der Wahrscheinlichkeit der Re-Identifizierung richte, wie es auch § 3 Abs. 6 BDSG vorschreibe. Das der Wahrscheinlichkeitsprüfung innewohnende Restrisiko der Aufdeckung der Person dürfe keinen Einfluss auf den Personenbezug haben.196 Gleiches gelte auch für die Pseudonymisierung von Daten, bei der ein Restrisiko der ungewollten Aufdeckung ebenso wenig ausgeschlossen werden könne.197 Die Wahrscheinlichkeitsprüfung wiederum könne für jeden Datenverwender zu unterschiedlichen Ergebnissen führen. Diese Ansicht stützt sich daher auf die relative Sichtweise der Bestimmbarkeit.198 Auch wenn, wie oben dargestellt, der Wortlaut von § 3a BDSG für sich gesehen keine Antwort auf den Personenbezug der anonymen und pseudonymen Daten liefert, sieht die soeben dargestellte Ansicht den fehlenden Personenbezug dieser Daten im Sinn und Zweck der Vorschrift verankert: Der Grundsatz der Datenvermeidung und -sparsamkeit soll gerade dazu dienen, dass möglichst wenige personenbezogene Daten erhoben, verarbeitet oder genutzt werden.199 Ein Mittel, um dieses Ziel zu erreichen, sind die Maßnahmen der Anonymisierung und Pseudonymisierung, weswegen die Daten nach diesen Vorgängen keinen Personenbezug mehr aufweisen könnten. Eine andere Auslegung widerspreche dem Sinn und Zweck des § 3a BDSG.200 Darüber hinaus sehen die Vertreter des relativen Personenbezugs in § 30 Abs. 1 BDSG ein Indiz für ihre Ansicht, denn der Gesetzgeber stelle in diesem Rahmen allein auf die Kenntnis der Zuordnungsregel des tatsächlichen Datenverwenders ab. Ebenso solle § 40 Abs. 2 BDSG den relativen Personenbezug zum Ausdruck bringen.201 Wie bereits dargestellt, kann § 30 Abs. 1 BDSG aber weder für die eine noch für die andere Ansicht ins Feld geführt werden. Diese Aussage kann man ebenso auf § 40 Abs. 2 BDSG 195

Yildirim, S. 155. Roßnagel/Scholz, MMR 2000, 721 (726); Yildirim, S. 156. 197 Wie Fn. 196. 198 Roßnagel/Scholz, MMR 2000, 721 (723). 199 Insoweit besteht wegen des eindeutigen Wortlauts des § 3a BDSG Einigkeit; vgl. Weichert, in: Däubler/Klebe/Wedde/Weichert BDSG, § 3a, Rn. 1. 200 Roßnagel/Scholz, MMR 2000, 721 (727); Yildirim, S. 155. 201 Dammann, in: Simitis BDSG, § 3, Rn. 34. 196

56

C. Die nationale datenschutzrechtliche Situation

ausdehnen, denn auch dort ist der Anonymisierungsbegriff nicht mit dem der Legaldefinition des § 3 Abs. 6 BDSG in Einklang zu bringen. Es lässt sich festhalten, dass beide dargestellten Ansichten davon ausgehen, dass anonyme Daten keine personenbezogenen Daten mehr darstellen.202 Allerdings beurteilen sie die Frage, wann eine Anonymisierung vorliegt unterschiedlich: Während die erstgenannte Ansicht eine Unterscheidung zwischen faktischer und absoluter Anonymisierung vornimmt, lehnt die andere Auffassung eine solche Unterscheidung ab. Die Frage nach dem Personenbezug von Pseudonymen ist – wie bei den anonymen Daten – umstritten. Es wird gar davon gesprochen, dass dieses Problem „nicht abschließend beurteilt werden“203 könne. Allerdings herrscht Einigkeit darüber, dass für denjenigen, der die Zuordnungsregel zur Entschlüsselung des Pseudonyms kennt, der Personenbezug anzunehmen ist.204 Für die Anhänger der relativen Sichtweise auf die Bestimmbarkeit bleibt es allein bei dieser Möglichkeit zur Bejahung des Personenbezuges.205 Andere nehmen bezüglich der Bestimmung des Personenbezuges keine Unterscheidung danach vor, ob der Datenverarbeitende die Zuordnungsregel kennt oder nicht, solange eine solche denn existent ist.206 Dies entspricht der absoluten Sichtweise auf die Bestimmbarkeit. Auffällig ist, dass das BDSG keine Privilegierung für die Verarbeitung von pseudonymen Daten vorsieht. Das BDSG äußert sich lediglich an zwei Stellen zu Pseudonymen: Zum einen liefert es eine Begriffsdefinition in § 3 Abs. 6a BDSG; zum anderen werden Pseudonyme als Mittel zur Datenvermeidung und -sparsamkeit gesehen, § 3a BDSG. Aus diesen Vorschriften allein eine Aussage über den Personenbezug von Pseudonymen zu treffen, erscheint nicht möglich. Vielmehr muss der Begriff des Pseudonyms in Einklang mit einerseits „normalen“ personenbezogenen und mit andererseits anonymen Daten gebracht werden. 202

Weichert, in: Däubler/Klebe/Wedde/Weichert BDSG, § 3, Rn. 49. Schaffland/Wiltfang, BDSG, 5001, § 3, Rn. 13. 204 Schaffland/Wiltfang, BDSG, 5001, § 3, Rn. 13. 205 Fröhle, S. 116. Schaffland/Wiltfang, BDSG, 5001, § 3, Rn. 13, widersprechen sich in ihren Ausführungen insofern selbst, indem sie zunächst auf die relative Sichtweise auf den Personenbezug abstellen und dann im folgenden Gang ihrer Kommentierung darauf abstellen, dass es „Zweck des Pseudonymisierens ist [. . .] den Inhalt der Daten zu einem bestimmten Zeitpunkt wiedererkennen zu können. Insofern werden i. d. R. kodierte Daten immer personenbezogene Daten bleiben.“ Dabei wird nicht deutlich, ob dies nun für oder gegen die Relativität des Personenbezuges sprechen soll. Die Ausführungen diesbezüglich sind mithin nicht zielführend. 206 Bizer, in: Simitis BDSG, § 3, Rn. 217. 203

I. Die Behandlung von IP-Adressen im deutschen Recht

57

Letztlich muss an dieser Stelle noch die Frage aufgeworfen werden, ob IP-Adressen nach dem bisherigen Kenntnisstand unter eine der genannten Datenkategorien zu fassen sind.207 Auch hier empfiehlt sich eine Trennung zwischen statischen und dynamischen IP-Adressen. Dynamische IP-Adressen können dann einer konkreten Person zugeordnet werden, wenn die konkreten Verbindungsdaten, wie Datum und Uhrzeit, zu einem bestimmten Anschlussinhaber ebenfalls gespeichert werden. Anhand dieser Merkmale kann dann die Zuordnung der IP-Adresse zu diesem Nutzer erfolgen. Insofern kann die IP-Adresse als Pseudonym, vergeben durch den Access-Provider, für den Anschlussinhaber gelten.208 Allerdings hängt die Bejahung eines Pseudonyms von der Sichtweise auf die Kenntnis der Zuordnungsregel ab: Geht man von einer absoluten aus, dann stellt die IP-Adresse für jedermann ein Pseudonym dar, unabhängig von dessen Kenntnis der Zuordnungsregel. Folgt man jedoch einer relativen Sichtweise, so ist die IP-Adresse lediglich für denjenigen ein Pseudonym, der auch die Zuordnungsregel kennt. Dies wird regelmäßig lediglich der Access-Provider sein.209 Für jeden anderen würde die IP-Adresse nach dieser Sichtweise ein anonymes Datum darstellen. Sollten aufgezeichnete Daten über eine konkrete Verbindung fehlen, so handelt es sich in Ermangelung einer Zuordnungsregel unstrittig um ein anonymes Datum. Statische IP-Adressen können hingegen unabhängig von der Speicherung bestimmter Verbindungsdaten einer Person beziehungsweise einem Netzwerk zugeordnet werden. In Bezug auf die Kenntnis der Zuordnungsregel gilt das zu den dynamischen IP-Adressen Gesagte; ebenso für die Situation, dass die IP-Adresse einem Netzwerk und nicht einer konkreten Person zugeordnet ist. Eine statische IP-Adresse als anonymes Datum zu beschreiben, ist nur dann möglich, wenn man auf die alleinige Nicht-Kenntnis des Datenverwenders in Bezug auf die Zuordnungsregel abstellt (relative Sichtweise) und die IP-Adresse gleichzeitig nur einem Netzwerk zugeordnet ist. Das Ergebnis entspricht dem über die Klassifizierung der IP-Adressen als personenbezogene Daten210, bei deren Betrachtung die Frage im Mittelpunkt stand, ob die hinter der IP-Adresse stehende Person bestimmbar ist. Somit drängt sich im Vergleich die Frage auf, ob alle Daten über Personen, die „lediglich“ bestimmbar im Sinne des § 3 Abs. 1 BDSG sind, gleichzei207 208 209 210

Dies allgemein bejahend Grimm, in: Roßnagel/Banzhaf/Grimm, S. 56. Schmitz, S. 92; Wagner, S. 164. Fröhle, S. 115. s. C. I. 1. c) bb) (3).

58

C. Die nationale datenschutzrechtliche Situation

tig zwangsläufig Pseudonyme sind. Dies hätte zur Folge, dass Pseudonyme jedenfalls personenbezogene Daten darstellen. Dieses Ergebnis kann nach dem Sinn und Zweck des Datenschutzrechts aber nicht gewünscht sein, da Pseudonyme gerade die Verarbeitung personenbezogener Daten verhindern und die Bestimmbarkeit einer Person erschweren, wenn nicht gar unmöglich machen wollen. Allerdings setzt die Bestimmbarkeit gerade voraus, dass mittels eines „Schlüssels“ eine Person bestimmt werden kann, was genau dem Konzept der Pseudonymisierung entspricht. Daher bleibt festzuhalten, dass die Frage nach der konkreten Ausgestaltung von Pseudonymen und deren Folgen in der Tat nicht abschließend geklärt werden kann und daher einer gesetzgeberischen Neubewertung bedarf. 2. Schutz von IP-Adressen im TKG und TMG Nicht nur das BDSG kennt den Begriff der personenbezogenen Daten. Die Definition des § 3 Abs. 1 BDSG findet vielmehr auch Anwendung im Rahmen von anderen Gesetzen, die ebenfalls auf die Verarbeitung von personenbezogenen Daten abstellen.211 Dazu gehören unter anderem auch das Telekommunikationsgesetz und das Telemediengesetz, die im Rahmen der jeweiligen Begriffsbestimmungen (§ 3 TKG und § 3 TMG) den Begriff der personenbezogenen Daten nicht definieren. Um das Schutzniveau für IP-Adressen beziehungsweise diesem zugrunde liegende Auslegungsfragen umfassend darzustellen, sind auch die Vorschriften der entsprechenden sektorspezifischen Gesetze in die Betrachtung einzubeziehen. a) TKG Das Telekommunikationsgesetz (TKG) hat die technologieneutrale Regulierung des Telekommunikationsmarktes zum Ziel. Dabei umfasst das Gesetz auch spezielle Datenschutzvorschriften, an die die Telekommunikationsdienstleister gebunden sind. aa) Anwendungsbereich Der zweite Abschnitt des siebten Teils des TKG umfasst Regelungen zum Datenschutz. Der Anwendungsbereich erstreckt sich gemäß § 91 211 Tinnefeld/Ehmann/Gerling, S. 279. Für das TKG siehe Klesczewski, in: Säcker BerlKomm. TKG, § 91, Rn. 15. Dass es sich bei dem BDSG um ein „Auffanggesetz“ handelt, dazu Wohlgemuth/Gerloff, S. 19.

I. Die Behandlung von IP-Adressen im deutschen Recht

59

Abs. 1 TKG auf sämtliche personenbezogenen Daten der Teilnehmer und Nutzer von Telekommunikation bei der Erhebung, Verarbeitung und Nutzung dieser Daten durch Unternehmen und Personen, die geschäftsmäßig Telekommunikationsdienste erbringen oder an deren Erbringung mitwirken.212 Telekommunikationsdienste werden in der Regel gegen Entgelt erbracht und bestehen ganz oder überwiegend in der Übertragung von Signalen über Telekommunikationsnetze, einschließlich der Übertragungsdienste in Rundfunknetzen, § 3 Nr. 24 TKG. Darunter fallen jedenfalls Access-Provider, die dem einzelnen Anschlussinhaber gegen Entgelt den Zugang zum Internet vermitteln und somit den Transport (Aussenden, Übermitteln und Empfangen, vgl. § 3 Nr. 22 TKG) von Signalen, also die eigentliche Telekommunikation, ermöglichen.213 Das TKG geht als sektorspezifische Datenschutzregelung den allgemeinen Vorschriften des BDSG vor (§ 1 Abs. 3 BDSG).214 Allerdings wird, wie bereits oben215 dargestellt, die Definition des § 3 Abs. 1 BDSG zur Bestimmung der personenbezogenen Daten auch im Kontext des TKG herangezogen, da es insofern an einer Definition im Rahmen des TKG fehlt.216 bb) Bestands- und Verkehrsdaten Neben dem Terminus der personenbezogenen Daten verwendet das TKG auch die Begriffe der Bestandsdaten und Verkehrsdaten, deren zulässige Erhebung und Verwendung in § 95 TKG bezüglich ersteren und in § 96 TKG bezüglich letzteren geregelt ist. Dabei herrscht trotz der Legaldefinitionen in § 3 TKG Streit darüber, unter welchen Datentyp IP-Adressen zu fassen sind. Verkannt werden darf dabei nicht, dass dasselbe Datum je nach Kontext sowohl Bestands- als auch Verkehrsdatum sein kann.217 cc) Bestandsdaten Die Definition der Bestandsdaten in § 3 Nr. 3 TKG als Daten eines Teilnehmers, die für die Begründung, inhaltliche Ausgestaltung, Änderung oder Been212

Büttgen, in: Scheurle/Mayen TKG, § 91, Rn. 22. Wittern/Schuster, in: BeckTKG-Komm., § 3, Rn. 49. 214 Tinnefeld/Ehmann/Gerling, S. 273; Weichert, in: Kilian/Heussen, Teil 13, Rechtsquellen und Grundbegriffe des allgemeinen Datenschutzes, Rn. 12; Wittern/ Schuster, in: BeckTKG-Komm., § 3, Rn. 4. 215 s. C. I. 2. 216 Klesczewski, in: Säcker BerlKomm. TKG, § 91, Rn. 15. 217 Büttgen, in: BeckTKG-Komm., § 95, Rn. 4. 213

60

C. Die nationale datenschutzrechtliche Situation

digung eines Vertragsverhältnisses über Telekommunikationsdienste erhoben werden, nimmt keinen ausdrücklichen Bezug auf personenbezogene Daten. Ob die Bestandsdaten tatsächlich einen Personenbezug aufweisen, bestimmt sich nach den Angaben im Rahmen des konkreten Vertragsverhältnisses.218 Allerdings finden die Datenschutzvorschriften des TKG nach § 91 Abs. 1 TKG nur dann Anwendung, wenn die Daten personenbezogen sind.219 Unproblematisch können der Name und die Anschrift des Teilnehmers als Bestandsdatum beschrieben werden220, da sie für den reibungslosen Ablauf der Ausgestaltung des Vertragsverhältnisses unerlässlich sind. Ansonsten wäre es dem Telekommunikationsdienstleister beispielsweise unmöglich, dem Teilnehmer seine Dienste in Rechnung zu stellen.221 Ebenso sollen nach einer Auffassung in der Literatur technische Merkmale des Anschlusses, wie die Art des Anschlusses und der Endeinrichtung, unter die Bestandsdaten zu fassen sein. Jedoch stellt sich hier wiederum die Frage, wie dies mit dem Anwendungsbereich des § 91 Abs. 1 TKG in Einklang zu bringen ist. Zudem ist zu beachten, dass die Vorgängernorm des § 2 Nr. 3 TDSV222 im Rahmen der Legaldefinition für Bestandsdaten ausdrücklichen Bezug auf die personenbezogenen Daten genommen hat.223 Bestandsdaten waren personenbezogene Daten eines an der Telekommunikation Beteiligten, die erhoben werden, um ein Vertragsverhältnis über Telekommunikationsdienste einschließlich dessen inhaltlicher Ausgestaltung mit dem Diensteanbieter zu begründen oder zu ändern. dd) Verkehrsdaten Verkehrsdaten im Sinne des § 3 Nr. 30 TKG dienen dem Herstellen und Aufrechterhalten einer Telekommunikationsverbindung. Sie werden beim Verbindungsaufbau automatisch hergestellt und anschließend während der Kommunikation verarbeitet224 und beziehen sich jeweils auf den konkreten Telekommunikationsvorgang225. Somit können sie Aufschluss über die nä218

Büttgen, in: BeckTKG-Komm., § 95, Rn. 3. s. zum Anwendungsbereich des TKG C. I. 2. a) aa). 220 Lünenbürger, in: Scheurle/Mayen TKG, § 3, Rn. 9. 221 Büttgen, in: BeckTKG-Komm., § 95, Rn. 3. 222 Telekommunikationsdatenschutzverordnung vom 18.12.2000 (BGBl. I 2000 S. 1740), außer Kraft getreten am 26.06.2004. 223 Lünenbürger, in: Scheurle/Mayen TKG, § 3, Rn. 9. 224 Robert, in: BeckTKG-Komm., § 96, Rn. 1. 225 Büttgen, in: Scheurle/Mayen TKG, § 96, Rn. 3. 219

I. Die Behandlung von IP-Adressen im deutschen Recht

61

heren Umstände der Kommunikation geben und unterfallen daher dem Fernmeldegeheimnis des Art. 10 Abs. 1 GG.226 Die Definition der Verkehrsdaten setzt Art. 2 lit. b) der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation227 um.228 Ob Verkehrsdaten zwingend einen Personenbezug aufweisen, lässt sich mit Blick auf die Legaldefinition des § 3 Nr. 30 TKG nicht eindeutig bestimmen, denn dies sind jene Daten, die, unabhängig von einer Vertragsgestaltung, bei der Erbringung eines Telekommunikationsdienstes erhoben, verarbeitet oder genutzt werden. Die während der Verbindung technisch generierten Daten stellen einen unmittelbaren Bezug zu dem Telekommunikationsteilnehmer her und können zumindest von dem Diensteanbieter zugeordnet werden.229 Insofern handelt es sich um Einzelangaben über sachliche Verhältnisse im Sinne von § 3 Abs. 1 BDSG.230 In § 96 Abs. 1 TKG wird aufgeführt, welche Daten Verkehrsdaten darstellen können.231 Insbesondere die in § 96 Abs. 1 Nr. 2 und 3 TKG aufgelisteten Regelbeispiele (Beginn und Ende der jeweiligen Verbindung nach Uhrzeit und Datum und übermittelte Datenmengen sowie der vom Anschlussinhaber in Anspruch genommene Telekommunikationsdienst) lassen den Schluss zu, dass es sich bei Verkehrsdaten gerade nicht nur um Daten handeln muss, die es ermöglichen sollen, eine Person im Sinne des § 3 Abs. 1 BDSG zu bestimmen. Problematisch ist wiederum, dass auch rein technische Informationen unter die Verkehrsdaten gefasst werden232, was dem Anwendungsbereich des § 91 Abs. 1 TKG widersprechen könnte. Die Regelung des mittlerweile außer Kraft getretenen § 2 Nr. 4 TDSV ging jedenfalls davon aus, dass Verkehrsdaten nur aus personenbezogenen Daten bestehen können.

226

Brunst, S. 341; Säcker, in: Säcker BerlKomm. TKG, § 3, Rn. 68. Im Folgenden abgekürzt als RL 2002/58/EG oder Datenschutzrichtlinie für elektronische Kommunikation. 228 Lünenberger, in: Scheurle/Mayen TKG, § 3, Rn. 81. 229 Büttgen, in: Scheurle/Mayen TKG, § 96, Rn. 4. 230 Büttgen, in: Scheurle/Mayen TKG, § 96, Rn. 4. 231 Büttgen, in: Scheurle/Mayen TKG, § 96, Rn. 3; Robert, in: BeckTKGKomm., § 96, Rn. 2. 232 Büttgen, in: Scheurle/Mayen TKG, § 96, Rn. 4. 227

62

C. Die nationale datenschutzrechtliche Situation

ee) Fazit Die Frage, ob IP-Adressen als Bestands- oder Verkehrsdaten anzusehen sind, beschäftigt Rechtsprechung und Literatur seit geraumer Zeit. So wird bezüglich der Einordnung ein buntes Meinungsspektrum vertreten, das wiederum zwischen statischen und dynamischen IP-Adressen unterscheidet. Nach einer Ansicht sollen erstere unter den Begriff der Bestandsdaten fallen233, während die zuletzt genannten unter die Definition der Verkehrsdaten zu fassen seien234. Einer anderen Ansicht zufolge können IP-Adressen, unabhängig von ihrer Natur, als Verkehrsdaten235 unter die in § 96 Abs. 1 Nr. 1 TKG genannten „Nummern [. . .] der beteiligten Anschlüsse“ fallen236. Dabei fällt auf, dass sich nach dem Wortlaut des § 96 Abs. 1 Nr. 1 TKG keine Differenzierung zwischen dynamischen und statischen IP-Adressen aufdrängt. Allerdings ist in diesem Zusammenhang zu beachten, dass sich Verkehrsdaten immer nur auf den konkreten Telekommunikationsvorgang beziehen.237 Das führt dazu, dass dynamische IP-Adressen, die für jede Einwahl ins Internet neu vergeben werden, nur Verkehrsdaten darstellen können, da sie nicht losgelöst vom jeweiligen Kommunikationsvorgang einer Person zugeordnet werden können. Gleichsam ermöglichen sie es, den Bezug von der Kommunikation zu den an ihr beteiligten Personen herzustellen, weswegen sie als Verkehrsdaten als personenbezogene Daten anzusehen sind.238 Anders fällt die Beurteilung hingegen mit Blick auf die statischen IPAdressen aus, die nicht für jeden Kommunikationsvorgang anlassbezogen vergeben werden, sondern einer Person und ihrem Anschluss durch ihren Vertragsanbieter fest zugewiesen wurden. Sie dienen damit der inhaltlichen Ausgestaltung des Vertragsverhältnisses und erfüllen damit die Definition der Bestandsdaten nach § 3 Nr. 3 TKG.

233 Brunst, S. 419; Koch, S. 920; Klesczewski, in: Säcker BerlKomm. TKG, § 95, Rn. 3; Wehr/Ujica, MMR 2010, 667 (668); Zöller, GA 2007, 393 (406). 234 LG Frankenthal, MMR 2008, 687 (688); Brunst, S. 419; Wehr/Ujica, MMR 2010, 667 (668). 235 Köhler/Arndt/Fetzer, S. 300; Lünenbürger, in: Scheurle/Mayen TKG, § 3, Rn. 81. 236 Bär, MMR 2008, 215 (219); Härting, ITRB 2009, 35 (38); Koch, S. 920; Robert, in: BeckTKG-Komm., § 96, Rn. 3. 237 Büttgen, in: Scheurle/Mayen TKG, § 96, Rn. 3. 238 Büttgen, in: Scheurle/Mayen TKG, § 91, Rn. 4.

I. Die Behandlung von IP-Adressen im deutschen Recht

63

(1) Erlaubnistatbestände nach dem TKG Die Relevanz der richtigen Einordnung von IP-Adressen in das Telekommunikationsrecht zeigt sich anhand der zahlreichen Erlaubnistatbestände des TKG zur Datenabfrage, die nach den unterschiedlichen Datenformen unterscheiden. Im Vordergrund der datenschutzrechtlichen Vorschriften des TKG (§§ 91–107) steht insofern die einfachrechtliche Gewährleistung des in Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG verankerten Rechts auf informationelle Selbstbestimmung.239 Grundsätzlich hat danach jeder das Recht selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.240 Eingriffe in dieses Grundrecht sind nur aufgrund einer gesetzlichen Grundlage zu rechtfertigen, so dass jedes Erheben und Verwenden von Daten durch einen Erlaubnistatbestand abgedeckt sein muss. In den bereits oben erwähnten §§ 95 und 96 TKG finden sich die Befugnisnormen zum Erheben und Speichern von Bestands- und Verkehrsdaten. Nach § 95 Abs. 1 S. 1 TKG darf der Diensteanbieter Bestandsdaten erheben und verwenden, soweit dieses zur Erreichung des in § 3 Nr. 3 TKG genannten Zwecks erforderlich ist. Eine Übermittlung der Bestandsdaten an Dritte kann nur dann erfolgen, wenn sie gesetzlich vorgesehen ist oder eine Einwilligung des Betroffenen vorliegt, § 95 Abs. 1 S. 3 TKG. Die Erhebung und Verwendung der Verkehrsdaten gemäß § 96 Abs. 1 TKG ist nur dann zulässig, wenn sie zur Erfüllung der im zweiten Abschnitt des siebten Teils des TKG genannten Zwecke erforderlich ist. Werden die Verkehrsdaten für keine im Gesetz anerkannten Zwecke benötigt, sind sie nach Beendigung der jeweiligen Verbindung unverzüglich durch den Diensteanbieter zu löschen, § 96 Abs. 2 S. 2 TKG. Es besteht demnach eine grundsätzliche Löschungspflicht für Verkehrsdaten.241 Dem Löschen der Verkehrsdaten kommt das Anonymisieren der Daten gleich, ohne dass dies ausdrücklich durch das TKG bestimmt würde. Insofern kann § 96 Abs. 2 TKG richtlinienkonform anhand des Art. 6 Abs. 1 RL 2002/ 58/EG ausgelegt werden, wonach die Verkehrsdaten zu löschen oder zu anonymisieren sind, sobald sie für die Übertragung einer Nachricht nicht mehr benötigt werden.242 Insofern erklärt sich auch die Unterscheidung von dynamischen IP-Adressen als Verkehrsdaten einerseits und der statischen als Bestandsdaten andererseits, da der Diensteanbieter grundsätz239 240 241 242

Büttgen, in: Scheurle/Mayen TKG, § 91, Rn. 3. Wie Fn. 239. Büttgen, in: Scheurle/Mayen TKG, § 96, Rn. 9, 10. Büttgen, in: Scheurle/Mayen TKG, § 96, Rn. 11.

64

C. Die nationale datenschutzrechtliche Situation

lich243 nach Ende des Telekommunikationsvorgangs bei dynamischen IPAdressen kein Interesse mehr an der Aufbewahrung hat. Anders ist dies aber bei statischen IP-Adressen zu beurteilen, die ohnehin von derselben Person weiter verwendet werden. Der Grundsatz des § 96 Abs. 1 TKG wird durch die Vorschrift des § 97 TKG für den speziellen Fall der Entgeltermittlung und -abrechnung ergänzt. Gemäß § 97 Abs. 1 S. 1 TKG darf der Diensteanbieter die Verkehrsdaten verwenden, soweit diese zur Ermittlung des Entgelts und zur Abrechnung mit dem Teilnehmer erforderlich sind. Dabei hat die Ermittlung der erforderlichen Daten unverzüglich nach § 97 Abs. 3 TKG zu geschehen. Diese Daten können nach der Erstellung der Abrechnung bis zu sechs Monate nach Versendung der Rechnung gespeichert werden, es sei denn es wurden Einwendungen durch den Teilnehmer erhoben. Alle übrigen Daten – die demgemäß nicht für die Entgeltabrechnung und -ermittlung erforderlich sind – sind unverzüglich zu löschen, § 97 Abs. 3 S. 3 TKG. Daneben kommt schließlich noch der Erlaubnistatbestand des § 100 TKG zum Tragen, nach dessen Abs. 1 die Erhebung und Verwendung von Bestands- und Nutzungsdaten möglich ist, soweit diese zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern an Telekommunikationsanlagen erforderlich sind. (2) Sonderfall: Vorratsdatenspeicherung Zur Gewährleistung der öffentlichen Sicherheit sollten insbesondere die Erlaubnistatbestände der §§ 111, 113a i. V. m. 113b TKG beitragen. Während § 111 TKG die Speicherung von Bestandsdaten ins Auge fasst, geht es im Rahmen von §§ 113a, 113b TKG um die Vorratsspeicherung von Verkehrsdaten.244 Allerdings hat das BVerfG mit Urteil vom 2. März 2010245 §§ 113a und 113b TKG für verfassungswidrig und somit nichtig gemäß § 95 Abs. 3 S. 1 BVerfGG erklärt, so dass sie als Rechtsgrundlagen zur Speicherung der in Rede stehenden Verkehrsdaten nicht mehr in Frage kommen.246 §§ 113a, 113b TKG beruhten auf den Vorgaben der Richtlinie 2006/24/ EG des Europäischen Parlaments und des Rates vom 15. März 2006 über die Vorratsdatenspeicherung von Daten, die bei der Bereitstellung öffentlich 243

s. dazu zugleich beispielsweise für den Fall der Engeltermittlung und -abrech-

nung. 244

Fellenberg, in: Scheurle/Mayen TKG, § 113a, Rn. 2. BVerfG 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08 vom 02.03.2010. 246 BVerfG 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08 vom 02.03.2010, Rn. 183. 245

I. Die Behandlung von IP-Adressen im deutschen Recht

65

zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG247, und sollten diese Richtline in deutsches Recht umsetzen. (3) Das Urteil des BVerfG zur Vorratsdatenspeicherung Im Wege des Urteils zur Vorratsdatenspeicherung hat das BVerfG eine weitere Konkretisierung des verfassungsrechtlichen Rahmens des Datenschutzrechts vorgenommen, durch die nicht nur Rückschlüsse auf die Zulässigkeit der auf der Richtlinie 2006/24/EG basierenden Vorratsdatenspeicherung, sondern auch allgemeine Anhaltspunkte zum Umfang des Datenschutzrechtes gezogen werden können. (a) Kernaussagen des Urteils des BVerfG zur Vorratsdatenspeicherung Das Urteil beinhaltet als Grundaussage, dass eine sechsmonatige, vorsorglich anlasslose Speicherung von Telekommunikationsverkehrsdaten durch private Diensteanbieter nicht schlechthin mit dem in Art. 10 GG verankerten Fernmeldegeheimnis unvereinbar ist.248 Zwar untersagt Art. 10 GG die Speicherung von personenbezogenen Daten auf Vorrat zu unbestimmten oder noch nicht bestimmten Zwecken.249 Verboten wird aber nicht jede vorsorgliche Erhebung oder Speicherung von Daten überhaupt.250 Eine unzulässige, da zu unbestimmten Zwecken erfolgende, Datenspeicherung liegt nach Ansicht des BVerfG bei der Umsetzung der Vorratsdatenspeicherungs-RL aber nicht vor, da zwar die Verkehrsdaten von den Telekommunikationsanbietern anlasslos gespeichert würden, aber die Verwendung nur zu bestimmten Zwecken durch staatliche Stellen zulässig sei. Im Fokus der Vorratsdatenspeicherung stehen insbesondere auch Daten, die während der Internetkommunikation anfallen und erfasst werden. Dies scheint insofern im Verhältnis zur „klassischen“ Individualkommunikation via Telefon beachtlich, als dass das Internet ein Massenkommunikationsmedium darstellt, das zum einen leichter zu überwachen ist und zum anderen Kommunikation einer breiteren Öffentlichkeit zugänglich macht. Dies erschwert die Unterscheidung zwischen öffentlicher Massenkommunikation 247

Im Folgenden: RL 2006/24/EG. BVerfG 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08 vom 2.3.2010, 1. LS. 249 BVerfG 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08 vom 2.3.2010, Rn. 206; Roßnagel, NJW 2010, 1238 (1240). 250 BVerfG 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08 vom 2.3.2010, Rn. 206. 248

66

C. Die nationale datenschutzrechtliche Situation

und privater Individualkommunikation. Das BVerfG räumt den bei der Internetkommunikation gespeicherten Verkehrsdaten (insbesondere auf Grundlage der § 113a Abs. 3 und 4 TKG) dennoch den gleichen Schutzumfang im Rahmen von Art. 10 GG ein. Begründet wird dies damit, dass die Verkehrsdaten nicht ohne einen unzulässigen Eingriff in den geschützten Inhalt der Kommunikation einer möglichen Individual- oder Massenkommunikation zugeordnet werden könnten.251 Eine Abstufung der Schutzintensität des Art. 10 GG kommt demnach auch bei der Internetkommunikation nicht in Betracht. Üblicherweise lassen sich aus Verkehrsdaten Rückschlüsse auf die Art und Dauer der Kommunikation ziehen.252 Dadurch kann alleine anhand von Verkehrsdatensammlungen ein Persönlichkeitsprofil erstellt werden, das Informationen über die Interessen und Neigungen des Telekommunikationspartners offenbaren kann.253 Die Frage, die sich im Zusammenhang mit IP-Adressen stellt ist hingegen, ob aus der Speicherung und Verarbeitung dieser Kennung ähnliche Informationen gezogen werden können. Die bloße Kenntnis darüber, welcher Person welche IP-Adresse zu welchem Zeitpunkt zugeordnet war, gibt noch keine Auskunft darüber, ob oder gar mit wem ein Kommunikationsvorgang via Internet stattgefunden hat. Aus der bloßen Kennung lässt sich lediglich der Access-Provider ermitteln und eine nicht vollständig präzise Geolokalisation durchführen.254 Erst im Zusammenhang mit der Speicherung der aufgerufenen Homepages des Nutzers kann man unter Umständen Rückschlüsse auf die Kommunikation des Nutzers oder seine Person ziehen. Nichtsdestotrotz muss berücksichtigt werden, dass die Speicherung der IPAdresse im Rahmen eines Nutzerprofils die Gefahr der Identifizierung deutlich erhöht beziehungsweise gar erst ermöglicht. Unter Berücksichtigung dieser Gefährdungslage verwundert es nicht, dass sich das BVerfG in seinem Urteil mit der Frage der Sensibilität von IPAdressen im Verhältnis zu den übrigen Verkehrsdaten auseinandergesetzt hat.255 Im Ergebnis setzt das BVerfG für die Verarbeitung von IP-Adressen niedrigere Anforderungen als für andere Telekommunikationsverkehrsdaten an: „Eine nur mittelbare Nutzung der Daten zur Erteilung von Auskünften durch die Telekommunikationsdienstanbieter über die Inhaber von Internet251

BVerfG 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08 vom 2.3.2010, Rn. 192. Klesczewski, in: FS Fezer, S. 19 (28 f.). 253 BVerfG 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08 vom 2.3.2010, Rn. 211. 254 Schleipfer, RDV 2010, 168 (169 f.). 255 BVerfG 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08 vom 2.3.2010, Rn. 254 ff. 252

I. Die Behandlung von IP-Adressen im deutschen Recht

67

protokolladressen ist auch unabhängig von begrenzenden Straftaten- oder Rechtsgüterkatalogen für die Strafverfolgung, Gefahrenabwehr und die Wahrnehmung nachrichtendienstlicher Aufgaben zulässig.“256 Das BVerfG macht damit einen Unterschied zwischen der unmittelbaren Abfrage und Verwendung von Telekommunikationsdaten einerseits und der Möglichkeit der mittelbaren Verwendung von IP-Adressen zur Identitätsermittlung der Internetnutzer andererseits.257 Die Differenzierung innerhalb der Kategorie der Verkehrsdaten wird damit begründet, dass im Rahmen der Auskunftsbegehren, die die staatlichen Organe üblicherweise an die Access-Provider stellen, die IP-Adresse nicht durch den Staat selbst, sondern meist durch einen privaten Dritten ermittelt wurde. Der Staat erlangt also nicht durch seine eigene Initiative Kenntnis von dem Verkehrsdatum, sondern durch die Übermittlung von einem anderen.258 Daher kann von mittelbarer Nutzung gesprochen werden, da der Behörde das Verkehrsdatum bereits bekannt ist.259 Ziel der Auskunft ist lediglich die Information, welcher Anschlussinhaber unter der angegebenen IP-Adresse zu dem bekannt gegebenen Zeitpunkt das Internet genutzt hat. Das BVerfG betrachtet diese Information lediglich als punktuell und mit einer Telefonnummer vergleichbar, ohne dass die Gefahr der Erstellung eines Persönlichkeits- oder Bewegungsprofils bestünde.260 Schließlich seien IP-Adressen auch ohne weitere Verkehrsdaten zu speichern, so dass der Eingriff zu einer vollständigen Speicherung sämtlicher Telekommunikationsverbindungsdaten relativ gesehen geringer ist, was eine Differenzierung der verfassungsrechtlichen Anforderungen rechtfertige.261 Nichtsdestotrotz erkennt das BVerfG, dass durch die Auskunftsansprüche zur Identifizierung von IP-Adressen die Anonymität der Internetnutzung beeinträchtigt wird.262 In diesem Rahmen relativiert das BVerfG auch seine Ausführungen zur Vergleichbarkeit von IP-Adressen mit Telefonnummern263: Anders als diese werden dynamische IP-Adressen nämlich nicht 256

BVerfG 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08 vom 2.3.2010, 6. LS. BVerfG 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08 vom 2.3.2010, Rn. 254; Hornung/Schnabel, DVBl. 2010, 824 (831); Westphal, EuZW 2010, 494 (496). 258 BVerfG 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08 vom 2.3.2010, Rn. 256. 259 Hornung/Schnabel, DVBl. 2010, 824 (831); Roßnagel, NJW 2010, 1238 (1241). 260 s. Fn. 258. 261 BVerfG 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08 vom 2.3.2010, Rn. 257. Zustimmend Gietl, DuD 2010, 398 (401). 262 BVerfG 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08 vom 2.3.2010, Rn. 258. 263 So auch Hornung/Schnabel, DVBl. 2010, 824 (831). 257

68

C. Die nationale datenschutzrechtliche Situation

auf Dauer und daher mehrmals vergeben, so dass für eine Zuordnung zu einem Anschlussinhaber zwingend die Nutzungszeit mitgespeichert werden muss. Ebenfalls sei eine Unterdrückung beziehungsweise Anonymisierung von IP-Adressen nur unter einem im Verhältnis zu Telefonnummern gesehenen größeren Aufwand möglich.264 Zudem ist es durch die Verquickung von IP-Adresse und Internethomepages möglich, Informationen über den Inhalt der Kommunikation zu erlangen. Eine strikte Trennung von Inhaltsund Verbindungsdaten ist demnach bei der Internetkommunikation nicht möglich.265 Bei der Frage nach der Verfassungsmäßigkeit der Auskunftsbegehren muss aber neben dem Schutz der Verkehrsdaten einerseits, andererseits auch das Interesse Dritter an der Aufklärung von Rechtsgutsverletzung durch die Internetnutzung gesehen werden. Der Gesetzgeber habe insofern einen weiten Entscheidungsspielraum bei der Ausgestaltung der genauen Auskunftsansprüche.266 Eine Begrenzung der Auskunftsansprüche auf einen bestimmten Rechtsgüter- oder Straftatenkatalog sei nicht erforderlich, ebensowenig wie ein Richtervorbehalt. Die Sicherstellung, dass ein Anfangsverdacht für die Auskunftseinholung oder eine konkrete Gefahr bestünde, genüge.267 Lediglich die Bekämpfung oder Verhinderung bloßer Ordnungswidrigkeiten genüge nicht, da die Anonymität des Internets nur dann geopfert werden dürfe, wenn es um die Rettung von Rechtsgütern ginge, die eine besondere Stellung in der Rechtsordnung einnehmen.268 (b) Stellungnahmen des BVerwG und des BGH Kritischer als das BVerfG sieht das BVerwG, das im Rahmen der Verfassungsbeschwerde eine Stellungnahme abgab, die anlasslose Vorratsverkehrsdatenspeicherung beim Diensteanbieter.269 Der Eingriff in Art. 10 GG sei nur schwerlich zu rechtfertigen, da bei Vornahme der Speicherung nicht vorhersehbar sei, zu welchem tatsächlichen Zweck die Verkehrsdaten verwendet werden dürften. Zudem ist das BVerwG der Auffassung, dass die gespeicherten Daten eine hohe Persönlichkeitsrelevanz aufweisen, die die Erstellung von umfassenden Persönlichkeitsprofilen ermöglichen. 264

BVerfG 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08 vom 2.3.2010, Rn. 259. BVerfG 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08 vom 2.3.2010, Rn. 258; Hornung/Schnabel, DVBl. 2010, 824 (832). 266 BVerfG 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08 vom 2.3.2010, Rn. 260. 267 BVerfG 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08 vom 2.3.2010, Rn. 261. 268 BVerfG 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08 vom 2.3.2010, Rn. 262. 269 Abgedruckt im Rahmen der Entscheidung des BVerfG 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08 vom 2.3.2010, Rn. 165. 265

I. Die Behandlung von IP-Adressen im deutschen Recht

69

Im Gegensatz zum BVerwG wiesen der Vorsitzende des 1. Strafsenates und ein Ermittlungsrichter des BGH auf die praktische Notwendigkeit der Vorratsdatenspeicherung hin. Insbesondere im Rahmen des Emailverkehrs sei die Speicherung von IP-Adressen erforderlich.270 (c) Stellungnahme Die geringeren Anforderungen, die das BVerfG im Vergleich zu den übrigen Verkehrsdaten an die Auskunftsansprüche gegenüber Access-Providern bezüglich der Anschlussinhaber von IP-Adressen stellt, sind kritisch zu beurteilen: Von der Anfrage beim Access-Provider sind neben der IP-Adresse auch immer der Kommunikationszeitpunkt und die -dauer umfasst. Zudem kann durch die Abfrage offen zu Tage treten, welche Homepages der Anschlussinhaber in dem Zeitraum der Zuweisung der IP-Adresse besucht hat oder mit welchem anderen Anschlussinhaber kommuniziert wurde.271 So ist es entgegen der Ansicht des BVerfG doch möglich ein Profil über den Nutzer zu erstellen, zumindest für den Zeitraum, in dem ihm die gleiche IPAdresse zugewiesen war. Dass das BVerfG dem Gesetzgeber eine weite Einschätzungsprärogative bei der Ausgestaltung der Auskunftsansprüche zugesteht erscheint denknotwendig: Es gehört zu den originären Aufgaben der Legislative einen Ausgleich zwischen den unterschiedlichen Grundrechtspositionen herbeizuführen. Hierbei stehen sich in dieser Fallgestaltung einerseits das Fernmeldegeheimnis und das Eigentumsrecht von Rechteinhabern andererseits gegenüber. Die Lösung des BVerfG zeigt aber auch, dass die Frage, wie mit den Auskunftsansprüchen in Bezug auf IP-Adressen umzugehen ist, keine Frage der Schutzbereichsverkürzung des Art. 10 GG ist. Vielmehr wird die Frage nach der Schutzintensität im Rahmen der Verhältnismäßigkeitsprüfung auf Rechtfertigungsebene zu beantworten sein. Als Ergebnis lässt sich demnach festhalten, dass IP-Adressen, wie andere Verkehrsdaten auch, vom Schutzbereich des Art. 10 GG erfasst werden.272 Kann man dem Urteil eine klare Antwort auf die Frage der Eröffnung des Schutzbereichs des Art. 10 GG entnehmen, so fehlt es aber doch an 270 Abgedruckt im Rahmen der Entscheidung des BVerfG 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08 vom 2.3.2010, Rn. 166. 271 Diesen Punkt sieht das BVerfG in einer relativierenden Passage selbst: „Schon vom Umfang der Kontakte her, die jeweils durch das Abrufen von Internetseiten neu hergestellt werden, ist sie aussagekräftiger als eine Telefonnummernabfrage.“ 272 Diese Frage sieht nun auch Gietl, DuD 2010, 398 (403) als abschließend geklärt an. Vgl. auch bereits vor dem Urteil zur Vorratsdatenspeicherung Dix/Petri, DuD 2009, 531 (533).

70

C. Die nationale datenschutzrechtliche Situation

einer ausdrücklichen Stellungnahme zu der Problematik, ob IP-Adressen einen Personenbezug aufweisen oder nicht.273 Verschiedene Passagen des Urteils deuten jeweils in die eine oder die andere Verständnisart: Zum einen geht das BVerfG davon aus, dass ein Internetnutzer, von dem lediglich die IP-Adresse bekannt ist, als anonym gilt.274 Allerdings erklärt das BVerfG nicht, wie es Anonymität definiert und ob diese im Sinne des BDSG275 zu verstehen ist. Auf der anderen Seite fällt bei der Auseinandersetzung mit dem Urteil zur Vorratsdatenspeicherung auf, dass das BVerfG die Begriffe „personenbezogene Daten“ und „Telekommunikationsverbindungsdaten“ zugleich verwendet, ohne eine signifikante Abgrenzung zwischen den Begriffen vorzunehmen.276 So betont das Gericht, dass „eine Sammlung von personenbezogenen Daten auf Vorrat zu unbestimmten oder noch nicht zu bestimmbaren Zwecken verfassungsrechtlich strikt untersagt ist“, eine solche aber „bei einer vorsorglich anlasslosen Speicherung der Telekommunikationsverbindungsdaten“ nicht gegeben sei.277 Aus der anschließenden Begründung dieser These folgt aber, dass die Nicht-Anwendbarkeit dieses Verbotes nicht der Tatsache geschuldet ist, dass es sich bei Telekommunikationsdaten um eine Datenkategorie handelt, die nicht unter die der personenbezogenen Daten zu fassen ist. Das Verbot der anlasslosen Speicherung greift vielmehr deshalb nicht, da es sich nicht um eine Speicherung handelt, die zu unbestimmten oder noch nicht zu bestimmbaren Zwecken vorgenommen wird. Bei der grundsätzlichen Einordnung von Verbindungsdaten als personenbezogene Daten sieht das BVerfG also keine Schwierigkeiten. Dieses Ergebnis lässt sich auch daraus ableiten, dass das BVerfG die zu prüfenden Vorschriften des § 113a und § 113b TKG im Rahmen der Verhältnismäßigkeit der Maßnahmen anhand des Grundsatzes der Offenheit der Ehrhebung und Nutzung von personenbezogenen Daten überprüft hat.278

273 Forgó/Krügel, K&R 2010, 217 (220) gehen davon aus, dass sich „der Argumentation die Tendenz entnehmen lässt, IP-Adressen als personenbezogene Daten einzuordnen.“ Nicht so weit gehend hingegen Hornung/Schnabel, DVBl. 2010, 824 (832). 274 BVerfG 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08 vom 2.3.2010, Rn. 258 f. 275 s. dazu bereits C. I. 1. c) cc) (1). 276 Vgl. BVerfG 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08 vom 2.3.2010, Rn. 206 und 213. 277 BVerfG 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08 vom 2.3.2010, Rn. 206. 278 BVerfG 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08 vom 2.3.2010, Rn. 243.

I. Die Behandlung von IP-Adressen im deutschen Recht

71

(4) Gesetzgeberischer Wille im Rahmen der § 111, §§ 113a, 113b TKG Unabhängig von der Verfassungswidrigkeit der §§ 113a, 113b TKG lassen die Vorschriften aber interessante Rückschlüsse auf den gesetzgeberischen Willen bei der Einordnung von IP-Adressen in das Datenschutzrecht zu, weswegen im Folgenden eine Darstellung der Regelungen und des damit im Zusammenhang stehenden § 111 TKG erfolgen soll. § 111 TKG betrifft unter anderem die Erhebung und Speicherung von Rufnummern und anderen Anschlusskennungen, die dann für die Auskunftsersuchen von Sicherheitsbehörden gemäß §§ 112 f. TKG zur Verfügung stehen müssen.279 Dabei wäre es möglich, dass IP-Adressen als „andere Anschlusskennungen“ im Sinne des § 111 Abs. 1 Nr. 1 TKG anzusehen sind. Die Alternative wurde eingeführt, um technischen Weiterentwicklungen bei den Telekommunikationsdiensten Rechnung zu tragen: So sollten von der Speicherungspflicht neben den bekannten Rufnummern auch Kennungen erfasst werden, die ebenfalls zur Bezeichnung eines Telekommunikationsanschlusses vergeben werden.280 § 113a Abs. 1 TKG sah hingegen eine generelle Speicherungspflicht von erzeugten oder verarbeiteten Verkehrsdaten für alle Anbieter öffentlich zugänglicher Telekommunikationsdienste über einen Zeitraum von sechs Monaten vor. Konkretisierend wurden in § 113a Abs. 2 bis 5 TKG die exakt zu speichernden Daten bestimmt. Demnach fielen auch die bei der Internetnutzung an den Nutzer zugewiesenen IP-Adressen unter die Speicherungspflicht.281 Dabei hatte der Gesetzgeber einzelne Kategorien der Internetkommunikation aufgelistet, in denen die Speicherung durch den Diensteanbieter vorgenommen werden sollte: • Anbieter von öffentlich zugänglichen Telefondiensten müssen bei der Nutzung von Internet-Telefondiensten sowohl die IP-Adresse des anrufenden als auch des angerufenen Nutzers speichern, § 113a Abs. 2 Nr. 5 TKG. • Bei der Versendung von Emails ist die IP-Adresse des Absenders durch den Anbieter von Diensten der elektronischen Post zu speichern, § 113a Abs. 3 Nr. 1 TKG. • Beim Eingang einer Email soll daneben die IP-Adresse der absendenden Telekommunikationsanlage gespeichert werden, § 113a Abs. 3 Nr. 2 TKG. 279

Löwnau, in: Scheurle/Mayen TKG, § 111, Rn. 1. Löwnau, in: Scheurle/Mayen TKG, § 111, Rn. 6 mit Verweis auf BT-Drucks. 16/5846, S. 68. 281 s. § 113a Abs. 2 S. 1 Nr. 5, Abs. 3 Nr. 1 bis 3, Abs. 4 Nr. 1 und 3 TKG. 280

72

C. Die nationale datenschutzrechtliche Situation

• Wird auf ein Email-Postfach zugegriffen, unterliegt die IP-Adresse des Zugreifenden der Speicherungspflicht, § 113a Abs. 3 Nr. 3 TKG. • Die Anbieter von Internetzugangsdiensten (Access-Provider) werden dazu verpflichtet, die dem Teilnehmer für eine Internetnutzung zugewiesene IP-Adresse zu speichern, § 113a Abs. 4 Nr. 1 TKG. Dabei soll diese Speicherung unter zusätzlicher Angabe des Beginns und des Endes der Internetnutzung nach Datum und Uhrzeit erfolgen, § 113a Abs. 4 Nr. 3 TKG. Mit diesem Speicherungsumfang konnte die gesamte Internetnutzung eines Anschlusses der jeweils vergangenen sechs Monate nachvollzogen werden, da alle Nutzungsmöglichkeiten des Internets von den Regelungen umfasst wurden. Dabei war es nicht von Relevanz, ob via Internet tatsächlich eine Kommunikation stattfindet oder ob es lediglich um das Aufrufen von Webseiten geht. Der Schutz dieser umfassenden Daten, die auf Vorrat beim jeweiligen Diensteanbieter gespeichert werden, sollte durch technische und organisatorische Maßnahmen sichergestellt werden, so dass der Zugang zu diesen Daten ausschließlich besonders ermächtigten Personen ermöglicht wurde, § 113a Abs. 10 TKG. Im systematischen Zusammenhang mit der Bestandsdatenspeicherung des § 111 TKG gesehen heißt dies, dass der Gesetzgeber IP-Adressen als Verkehrsdaten ansieht. Eine Speicherung von IP-Adressen auf Grundlage des § 111 Abs. 1 Nr. 1 TKG als „andere Anschlusskennung“ scheidet mithin nach der Systematik der Vorschriften aus. § 113b TKG betraf die zulässige Übermittlung der nach § 113a TKG gespeicherten Daten. Dabei ermöglichte es § 113b S. 1 Hs. 2 TKG den Diensteanbietern, Auskünfte über die Inhaber von dynamischen IP-Adressen zu erteilen, da diese als Verkehrsdaten angesehen werden können.282 b) TMG Das Telemediengesetz (TMG) ist am 01.03.2007 in Kraft getreten und ersetzt das bis dahin gültige Gesetz über den Datenschutz bei Telediensten (TDDSG). Wesentlicher Regelungsinhalt des TMG sind die wirtschaftsbezogenen und datenschutzrechtlichen Anforderungen an die Telemedien.283

282 283

BVerfG 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08 vom 2.3.2010, Rn. 44. Holznagel/Ricke, MMR 2008, 18 (19).

I. Die Behandlung von IP-Adressen im deutschen Recht

73

aa) Anwendungsbereich Mit dem Inkrafttreten des TMG gehört die Unterscheidung zwischen Tele- und Mediendiensten der Vergangenheit an. Das Gesetz gilt nunmehr für alle elektronischen Informations- und Kommunikationsdienste, soweit nicht das TKG Anwendung findet, § 1 Abs. 1 TMG. Die Vorschriften über Telemedien sind zudem dann nicht anwendbar, wenn die Vorschriften über den Rundfunk einschlägig sind, weswegen eine Abgrenzung zwischen beiden Darbietungsarten stattfinden muss.284 Sofern eine an die Allgemeinheit bestimmte Darbietung vorliegt, handelt es sich nicht um Telemedien, sondern um Rundfunk (vgl. § 2 Abs. 1 S. 1 RStV).285 Als klassische Telemedien, die unter den Anwendungsbereich dieses Gesetzes fallen seien etwa Suchmaschinen286 oder Musikportale287 genannt. Aus § 12 TMG ergibt sich das Verhältnis zum BDSG: Nach § 12 Abs. 1 und 2 TMG findet das BDSG nur Anwendung, wenn das TMG dies explizit anordnet beziehungsweise sich die allgemeine datenschutzrechtliche Vorschrift eindeutig auf Telemedien bezieht.288 Subsidiär kann das BDSG nach § 12 Abs. 3 TMG immer dann herangezogen werden, wenn dies nicht den spezielleren Wertungen der telemedienrechtlichen Vorschriften widerspricht. bb) Bestands- und Nutzungsdaten Gemäß § 12 Abs. 1 TMG darf der Diensteanbieter personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dies das TMG selbst oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, erlaubt oder eine Einwilligung des Nutzers vorliegt. Ebenfalls von der Einwilligung des Nutzers oder einer den Anbieter autorisierenden Vorschrift abhängig ist die Verwendung der personenbezogenen Daten außerhalb des Zwecks zur Bereitstellung von Telemediendiensten, § 12 Abs. 2 TMG. Als gesetzliche Autorisierung zur Erhebung und Verwendung von personenbezogenen Daten kommt zum einen § 14 Abs. 1 TMG in Betracht. Danach dürfen nur personenbezogenen Daten erhoben und verwendet werden, soweit diese für die Begründung, inhaltliche Ausgestaltung oder Ände284

Arlt, MMR 2007, 683 (684); Holznagel/Ricke, MMR 2008, 18 (20). Auf die dadurch entstehenden schwierigen Abgrenzungsfragen muss in dieser Arbeit nicht eingegangen werden. 286 Schaar, in: Brandi-Dohrn/Lejeune, S. 8. 287 Arlt, MMR 2007, 683 (684). 288 Arlt, MMR 2007, 683 (684). 285

74

C. Die nationale datenschutzrechtliche Situation

rung eines Vertragsverhältnisses zwischen dem Diensteanbieter und dem Anschlussinhaber über die Nutzung von Telemedien erforderlich sind. In diesem Falle spricht man von Bestandsdaten. Zum anderen ist die Erhebung und Verwendung in § 15 Abs. 1 TMG für sogenannte Nutzungsdaten gestattet. Demgemäß darf der Diensteanbieter personenbezogene Daten erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Uneinigkeit besteht über die Einordnung von IP-Adressen als Bestandsdaten des § 14 Abs. 1 TMG oder aber als Nutzungsdaten im Sinne des § 15 Abs. 1 TMG.289 Dabei fällt beim aktuellen Meinungsstand auf, dass nicht darüber diskutiert wird, ob IP-Adressen überhaupt unter eine der genannten Kategorien fallen, sondern lediglich unter welche der beiden.290 Beachtenswert ist jedoch insofern, dass sowohl Bestands- als auch Nutzungsdaten nach ihrer Legaldefinition die Erhebung und Verwendung von personenbezogenen Daten voraussetzen. Daher stellt sich die Frage, ob der Gesetzgeber durch Einführung des TMG – zumindest implizit – IP-Adressen als personenbezogene Daten anerkannt hat oder ob die Diskussion bisher lediglich verkürzt geführt wurde und an sich auch gefragt werden müsste, ob IP-Adressen überhaupt unter das TMG fallen. In der Gesetzesbegründung291 wird kein Bezug auf § 14 Abs. 1 und § 15 Abs. 1 TMG genommen, was die Vermutung nahe legt, dass dem Gesetzgeber die Auswirkung auf die mögliche Einstufung von IP-Adressen als personenbezogene Daten zumindest nicht erwähnenswert schien. Aus der beispielhaften Auflistung des § 15 Abs. 1 S. 2 TMG ergibt sich jedoch, dass IP-Adressen als Nutzungsdaten angesehen werden müssen. Nach § 15 Abs. 1 Nr. 1 und 2 TMG sind Nutzungsdaten insbesondere solche, die Merkmale zur Identifikation des Nutzers und Angaben über Beginn und Ende sowie den Umfang der jeweiligen Nutzung bereithalten. Über diese Kriterien können klassischerweise IP-Adressen Auskunft geben, da sie – die Speicherung beim Access-Provider vorausgesetzt – die Information beinhalten, wann ein Nutzer unter dieser Adresse welche Dienste zu welchem Zeitpunkt in Anspruch genommen hat. Dabei kommt es nicht auf die 289

Härting, ITRB 2009, 35 (36). So geht beispielsweise Grimm, in: Roßnagel/Banzhaf/Grimm, S. 44, ohne weitere Problematisierung der Thematik (allerdings noch für die Vorgängernorm im TDDSG) davon aus, dass „Nutzungsdaten solche personenbezogenen Daten [sind], die sich auf Grund der Nutzung eines Teledienstes ergeben. Dazu gehören auch IPAdresse[n] [. . .].“ 291 Vgl. BT-Drucks. 16/3078. 290

I. Die Behandlung von IP-Adressen im deutschen Recht

75

konkrete Ausgestaltung des Nutzungsvertrages mit dem Diensteanbieter an, so dass kein Bestandsdatum im Sinn des § 14 Abs. 1 TMG gegeben ist. Diese Auslegung, die die IP-Adressen unter den Anwendungsbereich des TMG fallen lässt, ist auch vor dem Hintergrund des Regelungszwecks des TMG wünschenswert. Wie bereits oben dargestellt292, wurde mit dem Erlass des TMG eine Regelung der datenschutzrechtlichen Aspekte des Internets angestrebt.293 Insofern ist es nur konsequent und der Sache nach erforderlich, dass IP-Adressen als Grundlage für die Internetnutzung mit in den Schutzbereich des TMG fallen. cc) Erlaubnistatbestände nach dem TMG Das TMG basiert auf den datenschutzrechtlichen Grundsätzen der Zweckbindung, Datensparsamkeit und Transparenz.294 Gemäß § 13 Abs. 6 TMG gehört es zu den Pflichten des Diensteanbieters, die Nutzung der Telemedien und ihre Bezahlung anonym oder unter Gebrauch eines Pseudonyms zu ermöglichen. Zwar steht diese Pflicht unter dem Vorbehalt des technisch Möglichen und Zumutbaren, dennoch erkennt man in der Vorschrift die Absicht des Gesetzgebers, die Nutzung von personenbezogenen Daten auf ein Minimum zu reduzieren. Besonders deutlich wird dies im Rahmen des Erlaubnistatbestandes des § 15 Abs. 3 TMG: Danach ist es dem Diensteanbieter gestattet, Nutzungsprofile anzulegen, jedoch nur unter der Verwendung von Pseudonymen und wenn diesbezüglich kein Widerspruch des Nutzers vorliegt. In diesem Zusammenhang ist daher von entscheidender Bedeutung, ob IP-Adressen als Pseudonyme gelten und daher in Verbindung mit dem Nutzungsprofil gespeichert werden dürfen. Dass IP-Adressen nicht den Merkmalen eines Pseudonyms entsprechen, hat der Düsseldorfer Kreis295 in seinem Beschluss vom 26./27. November 2009 ohne weitere Begründung vertreten.296 Folgt man dieser Ansicht, wäre die Erstellung von Nutzungsprofilen unter Zuhilfenahme der Speicherung von IP-Adressen nur nach ausdrücklicher Einwilligung des Nutzers 292

s. bereits C. I. 2. b). Altenhain, in: MüKo StGB, Bd. 6/1, § 1 TMG, Rn. 2. 294 Arlt, MMR 2007, 683 (684). 295 Der Düsseldorfer Kreis ist ein Zusammenschluss von obersten Aufsichtsbehörden, die in Deutschland die Einhaltung des Datenschutzes im nicht-öffentlichen Bereich überwachen. 296 Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich am 26./27. November 2009 in Stralsund: Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internetangeboten. 293

76

C. Die nationale datenschutzrechtliche Situation

möglich. Die einzige Möglichkeit, ohne eine bestehende Einwilligung ein Nutzungsprofil anzulegen, wäre, die IP-Adresse in der Form zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen werden kann. Insofern ist auf die bereits getätigten Ausführungen zu Pseudonymen zu verweisen, wonach nach der momentanen Gesetzeslage kein eindeutige Aussage dazu getroffen werden kann, wie Pseudonyme in das datenschutzrechtliche System eingeordnet werden können.297 Die bloße Feststellung des Düsseldorfer Kreises, dass IP-Adressen keine Pseudonyme darstellen, greift jedenfalls zu kurz und ist ohne Begründung nicht nachzuvollziehen und erweckt den Anschein, dass es sich dabei um ein „gewünschtes“ Ergebnis handelt, um einen möglichst weitgehenden Datenschutz in Bezug auf Nutzungsprofile zu gewährleisten. Im unmittelbaren Zusammenhang mit Nutzungsprofilen steht auch die viel diskutierte Frage, ob Logdateien und Cookies als personenbezogene Daten behandelt werden müssen. Logdateien können unter Umständen einen Personenbezug aufweisen. Dies hängt maßgeblich davon ab, ob der sogenannte Identifikator – ein eindeutiger nutzerspezifischer Wert, den die Logdatei beinhaltet – selbst einen Personenbezug aufweist.298 Zum Teil dienen IP-Adressen als Identifikator, so dass in Bezug auf den Personenbezug das bereits Erläuterte gelten muss, also bereits Logdateien mit IP-Adressen als personenbezogene Daten im Sinne des BDSG angesehen werden.299 Deswegen verwundert es nicht weiter, dass auch hier im Lichte von § 15 Abs. 3 TMG diskutiert wird, inwiefern in Logdateien überhaupt IP-Adressen gespeichert werden dürfen300, ohne dass dieser Fragestellung momentan eine befriedigende Lösung gegenübergestellt werden könnte. Festzuhalten ist aber, dass im Rahmen von Logdateien nicht die Speicherung der IP-Adressen das drängendste Problem darstellt. Neben diesen werden nämlich weitere Daten, wie Email-Adressen oder gar Namen in den Dateien gespeichert, die eine Identifizierung des Nutzers um ein Vielfaches erleichtern. In diesem Zusammenhang kommt die IP-Adresse meist nicht als einziger Identifikator in Betracht, so dass jede Logdatei für sich auf das Bestehen eines Personenbezuges hin untersucht werden muss.301 Daneben ist die Einordnung von Cookies in das Konzept der personenbezogenen Daten umstritten. Der Personenbezug von Cookies wird teils bejaht 297 298 299 300 301

s. dazu bereits unter C. I. 1. c) cc) (3). Fröhle, S. 89; Schleipfer, RDV 2008, 143. Faulhaber/Niedermeier, IT-Grundschutz 2008, 23 (24). Schaar, in: Brandi-Dohrn/Lejeune, S. 9. So im Ergebnis auch Schleipfer, RDV 2010, 168 (171).

I. Die Behandlung von IP-Adressen im deutschen Recht

77

und zum Teil verneint.302 Dabei handelt es sich bei den Cookies selbst lediglich um Dateien, in denen Daten oder Informationen abgelegt und gespeichert werden können. Allerdings wird dieses „Gesamtpaket“ beispielsweise bei einem Seitenabruf übertragen, so dass die gespeicherten Daten auch die Datei selbst – also den Cookie – zu einem personenbezogenen Datum werden lassen können. Entscheidend ist mithin – wie bei den Logdateien –, ob die auf dem Cookie abgelegten Dateien einen Personenbezug aufweisen. Danach richtet sich dann die Gesamteinordnung des Cookies.303 3. Weitere einfachrechtliche Vorschriften Neben der Relevanz für das BDSG, TKG und TMG hat die rechtliche Einordnung von IP-Adressen auch noch Einfluss auf andere einfachrechtliche Vorschriften, die im Folgenden kurz dargestellt werden sollen. a) § 101 UrhG Mittlerweile werden viele Urheberrechtsverstöße im Internet begangen. Eine der gängigsten Methoden ist, dass Private urheberrechtlich geschützte Dateien wie MP3-Musikdateien auf eine Plattform laden, von der sie wiederum durch andere Nutzer der Plattform heruntergeladen werden können. So wurden im Jahre 2008 316 Millionen Musikdateien illegal heruntergeladen.304 Das Hauptinteresse der Rechteinhaber liegt mithin darin, die Nutzer der illegalen Angebote ausfindig zu machen. Dazu werden die IP-Adressen der Plattformnutzer zusammengetragen und der Rechteinhaber wird versuchen, die zu der jeweiligen Adresse gehörigen Anschlussinhaber zu bestimmen. Problematisch an dieser Konstellation ist, dass ein Dritter, der selbst keine Urheberrechte verletzt, wegen einer anderen Urheberrechtsverletzung zu einem Verhalten, nämlich einer Auskunftserteilung, aufgefordert beziehungsweise gezwungen werden soll. Diese Verfahrensweise weicht von den allgemeinen Grundsätzen der Störerhaftung ab.305 Zudem darf auch bei der Verletzung von Urheberrechten eine Zuordnung von Verkehrsdaten zum betreffenden Nutzer nur durch eine richterliche 302

Für einen Überblick des Meinungsstandes siehe Härting, CR 2008, 743 (745). Vgl. auch Bizer, DuD 2003, 644; Eckhardt, ITRB 2005, 46 (47); Voigt, MMR 2009, 377 (380); Wagner, S. 163. 304 Jahreswirtschaftsbericht 2008 des Bundesverbandes Musikindustrie abrufbar unter: http://www.musikindustrie.de/musikkopien0/. 305 Dreier, in: Dreier/Schulze, § 101, Rn. 11; Spindler, in: Spindler/Schuster, § 101 UrhG, Rn. 7. 303

78

C. Die nationale datenschutzrechtliche Situation

Anordnung erfolgen, die wiederum auf einer Rechtsgrundlage basieren muss.306 Um den Interessen der Rechteinhaber in der beschriebenen Situation nachzukommen, wurde im Zuge des „Gesetzes zur Verbesserung der Durchsetzung von Rechten des geistigen Eigentums“ der neue § 101 UrhG eingeführt.307 Dabei stand insbesondere das in § 101 Abs. 2 i. V. m. Abs. 9 UrhG statuierte Auskunftsrecht gegenüber Dritten, die selbst nicht Rechtsverletzer sind, in der Diskussion.308 Diese Regelung will von ihrer Zielrichtung insbesondere Access-Provider und Plattformanbieter zu Auskünften verpflichten, deren Kunden beziehungsweise Nutzer im Internet Urheberrechte verletzen. Gemäß § 101 Abs. 2 Nr. 3 UrhG besteht ein Auskunftsanspruch des Rechteinhabers – unter den dort genannten Voraussetzungen – auch gegen eine Person, die in gewerblichem Ausmaß für rechtsverletzende Tätigkeiten Dienstleistungen erbrachte, soweit sie sich nicht auf ein Zeugnisverweigerungsrecht berufen kann. Für den Fall, dass die Auskunft nur unter Verwendung von Verkehrsdaten im Sinne des § 3 Nr. 30 TKG erteilt werden kann, ist zur Erteilung eine richterliche Anordnung über die Zulässigkeit der Verwendung der Verkehrsdaten erforderlich, § 101 Abs. 9 UrhG. Auch in diesem Zusammenhang spielt mithin die Abgrenzung zwischen Verkehrs- und Bestandsdaten in Bezug auf IP-Adressen eine erhebliche Rolle. § 101 Abs. 9 UrhG ist auf die Fälle zugeschnitten, in denen eine Auskunft über den Anschlussinhaber über Verkehrsdaten erfolgt. Darin liegt der wesentliche Unterschied zu den Ermächtigungsgrundlagen der StPO, die die Voraussetzungen der Abfrage davon abhängig machen, welche Daten durch diese erlangt werden sollen.309 Bis zur Einführung der vorgenannten Bestimmungen ins UrhG gab es keine vergleichbare Möglichkeit bei einem Dritten, der selbst keinen Urheberrechtsverstoß begangen hatte, Informationen über den eigentlichen Rechtsverletzter zu erlangen. So stand insbesondere § 12 Abs. 1 TMG einer Auskunftserteilung zugunsten des Rechteinhabers entgegen, der lediglich die Erhebung und Verwendung von personenbezogenen Daten umfasst, nicht aber die Auskunftserteilung über die dahinterstehende Person.310 Gleiches galt für die Vorschriften des TKG, insbesondere § 96 Abs. 1 in Bezug 306 307 308 309 310

Klug, RDV 2009, 76 (78). BGBl. I 2008, S. 1191. Moos, K&R 2008, 137 (140). Moos, K&R 2011, 145 (150). Moos, K&R 2008, 137 (141).

I. Die Behandlung von IP-Adressen im deutschen Recht

79

auf die Erhebung und Verwendung von Verkehrsdaten. Allein § 14 Abs. 2 TMG sieht ansonsten ausnahmsweise die Auskunftserteilung über Bestandsdaten zur Durchsetzung der Rechte am geistigen Eigentum gegenüber dem Diensteanbieter von Telemedien vor. Während das TMG und das TKG strikt nach dem (Nicht-)Erbringen von Telekommunikationsdiensten unterscheiden311, differenziert § 101 UrhG nicht nach der Art der Dienstleistungserbringung.312 Demnach kann nun auch – und insbesondere – der Auskunftsanspruch gegenüber Access-Providern geltend gemacht werden, die vom TMG gar nicht erfasst werden, sofern die übrigen Voraussetzungen des § 101 Abs. 2 i. V. m. Abs. 9 UrhG vorliegen. Zu beachten ist allerdings, dass nach dem Wortlaut des § 101 UrhG trotz des Auskunftsanspruchs keine Speicherungspflicht der Dienstleister in Bezug auf die anfallenden Verkehrsdaten besteht.313 Schließlich ist im Zusammenhang mit der Regelung des § 101 Abs. 9 UrhG zu beachten, dass dieser die Auskunftserteilung mittels Verkehrsdaten im Sinne des § 3 Nr. 30 TKG ermöglicht. Dadurch hat der Gesetzgeber implizit anerkannt, dass es sich bei IP-Adressen um Verkehrsdaten handelt, denn ein Hauptanwendungsfall, der von § 101 Abs. 9 UrhG umfasst sein sollte, ist der der Urheberrechtsverletzung im Internet. In dieser Konstellation kann der Rechteinhaber aber Auskunft nur über die IPAdresse erlangen.314 b) § 100g StPO Neben den Erlaubnistatbeständen des TKG und TMG fand sich in § 100g Abs. 1 S. 1 StPO315 eine fachrechtliche Ermächtigungsgrundlage zur Nutzung der im Rahmen von § 113a TKG gespeicherten Verkehrsdaten. Diese war ebenfalls Gegenstand der Verfassungsbeschwerde gegen die Umsetzung der RL 2006/24/EG und wurde, soweit danach eine Ermächtigung zur Erhebung von Verkehrsdaten nach § 113a TKG ermöglicht wird, vom BVerfG für nichtig erklärt.316 311

s. C. I. 2. a) aa) und C. I. 2. b) aa). Vgl. den Wortlaut des § 101 Abs. 2 S. 1 Nr. 2 UrhG. 313 Zu welchen Fallgestaltungen dies führen kann wird in C. I. 4. e). aufgezeigt. 314 Dreier, in: Dreier/Schulze, § 101, Rn. 35; Spindler, in: Spindler/Schuster, § 101 UrhG, Rn. 20. 315 Zur Kommunikation im Internet unter besonderer Berücksichtigung der Strafverfolgungsinteressen siehe Seitz, S. 5 ff. 316 BVerfG 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08 vom 2.3.2010, Rn. 183. 312

80

C. Die nationale datenschutzrechtliche Situation

Eine Verwendung der Verkehrsdaten war dann zulässig, wenn bestimmte Tatsachen den Verdacht begründen, dass jemand als Täter oder Teilnehmer eine Straftat von auch im Einzelfall erheblicher Bedeutung, insbesondere eine in § 100a Abs. 2 StPO bezeichnete Straftat, begangen hat, in Fällen in denen der Versuch strafbar ist, zu begehen versucht hat oder durch eine Straftat vorbereitet hat (Nr. 1) oder eine Straftat mittels Telekommunikation begangen hat (Nr. 2), soweit dies für die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes des Beschuldigten erforderlich ist. Bezüglich der Begrifflichkeit der Verkehrsdaten wurde explizit auf § 96 Abs. 1 und § 113a TKG verwiesen317, so dass bezüglich der Einordnung von IP-Adressen die dortigen Darstellungen318 in gleichem Maße gelten. Durch den Verweis auf § 96 Abs. 1 und § 113a TKG ermöglichte § 100g StPO den Zugriff auf sämtliche gespeicherten Verkehrsdaten. Zur Frage nach der Klassifizierung von Verkehrsdaten als personenbezogene Daten ist zusätzlich aber besonderes Augenmerk auf die Vorschrift des § 101 Abs. 1 und 3 StPO zu richten, in der trotz der Nichtigkeit des § 100g StPO der gesetzgeberische Wille in Bezug auf die Einordnung von Verkehrsdaten zum Ausdruck kommt. Danach sind personenbezogene Daten, die durch eine Maßnahme nach § 100g StPO erhoben wurden, entsprechend zu kennzeichnen. Weniger der Regelungsgehalt als die Formulierung der Vorschrift sind für die Einordnung der Verkehrsdaten als personenbezogene Daten von Belang: Denn aus systematischer Sicht wird dadurch bestätigt, dass Verkehrsdaten – zu denen wie oben gezeigt die IP-Adressen gehören319 – auch personenbezogene Daten sind, die zudem bei der datenverarbeitenden und datenempfangenden Stelle als solche gekennzeichnet werden müssen. 4. Beispiele aus der Rechtsprechung Mittlerweile gibt es eine – noch – überschaubare Kasuistik über die Probleme, die sich im einfachrechtlichen Rahmen im Zusammenhang mit IPAdressen stellen. Ausgewählte Beispiele sollen im Folgenden dargestellt und die wesentlichen Argumentationsstränge der Gerichte wiedergegeben werden, um die Auswirkungen der Thematik für die Praxis besser nachvollziehen zu können.

317 318 319

Bär, MMR 2008, 215 (219). s. C. I. 2. a) ee) (1). s. C. I. 2. a) ee) (4).

I. Die Behandlung von IP-Adressen im deutschen Recht

81

a) Zur Speicherung einer dynamischen IP-Adresse bei der Nutzung eines Internetportals durch den Webseitenbetreiber Akut wurde die Frage nach der Bestimmbarkeit von IP-Adressen insbesondere im Rahmen einer Entscheidung des AG Berlin vom 27.03. 2007.320 Gegenstand des Urteils war die Speicherungspraxis des Bundesministeriums der Justiz (BMJ) auf seiner Homepage: Das BMJ speicherte über das Ende des jeweiligen Nutzungsvorganges hinaus für 14 Tage den Namen der abgerufenen Datei beziehungsweise Seite, das Datum und die Uhrzeit des Abrufs, die übertragene Datenmenge, die Meldung, ob der Abruf erfolgreich war und die durch den Access-Provider an den Anschlussinhaber zugewiesene IP-Adresse. Der Kläger verlangte das Unterlassen der Speicherpraxis des BMJ und die Löschung der ihn betreffenden Daten.321 Im Mittelpunkt des Verfahrens stand die Frage, ob dynamische IP-Adressen personenbezogene Daten darstellen. Vordergründig ging es um die Auslegung des § 15 Abs. 1 und 4 TMG, wonach die Speicherung von personenbezogenen Daten nur zum Zwecke der Ermöglichung der Teilnahme an dem Telemedium oder zum Zwecke der Abrechnung erlaubt ist.322 Diese Zwecke wurden durch die Speicherung offensichtlich nicht verfolgt, so dass eine Rechtfertigung über § 15 Abs. 1 und 4 TMG nicht in Frage kam. Auch eine Einwilligung, die die Speicherung gemäß § 12 Abs. 1 TMG rechtfertigen würde, wurde vom betroffenen Nutzer nicht erteilt. Das AG Berlin sieht in seiner Entscheidung IP-Adressen als personenbezogene Daten an und stellt fest, dass der Personenbezug nicht nur im Verhältnis zum Access-Provider gilt, sondern insbesondere auch für Betreiber von Internetportalen, die ansonsten keine Kenntnis vom Namen des Betroffenen haben.323 Dabei ging das Gericht zur Bejahung der Bestimmbarkeit auch auf den Erwägungsgrund 26 der RL 95/46/EG ein, nach dem bei der Entscheidung, ob eine Person bestimmbar ist, alle Mittel berücksichtigt werden müssen, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden können, um die betroffene Person zu bestimmen.324 Die Hilfe Dritter – sprich des Access-Providers – sieht das AG Berlin als „bereits jetzt ohne großen Aufwand in den meisten Fällen möglich, [um] Internetnutzer aufgrund ihrer IP320

AG Berlin-Mitte, Urteil vom 27.03.2007, Az.: 5 C 314/06. AG Berlin-Mitte, Urteil vom 27.03.2007, Az.: 5 C 314/06, Rn. 1. 322 Die Frage, ob IP-Adressen als Bestands- oder Nutzungsdaten zu qualifizieren sind, wurde nicht zum Gegenstand des Verfahrens gemacht. 323 AG Berlin-Mitte, Urteil vom 27.03.2007, Az.: 5 C 314/06, Rn. 13. 324 AG Berlin-Mitte, Urteil vom 27.03.2007, Az.: 5 C 314/06, Rn. 14. 321

82

C. Die nationale datenschutzrechtliche Situation

Adresse zu identifizieren“. Insbesondere wird die Argumentation des BMJ abgelehnt, nach der lediglich die Identifizierung der Person auf legalem Wege bei der Beantwortung der Frage nach der Bestimmbarkeit berücksichtigt werden dürfe.325 Schließlich muss das Datenschutzrecht nach Auffassung der Richter gerade auch bei Datenmissbrauch seine Anwendung finden. Das Urteil, das bundesweite Beachtung erfuhr, wurde in der nächsten Instanz der Sache nach vom LG Berlin bestätigt.326 Insbesondere aus dem erstinstanzlichen Urteil des AG Berlin wird deutlich, dass das Gericht von der absoluten Sichtweise in Bezug auf die gespeicherten Einzelangaben ausgeht. Zwar führt es in seiner Begründung die zu beachtende RL/95/46/EG an, ohne allerdings genauer auf die genauen europarechtlichen Anforderungen einzugehen. Des Weiteren wird ersichtlich, dass es sowohl für das AG als auch das LG Berlin in seiner Entscheidungsfindung erheblich war, dass nicht nur die IP-Adresse für sich, sondern auch die dazugehörigen Daten der Nutzung, wie Datum, Uhrzeit und übertragene Datenmenge mitgespeichert wurden. Diese Daten würden singulär betrachtet keine personenbezogenen Daten darstellen327, jedoch seien sie konstituierend für die Bestimmbarkeit der IP-Adressen.328 Insofern stellt sich die Frage, ob sich die Gerichte nicht selbst in einen Widerspruch verstricken, wenn sie zwar einerseits von der absoluten Bestimmbarkeit ausgehen, andererseits aber andere mitzuspeichernde Daten als unabdingbare Voraussetzung für die Identifizierung sehen. Einen praktisch gleich gelagerten Fall hatte das AG München zu entscheiden.329 Wiederum speicherte der Beklagte die IP-Adressen seiner Webseitenbesucher ohne deren ausdrückliche Einwilligung, wogegen sich der Kläger richtete. Das AG München bringt in seiner Entscheidung – unter expliziter Bezugnahme auf das AG Berlin330 – zum Ausdruck, dass dynamische IP-Adressen keine personenbezogenen Daten im Sinne des § 3 Abs. 1 BDSG sind, § 15 Abs. 1 und 4 TMG daher schon tatbestandlich nicht erfüllt ist. Wegen der – ohne weitere Begründung – angenommen relativen Bestimmbarkeit des Personenbezugs, sei es dem Webseitenbetreiber ohne unverhältnismäßigen Aufwand nicht möglich, die Person des Nutzers zu identifizieren. Dies gelänge nur mit Hilfe einer Auskunftserteilung von Seiten des Access-Providers, der aber mangels einer Rechtsgrundlage keine 325 326 327 328 329 330

Wie Fn. 324. LG Berlin, Urteil vom 06.09.2007, Az.: 23 S 3/07. LG Berlin, Urteil vom 06.09.2007, Az.: 23 S 3/07, Rn. 17. AG Berlin-Mitte, Urteil vom 27.03.2007, Az.: 5 C 314/06, Rn. 14. AG München, Urteil vom 30.09.2008, Az.: 133 C 5677/08. Vgl. Fn. 320.

I. Die Behandlung von IP-Adressen im deutschen Recht

83

Auskunft erteilen dürfe. Eine mögliche illegale Weitergabe sieht das AG München als nicht mehr unter normal großem Aufwand zu fassen und demnach als unbeachtlich zur Bestimmbarkeit des Personenbezugs an. b) Zur Speicherung von IP-Adressen durch den Access-Provider bei sogenannten Flatrate-Verträgen Nicht nur Webseitenbetreiber, sondern auch Access-Provider speichern IP-Adressen ihrer Kunden zusammen mit dem Datum und der Uhrzeit der Einwahl. Über die Rechtmäßigkeit einer solchen Speicherung musste ebenfalls schon mehrfach gerichtlich entschieden werden. Das AG Bonn331 hatte sich mit der folgenden Fallkonstellation auseinanderzusetzen: Der Kläger war Vertragskunde bei der Beklagten, einem Access-Provider. Er hatte mit ihr einen Vertrag über den Zugang zum Internet abgeschlossen und dabei eine Pauschalvergütung (sogenannte Flatrate) vereinbart. Unabhängig von der Häufigkeit und Dauer der Einwahl ins Internet musste der Kläger an die Beklagte monatlich dasselbe gleichbleibende Entgelt entrichten. Bei jeder Einwahl in das Internet über die Beklagte, vergibt diese an den Kläger eine neue IP-Adresse, die dieser dann während der Sitzung behält. Die Beklagte speicherte die jeweils verwendete IP-Adresse anfangs bis zu 80, später sieben Tage lang. Der Kläger verlangt Unterlassung der künftigen Speicherung der ihm zugewiesenen Adresse mit den dazugehörigen Rahmendaten, wie Datum und Uhrzeit der Einwahl. Da es sich bei der Beklagten um eine Anbieterin von Telekommunikation handelt, findet das TKG Anwendung, im Rahmen dessen das AG Bonn eine Rechtsgrundlage für die Speicherung suchte. In Betracht gezogen wurde § 96 Abs. 1 Nr. 2 TKG, wonach die Speicherung und Verwendung von Verkehrsdaten zu Abrechnungszwecken erlaubt ist. Ohne sich in diesem Rahmen mit der Frage auseinanderzusetzen, ob IP-Adressen als Verkehrsdaten im Sinne von § 96 Abs. 1 TKG angesehen werden können, hat das AG Bonn eine Rechtfertigung der Speicherung nach dieser Vorschrift abgelehnt, da die tatsächliche Nutzung für die Abrechnung bei einer monatlichen Pauschale irrelevant sei.332 Vielmehr griff das Gericht auf § 100 Abs. 1 TKG zurück, wonach die Erhebung und Verwendung von Bestands- und Nutzungsdaten zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern an Telekommunikationsanlagen zulässig ist. Allerdings setzt sich das AG Bonn auch hier nicht mit der Frage auseinander, unter welche Datenart IP-Adressen zu 331 332

AG Bonn MMR 2008, 203. AG Bonn MMR 2008, 203.

84

C. Die nationale datenschutzrechtliche Situation

subsumieren sind. Zunächst stellt es in seiner Entscheidung lediglich auf die Erhebung und Verwendung von Bestandsdaten ab.333 Allerdings stellt es später bei einer Abwägung zwischen Art. 14 GG und Art. 10 Abs. 1 GG bezüglich der Dauer der Erhebung auf Nutzungsdaten ab, indem es feststellt, dass „auch eine kurzfristige Speicherung von Verkehrsdaten [. . .] das Interesse des Betroffenen an der Wahrung seines Fernmeldegeheimnisses in nicht ganz unerheblichen Ausmaß [berührt]“.334 Einen Speicherzeitraum von sieben Tagen hält das AG Bonn für angemessen, so dass die Speicherung der IP-Adresse gemäß § 100 Abs. 1 TKG zulässig ist und ein Unterlassungsanspruch nicht besteht. Kritisch an dieser Entscheidung zu bemerken ist, dass obwohl die Einordnung von IP-Adressen als Nutzungs- oder Bestandsdaten höchst umstritten ist335, das AG Bonn dazu keine Stellung nimmt. Anstatt die Frage aber bewusst offen zu lassen – schließlich umfasst § 100 Abs. 1 TKG beide Datentypen – widerspricht sich das Gericht selbst, indem es in seiner Argumentation zum einen auf die Bestands-, zum anderen auf die Nutzungsdaten abstellt. Dabei macht auch der in Bezug genommene Regierungsentwurf für das TKG keine Aussage darüber, unter welchen Datentyp IP-Adressen im vorliegenden Kontext zu fassen sind.336 Einen nahezu identischen Sachverhalt entschied das AG Darmstadt337 erstinstanzlich bereits zu einem früheren Zeitpunkt, noch zur Rechtslage nach dem TDDSG: Zwischen den Verfahrensbeteiligten bestand jedoch im Unterschied zum vorherigen Fall lediglich eine Flatrate-Vereinbarung im begrenzten Umfang. Andere Dienste der Beklagten mussten dagegen entsprechend ihrer tatsächlichen Nutzung abgegolten werden. Erst nachdem diese Daten zur Abrechnung verarbeitet und anschließend geprüft wurden, konnten die gesondert zu zahlenden Bestandteile und solche, die von der Flatrate umfasst wurden, voneinander getrennt werden. Wiederum verlangte der Kläger von der Beklagten Unterlassung einer achtzigtägigen Speicherpraxis von dynamischen IP-Adressen mit den dazugehörigen übrigen Verbindungsdaten wie Datum und Dauer der Nutzung.338 Das AG Darmstadt entschied, dass die Speicherung der IP-Adressen, über die Ermittlung der Abrechnungsdaten hinaus, unzulässig ist.339 Zwar ist eine Speicherung zur Abrechnung der Entgelte gemäß § 97 Abs. 3 TKG 333 334 335 336 337 338 339

AG Bonn MMR 2008, 203 (204). AG Bonn MMR 2008, 203 (204). s. C. I. 2. a) bb). Regierungsentwurf zum TKG, BT-Drucks. 15/2316, S. 90. AG Darmstadt, Urteil vom 30.06.2005, Az.: 300 C 397/04. AG Darmstadt, Urteil vom 30.06.2005, Az.: 300 C 397/04, Rn. 1. AG Darmstadt, Urteil vom 30.06.2005, Az.: 300 C 397/04, Rn. 25.

I. Die Behandlung von IP-Adressen im deutschen Recht

85

möglich, nicht erforderliche Daten sind hingegen zu löschen.340 Dabei geht das Gericht davon aus, dass zu den zu löschenden Daten ebenfalls dynamische IP-Adressen gehören, „über deren Personenbezogenheit mittlerweile kein Streit mehr besteht“341. Diese unbegründete Behauptung ist aufgrund der bereits gezeigten Auslegungsprobleme hingegen nicht haltbar. So geht das AG Darmstadt ebenso wie das AG Bonn von einer undifferenzierten Sichtweise auf die Problematik aus. Das auf diesem Weg gefundene Ergebnis mag zwar sachgerecht sein, mangels hinreichender Begründung vermag es aber nicht zu überzeugen. So gab auch die Berufungsinstanz dem Unterlassungsanspruch des Klägers statt.342 Anders als die erste Instanz lehnte das LG Darmstadt aber schon eine Speicherung über das Ende der jeweiligen Verbindung hinaus ab.343 Nach Auffassung des Gerichts war die Speicherung schon nicht zu Abrechnungszwecken nach § 96 Abs. 2 TKG notwendig. Implizit geht also auch das LG Darmstadt – wenn auch ohne weitere Begründung – davon aus, dass IP-Adressen als Verkehrsdaten anzusehen sind.344 Eine letztinstanzliche Entscheidung durch den BGH wurde nicht getroffen, da die erforderliche Mindestbeschwer nicht erfüllt und die Beschwerde gegen die Nichtzulassung der Revision somit unzulässig war.345 Anders als die zuvor dargestellte Entscheidung fand das OLG Frankfurt am Main in einem ähnlich gelagerten Fall keine Beanstandungen an einer Speicherzeit von sieben Tagen bei IP-Adressen im Rahmen von Flatrateverträgen.346 Ein sofortiger Löschungsanspruch besteht nach Auffassung des Gerichtes nicht, da die Speicherung insbesondere zu Abrechnungszwecken zulässig sei, da der Teilnehmer über seine Zugangsdaten auch andere Zugangswege ins Internet nutzen könne, die von dem Pauschalpreis der Flatrate nicht abgedeckt seien (§ 96 Abs. 1 Nr. 1 i. V. m. § 97 Abs. 1 TKG). Im Rahmen dieser Prüfung stellt das OLG Frankfurt fest, dass es mittlerweile „als allgemein anerkannt bezeichnet werden kann“, dass IPAdressen unter die Kategorie der Verkehrsdaten einzuordnen sind.347 Das Urteil des OLG Frankfurt am Main wurde jedoch vom BGH aufgehoben, da nicht bewiesen wurde, dass die Speicherung der IP-Adressen 340

AG Darmstadt, Urteil vom 30.06.2005, Az.: 300 C 397/04, Rn. 28, 29. AG Darmstadt, Urteil vom 30.06.2005, Az.: 300 C 397/04, Rn. 28. 342 LG Darmstadt CR 2006, 249 f. 343 LG Darmstadt CR 2006, 249. 344 LG Darmstadt CR 2006, 249 (250). 345 BGH MMR 2007, 37. 346 OLG Frankfurt am Main, Urteil vom 16.06.2010, Az.: 13 U 105/07. 347 OLG Frankfurt am Main, Urteil vom 16.06.2010, Az.: 13 U 105/07, Abschnitt II. 3.). 341

86

C. Die nationale datenschutzrechtliche Situation

zum Zwecke der Entgeltermittlung und Abrechnung tatsächlich erforderlich sei.348 Im Übrigen stimmte der BGH aber in seiner rechtlichen Würdigung der Rechtsauffassung des OLG Frankfurt am Main zu: Die Tatsache, dass neben der Nutzung der Flatrate noch weitere kostenpflichtige Angebote in Anspruch genommen werden können, rechtfertige die Speicherung von IPAdressen. Auch sei eine siebentägige Speicherung der IP-Adressen zur Beseitigung technischer Störungen nach § 100 Abs. 1 TKG möglich.349 Dabei stellte der BGH ebenso fest, dass die genutzten IP-Adressen als Verkehrsdaten zu qualifizieren sind.350 Deren Speicherung greift nach Auffassung des BGH nicht in schwerwiegender Weise in die Grundrechte der Nutzer ein. Ein Eingriff sei nämlich umso stärker, je größer die Persönlichkeitsrelevanz der gespeicherten Daten sei. Über die bloße Speicherung der IPAdresse könne der Nutzer jedoch noch nicht identifiziert werden. Dazu bedürfe es erst der Zusammenführung mit weiteren Daten. Der BGH geht daher davon aus, dass die Speicherung von IP-Adressen – wenn überhaupt – nur in sehr geringem Maße dazu geeignet sei, „einzuschüchtern oder auch nur die Unbefangenheit des Kunden bei der Nutzung des Internet zu beeinträchtigen“.351 Der BGH hat es trotz der Bezugnahme auf die grundrechtliche Relevanz der Einordnung von IP-Adressen unterlassen, sich mit dem Begriff des personenbezogenen Datums auseinanderzusetzen. Aus der Tatsache, dass der BGH aber überhaupt von einer Grundrechtsrelevanz ausgeht, wird in der Literatur geschlussfolgert, dass er nunmehr von einem Personenbezug ausgeht.352 c) Zur Frage nach Auskunftsansprüchen für IP-Adressen Bereits als das TDDSG noch in Kraft war, stand die Frage im Raum unter welchen Voraussetzungen Dritte einen Auskunftsanspruch gegen Provider haben, um die hinter einer IP-Adresse stehende Person ausfindig zu machen.353 Mit der Abgrenzung von Rechtsgrundlagen zum Abruf von Bestandsund Verkehrsdaten musste sich das OLG Karlsruhe im Rahmen eines Ver348

BGH MMR 2011, 341 (342). BGH MMR 2011, 341 (343). 350 BGH MMR 2011, 341 (343). 351 BGH MMR 2011, 341 (344). 352 Karg, MMR 2011, 345. 353 Vgl. dazu etwa KG MMR 2007, 116 f. Zu einem Überblick über die heute zur Gesetzeslage nach dem TKG vertretenen Ansichten dient BVerfG, 1 BvR 1299/05 vom 24.1.2012, Rn. 64. 349

I. Die Behandlung von IP-Adressen im deutschen Recht

87

fahrens gerichtet auf Unterlassen der Zusendung von Werbeemails an Kunden des Klägers auseinandersetzen.354 Im Laufe eines gegen den Beklagten zunächst anhängigen Strafverfahrens wegen möglichen Verstoßes gegen §§ 269, 270 StGB und § 16 UWG, richtete die zuständige Stelle aufgrund der §§ 112, 113 TKG eine Auskunftsbegehren an den Access-Provider, um die ihr bekannte IP-Adresse einem konkreten Nutzer zuzuordnen. Diesem Anliegen kam der Access-Provider nach und teilte der zuständigen Stelle die Personalien des Nutzers mit, die über diesen Weg auch dem Kläger zur Verfügung gestellt wurden. Der Beklagte bestritt die Zuordnung der IPAdresse zu seiner Person. Anders als die Vorinstanz verneinte das OLG Karlsruhe einen Unterlassungsanspruch wegen wettbewerbswidrigen Verhaltens355 des Beklagten. Bereits die Speicherung der IP-Adresse durch den Access-Provider hätte nach Ansicht der Berufungsinstanz nicht erfolgen dürfen. Zudem sei auch die anschließende Zuordnung der IP-Adresse zum Beklagten unzulässig.356 Das Gericht sieht die Zuordnung dynamischer IP-Adressen zu konkreten Personen als Verkehrsdaten im Sinne des § 96 Abs. 1 Nr. 1 TKG an.357 Der für ein Verkehrsdatum notwendige Bezug zu einem konkreten Kommunikationsvorgang erfolgt dadurch, dass durch die Zuordnung der IPAdresse offenbart wird, wann eine bestimmte Person zu einem bestimmten Zeitpunkt via Internet kommuniziert hat.358 Schließt man sich dieser Ansicht an, besteht für den Access-Provider gemäß § 96 Abs. 2 TKG eine Löschungspflicht der betreffenden Verkehrsdaten, zumal der Beklagte eine Flatrate zur Internetnutzung359 mit seinem Anbieter vereinbart hatte. Die ungerechtfertigte Speicherung und Weitergabe stellt demnach eine Verletzung von Art. 10 GG dar, die nach Ansicht des OLG Karlsruhe ein Beweisverwertungsverbot nach sich zieht.360 Etwa ein Jahr nach der Entscheidung des OLG Karlsruhe, hat das OVG Köln die Einschlägigkeit von Art. 10 GG bei der Auskunft über den Nutzer einer IP-Adresse verneint. Dem lag folgender Sachverhalt zu Grunde: Gegen die Aufforderung der zuständigen Behörde, Auskünfte über die Bestandsdaten von Telekommunikationsnutzern, die bisher nur einer IP354

OLG Karlsruhe MMR 2009, 412 ff. Genauer gemäß § 8 Abs. 1 i. V. m. §§ 3, 4 Nr. 3 u. 10, 7, Abs. 2 Nr. 3 UWG. 356 OLG Karlsruhe MMR 2009, 412 (413). 357 OLG Karlsruhe MMR 2009, 412 (413). So ebenfalls AG Offenburg MMR 2007, 809. 358 Wie Fn. 356. 359 s. dazu C. I. 4. b). 360 OLG Karlsruhe MMR 2009, 412 (414 f.). 355

88

C. Die nationale datenschutzrechtliche Situation

Adresse zugeordnet werden konnten, herauszugeben, erhob der Access-Provider erfolglos Widerspruch. Sowohl das VG Köln361 als auch das OVG NRW362 lehnten den Antrag auf Anordnung der aufschiebenden Wirkung des Widerspruchs ab. Nach Auffassung der Gerichte sind die hinter den IPAdressen stehenden Daten zur tatsächlichen Identifizierung der Person (insbesondere der Name) als Bestandsdaten zu behandeln, so dass in rechtmäßiger Weise eine Auskunftsanordnung nach § 113 Abs. 1 S. 1 TKG durch die zuständige Behörde erlassen werden konnte.363 Die Tatsache, dass die Bestandsdaten allein anhand von Verkehrsdaten ermittelt werden könnten, ändere nichts daran, dass sich die Rechtsgrundlage zur Auskunftserteilung auf Bestandsdaten beziehen muss beziehungsweise kann.364 Auch stelle die Auskunftsanordnung keinen Eingriff in das in Art. 10 GG garantierte Fernmeldegeheimnis dar, selbst unter Berücksichtigung der Tatsache, dass die Bestandsdaten nur mit Hilfe von Verkehrsdaten ermittelt werden könnten.365 Durch die Auskunftserteilung werde es der Behörde nicht ermöglicht, Einsicht in die von Art. 10 GG umfassten Kommunikationsdaten beziehungsweise -vorgänge zu nehmen.366 Anders ist die Situation nach Ansicht des OVG NRW nur dann zu beurteilen, wenn die die Auskunft verlangende Stelle die IP-Adresse ebenfalls nicht freiwillig vom Nutzer erhalten hat. Insofern kommt nach der Ansicht des Gerichts allein § 100g StPO als Ermächtigungsgrundlage in Frage.367 Sowohl das OVG NRW als auch das OLG Karlsruhe versuchten eine trennscharfe Abgrenzung zwischen Bestands- und Verkehrsdaten herbeizuführen und daraus Schlüsse für die Schutzdimension des Art. 10 GG zu ziehen und kamen dabei zu gegensätzlichen Ergebnissen. Das LG Offenburg368 sieht in der Zuordnung der IP-Adressen zur einer konkreten Person ebenfalls eine Abfrage von Bestandsdaten im Sine des § 3 Nr. 3 TKG. Dabei stellt es zur Begründung zusätzlich auf das Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen vom 21.12.2007 ab, wonach der Gesetzgeber den Streit über die Zuordnung von IP-Adressen – wenn auch nicht ausdrücklich, sondern durch die Einführung des § 113 S. 1 Hs. 2 TKG – 361 362 363 364 365

VG Köln ITRB 2009, 26. OVG NRW DVBl. 2009, 526 ff. OVG NRW DVBl. 2009, 526 (527). Wie Fn. 363. OVG NRW DVBl. 2009, 526 (528). So auch LG Offenburg MMR 2008, 480

(481). 366 367 368

Wie Fn. 365. Wie Fn. 365. LG Offenburg MMR 2008, 480 ff.

I. Die Behandlung von IP-Adressen im deutschen Recht

89

entschieden haben soll.369 Der Streit über die Einordnung der Zuordnung von IP-Adressen wäre somit nach der jetzigen Gesetzeslage obsolet. Nunmehr hat sich der BGH mit der Entscheidung „Sommer unseres Lebens“370, in der es um die Störerhaftung eines Anschlussinhabers für die unzureichende Sicherung seines WLAN-Routers ging, in die aktuelle Diskussion eingeschaltet. Nach Auffassung des BGH sind die Vorschriften über die Bestandsdatenabfrage nach dem TKG anwendbar, wenn der Name eines Anschlussinhabers anhand seiner IP-Adresse bestimmt werden soll.371 Dabei bestimmt er ausdrücklich, dass „es [. . .] sich nicht um Verkehrsdaten nach §§ 96 Abs. 1, 113a TKG [handelt], die gemäß §§ 100g Abs. 2, 100b Abs. 1 StPO nur auf richterliche Anordnung erhoben werden dürfen.“372 Innerhalb dieser Aussage wird jedoch nicht deutlich, ob der BGH als Referenzdatum auf die IP-Adresse als solche oder aber den zu erfragenden Namen abstellt. Schließlich könne man anhand der Zuordnung einer IPAdresse zu einem Anschlussinhaber keine Auskunft darüber erlangen, mit wem dieser über welchen Zeitraum kommuniziert habe.373 Durch diese und die folgenden Aussagen lässt sich darauf schließen, dass der BGH mit seiner Formulierung die IP-Adresse selbst als Bestandsdatum qualifiziert hat:374 Er geht davon aus, dass es dem Willen des Gesetzgebers entspreche, die IP-Adressen als Bestandsdaten einzuordnen. Dabei scheint dem BGH ein logischer Denkfehler unterlaufen zu sein: Wie oben gezeigt, ergibt sich aus – dem zwar aus anderen Gründen für verfassungswidrig erklärten – § 113a Abs. 4 TKG, dass der Gesetzgeber die IP-Adressen als Verkehrsdaten ansieht. Dies ermöglicht aber dennoch, die Abfrage des Anschlussinhabers anhand einer bereits bekannten IP-Adresse als Abfrage von Bestandsdaten zu klassifizieren, da als neue Information die Identifizierung des Anschlussinhabers durch seinen Namen im Vordergrund steht, was unstreitig ein Bestandsdatum darstellt. Als Schlussfolgerung daraus, die IP-Adresse als Bestandsdatum einzuordnen ist zu weitgehend und wurde bisher auch nicht vertreten.375 Den bisherigen Schlusspunkt in der Diskussion hat nunmehr das Bundesverfassungsgericht im Rahmen eines Beschlusses Anfang 2012 gesetzt.376 369 370 371 372 373 374 375 376

LG Offenburg MMR 2008, 480 (481). BGH NJW 2010, 2061. BGH NJW 2010, 2061 (2063). BGH NJW 2010, 2061 (2063). BGH NJW 2010, 2061 (2063). So auch Moos, K&R 2011, 145 (149). Moos, K&R 2011, 145 (150). BVerfG 1 BvR 1299/05 vom 24.1.2012.

90

C. Die nationale datenschutzrechtliche Situation

Im Rahmen einer Verfassungsbeschwerde rügten die Beschwerdeführer hauptsächlich die Verfassungsmäßigkeit der §§ 111 bis 113 TKG377. Ausgehend von den Leitsätzen der Entscheidung hat das BVerfG nunmehr entschieden, dass in der Zuordnung einer dynamischen IP-Adresse zu einer bestimmten Person ein Eingriff in Art. 10 Abs. 1 GG liegt.378 Daraus folgt zugleich, dass § 113 Abs. 1 S. 1 i. V. m. §§ 111, 95 Abs. 1 TKG nicht zur Zuordnung dynamischer IP-Adressen angewendet werden darf.379 Der Eingriff in Art. 10 Abs. 1 GG durch die Zuordnung von dynamischen IP-Adressen wird vom BVerfG auf die besondere Nähe zu Telekommunikationsvorgängen gestützt,380 deren Vertraulichkeit vom Schutzbereich des Art. 10 GG umfasst wird. Dabei handelt es sich beim Surfvorgang unter einer dynamischen IPAdresse nicht um die bloße Bereitstellung von Telekommunikationsdienstleistungen, die nicht im Rahmen von Art. 10 GG geschützt werden.381 Anderes gilt für statische IP-Adressen, die aus diesem Grund nicht in den Schutzbereich des Art. 10 GG fallen; Denn bei der Zuordnung einer solchen Anschlusskennung stehe lediglich die abstrakte Zuordnung von Nummer und Anschlussinhaber im Vordergrund, ohne dass ein Bezug zum konkreten Kommunikationsvorgang hergestellt werden müsse.382 Demgegenüber kann die Zuordnung dynamischer IP-Adressen nicht ohne Einbeziehung des konkreten Kommunikationsvorgangs erfolgen, da nur anhand dessen die Verbindung zum Anschlussinhaber hergestellt werden kann.383 Der Rückgriff auf die beim Access-Provider gespeicherten Telekommunikationsdaten begründe daher den Eingriff in Art. 10 GG.384 Darüber hinaus sei eine Zuordnung von dynamischen IP-Adressen auf Grundlage des § 113 Abs. 1 S. 1 TKG auch deswegen unzulässig, da es diesbezüglich an der erforderlichen Normenklarheit fehle.385 Aufgrund der Tatsache, dass die Zuordnung einer IP-Adresse zu einer bestimmten Person nicht nur Auskunft über deren Identität, sondern gleichzeitig auch über ihr Kommunikationsverhalten und deren Inhalte gibt, bedarf es nach Auffas377

Die Entscheidung bezieht sich auf den Gesetzesstand vom 1.1.2008 (BVerfG 1 BvR 1299/05 vom 24.1.2012, Rn. 3), der auch der obigen Darstellung entspricht. 378 BVerfG 1 BvR 1299/05 vom 24.1.2012, 1. LS, Rn. 110. 379 BVerfG 1 BvR 1299/05 vom 24.1.2012, 4. LS, Rn. 108, 172. 380 BVerfG 1 BvR 1299/05 vom 24.1.2012, Rn. 116. 381 BVerfG 1 BvR 1299/05 vom 24.1.2012, Rn. 113. 382 BVerfG 1 BvR 1299/05 vom 24.1.2012, Rn. 115. 383 BVerfG 1 BvR 1299/05 vom 24.1.2012, Rn. 116. 384 BVerfG 1 BvR 1299/05 vom 24.1.2012, Rn. 116 f., 120. 385 BVerfG 1 BvR 1299/05 vom 24.1.2012, Rn. 174.

I. Die Behandlung von IP-Adressen im deutschen Recht

91

sung des BVerfG einer ausdrücklichen Entscheidung des Gesetzgebers, unter welchen Voraussetzungen diese Deanonymisierung erfolgen soll. An dieser fehle es aber im Rahmen des § 113 Abs. 1 S. 1 TKG, so dass diese Ermächtigungsgrundlage der Persönlichkeitsrelevanz des Eingriffs nicht gerecht werde.386 Aufgrund der hohen Praxisrelevanz der Zuordnung dynamischer IPAdressen, hat das BVerfG deren Zuordnung auf der Basis von § 113 Abs. 1 S. 1 TKG übergangsweise bis zum 30. Juni 2013 gestattet.387 Dennoch ist nunmehr verfassungsrechtlich geklärt, dass die Zuordnung von IP-Adressen künftig nur unter Berücksichtigung der verfassungsrechtlichen Anforderungen des Art. 10 GG erfolgen kann. Insofern scheint auch das Ergebnis der in diesem Abschnitt dargestellten BGH-Entscheidung, dass IP-Adressen als Bestandsdaten einzuordnen sind, in Bezug auf dynamische IP-Adressen nicht haltbar zu sein. Das Bundesverfassungsgericht hat mit seiner Entscheidung vielmehr dazu beigetragen, dass die Zuordnung der IP-Adressen zu einem bestimmten Anschlussinhaber auf ein verfassungsrechtlich sicheres Gerüst gestellt wird und den handelnden Behörden nunmehr Rechtsklarheit bietet, die zuvor durch die divergierende Rechtsprechung nicht gewährleistet war. Auch in Bezug auf die Einführung der neuen Protokollversion IPv6 hat das Bundesverfassungsgericht den Gesetzgeber bereits an seine Beobachtungs- und gegebenenfalls bestehende Nachbesserungspflicht erinnert.388 Sollte es künftig Standard werden, dass jedem Anschlussinhaber eine statische IP-Adresse zugeordnet wird, so würde der Auskunftspflicht nach §§ 111, 112 TKG ein viel größeres Gewicht zuwachsen, da dadurch die vollständige Deanonymisierung der künftigen Internetkommunikation ermöglicht werden kann. Diese Entwicklung steht allerdings unter der Prämisse, dass statische IP-Adressen Anschlusskennungen im Sinne des § 111 Abs. 1 TKG darstellen.389 Eine derart weitreichende Folge hatte der Gesetzgeber jedoch bei der Schaffung der §§ 111, 112 TKG noch gar nicht im Blick, so dass die Auskunftspflichten unter verfassungsrechtlichen Gesichtspunkten einer kritischen Revision unterzogen werden müssten.390

386 387 388 389 390

Wie Fn. 385. BVerfG 1 BvR 1299/05 vom 24.1.2012, Rn. 190. BVerfG 1 BvR 1299/05 vom 24.1.2012, Rn. 161. BVerfG 1 BvR 1299/05 vom 24.1.2012, Rn. 160. Vgl. Fn. 388.

92

C. Die nationale datenschutzrechtliche Situation

d) Zur Frage nach Verwertungsverboten für IP-Adressen Weiterhin stellt sich die Frage, ob IP-Adressen, die möglicherweise ohne rechtliche Grundlage gespeichert beziehungsweise einem Nutzer zugeordnet wurden, in einem anschließenden Prozess verwertet werden dürfen. So musste sich das LG Frankenthal391 im Wege des einstweiligen Rechtsschutzes mit einer auf den ersten Blick urheberrechtlichen Fragestellung auseinandersetzen: Die Antragsstellerin ist die alleinige Rechteinhaberin an einem Computerspiel. Der Antragsgegner ist Teilnehmer an einer sogenannten Internettauschbörse, bei der die Nutzer Dateien – so auch Computerspiele – hochladen können, um diese anderen Nutzern zum Herunterladen zur Verfügung zu stellen. Der Antragsgegner soll das besagte Computerspiel ohne Einverständnis der Antragstellerin auf die Plattform geladen haben. Die Antragstellerin beantragte daher Unterlassung des urheberrechtsverletzenden Verhaltens durch den Antragsgegner gemäß § 97 Abs. 1 UrhG. Bemerkenswert am Gang der Auseinandersetzung zwischen den Verfahrensbeteiligten ist, dass der Antragsgegner auf der Tauschbörse nie unter seinem tatsächlichen Namen aufgetreten ist. Dennoch konnte die Antragstellerin ihn identifizieren: Sie beauftragte eine sogenannte „AntipiracyFirma“ mit der Ermittlung von IP-Adressen von Nutzern392, die das Computerspiel auf der Plattform zum Herunterladen anboten. Dabei wurde sowohl die IP-Adresse des Antragsgegners als auch das Datum und die Uhrzeit der Nutzung der Tauschbörse erhoben. Aufgrund dieser Informationen stellte die Antragstellerin bei der zuständigen Staatsanwaltschaft Strafanzeige gegen unbekannt, die daraufhin beim zuständigen Access-Provider in Erfahrung brachte, dass die IP-Adresse zum fraglichen Zeitpunkt dem Antragsgegner zugeordnet war, so dass die einstweilige Verfügung beantragt werden konnte. Im Mittelpunkt des Verfahrens stand die Frage nach der Zulässigkeit der Verwertbarkeit der durch den Access-Provider übermittelten Daten an die Staatsanwaltschaft. Die Zweifel stützte das Gericht insbesondere auf die vom Bundesverfassungsgericht erlassene einstweilige Verfügung393 hinsichtlich der Vorratsdatenspeicherung. Schließlich lehnte das LG Frankenthal den Antrag der Antragstellerin auf Unterlassung ab, da der Name des Antragsgegners allein durch eine Verletzung des Art. 10 GG offen gelegt wurde. Eine solche führt aber nach Ansicht des Gerichts zu einem Beweisverwertungsverbot.394 Die Grundrechtsverlet391

LG Frankenthal, Beschluss vom 21.05.2008, Az.: 6 O 156/08. Die Ermittlung der IP-Adressen der Nutzer der Plattform erfolgt anhand des Programms „File-Sharing-Monitor“. 393 Vgl. BVerfG 1 BvR 256/08 vom 11.03.2008. 394 LG Frankenthal, Beschluss vom 21.05.2008, Az.: 6 O 156/08, II. 392

I. Die Behandlung von IP-Adressen im deutschen Recht

93

zung wird von den Richtern in der Übermittlung von Telekommunikationsdaten gesehen, die nach der einstweiligen Anordnung des Bundesverfassungsgerichts zur Vorratsdatenspeicherung nur bei Ermittlungsverfahren zu schweren Straftaten im Sinne des § 100a Abs. 2 StPO zulässig sind. Eine solche Straftat lag im zu entscheidenden Sachverhalt hingegen nicht vor.395 Dabei nimmt der Beschluss des Bundesverfassungsgerichts ausdrücklich Bezug auf Verkehrsdaten, die bei der Erbringung von Telekommunikationsdiensten entstehen.396 Da das LG Frankenthal IP-Adressen nebst zugehörigen Kundendaten als Verkehrsdaten im Sinne von § 3 Nr. 30 TKG ansieht397, kam es für sich zu der Annahme eines Beweisverwertungsverbots. Anders als die oben dargestellten Urteile398 setzt sich das entscheidende Gericht aber mit der Abgrenzung zwischen Bestands- und Nutzungsdaten im Sinne des TKG auseinander und äußert sich auch zum Personenbezug von dynamischen IP-Adressen im Rahmen von § 96 Abs. 1 Nr. 1 TKG (personenbezogene Berechtigungserkennung), wobei es von einem relativen Personenbezug ausgeht.399 Die gegen den Beschluss eingelegte Beschwerde der Antragstellerin hatte jedoch vor dem OLG Zweibrücken Erfolg, da nach dessen Ansicht kein Beweisverwertungsverbot besteht.400 Das Gericht nimmt eine andere Perspektive auf die Datenherausgabe an als das LG Frankenthal. So ginge es nicht primär um die Herausgabe von Verkehrsdaten im Sinne des § 3 Nr. 30 TKG, sondern um die Auskunft über Bestandsdaten nach §§ 3 Nr. 3, 111 Abs. 1 S. 1 TKG. Denn schließlich sei der Staatsanwaltschaft die IPAdresse bereits bekannt gewesen. Es fehlten lediglich die Daten der dahinterstehenden Person, welche aber ohne konkreten Bezug zum Telekommunikationsvorgang seien und mithin Bestandsdaten darstellten.401 Hauptargument zur Bejahung der Beweisverwertung ist hingegen, dass nach Ansicht des OLG Zweibrücken die Mitteilung, wer zu einem bestimmten Zeitpunkt der Nutzer einer dynamischen IP-Adresse ist, keine Grundrechtsverletzung – weder des Art. 10 GG noch des Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG – darstellt.402 Die vom LG Frankenthal angenommene Parallele zum Beschluss des Bundesverfassungsgerichts zur Vorratsdatenspeicherung bestünde nicht, da die Datenerhebung und -weitergabe nach 395 396 397 398 399 400 401 402

LG Frankenthal, Beschluss vom 21.05.2008, Az.: 6 O 156/08, II. 1. BVerfG MMR 2008, 303 (305). LG Frankenthal, Beschluss vom 21.05.2008. Az.: 6 O 156/08, II. 1. a). Dargestellt in C. I. 4. b). LG Frankenthal, Beschluss vom 21.05.2008, Az.: 6 O 156/08, II. 1. b). OLG Zweibrücken MMR 2009, 45 (46). Wie Fn. 400. Wie Fn. 400.

94

C. Die nationale datenschutzrechtliche Situation

den übrigen Vorschriften des TKG trotz der einstweiligen Anordnung des Bundesverfassungsgerichts möglich bleibe. Diese bezieht sich nämlich allein auf §§ 113a und 113b TKG. In gleicher Weise argumentierte bereits das LG Hamburg403 bei einem rechtlich gleich gelagerten Fall. Hinzu kam dort noch das Zeitmoment: Die Speicherung der Daten konnte rein faktisch nicht auf der Rechtsgrundlage des § 113a TKG erfolgt sein, da das Gesetz erst zum 01.01.2008 in Kraft trat, als die Daten bereits gespeichert waren.404 Anhand dieser Entscheidungen wird deutlich, dass von IP-Adressen in die Rechtsordnung nicht nur das Rolle spielt, sondern auch besonderes Augenmerk auf Mindeststandards zum Schutz der Daten gelegt werden

bei der Einordnung einfache Recht eine die grundrechtlichen muss.

e) Zur Frage nach einem Anspruch auf Speicherung von IP-Adressen In einem Verfahren vor dem OLG Frankfurt am Main war die Frage zu beantworten, ob ein Dritter – hier die Antragstellerin – einen Anspruch auf Speicherung der IP-Adressen gegen den Access-Provider – den Antragsgegner – hat.405 Die Antragstellerin ist Rechteinhaberin an einem Musikalbum, das ohne ihr Einverständnis kostenlos im Internet bei Tauschbörsen angeboten wird. Um Personen zu ermitteln, die die Musikstücke im Netz zur Verfügung gestellt haben, hat sie die IP-Adressen der besagten Nutzer ausfindig gemacht. Die Antragstellerin wand sich an den Access-Provider, zu dessen Pool die ermittelten IP-Adressen gehören, um diese gemäß dem Datum und der Uhrzeit namentlich zuordnen zu können. Dabei stellte sich heraus, dass der Antragsgegner die Verkehrsdaten unmittelbar nach Beendigung der Internetsitzung löscht, so dass eine Zuordnung von IP-Adressen zu Nutzernamen nicht mehr möglich war. Die Antragstellerin beantragte daher, dem Antragsgegner die Löschung der zur Identifizierung notwendigen Verkehrsdaten durch eine einstweilige Verfügung, jedenfalls bis zur Auskunftserteilung, zu untersagen. Gleiches gilt für den Zeitraum der Geltendmachung der Ansprüche aus § 101 Abs. 9 UrhG beziehungsweise bis zu deren endgültiger gerichtlichen Abweisung. Das OLG Frankfurt am Main stimmte mit der Vorinstanz406 darin überein, dass ein Anspruch auf Speicherung wegen möglicher künftiger Verlet403 404 405 406

LG Hamburg MMR 2008, 685 ff. LG Hamburg MMR 2008, 685 (686). OLG Frankfurt am Main MMR 2010, 62 f. LG Frankfurt am Main, Beschluss vom 27.05.2009, Az.: 2/6 O 246/09.

I. Die Behandlung von IP-Adressen im deutschen Recht

95

zungen des Urheberrechts der Antragstellerin nicht besteht. Insbesondere begründet § 101 Abs. 2 Nr. 3 i. V. m. Abs. 9 UrhG keinen Anspruch auf Speicherung von Verkehrsdaten auf Zuruf. Aus einem bloßen Auskunftsanspruch kann mit der Begründung, dass der Anspruch ansonsten leer liefe, keine Speicherungspflicht abgeleitet werden.407 Dadurch, dass das Gericht bereits einen Anspruch gegen den Access-Provider verneint, muss es sich nicht mehr mit der in Bezug auf IP-Adressen interessanten Frage auseinandersetzen, ob für den Antragsgegner überhaupt eine Befugnisnorm zur Speicherung der Daten in Bezug auf den Nutzer besteht.408 In einem ähnlich gelagerten Fall hat das LG München I409 dagegen ein gesetzliches Schuldverhältnis auf Basis des § 101 Abs. 2 UrhG zwischen dem Rechteinhaber und dem Access-Provider bejaht, so dass grundsätzlich ein Anspruch auf Speicherung der Verkehrsdaten besteht. Dies gelte jedenfalls ab dem Zeitpunkt, zu dem der Access-Provider davon Kenntnis erlangt, dass gegen ihn der Auskunftsanspruch aus § 101 Abs. 2 UrhG geltend gemacht werden soll.410 Im Folgenden setzt sich das LG München I aber auch nicht abschließend mit der Frage auseinander, auf welcher Rechtsgrundlage eine Speicherung der Verkehrsdaten erfolgen könne. Vielmehr verneint es die Durchsetzung einer grundsätzlich bestehenden Speicherungspflicht wegen eines die Unverhältnismäßigkeit im Sinne von § 101 Abs. 4 UrhG begründenden hohen Kostenaufwands.411 Weiter ging allerdings das LG Hamburg, das einen Access-Provider dazu verpflichtet sieht, „ ‚auf Zuruf‘ aus einer laufenden Verletzungsverbindung die dann noch vorhandenen Verkehrsdaten bis zur Beendigung des Auskunftsverfahrens mit dem vorgeschalteten Zulässigkeitsverfahren vorzuhalten“.412 Datenschutzrechtliche Probleme sieht das entscheidende Gericht dabei nicht. Das LG Hamburg leitet den Anspruch auf Vorhaltung der IPAdressen als Verkehrsdatum aus § 101 Abs. 2 i. V. m. Abs. 9 UrhG und aus den Grundsätzen von Treu und Glauben ab.413 Anders als das LG München I sah das LG Hamburg den für den Access-Provider entstehenden Mehraufwand durch die Vorhaltung in diesem Fall nicht als unverhältnismäßig an.414 Der datenschutzrechtliche Erlaubnistatbestand zur Vorhaltung 407 408 409 410 411 412 413 414

OLG Frankfurt am Main MMR 2010, 62 (63). s. dazu Maaßen, MMR 2010, 63 (64). LG München I MMR 2010, 111 ff. LG München I MMR 2010, 111 (113). LG München I MMR 2010, 111 (115). LG Hamburg MMR 2009, 570. LG Hamburg MMR 2009, 570 (570 f.). LG Hamburg MMR 2009, 570 (573).

96

C. Die nationale datenschutzrechtliche Situation

der Verkehrsdaten im Verhältnis zwischen dem Access-Provider und seinen Vertragspartnern findet sich nach Ansicht des Gerichtes in § 96 Abs. 2 S. 1 TKG i. V. m. § 101 Abs. 2 und Abs. 9 UrhG.415 Zudem sei auch die Verknüpfung der dynamischen IP-Adresse zu einem bekannten Nutzungszeitpunkt mit den Bestandsdaten des dahinter stehenden Nutzers nach den Normen über die Verkehrsdaten zu beurteilen.416 Von dieser Rechtsprechung hat sich das LG Hamburg mittlerweile wieder abgekehrt, da es nunmehr annimmt, dass es für die Speicherung auf Zuruf keine gesetzliche Grundlage gibt. Das LG Hamburg ist somit auf die oben beschriebene Linie des OLG Frankfurt am Main eingeschwenkt.417 Die vorangegangene Darstellung offenbart trotz vergleichbarer Fallkonstellationen drei unterschiedliche Entscheidungswege der Gerichte. Die Frage, ob Access-Provider zur Speicherung von IP-Adressen gezwungen werden können ist noch weithin ungeklärt. Fest steht lediglich, dass die dargestellten Streitpunkte ein Beispiel für den nur schwer zu findenden Ausgleich zwischen Datenschutz auf der einen und den durch Art. 14 GG garantierten Urheber- beziehungsweise Eigentumsrechten auf der anderen Seite sind. Hinzukommen können ebenfalls die über Art. 12 GG zu schützenden Interessen des Access-Providers, der durch die Gewährung eines möglich hohen Datenschutzniveaus Wettbewerbsvorteile beim Nutzer gegenüber anderen Konkurrenten haben kann. Eine weit beachtete Entscheidung des OLG Hamburg418 befasste sich mit der Frage danach, welche wirksamen Vorkehrungen der Betreiber einer Tauschbörse im Hinblick auf ihm bereits bekannte Verstöße gegen das Urheberrecht zu treffen hat, um weitere Verletzungshandlungen durch dieselben Nutzer künftig zu verhindern. Virulent wurde die Frage im Rahmen einer möglichen Störerhaftung durch das bloße zur Verfügung Stellen der Tauschbörse als Plattform. Das Gericht bejaht eine Pflicht des Plattformbetreibers, die Angebote, die von derselben IP-Adresse hochgeladen wurden, einer Überprüfung auf mögliche Urheberverletzungen zu unterziehen, das heißt, eine Speicherung der IP-Adressen wird als notwendig angesehen.419 Allein der Plattformbetreiber kann die nötigen Daten zur Identifizierung der Nutzer erheben. Allerdings traf das entscheidende Gericht keine Aussage darüber, unter welchen Voraussetzungen die Daten erhoben, gespeichert oder herausgegeben werden dürfen. 415

LG Hamburg MMR 2009, 570 (572). LG Hamburg MMR 2009, 570 (572). 417 Zum Ganzen: Moos, K&R 2011, 145 (150 f.). LG Hamburg, Urteil vom 20.10.2010, Az.: 308 O 32. 418 OLG Hamburg MMR 2008, 823 ff. (Rapidshare). 419 OLG Hamburg MMR 2008, 823 (826). 416

II. Fazit

97

Inwiefern die vom OLG Hamburg geforderten Maßnahmen tatsächlich einen wirksamen Beitrag zum Schutz vor illegalem Hochladen von Dateien bieten, ist hingegen zweifelhaft. Schließlich gehen die meisten Nutzer durch dynamische – also bei jeder neuen Einwahl wechselnden – IP-Adressen ins Netz, so dass das Wiedererkennen alleine anhand der IP-Adresse fraglich ist. Allerdings zeigt die Entscheidung, dass die Speicherung und anschließende Zuordnung der IP-Adresse als ein beziehungsweise das erste Mittel angesehen wird, um Nutzer im Internet zu identifizieren oder Missbrauchsfälle aufzudecken.420 Ein adäquater Schutz der IP-Adressen ist mithin für alle Internetnutzer unerlässlich.

II. Fazit Die Untersuchung des nationalen Rechts hat gezeigt, dass die rechtlichen Fragen rund um die Einordnung der IP-Adressen in das bestehende nationale Datenschutzsystem weitgehend umstritten und noch nicht abschließend geklärt sind. Dies hängt insbesondere damit zusammen, dass die datenschutzrechtlichen Vorschriften technikneutral ausgestaltet sind und es dementsprechend schwer fallen kann, neuere technische Entwicklungen wie sie insbesondere das Internet mit sich bringt, in das bestehende System einzuordnen. Nach der hier vertretenen Auffassung spricht jedoch bereits die Auslegung des nationalen Rechts dafür, den Personenbezug von Daten aus einer absoluten Sichtweise heraus zu bestimmen. Dies hat zur Folge, dass IPAdressen jeglicher Art als personenbezogene Daten im Sinne des § 3 Abs. 1 BDSG zu behandeln sind und somit den datenschutzrechtlichen Regelungen unterfallen. Der Personenbezug kann nur dann entfallen, wenn die Zuordnung der IPAdresse zu einer Person für jedermann ausgeschlossen ist oder zumindest nur mittels eines unverhältnismäßigen Aufwands zu bewerkstelligen ist. Eine Anonymisierung muss mit anderen Worten mit dem Löschen der Daten gleichbedeutend sein, was sich bereits aus den Vorgaben des § 96 Abs. 2 TKG ergibt, der richtlinienkonform anhand des Art. 6 Abs. 1 RL 2002/58/EG ausgelegt wird. Dieses Ergebnis steht mit der Rechtsprechung des BVerfG in Einklang, die davon ausgeht, dass anonymisierte Daten keinen Personenbezug mehr aufweisen.421 Dieses Ergebnis hat zwangsläufig zur Folge, dass Pseudonyme noch als personenbezogene Daten angesehen werden müssen, da ihnen die Möglich420 421

So auch Scherzer, JurisPR-ITR 21/2008 Anm. 4, B. Grundlegend BVerfGE 65, 1 (61).

98

C. Die nationale datenschutzrechtliche Situation

keit der Re-Identifizierung immanent ist. Solange eine Stelle oder eine Person noch über einen Schlüssel zur Re-Identifizierung verfügt, kann der Personenbezug aus einer absoluten Sichtweise mit einem vertretbaren Aufwand hergestellt werden. Daraus ergibt sich, dass es bei der Einordnung von Daten nur zwei Kategorien gibt, die sich gegenseitig ausschließen: Einerseits personenbezogene Daten, die die Anwendung der datenschutzrechtlichen Vorschriften auslösen oder andererseits anonyme Daten, die des Schutzes des BDSG nicht bedürfen. Die Auffassung, Pseudonyme nicht als selbstständige Datenkategorie neben den anonymen und personenbezogenen Daten zu sehen, steht im Einklang mit der momentanen Gesetzeslage, die bisher keine privilegierte Behandlung dieses Datentypus vorsieht. Im Lichte der Datensparsamkeit und einer größtmöglichen Anonymität im Internet ist es aber geboten und wünschenswert, die Verarbeitung pseudonymer Daten, die immerhin erschwert einer Person zuzuordnen sind, im Gesamtkonzept des Datenschutzes zu privilegieren. Dadurch ließe sich der Streit, ob IP-Adressen den Schutz des BDSG unterfallen sollen, insoweit lösen, als dass einerseits die Verarbeitung von IPAdressen, auch bei Unkenntnis der Zuordnungsregel, nicht außerhalb der Regelungen des BDSG erfolgen kann, andererseits aber Rücksicht darauf genommen werden kann, dass IP-Adressen keine hochsensiblen Daten sind, die durch die bloße Kenntnis für jedermann unmittelbar einen Bezug zu einer bestimmten Person offenbaren. Im Einklang mit dieser Einordnung steht das Ergebnis, dass es sich bei IP-Adressen darüber hinaus um Verkehrsdaten im Sinne des TKG und Nutzungsdaten im Rahmen des TMG handelt, die für sich gesehen auch personenbezogene Daten darstellen. Im Folgenden gilt es nunmehr diese Ergebnisse durch das europäische Recht abzusichern, denn nur die Einbeziehung des europäischen Rahmenrechts gewährleistet eine unionsweite einheitliche Auslegung der Bestimmbarkeit personenbezogener Daten.422

422 Hoeren geht in JZ 2011, 695 (696) sogar davon aus, dass eine „weitere Klärung [. . .] hier letztendlich nur die gesetzgebungspolitische Diskussion in Berlin und Brüssel [bringt].“

D. Europarechtliche Vorgaben für den Datenschutz Durch die Grenzenlosigkeit des Internets ist es illusorisch, sich allein auf einen nationalen Rechtsrahmen zur Regulierung des Internets und insbesondere des Datenschutzes zu verlassen.423 Die internationale Standardsetzung – vor allem die europäische – gewinnt daher zwangsläufig einen höheren Stellenwert424 und ist zur Auslegung des nationalen Rechts unabdingbar. Sowohl europäisches Sekundär- als auch Primärrecht bilden dabei einen Rechtsrahmen, in den sich das deutsche Datenschutzrecht einfügen muss und von dem es geleitet wird.

I. Sekundärrecht Datenschutzrechtliches Sekundärrecht wird allen voran durch Richtlinien und vereinzelt durch Verordnungen bestimmt. Prägend ist dabei die allgemeine Datenschutzrichtlinie 95/46/EG, die den Schutz personenbezogener Daten in den Mittelpunkt rückt. Ergänzend wurde die Datenschutzrichtlinie für elektronische Kommunikation RL 2002/58/EG als sektorspezifisches, aber technikneutrales Instrumentarium geschaffen. Schließlich tangiert die Richtlinie zur Vorratsdatenspeicherung RL 2006/24/EG den Bereich des Datenschutzrechts. Das Bedürfnis nach einer einheitlichen Anwendung von Datenschutzstandards in Europa liegt auf der Hand, da der Datenverkehr nicht an nationalen Grenzen halt macht und IP-Adressen somit in allen europäischen Ländern vergeben, genutzt und gespeichert werden können. Dass eine über die nationalen Grenzen hinausgehende Unsicherheit bezüglich der Einordnung von IP-Adressen in die jeweiligen nationalen und das europäische Datenschutzregime besteht, zeigt unter anderem eine Entscheidung des österreichischen Obersten Gerichtshofs in Wien, der sich damit auseinanderzusetzen hatte, inwiefern dynamische IP-Adressen Verkehrsdaten darstellen und diesbezüglich auch auf die Rechtsauffassung des EuGH eingegangen ist.425 423 Boehme-Neßler, CyberLaw, S. 2; ders., MMR 2009, 439 (442); Kotzur, EuGRZ 2011, 105 (106). 424 s. Fn. 423. 425 OGH Wien, Az.: 4 Ob 41/09x, Urteil vom 14.07.2009, Abschn. 5.3.2. und 5.3.3.

100

D. Europarechtliche Vorgaben für den Datenschutz

1. Allgemeine Datenschutzrichtlinie RL 95/46/EG Die allgemeine Datenschutzrichtlinie 95/46/EG war das erste datenschutzrechtliche Instrument auf Unionsebene. Sie harmonisiert das Gesamtsystem des europäischen Datenschutzes und insbesondere auch die der Richtline zugrunde liegenden Begriffsbestimmungen.426 Im Zentrum der Richtlinie steht unter anderem auch der Begriff der personenbezogenen Daten, wie er in Art. 2 lit. b) RL 95/46/EG definiert wird. a) Zielsetzung der Richtlinie Obwohl die Datenschutzrichtlinie RL 95/46/EG auf der Grundlage des ehemaligen Art. 100a EG-Vertrags427 erlassen wurde und somit primär der Harmonisierung des Binnenmarktes zu dienen bestimmt ist, verfolgt die Datenschutzrichtlinie noch weitere Ziele: Explizit wird in den Erwägungsgründen festgehalten, dass Datenverarbeitungssysteme die Grundrechte und insbesondere die Privatsphäre der betroffenen natürlichen Personen zu wahren haben.428 Durch die Bezugnahme auf die Privatsphäre wird deutlich, dass der Datenschutz ausdrücklich diesem grundrechtlich geschützten Bereich zugeordnet werden kann.429 Allerdings wird durch den Einschub „insbesondere“ auch deutlich, dass sich die Bestimmungen der Richtlinie nicht auf den Schutz der Privatsphäre beschränken sollen. Vielmehr können auch personenbezogene Daten als schützenswert angesehen werden, die außerhalb der Privatsphäre angesiedelt sind. Das beabsichtigte Nebeneinander von Binnenmarktharmonisierung und Grundrechtsschutz wird dadurch verdeutlicht, dass es für das Funktionieren des Binnenmarktes nicht nur erforderlich ist, dass personenbezogene Daten von einem Mitgliedstaat in den anderen übermittelt werden können, sondern auch, dass die Grundrechte der Personen gewahrt werden.430 In dieser Formulierung kommt ein Gleichlauf zwischen wirtschaftlichen und grundrechtlichen Interessen zum Ausdruck431, der bis dato in keinem Gemeinschaftsakt in dieser Bestimmtheit benannt wurde.432 426

Brühann, in: Roßnagel, 2.3 Europarechtliche Grundlagen, Rn. 16. In der Fassung des Vertrages von Maastricht, in Kraft getreten am 1. November 1993, ABl. C 244/01 vom 31. August 1992. 428 Erwägungsgrund 2 der RL 95/46/EG. 429 Siemen, S. 45. 430 Erwägungsgrund 3 der RL 95/46/EG. 431 Dies insbesondere hervorhebend Ehmann/Helfrich, Einl., Rn. 4. Frenz, Bd. 4, Rn. 1359; Johlen, in: Tettinger/Stern, Art. 8, Rn. 15. 432 Burkert, in: Roßnagel, 2.3 Internationale Grundlagen, Rn. 45. 427

I. Sekundärrecht

101

Dabei sieht die Richtlinie die unterschiedlichen Schutzniveaus der Mitgliedstaaten in Bezug auf die Rechte und Freiheiten der Person, insbesondere der Privatsphäre, bei der Datenverarbeitung als potenzielles Handelshemmnis bei der Datenübermittlung an,433 wodurch das Erfordernis einer Harmonisierung begründet wird.434 Um der Gefahr einer Herabsetzung der Datenschutzstandards durch die Harmonisierung vorzubeugen, soll das Gewährleistungsniveau der Grundrechte und -freiheiten durch die nationalstaatliche Umsetzung nicht unterschritten werden.435 Als zu wahrender Maßstab ist dabei insbesondere Art. 8 EMRK zu beachten.436 Zudem soll es zu einer Konkretisierung und Erweiterung der in der Datenschutzkonvention gewährleisteten Rechte kommen.437 Als Ziel festzuhalten ist mithin kein „Wettkampf“ der Mitgliedstaaten um möglichst geringe Datenschutzstandards, sondern vielmehr die Implementierung eines unionsweiten hohen Schutzniveaus.438 Aus dieser Zielvorstellung wird insbesondere deutlich, dass die Datenschutzrichtlinie im Rahmen der Rechtsakte der Union eine Sonderstellung einnimmt: Anstelle den Handel und die Übermittlung mit personenbezogenen Daten durch möglichst niedrige Datenschutzstandards mehr oder weniger frei zu geben, wird durch die Richtlinie ein Mindestmaß an konkretisierten grundrechtlichen Gewährleistungen festgeschrieben. Durch höhere Schutzvorschriften mag die wirtschaftliche Attraktivität der personenbezogenen Daten vielleicht auf den ersten Blick abnehmen, da diese aber für alle Mitgliedstaaten gleichermaßen gelten, kann eine Abwärtsspirale zu Lasten des Datenschutzes ausgeschlossen werden. Die herausragende Stellung des Grundrechtsschutzes wird aber nicht nur in den Erwägungsgründen deutlich, sondern spiegelt sich auch in den Bestimmungen der Datenschutzlinie selbst wider: Art. 1 Abs. 1 RL 95/46/EG legt den Mitgliedstaaten die Pflicht auf, durch die Umsetzung der Richtlinie den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten. Erst im Rahmen von Art. 1 Abs. 2 RL 95/46/EG wird der freie Verkehr personenbezogener Daten in den Gegenstand der Datenschutzrichtlinie mit einbezogen. 433

Erwägungsgrund 7 und 9 der RL 95/46/EG. Erwägungsgrund 8 der RL 95/46/EG. 435 Siemen, S. 233 f. 436 Erwägungsgrund 10 der RL 95/46/EG; Ruffert, EuGRZ 2004, 466 (470); Tinnefeldt, DuD 2009, 504. 437 Erwägungsgrund 11 der RL 95/46/EG. 438 Erwägungsgrund 10 der RL 95/46/EG. 434

102

D. Europarechtliche Vorgaben für den Datenschutz

Aufgrund der herausragenden Regelungen des Grundrechtsschutzes in der Richtlinie selbst verwundert es nicht, wenn der Europäische Datenschutzbeauftragte die Datenschutzrichtlinie als Konkretisierung des grundrechtlichen Schutzes personenbezogener Daten ansieht.439 Fraglich ist, inwiefern die Datenschutzrichtlinie den Mitgliedstaaten einen Umsetzungsspielraum bei der Schaffung nationalen Rechts belässt. Grundsätzlich bleibt den nationalen Gesetzgebern bei der Umsetzung der Richtlinie ein Spielraum, den sie in Bezug auf die zu treffenden Maßnahmen ausnutzen können. Die Richtlinie ist insofern nur hinsichtlich ihrer Ziele verbindlich.440 Die Vorschriften der Richtlinie müssen allerdings jede für sich gesehen daraufhin untersucht werden, ob sie ein verbindliches Ziel festschreiben, das von den nationalen Gesetzgebern keinesfalls unterschritten werden darf. Eine pauschale Kategorisierung, ob der Richtlinie zwingender Charakter bei der Umsetzung zukommt, kommt hingegen nicht in Betracht.441 Ziel der Richtlinie ist es unter anderem, ein hohes und gleichwertiges Datenschutzniveau in den Mitgliedstaaten zu installieren.442 Um ein solches Niveau flächendeckend zu garantieren, ist es unerlässlich, dass in allen Mitgliedstaaten die gleichen Datenkategorien von den Schutzvorschriften der Datenschutzrichtlinie erfasst werden. Daraus folgt denknotwendig, dass die Begriffsbestimmung der personenbezogenen Daten in allen Mitgliedstaaten identisch erfolgen muss. Demnach ist die Definition des Art. 2 lit. b) RL 95/46/EG als zwingend anzusehen, ohne dass dem nationalen Gesetzgeber ein Umsetzungsspielraum zukommt.443 Freilich bleibt festzuhalten, dass ein weitergehendes Schutzniveau durch die Mitgliedstaaten gewährleistet werden kann, wenn es dadurch nicht zu einer Kollision mit dem Unionsrecht außerhalb des Datenschutzrechts kommt.444

439 Stellungnahme des Europäischen Datenschutzbeauftragten, ABl. C 255/3, Rn. 16 vom 27.10.2007. 440 Klug, S. 1. 441 s. dazu die Ausführungen von Brenner, in: Veränderte Sicherheitslage und Datenschutz im europäischen Staatenverbund, 14. Wiesbadener Forum Datenschutz, S. 57 (64). 442 Erwägungsgrund 8 und 10 der RL 95/46/EG. 443 Dies lediglich in Betracht ziehend Ehmann/Helfrich, Art. 2, Rn. 8 ff. 444 Brenner, in: Veränderte Sicherheitslage und Datenschutz im europäischen Staatenverbund, 14. Wiesbadener Forum Datenschutz, S. 57 (65).

I. Sekundärrecht

103

b) Anwendungsbereich Bei der Speicherung und Verarbeitung von IP-Adressen handelt es sich häufig um Vorgänge, die im Internet stattfinden, wenn beispielweise der Betreiber einer Homepage bei jedem Seitenaufruf die IP-Adressen des Anschlussinhabers speichert. Daher ist zunächst auf die Frage einzugehen, ob die RL 95/46/EG auf Sachverhalte im Internet anwendbar ist. Vom Anwendungsbereich der Datenschutzrichtlinie wird gemäß Art. 3 Abs. 1 RL 95/ 46/EG die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten umfasst. Daneben gilt die Datenschutzrichtlinie auch für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen. Eine Verarbeitung von personenbezogenen Daten liegt wiederum bei jedem mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jeder Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung oder Verbreitung oder bei jeder anderen Form der Bereitstellung, Kombination oder der Verknüpfung sowie dem Sperren, Löschen oder Vernichten vor, Art. 2 lit. b) RL 95/46/EG. Dementsprechend ist festzuhalten, dass die Datenschutzrichtlinie einen technikneutralen Anwendungsbereich beschreibt. Sie umfasst Regelungen für alle Datenverarbeitungswege, insbesondere auch die Datenverarbeitung im Internet.445 Aber selbst die nicht automatisierte Datenverarbeitung – wie beispielweise das Schreiben auf Papier – wird vom Anwendungsbereich umfasst, wenn diese Daten anschließend in einer Datei gespeichert werden oder eine diesbezügliche Absicht besteht. Der Verarbeitungsbegriff der allgemeinen Datenschutzrichtlinie wurde bewusst weit gefasst, um einen umfassenden Datenschutz zu gewährleisten.446 Um von einer Datei sprechen zu können, genügt bereits jedes strukturierte Sammeln von Daten, die nach allgemeinen Kriterien zugänglich sind.447 Dementsprechend fallen IP-Adressen selbst dann unter den Anwendungsbereich der Datenschutzrichtlinie, wenn sie in handschriftlicher Form niedergeschrieben und sodann in eine geordnete Systematik eingebracht werden.

445

Europäische Kommission, Datenschutz in der Europäischen Union, 2001,

S. 11. 446 447

Schild, in: Roßnagel, 4.2 Datenerhebung, -verarbeitung und -nutzung, Rn. 26. Kübler, S. 63.

104

D. Europarechtliche Vorgaben für den Datenschutz

Art. 3 Abs. 2 RL 95/46/EG bestimmt Ausnahmen vom Anwendungsbereich der Richtlinie448, die aber keinen Einfluss auf die Auslegungsfragen für personenbezogene Daten haben und daher im Rahmen dieser Untersuchung unberücksichtigt bleiben können. Ebendies gilt auch für die Bestimmungen über den räumlichen Anwendungsbereich der Datenschutzrichtlinie, der auf Sachverhalte beschränkt ist, bei denen die Datenverarbeitung innerhalb der Union stattfindet. Art. 4 Abs. 1 RL 95/46/EG erklärt insofern das nationale Recht grundsätzlich für anwendbar, das für die datenverarbeitende Niederlassung des Datenverwenders gilt. Der Untersuchung soll demnach ein Sachverhalt zu Grunde gelegt werden, bei dem ein in Deutschland niedergelassener Datenverwender handelt, der von dort aus IP-Adressen speichert oder in anderer Weise gebraucht.449 In persönlicher Hinsicht sind allein natürliche Personen vom Schutzumfang der Richtlinie umfasst, was sich aus einer Zusammenschau des Art. 1 Abs. 1 und Art. 2 lit. a) RL 95/46/EG ergibt.450 Durch die Bestimmungen verpflichtet werden sowohl öffentliche als auch private Stellen, da Art. 3 Abs. 1 RL 95/46/EG diesbezüglich keine Einschränkungen vornimmt. Vielmehr unterstreicht die Begriffsdefinition des „für die Verarbeitung Verantwortlichen“, dass es auf die Rechtsform der datenverarbeitenden Stelle nicht ankommt, Art. 2 lit. d) RL 95/46/EG. Selbst natürliche Personen können insofern an die Vorschriften gebunden sein.451 Schließlich ist die Datenschutzrichtlinie nur dann auf IP-Adressen anwendbar, wenn es sich dabei um personenbezogene Daten im Sinne des Art. 2 lit. a) RL 95/46/EG handelt. Die Richtlinienbestimmung stellt drei Voraussetzungen auf, die kumulativ erfüllt sein müssen, damit es sich bei den fraglichen Daten um personenbezogene handelt: Es muss sich um Informationen handeln, die eine natürliche Person bestimmen oder bestimmbar machen. Des Weiteren wird nach der Legaldefinition eine Person als bestimmbar angesehen, die direkt oder 448

Art. 3 Abs. 2 Var. 1 RL 95/46/EG beschränkt den Anwendungsbereich auf das ehemalige Gemeinschaftsrecht. Art. 3 Abs. 2 Var. 2 RL 95/46/EG schließt die Verarbeitung personenbezogener Daten vom Anwendungsbereich der Datenschutzrichtlinie aus, die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen wird. 449 Zur Vertiefung der herkömmlichen Problemfelder bezüglich des anwendbaren einzelstaatlichen Rechts vgl. Bergkamp/Dhont, EDI Law Review 2000, 71 (80); Brühann, in: Grabitz/Hilf, Bd. IV, A 30, Art. 4, Rn. 7 ff.; Ehmann/Helfrich, Art. 4, Rn. 4 ff. und Dammann, in: Dammann/Simitis, D., Art. 4, Erl. 2 ff. 450 Kübler, S. 66. 451 SA GAin Kokott C-275/06, Rn. 57.

I. Sekundärrecht

105

indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind. Durch diese Formulierung wird die Bestimmbarkeit mit Identifizierbarkeit gleichgesetzt, wobei es unerheblich ist, ob diese direkt oder indirekt erfolgen kann. Beachtenswert ist, dass im Rahmen der Definition nicht darauf abgestellt wird, von wem die Identifizierung beziehungsweise Bestimmbarkeit ausgehen muss, um den Anwendungsbereich der Richtlinie zu eröffnen. Mangels einer ausdrücklichen Bestimmung kann daher davon ausgegangen werden, dass eine Bestimmbarkeit durch einen anderen als den Datenverwender ausreichend ist. Auch muss nach dem Wortlaut der Norm die Identifizierung nicht tatsächlich erfolgen.452 Dieses Auslegungsergebnis wird auch durch Erwägungsgrund 26 der RL 95/46/EG gestützt, der eine Auslegungshilfe für die Definition des Art. 2 lit. b) RL 95/46/EG bietet: „[. . .] Bei der Entscheidung, ob eine Person bestimmbar ist, sollten alle Mittel berücksichtigt werden, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen. [. . .]“. Aus dieser alternativen Formulierung wird deutlich, dass der Richtlinie ein objektiver Ansatz zur Beurteilung der Bestimmbarkeit zugrunde gelegt wird.453 Es kommt keinesfalls alleine auf die Kenntnisse und Fähigkeiten des Datenverarbeiters an. Eine andere Beurteilung kommt auch dann nicht in Betracht, wenn man davon ausgeht, dass sich der (verhältnismäßige) Aufwand der Identifizierung nur auf denjenigen beziehen kann, der bereits tatsächlichen Zugang zu den fraglichen Daten hat oder diesen wahrscheinlich erhalten wird. Danach solle die Einschränkung des verhältnismäßigen Aufwandes die Relativität des Personenbezuges auch im Hinblick auf einen Dritten begründen.454 Dieser Ansicht kann nicht gefolgt werden, da ansonsten die im Wortlaut des Erwägungsgrundes 26 angelegte Unterscheidung zwischen dem Verantwortlichem und einem Dritten hinfällig wäre. Vielmehr müssen auch die Möglichkeiten zur Herstellung der Bestimmbarkeit eines unmittelbar nicht mit der Datenverarbeitung Betrauten berücksichtigt werden. Darüber hinaus macht die Verwendung des Konjunktivs „eingesetzt werden könnten“ deutlich, dass es nicht darauf ankommen kann, 452

So im Ergebnis auch Pahlen-Brandt, DuD 2008, 34 (38). Forgó/Krügel, MMR 2010, 17 (18); Pahlen-Brandt, DuD 2008, 34 (38). A. A. Bergkamp/Dhont, EDI Law Review 2000, 71 (73); Fröhle, S. 89. 454 So aber Fröhle, S. 93. 453

106

D. Europarechtliche Vorgaben für den Datenschutz

dass tatsächlich der Versuch unternommen wird, eine Person zu bestimmen. Nach dem Erwägungsgrund 26 ist die Möglichkeit der Bestimmbarkeit ausreichend. Das Europäische Parlament hat sich bei Verabschiedung der Richtlinie für eine globale Definition der personenbezogenen Daten eingesetzt, damit jegliche Informationen erfasst werden können, die in Bezug zu einer Person gesetzt werden können.455 Hervorgehoben wurde insofern auch, dass es ausreichend ist, wenn eine Person anhand einer „Verknüpfung bedeutsamer Kriterien“ identifiziert werden kann.456 Danach kann im Ergebnis von einer objektiven Sichtweise auf die Bestimmbarkeit einer Person ausgegangen werden. c) Gewährleistungsumfang Die Richtlinie 95/45/EG umfasst eine Reihe von Gewährleistungen und Mindeststandards, die die Mitgliedstaaten in ihren nationalen Rechtsordnungen umzusetzen haben. Die durch sie aufgestellten Grundsätze lehnen sich stark an die bereits bestehenden mitgliedstaatlichen Regelungen an.457 Da diese aber keine weiteren Erkenntnisse über die Auslegungskriterien von personenbezogenen Daten liefern, sollen die von der Richtlinie bestimmten Datenschutzstandards und -gewährleistungen im Folgenden nur kurz dargestellt werden:458 aa) Grundsätze bei der Verarbeitung personenbezoger Daten Einer der tragenden Grundsätze des europäischen Datenschutzrechts ist der Grundsatz der Zweckbindung, der in Art. 6 Abs. 1 lit. b) RL 95/46/EG normiert ist. Danach muss der für die Datenverarbeitung Verantwortliche den Zweck jeder Verarbeitung ausdrücklich festlegen und bestimmen. Daran schließt sich der Grundsatz der Verhältnismäßigkeit an, Art. 6 Abs. 1 lit. c) RL 95/46/EG, wonach die Daten für die Erfüllung des vorher bestimmten Zwecks erforderlich sein müssen. Eine besondere Ausprägung des Verhältnismäßigkeitsgrundsatzes besteht im Grundsatz der Richtigkeit der Daten (Art. 6 Abs. 1 lit. d) RL 95/46/EG), welcher die Aktualität und Vollständigkeit der Daten fordert. Darüber hinaus muss der mit der Datenverarbei455

s. dazu Kommentare zu Artikel 2, abgedruckt in: Klug, S. 278. Vgl. Begründung zu Artikel 2, abgedruckt in: Damann/Simitis, zu Art. 2. 457 EuGH C-369/98, Rn. 34. 458 Für vertiefende Ausführungen vgl. etwa Brühann, in: Roßnagel, 2.4 Europarechtliche Grundlagen, Rn. 28 ff. 456

I. Sekundärrecht

107

tung verfolgte Zweck nach Art. 6 Abs. 1 lit. a), Art. 7 RL 95/46/EG rechtmäßig sein. Dieses Erfordernis ist nur dann gewahrt, wenn der von der Datenverarbeitung Betroffene seine Einwilligung zur Datenverarbeitung erklärt hat oder diese erforderlich ist. Schließlich muss die Verarbeitung die Grundsätze von Treu und Glauben wahren, Art. 6 Abs. 1 lit. a) RL 95/46/EG. Insbesondere ist darunter zu verstehen, dass die Verarbeitung der personenbezogenen Daten transparent erfolgt. bb) Rechte der von der Verarbeitung personenbezogener Daten Betroffenen Jedem von der Datenverarbeitung Betroffenen steht ein Auskunftsrecht über die ihn betreffenden Daten und deren Verarbeitung zu, Art. 12 lit. a) 1. Spiegelstrich RL 95/46/EG. Erlangt der Betroffene Kenntnis von einer nicht mit den Bestimmungen der Richtlinie übereinstimmenden Datenverarbeitung stehen ihm nach Art. 12 lit. b) RL 95/46/EG sogenannte Folgerechte auf Berichtigung, Löschung und Sperrung seiner personenbezogenen Daten zu. d) Artikel 29-Gruppe Unter dem Regime der allgemeinen Datenschutzrichtlinie wurde auf europäischer Ebene die sogenannten Artikel 29-Gruppe installiert. Nach Art. 29 Abs. 1 RL 95/46/EG wird diese Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten eingesetzt und hat beratende Funktion, die sie in unabhängiger Weise ausüben soll. In Art. 30 RL 95/46/EG werden die Aufgaben bestimmt, die die Art. 29-Gruppe wahrnehmen soll. Dazu gehört unter anderem die Prüfung aller Fragen, die im Zusammenhang mit den nationalen Umsetzungsvorschriften entstehen, um zu einer einheitlichen Richtlinienanwendung beizutragen. Zudem kann die Art. 29-Gruppe aus eigener Initiative Empfehlungen zu sämtlichen Fragen abgeben, die den Schutz von Personen bei der Verarbeitung personenbezogener Daten in der Union betreffen, Art. 30 Abs. 3 RL 95/46/EG. In Ausübung dieser Befugnisse hat die Art. 29-Gruppe bereits eine Vielzahl von Stellungnahmen abgegeben, die Erkenntnisse im Zusammenhang mit dem Umgang personenbezogener Daten im Internet liefern können. Diese sollen daher im Folgenden dargestellt und bewertet werden.

108

D. Europarechtliche Vorgaben für den Datenschutz

aa) Arbeitsdokument Privatsphäre im Internet – Ein integrierter EU-Ansatz zum Online-Datenschutz Das Workingpaper 37 wurde bereits am 21. November 2000 von der Artikel 29-Gruppe angenommen und trägt den Titel „Privatsphäre im Internet – Ein integrierter EU-Ansatz zum Online-Datenschutz“.459 Da eine Stellungnahme zum Online-Datenschutz nur möglich ist, wenn man mit den technischen Grundlagen vertraut ist, geht dem Arbeitspapier diesbezüglich eine ausführliche Erläuterung voran.460 In diesem Zusammenhang führt die Artikel 29-Gruppe drei Fallvarianten auf, in denen, zum Teil mit Hilfe Dritter, ohne erheblichen Aufwand IPAdressen einem bestimmten Internetnutzer zugeordnet werden können461: Dies gilt zum einen für jeden Access-Provider, der seinem Vertragspartner zur Einwahl in das Netz eine IP-Adresse zuweist und diese später anhand der gespeicherten Nutzungsdaten zuweisen kann; zum anderen gilt dies auch für einen Verwalter eines sognannten lokalen Netzes462, der jedem Mitglied innerhalb des Netzes eine eigene IP-Adresse zuweist. Eine Identifizierung ist so unproblematisch möglich. Schließlich kann der Inhaber eines Bereichsnamens sofort bestimmt werden, dem genau eine bestimmte IP-Adresse auf Dauer zugewiesen ist. Genauer widmet sich die Artikel 29-Gruppe der Fallkonstellation zu, in der dem Internetnutzer der Zugang durch einen Access-Provider vermittelt wird. Ausgehend von der Tatsache, dass dieser Datum, Zeitpunkt und Dauer der Verbindung zusammen mit der dynamischen IP-Adresse speichert, soll dieses Datum als personenbezogen angesehen werden müssen.463 Die Gefahr der Identifizierung wird als größer betrachtet, wenn es sich bei der IPAdresse um eine statische handelt, die demnach permanent demselben Anschlussinhaber zugeordnet ist. Aber auch bei dynamischen IP-Adressen bleibt ein Identifizierungsrisiko, da die Möglichkeit der Verknüpfung mit anderen in diesem Zusammenhang gewonnen und gespeicherten Daten besteht.464 In einer späteren Analyse stellt die Artikel 29-Gruppe fest, dass IPAdressen unter den Begriff der Verkehrsdaten fallen.465 459

Artikel 29-Gruppe, WP 37, 5063/2000/DE-ENDG. Insofern sei an dieser Stelle auf die Ausführungen in B. I. verwiesen. 461 s. Artikel 29-Gruppe, WP 37, 5063/2000/DE-ENDG, S. 5. 462 Dies kann beispielsweise ein gesamtes Unternehmen oder eine Universität umfassen. 463 Artikel 29-Gruppe, WP 37, 5063/2000/DE-ENDG, S. 7. 464 Artikel 29-Gruppe, WP 37, 5063/2000/DE-ENDG, S. 17. 465 Artikel 29-Gruppe, WP 37, 5063/2000/DE-ENDG, S. 30. 460

I. Sekundärrecht

109

bb) Stellungnahme 2/2002 über die Verwendung eindeutiger Kennungen bei Telekommunikationsendeinrichtungen: das Beispiel IPv6 Die Stellungnahme 2/2002 über die Verwendung eindeutiger Kennungen bei Telekommunikationsendeinrichtungen466 nimmt Bezug auf die geplante Einführung der neuen Protokollversion IPv6467. Durch eine Installierung dieser neuen Protokollversion würde die Anzahl der zur Verfügung stehenden IP-Adressen rapide ansteigen, so dass das Szenario denkbar ist, dass jedem einzelnen seine persönliche – statische – IP-Adresse zugewiesen werden könnte. Unter diesem Gesichtspunkt sah es die Artikel 29-Gruppe als notwendig an, die Auswirkungen des neuen Protokolls auf den Schutz personenbezogener Daten hin zu untersuchen. Dabei sei insbesondere zu berücksichtigen, dass der neuen Adressform eine persönliche Kennung zugeordnet wird.468 Zudem wird hervorgehoben, dass IP-Adressen, die einem Anschlussinhaber zugeordnet werden, als personenbezogene Daten im Sinne der allgemeinen Datenschutzrichtlinie anzusehen sind.469 Zur Begründung dieser Ansicht wird auf Erwägungsgrund 26 der Richtlinie 95/46/EG verwiesen, der zur Konkretisierung der Bestimmbarkeit die Anforderungen zur Identifizierung des Betroffenen aufstellt.470 Nach der in der Stellungnahme vertretenen Begründung ist jedenfalls der Diensteanbieter, wohl aber auch jeder andere, der sich mittels verfügbarer Verzeichnisse oder anderer technischer Möglichkeiten Zugang zu den Nutzungsdaten verschaffen kann, dazu in der Lage, den Anschlussinhaber anhand der vergebenen IP-Adresse zu identifizieren.471 Die Artikel 29-Gruppe weist in diesem Zusammenhang ausdrücklich darauf hin, dass den Internetnutzern, um den Grundsatz der Datensparsamkeit nachzukommen, eine anonyme oder pseudonyme Nutzung ermöglicht werden sollte. Eine Möglichkeit zur anonymen Nutzung wird in dem Verfahren gesehen, den Anschlussinhabern regelmäßig eine andere IP-Adresse zuzuordnen.472 Betrachtet man diesen Vorschlag der Artikel 29-Gruppe zur Wahrung der Anonymität, kommt man zu dem Ergebnis, dass das diesbezüglich vorgeschlagene Verfahren genau dem der bereits praktizierten Zuweisung von 466 467 468 469 470 471 472

Artikel 29-Gruppe, s. zum technischen Artikel 29-Gruppe, Artikel 29-Gruppe, s. dazu D. I. 1. b). Artikel 29-Gruppe, Artikel 29-Gruppe,

WP 58, 10750/02/DE/endg. Hintergrund B. I. 1. WP 58, 10750/02/DE/endg., S. 2. WP 58, 10750/02/DE/endg., S. 3. WP 58, 10750/02/DE/endg., Fn. 4. WP 58, 10750/02/DE/endg., S. 4.

110

D. Europarechtliche Vorgaben für den Datenschutz

dynamischen IP-Adressen entspricht. Dies wirft unweigerlich die Frage auf, ob der Stellungnahme eine beabsichtigte datenschutzrechtliche Differenzierung zwischen statischen und dynamischen IP-Adressen zugrunde liegt. Gegen die Annahme einer Differenzierung spricht, dass zuvor im Rahmen der Stellungnahme lediglich allgemein von IP-Adressen die Rede war.473 Insofern macht die Forderung von Anonymität bei einer wechselnden Adressvergabe nur dann Sinn, wenn auch bei anonymen Daten noch der Personenbezug bejaht werden kann. Folgt man einer anderen Ansicht, hätten sich die Artikel 29-Gruppe in einen Widerspruch begeben. cc) Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“ Mit der am 20. Juni 2007 angenommenen Stellungnahme 4/2007 widmet sich die Artikel 29-Gruppe allein dem Begriff der personenbezogenen Daten im Sinne der Richtlinie 95/46/EG. Zunächst wird der Stellungnahme ein weites Begriffsverständnis der personenbezogenen Daten zugrunde gelegt, was darauf zurückzuführen ist, dass alle Informationen mit einbezogen werden sollen, die in Zusammenhang mit einer Person gebracht werden können.474 Zwar diene der Schutz der personenbezogenen Daten im Sinne der Richtlinie 95/46/EG der Achtung der Privatsphäre natürlicher Personen, jedoch solle die Begriffsdefinition des Art. 2 lit. a) RL 95/46/EG den Anwendungsbereich der Richtlinie nicht zu stark ausdehnen. Die äußeren Grenzen stellen insofern die Erwägungsgründe 26 und 27 sowie Art. 3 RL 95/46/EG dar.475 Nichtsdestotrotz sieht sich die Artikel 29-Gruppe aufgefordert und ermutigt, die einzelnen Begriffsmerkmale der Definition einer Analyse zu unterziehen. Dafür wird die Definition des Art. 2 lit. a) RL 95/46/EG in vier Elemente aufgespalten: erstens „alle Informationen“, zweitens „über“, drittens „eine bestimmte oder bestimmbare“ und schließlich viertens „natürliche Person“.476

473 Artikel 29-Gruppe, WP 58, 10750/02/DE/endg., S. 3: „Die Datenschutzgruppe möchte betonen, dass es sich bei IP-Adressen, die den Internetnutzern zugewiesen werden, um personenbezogene Daten handelt, die durch die Richtlinie 95/46/EG [. . .] geschützt sind.“ 474 Artikel 29-Gruppe, WP 136, 01248/07/DE, S. 4. 475 Artikel 29-Gruppe, WP 136, 01248/07/DE, S. 5. 476 Artikel 29-Gruppe, WP 136, 01248/07/DE, S. 6.

I. Sekundärrecht

111

(1) „alle Informationen“ Nach Ansicht der Artikel 29-Gruppe impliziert das Merkmal „alle Informationen“ den Ansatz zu einer weiten Auslegung der Definition.477 Dabei werden jegliche Formen von Aussagen – seien diese objektiver oder subjektiver Natur – über eine Person umfasst. Die Informationen müssen nicht notwendigerweise das Privat- oder Familienleben der Betroffenen tangieren, vielmehr können jegliche Handlungen umfasst werden. Irrelevant ist, in welcher Form die Informationen vorliegen. Insbesondere werden auch Informationen umfasst, die nur im Wege der elektronischen Datenverarbeitung generiert werden können. (2) „über“ Das Merkmal „über“ sieht die Artikel 29-Gruppe als entscheidenden Teil im Rahmen der Definition an, da hierüber die Beziehung zwischen der Person und der Information geknüpft werden kann und muss. Fraglich ist daher in diesem Zusammenhang, wann man Informationen auf eine Person beziehen kann. Denkbar ist, dass sich die Angaben nicht unmittelbar auf die Person beziehen lassen, sondern primär auf eine Sache, die wiederum in Verbindung zu einer Person stehen kann.478 Bereits im Rahmen eines früheren Workingpapers hat die Datenschutzgruppe formuliert, in welchen Fällen sich Informationen auf eine Person beziehen lassen: „Daten beziehen sich auf eine Person, wenn sie die Identität, die Merkmale oder das Verhalten dieser Person betreffen oder wenn sie verwendet werden, um die Art festzulegen oder zu beeinflussen, in der die Person behandelt oder beurteilt wird.“479 Weiter entwickelt wurde diese Aussage nunmehr dahingehend, dass die Bezugnahme auf eine Person mittels eines Inhalts-, Zweck- oder Ergebniselements begründet werden kann.480 (a) Inhaltselement Der Information wohnt ein Inhaltselement inne, wenn sich die Angaben im klassischen Sinne unmittelbar auf die Person beziehen lassen. Es handelt 477 478 479 480

Artikel Artikel Artikel Artikel

29-Gruppe, 29-Gruppe, 29-Gruppe, 29-Gruppe,

WP WP WP WP

136, 136, 136, 136,

01248/07/DE, 01248/07/DE, 01248/07/DE, 01248/07/DE,

S. S. S. S.

7. 10. 11. 11 ff.

112

D. Europarechtliche Vorgaben für den Datenschutz

sich demnach also tatsächlich um Informationen „über“ diese Person, ohne dass es auf den Zweck oder die Auswirkung der Aussage ankäme.481 (b) Zweckelement Ist die Bezugnahme auf ein Zweckelement zurückzuführen, so kommt es zur Bestimmung der Person nicht auf den Inhalt der Aussage an, sondern allein darauf, ob mit ihr eine Person beurteilt oder in einer bestimmten Weise behandelt werden kann oder es gar möglich ist, mittels dieser Information ihr Verhalten oder ihre Stellung zu beeinflussen.482 Die Speicherung oder Verarbeitung dieser Daten kann mithin Einfluss auf das Verhalten der betreffenden Person nehmen. (c) Ergebniselement Informationen, die ein Ergebniselement beinhalten, können ebenfalls den Bezug zu einer Person herstellen, da sie Auswirkungen auf die Rechte und Interessen dieser Person haben können.483 (3) „eine bestimmte oder bestimmbare“ Eine Person ist dann bestimmt, wenn sie identifiziert wurde, ihre Identität mithin bekannt ist. Jedoch reicht zur Begründung der Anwendbarkeit der allgemeinen Datenschutzrichtlinie aus, wenn die Person bestimmbar ist, demnach die bloße Möglichkeit der Identifizierung besteht.484 Im Rahmen der Bestimmbarkeit unterscheidet die Artikel 29-Gruppe zwischen der direkten und indirekten Bestimmbarkeit. Diese Differenzierung kann aus der Legaldefinition des Art. 2 lit. a) RL 95/46/EG abgeleitet werden. Eine direkte Identifizierung und somit Individualisierung kann meist nur durch den Namen erfolgen, während Kennziffern (beispielsweise eine Telefonnummer oder ein Autokenzeichen) lediglich eine indirekte Bestimmbarkeit erlauben. Die Effektivität der indirekten Bestimmbarkeit hängt in erheblichem Maße von den Umständen ab, die je nachdem eine Identifizierung fördern, erschweren oder gar unmöglich machen können.485 Gemeinhin gilt, dass je 481 482 483 484

Artikel Artikel Artikel Artikel

29-Gruppe, 29-Gruppe, 29-Gruppe, 29-Gruppe,

WP WP WP WP

136, 136, 136, 136,

01248/07/DE, 01248/07/DE, 01248/07/DE, 01248/07/DE,

S. S. S. S.

11. 11 f. 13. 14.

I. Sekundärrecht

113

mehr Informationen vorhanden sind, desto einfacher die Identifizierung ist. Dabei hebt die Artikel 29-Gruppe hervor, dass es nicht zwingend erforderlich ist, dass das Bündel an Informationen, das die Bestimmbarkeit begründet, selbst vom Datenverarbeiter gespeichert wird. Es reicht aus, wenn diese Informationen in irgendeiner Weise zusammengeführt werden.486 Insbesondere ist die Kenntnis des Namens zur Annahme der Bestimmbarkeit nicht erforderlich. Der Name kann selbst lediglich als ein Kennzeichen dienen, der eine Person bestimmbar macht. Die Gefahr der Ausspähung wird in diesem Zusammenhang ebenfalls von der Datenschutzgruppe erkannt: „Auch im Internet kann das Verhalten eines Geräts und somit des Gerätenutzers mit Hilfe von Überwachungswerkzeugen für den Internetverkehr problemlos identifiziert werden.“487 Schließlich widmet sich die Stellungnahme auch Erwägungsgrund 26 der allgemeinen Datenschutzrichtlinie zu, der die Voraussetzungen an die Bestimmbarkeit näher definiert. Dabei wird jede bloß hypothetische Möglichkeit nicht als ausreichend erachtet, um die Bestimmbarkeit einer Person zu bejahen.488 Die Artikel 29-Gruppe geht davon aus, dass es sich bei der Beurteilung der Wahrscheinlichkeit zur Bestimmung einer Person um einen dynamischen Prozess handelt, der nicht durch fixe Parameter festgelegt wird und insbesondere auch dem Fortschritt der Technik unterliegt.489 Daneben spielt auch, wie oben490 bereits gezeigt, der Zweck der Datenverarbeitung eine entscheidende Rolle. Werden Daten zum Zwecke der Identifizierung verarbeitet, erscheint diese denknotwendigerweise möglich, so dass der Personenbezug bejaht werden kann.491 Abschließend widmet sich die Datenschutzgruppe ausdrücklich dynamischen IP-Adressen hinsichtlich der Problematik der Bestimmbarkeit. Insofern wird bezüglich der rechtlichen Einordnung von IP-Adressen auf Workingpaper 37 verwiesen, das von einer den Personenbezug begründenden Bestimmbarkeit ausgegangen ist.492 Allerdings kann man der aktuellen 485 Artikel 29-Gruppe, WP 136, 01248/07/DE, S. 15. Genannt wird in diesem Zusammenhang das Beispiel, dass zwar der Familienname einer Person bekannt ist, dieser aber sehr weit verbreitet ist, so dass eine Identifizierung nur anhand weiterer Merkmale, wie etwa der Adresse oder des Geburtstages in Frage kommt. 486 Artikel 29-Gruppe, WP 136, 01248/07/DE, S. 16. 487 Artikel 29-Gruppe, WP 136, 01248/07/DE, S. 16. 488 Artikel 29-Gruppe, WP 136, 01248/07/DE, S. 17. 489 Artikel 29-Gruppe, WP 136, 01248/07/DE, S. 18. 490 s. D. I. 1. d) cc) (2) (b). 491 Artikel 29-Gruppe, WP 136, 01248/07/DE, S. 19. 492 s. Arbeitsdokument Privatsphäre im Internet – Ein integrierter EU-Ansatz zum Online-Datenschutz – in D. I. 1. d) aa).

114

D. Europarechtliche Vorgaben für den Datenschutz

Stellungnahme nicht entnehmen, ob bei der Beurteilung von einer absoluten oder relativen Sichtweise auf die Bestimmbarkeit ausgegangen wird. Bei den aufgeführten Beispielen wird jedenfalls jeweils nur auf die Sicht des Datenverwenders abgestellt, der den Zweck verfolgt mittels der IP-Adresse den Anschlussinhaber zu ermitteln493, so dass es auf die Frage nach einer objektiven Bestimmbarkeit überhaupt nicht ankommt. Allerdings zieht die Datenschutzgruppe auch Fälle in Betracht, in denen eine Identifizierung schlichtweg nicht möglich ist, beispielsweise wenn Internetanschlüsse in einem öffentlichen Internet-Café genutzt werden, ohne dass für die Nutzung eine namentliche Anmeldung – sei es am PC oder beim Personal – notwendig ist. Eine Identifizierung, die vernünftigerweise durchgeführt werden könnte, scheidet in diesem und ähnlich gelagerten Fällen aus.494 Problematisch ist aber, dass der Datenverarbeiter nicht erkennen kann, welche Informationen bei Verwendung der IP-Adresse bekannt sind und gegebenenfalls gespeichert werden. Die Datenschutzgruppe empfiehlt daher im Rahmen einer Zweifelsregel, dass alle die IP-Adresse betreffenden Daten als personenbezogene behandelt werden, solange nicht mit absoluter Sicherheit ausgeschlossen werden kann, dass die Bestimmbarkeit zu bejahen sein könnte.495 Im Zusammenhang mit der Bestimmbarkeit sind auch Pseudonyme und anonyme Daten zu sehen. Letztere erlauben keine Re-Identifizierung durch einen Schlüssel, so dass der Personenbezug abzulehnen ist. Pseudonyme, die hingegen mittels einer Zuordnungsregel entschlüsselt werden können, gelten als indirekt bestimmbare – und damit personenbezogene – Daten.496 Bei der Möglichkeit der Re-Identifizierung soll nach Ansicht der Datenschutzgruppe auch das Risiko der Aufdeckung berücksichtigt werden, das sich durch unerlaubte Handlungen, wie Hacker-Angriffe oder die unbefugte Weitergabe des Zuordnungsschlüssels ergibt.497 Diese weitreichende Berücksichtigung von Risiken kommt einer absoluten Sichtweise auf den Personenbezug gleich. (4) „natürliche Person“ Als letzte Voraussetzung zur Annahme von personenbezogenen Daten dürfen sich die Informationen nur auf natürliche Personen beziehen. Die 493 494 495 496 497

Artikel Artikel Artikel Artikel Artikel

29-Gruppe, 29-Gruppe, 29-Gruppe, 29-Gruppe, 29-Gruppe,

WP WP WP WP WP

136, 136, 136, 136, 136,

01248/07/DE, 01248/07/DE, 01248/07/DE, 01248/07/DE, 01248/07/DE,

S. S. S. S. S.

19 f. 20. 20. 21. 22.

I. Sekundärrecht

115

Angaben, die sich auf juristische Personen beziehen, fallen demnach nicht unter den Anwendungsbereich der Richtlinie, es sei denn, dass diese wiederum Rückschlüsse auf natürliche Personen zulassen.498 dd) Fazit Im Ergebnis ist nach dieser Stellungnahme festzuhalten, dass IP-Adressen, unabhängig davon, ob sie statischer oder dynamischer Natur sind, von der Artikel 29-Gruppe als personenbezogene Daten angesehen werden. Dies wird insbesondere aus Erwägungsgrund 26 der allgemeinen Datenschutzrichtlinie abgeleitet. Die dabei notwendige Bezugnahme auf eine Person kann mittels eines Inhalts-, Zweck- oder Ergebniselements erfolgen und begründet werden. Bei der Zuordnung von IP-Adressen zu einer Person stehen insbesondere das Inhalts- und Zweckelement im Vordergrund. Ersteres ist als charakteristisch für die Bestimmung anzusehen, da die IP-Adresse darüber Auskunft gibt, wann eine Internetnutzung unter Verwendung eines bestimmten Anschlusses erfolgt ist und dieser Anschluss wiederum einem Inhaber zugeordnet werden kann. Das Zweckelement wird man daneben immer dann zur Bestimmung hinzuziehen können, wenn die Verarbeitung von IP-Adressen gerade der Identifizierung des Anschlussinhabers dienen soll. Dabei ist der Grad der Wahrscheinlichkeit der Identifizierung und Zuordnung ein dynamischer Prozess, der je nach Sach- und Kenntnislage des Datenverwenders unterschiedlich bewertet werden muss. Im Hinblick auf einen möglichst umfassenden und effektiven Datenschutz sollte daher in Bezug auf IP-Adressen im Zweifel immer ein Personenbezug angenommen werden, der nur dann entfällt, wenn es sich um anonyme Daten handelt. Da hinsichtlich der Bestimmbarkeit – in Abgrenzung zur Anonymität – sämtliche Risiken, auch unerlaubte Handlungen, Berücksichtigung finden sollen, kommt dies einer absoluten Sichtweise auf die Bestimmbarkeit gleich. ee) Stellungnahme 1/2008 zu Datenschutzfragen im Zusammenhang mit Suchmaschinen Die Stellungnahme 1/2008 zu Datenschutzfragen im Zusammenhang mit Suchmaschinen499 bezieht neue Aspekte in die rechtliche Einordnung des Surfverhaltens von Internetnutzern ein: Das Arbeitspapier fokussiert insoweit die Anwendbarkeit der europäischen Datenschutzbestimmungen auf Suchmaschinenbetreiber unter besonderer Berücksichtigung der Tatsache, 498 499

Artikel 29-Gruppe, WP 136, 01248/07/DE, S. 26 f. Artikel 29-Gruppe, WP 148, 00737/DE, angenommen am 4. April 2008.

116

D. Europarechtliche Vorgaben für den Datenschutz

dass bei Suchanfragen regelmäßig die IP-Adressen der Anschlussinhaber gespeichert werden.500 Suchmaschinen dienen der Informationsbeschaffung im Netz und finanzieren sich über die Schaltung von Werbung. Die Werbung wird im unmittelbaren Zusammenhang mit der Suchanfrage geschaltet, wobei gilt, dass je mehr (personenbezogene) Daten vom Anfragenden bekannt sind, desto personalisierter die Werbung geschaltet werden kann. Folgt der Nutzer einem Werbungslink, erhält der Suchmaschinenbetreiber dafür eine Vergütung. Demnach haben diese ein wirtschaftliches Interesse an einer zielgerichteten Nutzerwerbung, die den Wünschen des Nutzers entspricht.501 Wird die IP-Adresse bei der Suche gespeichert, kann der Suchmaschinenbetreiber sämtliche Suchanfragen miteinander verknüpfen, die von derselben Adresse gesendet werden und so zu einem Gesamtbild der Nutzerinteressen zusammenfügen, um anschließend entsprechende Werbung zu schalten.502 Dabei ist die Speicherung der IP-Adresse noch eine der milderen Maßnahmen: Daneben können auch Logdateien oder Cookies angelegt werden, die die Anfragen über einen bestimmten Nutzungsvorgang hinaus dem Suchenden zuordnen können.503 Werden die Cookies auf dem Rechner des Suchmaschinennutzers abgelegt, so wird eine dauerhafte Identifizierung ermöglicht, selbst wenn sich der Anschlussinhaber stets mit wechselnden dynamischen IP-Adressen ins Internet einwählt.504 Rechtliche Grenzen für die Speicherpraxis der Suchmaschinenanbieter sieht die Artikel 29-Gruppe zunächst in Art. 8 GrCh: Der dortige Schutz personenbezogener Daten umfasse die „Speicherung und Erhebung der Suchhistorien von Personen in direkt oder indirekt identifizierbarer Form“.505 Da, wie oben gezeigt506, IP-Adressen der indirekten Identifizierung von Anschlussinhabern dienen, müssen diese denknotwendigerweise ebenfalls vom Schutzbereich des Art. 8 GrCh umfasst werden.

500 501 502 503 504 505 506

Artikel Artikel Artikel Artikel Artikel Artikel s. D. I.

29-Gruppe, 29-Gruppe, 29-Gruppe, 29-Gruppe, 29-Gruppe, 29-Gruppe, 1. d) cc).

WP WP WP WP WP WP

148, 148, 148, 148, 148, 148,

00737/DE, 00737/DE, 00737/DE, 00737/DE, 00737/DE, 00737/DE,

S. S. S. S. S. S.

4. 6, 18. 7. 7 f. 9, 14. 8.

I. Sekundärrecht

117

ff) Stellungnahme 2/2008 zur Überprüfung der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) Im Rahmen der Stellungnahme 2/2008507 betreffend die Überprüfung der Richtlinie 2002/58/EG nimmt die Artikel 29-Gruppe Bezug zum Konzept der personenbezogenen Daten. In diesem Zusammenhang wird der Gleichlauf der Definition der personenbezogenen Daten in der allgemeinen Datenschutzrichtlinie und in der Richtlinie 2002/58/EG für elektronische Kommunikation begrüßt.508 Ein Auseinanderfallen beider Definitionen würde eine Schutzlücke in das Konzept des Datenschutzes reißen. Explizit wirft die Datenschutzgruppe auch noch einmal die Frage auf, ob es sich bei IP-Adressen um personenbezogene Daten handelt, um dies mit dem Verweis auf frühere Stellungnahmen509 – auch für die dynamische Adressvergabe – zu bejahen.510 gg) Stellungnahme 1/2009 über die Vorschläge zur Änderung der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) Im Wege der Überarbeitung der Datenschutzrichtlinie für elektronische Kommunikation nimmt die Artikel 29-Gruppe zum wiederholten Male Stellung zu den im Europäischen Parlament diskutierten Änderungsvorschlägen.511 Im Zuge dessen hält es die Datenschutzgruppe jedoch nicht für notwendig, in der Richtlinie explizit zum Ausdruck zu bringen, ob IP-Adressen Personenbezug aufweisen oder nicht. Insofern verweist sie lediglich auf ihre in der Stellungnahme 4/2007 zum Begriff der personenbezogenen Daten512 angeführte Zweifelsregel.513

507 508 509 510 511

Artikel 29-Gruppe, WP 150, 009989/08/DE, angenommen am 15. Mai 2008. Artikel 29-Gruppe, WP 150, 009989/08/DE, S. 4. Insbesondere auf WP 136, siehe D. I. 1. d) cc). Artikel 29-Gruppe, WP 150, 009989/08/DE, S. 6. Artikel 29-Gruppe, WP 159, 00350/09/DE, angenommen am 10. Februar

2009. 512 513

s. D. I. 1. d) cc) (3). Artikel 29-Gruppe, WP 159, 00350/09/DE, S. 8 f.

118

D. Europarechtliche Vorgaben für den Datenschutz

hh) Schlussfolgerung Nach der Untersuchung der Stellungnahmen der Artikel 29-Gruppe kann als Ergebnis festgehalten werden, dass diese IP-Adressen als personenbezogene Daten im Sinn des Art. 2 lit. a) RL 94/46/EG ansieht. Dabei verfolgt die Expertengruppe einen pragmatischen Ansatz: Allein aus der Tatsache, dass die Zuordnungsmöglichkeiten dem technischen Wandel unterliegen und es somit eine Wahrscheinlichkeitsfrage ist, ob die Zuordnung einer konkreten IP-Adresse gelingt, sollte im Sinne eines umfassenden Schutzes jede IP-Adresse als personenbezogenes Datum behandelt werden. Dem liegt der Gedanke zu Grunde, dass die Speicherung und Verarbeitung von IP-Adressen als personenbezogene Daten den Schutz des Art. 8 GrCh genießt, da durch sie zumindest eine indirekte Identifizierung der Person des Anschlussinhabers ermöglicht wird. Dieser Schutz wird unabhängig von der Art der IP-Adresse gewährt. Die Begründung ist darauf zurückzuführen, dass sowohl die statische als auch die dynamische Verteilung zu einer in Erwägungsgrund 26 näher konkretisierten Bestimmbarkeit führen kann. Nur für den Fall, dass Daten nicht mehr zugeordnet werden können, fehlt der Personenbezug, so dass man von anonymen Daten sprechen kann. e) Umsetzung in anderen EU-Mitgliedstaaten Die Unsicherheit bezüglich der Auslegung und Umsetzung des Art. 2 lit. a) RL 95/46/EG herrscht nicht nur in Deutschland. Ein Blick in die nationalen Datenschutzgesetze in anderen EU-Mitgliedstaaten offenbart die unterschiedlichen Gesetzgebungsansätze. Das Vereinigte Königreich hat sich im Rahmen der Umsetzung der allgemeinen Datenschutzrichtlinie im „Data Protection Act 1988“ für eine relative Sichtweise auf den Personenbezug entschieden.514 Anders fiel hingegen die gesetzgeberische Wertung Frankreichs aus, das seinem Datenschutzgesetz eine absolute Sichtweise zugrunde gelegt hat.515 514 „ ‚Personal data‘ means data which relate to a living individual who can be identified (a) from those data, or (b) from those data and other information which is in the possession of, or is likely to come into the possession of the data controller“, Section 1 para. 1. 515 „Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.“, art. 2

I. Sekundärrecht

119

Hingegen zeigt der Wortlaut der entsprechenden Vorschriften in Spanien516 und Österreich517 die gleiche Offenheit für Interpretationsspielraum für die relative und absolute Sichtweise wie die deutsche Legaldefinition in § 3 Abs. 1 BDSG auch. Ein einheitliches, europäisches Meinungsbild ist daher nicht zu erkennen. f) Reform des Rechtsrahmens zum Schutz personenbezogener Daten Im Zuge der am 25. Januar 2012 von der Kommission vorgeschlagenen Reform des Europäischen Datenschutzrechts wird die weite Auslegung des Begriffs des Personenbezuges bestätigt.518 Im Rahmen des Reformpaketes plant die Kommission die bisherige EU-Datenschutzrichtlinie in eine Verordnung überzuführen, die einen allgemeinen, homogenen Datenschutzrechtsrahmen in den Mitgliedstaaten abstecken soll. Ergänzt wird der Verordnungsentwurf durch eine neu zu fassende Richtlinie, die den Regelungsrahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen bestimmen soll.519 Unabhängig von den geplanten Änderungen in materieller Hinsicht, soll es bei der Definition der personenbezogenen Daten bleiben, auch wenn sich der Wortlaut und die Systematik der Begriffsdefinition ändert und detaillierter beschrieben wird. Dabei geht aus der Pressemitteilung der Kommission hervor, dass sie IP-Adressen bereits jetzt als vom Anwendungsbereich der Richtlinie und damit auch von dem geplanten Regelwerk umfasst ansieht.520

par. 2 phr. 2 de la Loi nº 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. 516 „Datos de carácter personal: cualquier información concerniente a personas físicas indentificadas o identificables.“, art. 3a) de la Ley Orgánica de Protección de Datos de Carácter Personal. 517 „ ‚Daten‘ (‚personenbezogene Daten‘): Angaben über Betroffene [. . .], deren Identität bestimmt oder bestimmbar ist.“, § 5 Ziff. 1 des Datenschutzgesetzes 2000. 518 Vgl. Pressemitteilung der Kommission vom 25. Januar 2012, abrufbar unter: http://europa.eu/rapid/pressReleasesAction.do?reference=IP/12/46&format=HTML& aged=0&language=DE&guiLanguage=en; zuletzt abgerufen am 26.04.2012. 519 s. Fn. 518. 520 Vgl. Pressemitteilung der Kommission vom 25. Januar 2012, Abschn. „Hintergrund“ abrufbar unter: http://europa.eu/rapid/pressReleasesAction.do?reference=IP/ 12/46&format=HTML&aged=0&language=DE&guiLanguage=en; zuletzt abgerufen am 26.04.2012.

120

D. Europarechtliche Vorgaben für den Datenschutz

Nach Art. 4 Abs. 2 des Verordnungsentwurfs521 und Art. 3 Abs. 2 des ergänzenden Richtlinienentwurfs522 meint der Begriff personenbezogene Daten alle Informationen, die sich auf eine betroffene Person beziehen. Unter Abs. 1 der jeweiligen Vorschrift wird dann definiert, was unter einer betroffenen Person zu verstehen ist, nämlich „eine bestimmte natürliche Person oder eine natürliche Person, die direkt oder indirekt mit Mitteln bestimmt werden kann, die der für die Verarbeitung Verantwortliche oder jede sonstige natürliche oder juristische Person nach allgemeinen Ermessen aller Voraussicht nach einsetzen würde, etwa durch Zuordnung einer Kennnummer, zu Standortdaten, zu Online-Kennungen oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck ihrer physischen, physiologischen, genetischen psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind.“ Diese Begriffsbestimmung stellt eine Fortentwicklung und Konkretisierung des bisherigen Art. 2 lit. a) RL 95/46/EG dar: Zum einen wird immer noch auf die Kriterien der Bestimmtheit und Bestimmbarkeit zurückgegriffen, was durch die Formulierung „direkt oder indirekt mit Mitteln bestimmt werden kann“ zum Ausdruck gebracht wird. Zum anderen wird durch die Worte „mit Mitteln“ gewährleistet, dass sämtliche möglichen Identifizierungsmaßnahmen erfasst sein können, die für die Herstellung eines Personenbezuges geeignet sind. Die Wahrscheinlichkeit dieses Mitteleinsatzes ist denkbar weit gefasst, da darauf abgestellt wird, dass sie durch den für die „Verarbeitung Verantwortlichen oder jede sonstige natürliche oder juristische Person nach allgemeinem Ermessen aller Voraussicht nach“ eingesetzt würden. So wird nicht nur auf diejenigen Bezug genommen, die legalen Zugriff auf die Daten haben, sondern auf jeden Dritten, bei dem die Möglichkeit der Zuordnung „nach allgemeinem Ermessen aller Voraussicht nach“ denkbar ist. Ausdrücklich wird in diesem Zusammenhang die Zuordnung der Person zu einer Kennnummer beziehungsweise Online-Kennungen genannt, worunter auch IP-Adressen zu fassen wären. 521 Vgl. „Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)“ der Kommission vom 25.1.2012, 2012/0011 (COD). 522 Vgl. „Vorschlag für Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr“ der Kommission vom 25.1.2012, 2012/0010 (COD).

I. Sekundärrecht

121

Unter Zugrundelegung dieser Definition wird eine Einordnung von IPAdressen als personenbezogene Daten nicht mehr zu negieren sein, da sie als Datenkategorie „Kennnummer“ eindeutig genannt wird und die Möglichkeiten der Identifizierung, auch durch Dritte, denkbar weit gefasst sind. 2. Datenschutzrichtlinie für elektronische Kommunikation RL 2002/58/EG (geändert durch RL 2009/136/EG) Die Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) ersetzt die Richtlinie 97/66/EG in diesem Bereich. Allerdings sah die Union bereits wiederholten Reformbedarf für die Datenschutzrichtlinie für elektronische Kommunikation. Durch die Richtlinie 2009/136/EG vom 25. November 2009523 wird diesem Reformbedürfnis Rechnung getragen. Ziel der Änderungsrichtlinie ist die Gewährleistung und Ausweitung des Schutzes der Privatsphäre und der personenbezogenen Daten. a) Regelungen in Bezug auf personenbezogene Daten Im Hinblick auf die Bestimmung des Begriffs der personenbezogenen Daten bietet die Änderungsrichtlinie insofern einige interessante Anhaltspunkte: Aus Erwägungsgrund 52 ergibt sich, dass „die Entwicklungen bei der Nutzung von IP-Adressen genau verfolgt werden (sollen)“524, wobei die Arbeit der Artikel 29-Gruppe berücksichtigt werden soll. Aus diesem Erwägungsgrund kann geschlussfolgert werden, dass man sich bei Verabschiedung der Änderungsrichtlinie der Problematik der Einordnung von IPAdressen in das bestehende Datenschutzregime durchaus bewusst ist und war. Nichtsdestotrotz fehlt es an einer klarstellenden Neuregelung, die bei der Kategorisierung von IP-Adressen hilfreich seien könnte. Durch den Verweis auf die Arbeit der Artikel 29-Gruppe wird vielmehr deutlich, dass 523 Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 zur Änderung der Richtlinie 2002/22/EG über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten, der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und der Verordnung (EG) Nr. 2006/2004 über die Zusammenarbeit im Verbraucherschutz. 524 Ladeur, K&R 2009, 299 (300).

122

D. Europarechtliche Vorgaben für den Datenschutz

man sich eine endgültige Lösung des Problems vorbehält und weitere Untersuchungen abwarten will. Weitere Anhaltspunkte bezüglich der Auslegung der Merkmale der personenbezogenen Daten können dem Erwägungsgrund 57 entnommen werden. Der Netzbetreiber soll mittels technischer und organisatorischer Maßnahmen sicherstellen, dass die Sicherheit seiner Dienste gewährleistet wird. Als mögliche Maßnahmen werden insbesondere genannt, dass „nur ermächtigte Personen für rechtlich zulässige Zwecke Zugang zu personenbezogenen Daten erhalten“ sollen. Dieses Ziel wird nicht nur in dem genannten Erwägungsgrund, sondern darüber hinaus auch in Art. 2 Nr. 4 lit. b) RL 2009/136/EG festgeschrieben.525 Aus dieser Formulierung kann man zum einen den Umkehrschluss ziehen, dass es die Organe der Union nicht für ausgeschlossen halten, dass auch Unbefugte Zugriff zu personenbezogenen Daten erhalten und/oder diese für nicht vom Zweckbindungsgrundsatz umfasste Zwecke verwenden. Zum anderen kann daraus abgeleitet werden, dass der Fall der unberechtigten Nutzung keinen Einfluss auf die Eigenschaft der Daten als personenbezogene hat. Dies bedeutet wiederum, dass die unbefugte Nutzung im Rahmen der Wahrscheinlichkeit bei der Bestimmbarkeit des Personenbezuges mitberücksichtigt werden muss. Ansonsten begäbe man sich in einen Widerspruch zu den Wertungen der Richtlinie 2009/136/EG. Bezüglich der Auslegungsmaßstäbe, die das europäische an das nationale Recht stellt, finden sich in Erwägungsgrund 62 der Richtlinie aufschlussreiche Hinweise: Zunächst wird verlangt, dass die nationalen Gerichte und Behörden ihre Vorschriften im Lichte der Datenschutzrichtlinie für elektronische Kommunikation auslegen. Darüber hinausgehend wird die Forderung an die Mitgliedstaaten erhoben, die Richtlinienbestimmungen nicht im Widerspruch zu anderen Grundrechten oder allgemeinen Rechtsgrundsätzen des Gemeinschaftsrechts wie dem Grundsatz der Verhältnismäßigkeit auszulegen. Somit wird eine zumindest mittelbare Bindung an die Unionsgrundrechte begründet.526 Dadurch wird bestätigt, dass bei der Auslegung der nationalen Umsetzungsakte die Unionsgrundrechte mitberücksichtigt werden müssen.527 Die einzige Vorschrift der Änderungsrichtlinie, die ausschlaggebend für die Auslegung des Begriffs der personenbezogenen Daten im Unionsrecht 525

Vgl. dann den neu eingefügten Art. 4 Abs. 1a RL 2002/58 EG. Zu dieser mittelbaren Bindung kommt im Ergebnis auch Ziegenhorn, NVwZ 2010, 803 (805) unter Bezugnahme auf die Rs. Palacios de la Villa (EuGH Slg. 2007, I-8531). 527 Dazu näher unten D. II. 526

I. Sekundärrecht

123

sein könnte, findet sich in Art. 2 Abs. 4 lit. c): Demnach wird Art. 4 RL 2002/58/EG ein dritter Absatz angefügt. Dieser sieht unter anderem eine Benachrichtigungspflicht für die Betreiber vor, wenn der Schutz personenbezogener Daten verletzt wird und damit eine Beeinträchtigung der personenbezogenen Daten selbst oder der Privatsphäre des Teilnehmers beziehungsweise der Person einhergeht. Unter der „Verletzung des Schutzes personenbezogener Daten“ ist unter anderem zu verstehen, dass personenbezogene Daten unbefugt weitergegeben werden oder unterbefugter Zugang zu ihnen besteht, Art. 2 lit. h) RL 2002/58/EG in der Fassung, die er durch die Änderungsrichtlinie 2009/136/EG erhält. Fraglich ist, ob sich aus der Differenzierung zwischen der Beeinträchtigung von personenbezogenen Daten selbst und der Privatsphäre von Teilnehmern und Personen ergibt, dass personenbezogene Daten für sich gesehen keinen zwingenden Bezug zur Privatsphäre aufweisen müssen. Eine solche Schlussfolgerung muss jedoch als zu weitgehend abgelehnt werden. Vielmehr soll mit der alternativen Formulierung sichergestellt werden, dass jegliche Verletzung des Schutzes personenbezogener Daten zunächst grundsätzlich einer Meldepflicht an die betroffene Person unterliegt. Für den Betreiber mag es zum Teil gar nicht erkennbar sein, ob die Verletzung der Schutzvorschriften gar in die Privatsphäre des Teilnehmers eingreift. Durch die Formulierung wird daher sichergestellt, dass sich der Betreiber nicht auf eine Argumentation zurückziehen kann, nach der er die Relevanz der Verletzung herabwürdigt, da für ihn keine Beeinträchtigung der Privatsphäre des Betroffenen ersichtlich ist. Aus der Würdigung dieses neu eingefügten Absatzes ergibt sich daher auch, dass es eben nicht auf die alleinige Einstufungsmöglichkeiten des Betreibers ankommen kann, sondern von einem absoluten Schutz der in Rede stehenden Daten ausgegangen werden muss. Diese Schlussfolgerung wird noch durch den Begriff der „Verletzung des Schutzes personenbezogener Daten“ untermauert, der die unbefugte Weitergabe und den unbefugten Zugang zu personenbezogenen Daten umfasst. Dadurch wird sichergestellt, dass diese Daten für jedermann einen Personenbezug aufweisen, unabhängig davon, ob er berechtigterweise oder unberechtigterweise auf diese Daten zugreifen kann. b) Regelungen in Bezug auf Cookies Art. 5 Abs. 3 RL 2002/58/EG wurde im Hinblick auf die Speicherung und den Zugriff von Cookies, die auf dem Gerät des Nutzers hinterlegt werden verschärft. Nach der Neufassung des Absatzes 3 durch Art. 2 Nr. 5 RL 2009/136/EG ist es nunmehr erforderlich, dass der betroffene Teilneh-

124

D. Europarechtliche Vorgaben für den Datenschutz

mer oder Nutzer ausdrücklich in die Speicherung neuer und den Zugriff auf bereits angelegte Cookies einwilligt. Die Vorgängerregelung sah lediglich eine Widerspruchslösung vor, wonach der Nutzer nur darauf hingewiesen werden musste, dass er das Recht hatte, die Verarbeitung zu verweigern. Durch diese Verschärfung der Anforderungen wird ersichtlich, dass sich die Sensibilität in Bezug auf Cookies deutlich erhöht hat, was auch durch Erwägungsgrund 66 der RL 2009/136/EG belegt wird. In diesem Zusammenhang ist auch nochmals darauf hinzuweisen, dass Cookies meist auch die IP-Adresse des Nutzers beinhalten, um das Surfverhalten besser katalogisieren und nachvollziehen zu können. Insofern impliziert die datenschutzrechtliche Aufwertung der Cookies gleichzeitig auch eine weitere Stärkung des Datenschutzrechts in Bezug auf IP-Adressen. c) Regelungen in Bezug auf Verkehrsdaten Nicht betroffen von der Änderungsrichtlinie 2009/136/EG sind Art. 2 lit. b) und Art. 6 Abs. 1 RL 2002/58/EG, die sich auf Verkehrsdaten beziehen. Verkehrsdaten sind als Daten anzusehen, die zum Zwecke der Weiterleitung einer Nachricht an ein elektronisches Kommunikationsnetz oder zum Zwecke der Fakturierung dieses Vorgangs verarbeitet werden. Der Wortlaut der Richtlinie stellt mithin zweifellos fest, dass die Verarbeitung von Verkehrsdaten vom Anwendungsbereich der Richtlinie umfasst wird.528 In Erwägungsgrund 15 der RL 2002/58/EG werden beispielhafte Verkehrsdaten aufgeführt, nämlich neben den Verbindungsdaten wie das Ende und die Dauer der Verbindung auch die Art des verwendeten Protokolls, so dass kein Zweifel daran besteht, dass diese auch IP-Adressen umfassen. Verkehrsdaten unterfallen auch nach der Datenschutzrichtlinie für elektronische Kommunikation einem besonderen Schutz, der in Art. 6 Abs. 1 dadurch zum Ausdruck gebracht wird, dass diese grundsätzlich zu löschen oder zu anonymisieren sind, sobald sie zur Übertragung der Nachricht nicht mehr benötigt werden. Dabei wird die Anonymisierung als Alternative zur Löschung aufgeführt, woraus sich zwei für diese Bearbeitung relevante Ergebnisse ableiten lassen können: Zum einen müssen Verkehrsdaten in diesem Sinne personenbezogene Daten darstellen, denn nur in Bezug auf diese Datenkategorie ist eine Anonymisierung möglich. Zum anderen ist nur dann von einer Anonymisierung auszugehen, wenn tatsächlich niemand mehr einen Personenbezug herstellen kann, denn ansonsten liegt kein Äquivalent zu der Löschung vor. 528

Artikel 29-Gruppe, WP 159, 00350/09/DE, S. 8.

I. Sekundärrecht

125

Dieses Ergebnis steht im Einklang mit der allgemeinen Datenschutzrichtlinie. Nach deren Erwägungsgrund 26 sind die Schutzmechanismen für personenbezogene Daten dann nicht mehr anwendbar, wenn Daten vorliegen, die derart anonymisiert sind, dass die betroffene Person nicht mehr identifizierbar ist. Wie bereits oben529 dargestellt, liegt dem Erwägungsgrund 26 eine absolute Sichtweise auf die Bestimmbarkeit des Personenbezuges zu Grunde. Dies rechtfertigt die Tatsache, dass die Anonymisierung nur dann einer Löschung gleichkommt, wenn die Herstellung für niemanden mehr möglich ist. In diesem Fall fehlt anonymen Daten der Personenbezug. 3. Richtlinie zur Vorratsdatenspeicherung RL 2006/24/EG Die Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtline 2002/58/EG komplementiert das sekundärrechtliche Richtliniengefüge des Datenschutzrechts in der Union. Dies mag, betrachtet man den Regelungsgenstand genauer, auf den ersten Blick verwundern. Verfolgten die allgemeine Datenschutzrichtlinie 95/46/EG und die Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG als Hauptziel die Datenspeicherung und -verarbeitung sowohl von staatlicher als auch privater Seite zu begrenzen, erweitert RL 2006/24/EG die (Vorrats-)Datenspeicherungspflicht erheblich.530 Die Vorratsdatenspeicherungsrichtlinie erstellt Vorgaben zur Speicherung von Kommunikationsdaten auf Vorrat. Darunter fallen Daten im Sinne des Art. 1 Abs. 2 S. 1, Art. 2 Abs. 2 lit. a) RL 2006/24/EG, das heißt Verkehrsund Standortdaten sowie alle damit in Zusammenhang stehenden Daten, die zur Feststellung des Teilnehmers oder Benutzers erforderlich sind. Von der Vorratsdatenspeicherung ausgeschlossen werden sollen hingegen Inhaltsdaten, was sich bereits aus Erwägungsgrund 13 der Richtlinie zur Vorratsdatenspeicherung ergibt.531 Die strikte Trennung zwischen Inhalts- und Verbindungsdaten im Internet kann aber bei einigen im Internet angebotenen Diensten aus der Natur der Sache heraus nicht eingehalten werden.532 So lassen sich beispielsweise Rückschlüsse auf den Inhalt der Kommunikation 529 530 531 532

s. D. I. 1. b). Kindt, MMR 2009, 661 (662). Brunst, S. 306; Kindt, MMR 2009, 661. s. Fn. 531.

126

D. Europarechtliche Vorgaben für den Datenschutz

ziehen, wenn anhand der Verkehrsdaten ersichtlich wird, dass man beispielsweise nach einem Tropenarzt oder einem auf Strafrecht spezialisierten Anwalt gesucht hat. Verbindlich festgeschrieben werden die zu speicherenden Datenkategorien, die Speicherfristen sowie einzuhaltende Sicherheits- und Kontrollmechanismen. Zu beachten ist hingegen, dass die Vorratsdatenspeicherungsrichtlinie keine Aussagen darüber trifft, unter welchen Voraussetzungen staatliche Organe auf die durch Telekommunikationsanbieter gespeicherten Daten zugreifen können, wie also demnach die Datenverarbeitung der gesammelten Daten zu erfolgen hat. Die inhaltliche Ausgestaltung dieser Zugriffsrechte wurde allein den nationalen Gesetzgebern anheimgestellt.533 Vor diesem Hintergrund ergeben sich einige Probleme bei der konkreten Ausgestaltung der Richtlinie und der Einhaltung der von ihr beabsichtigten Ziele: Da den Mitgliedstaaten ein weiter Spielraum bei der Umsetzung der Vorratsdatenspeicherung zukommt, ist in Zweifel zu ziehen, ob die Richtlinie tatsächlich eine Harmonisierung der nationalen Vorschriften mit sich bringt.534 Zudem steht in Rede, ob die Richtlinie zur Vorratsdatenspeicherung mit den europäischen Grundrechten vereinbar ist.535 Eine diesbezügliche Prüfung hat der EuGH (noch) nicht vorgenommen. In seiner Entscheidung zur Vorratsdatenspeicherung536 hat er sich lediglich in formeller Hinsicht zur Wahl der Rechtsgrundlage bei der Verabschiedung der Richtlinie geäußert. Obwohl die Kläger zur Begründung der Nichtigkeit Argumente gegen die Vereinbarkeit der Richtlinienbestimmungen mit den Unionsgrundrechten vorgebracht haben, ist der EuGH auf diese Fragestellung nicht eingegangen.537 Auch das BVerfG hat eine diesbezügliche Prüfung abgelehnt.538 Neben den Rechten der von der Datenspeicherung betroffenen Kommunikationsnutzer, stehen auch die Rechte der Kommunikationsdienstleister in Rede, die für die mit hohen Kosten verbundene Datenspeicherung zuständig sind.539 Die tatsächliche Pflicht zur Vorratsdatenspeicherung statuiert Art. 3 Abs. 1 RL 2006/24/EG, wonach die Mitgliedstaaten durch entsprechende 533

Vgl. dazu Gundel, EuR 2009, 536 (544). Brunst, S. 307; Kindt, MMR 2009, 661 (664). 535 Brunst, S. 308. 536 EuGH Rs. C-301/06; siehe dazu näher D. II. 4. a) kk). 537 Kritisch dazu Braum, ZRP 2009, 174 (175 f.); Kindt, MMR 2009, 661 (664 f.) und Simitis, NJW 2009, 1782 ff. 538 s. dazu ausführlich bereits C. I. 2. a) ee) (3). 539 Brunst, S. 308; Gundel, EuR 2009, 536 (545). 534

I. Sekundärrecht

127

Maßnahmen dafür Sorge zu tragen haben, dass die in Art. 5 der Richtlinie genannten Daten durch die Anbieter oder Betreiber öffentlicher Kommunikationsnetze auf Vorrat gespeichert werden. Kernvorschrift und in ihren Zielen verbindlich ist darüber hinaus Art. 6 RL 2006/24/EG, der die anlasslose Datenspeicherung für einen Zeitraum von mindestens sechs Monaten, höchstens aber zwei Jahren vorsieht.540 Für diese Arbeit im Zentrum der Betrachtung steht jedoch Art. 5 RL 2006/24/EG, der die zu speicherenden Datenkategorien bestimmt. In Abs. 1 lit. c) Nr. 2 i) wird gefordert, dass unter anderem IP-Adressen zur Bestimmung von Datum, Uhrzeit und Dauer einer Nachrichtenübermittlung gespeichert werden sollen. Aus dem Zusammenspiel der Definition des Art. 1 Abs. 2 S. 1, Art. 2 Abs. 2 lit. a) in Verbindung mit der soeben dargestellten Speicherungspflicht für IP-Adressen ergibt sich, dass diese im Rahmen der Vorratsdatenspeicherungsrichtlinie als Verkehrsdaten angesehen werden. Dieses Ergebnis steht im Einklang mit den Wertungen der Datenschutzrichtlinie für elektronische Kommunikation RL 2002/58/EG541. 4. VO 45/2001/EG Die Richtlinie 95/46/EG ist naturgemäß nur an die Mitgliedstaaten gerichtet, die dementsprechend zur Umsetzung der Datenschutzmaßstäbe verpflichtet sind. Hingegen fehlte es lange Zeit an gleichwertigen Datenschutzregelungen für die Gemeinschafts- beziehungsweise Unionsorgane selbst, was häufig kritisiert wurde.542 Diese Schutzlücke schließt die „Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft zum freien Datenverkehr“543. Da die Datenschutz-VO in ihrem Anwendungsbereich (Art. 1 VO 45/2001/EG) auf die Datenverarbeitung durch die Gemeinschaftsorgane beschränkt ist, kann aus ihr keine unmittelbare Auslegungshilfe für die mitgliedstaatlichen Datenschutzvorschriften abgeleitet werden. Jedoch ist zu beachten, dass die Regelungen der Datenschutz-VO im Wesentlichen denen der RL 95/46/EG entsprechen. Insbesondere stimmt die Definition der personenbezogenen Daten in Art. 2 lit. a) VO 45/2001/EG mit derjenigen der 540 541 542 543

Westphal, EuZW 2010, 494 (497). s. dort D. I. 2. c). Kingreen, in: Callies/Ruffert, Art. 8 GrCh, Rn. 2. Im Folgenden VO 45/2001/EG (Datenschutz-VO).

128

D. Europarechtliche Vorgaben für den Datenschutz

Datenschutzrichtlinie überein, so dass sich in diesem Zusammenhang dieselben Fragen in Bezug auf die Bestimmbarkeit stellen.544 Der achte Erwägungsgrund der VO 45/2001/EG ist in seiner Formulierung zwar nicht mit Erwägungsgrund 26 der RL 95/46/EG identisch, allerdings werden im Ergebnis die gleichen Anforderungskriterien an die Bestimmbarkeit gestellt, so dass auf die Ausführungen oben545 verwiesen werden kann. 5. Zusammenfassung Die bisherige Untersuchung hat gezeigt, dass bereits jetzt auf sekundärrechtlicher Ebene ein umfassender Schutz für IP-Adressen gewährleistet wird, da sie unter die Begriffsdefinition der personenbezogenen Daten zu subsumieren sind. Zwar ist auch im Rahmen der allgemeinen Datenschutzrichtline umstritten, welcher Maßstab in Bezug auf die Bestimmbarkeit der Person anzulegen ist. Jedoch erfolgt durch den Erwägungsgrund 26 der RL 95/46/EG eine Konkretisierung, die dem Rechtsanwender eine Auslegungshilfe bietet und den objektiven Ansatz zur Beurteilung der Bestimmbarkeit nahelegt. Darüber hinaus kann insbesondere der bereits aufgezeigte pragmatische Lösungsansatz der Artikel 29-Gruppe überzeugen, der eine Unterscheidung zwischen dynamischen und statischen IP-Adressen als überflüssig erscheinen lässt. Dies wird neben dem Umfang des Richtlinienschutzes unter anderem daraus abgeleitet, dass die Speicherung und Verarbeitung von IP-Adressen unter den Schutzbereich des Art. 8 GrCh fällt. Diese These soll im nachfolgenden Kapitel verifiziert werden. Aufgrund des europäischen Richtlinienrechts kann nunmehr auch bestimmt werden, unter welchen Voraussetzungen keine personenbezogenen Daten mehr vorliegen. In diesem Fall muss von anonymen Daten gesprochen werden. Eine Anonymisierung ist nur dann gegeben, wenn diese einer Löschung gleichsteht. Dies ist nur dann gewährleistet, wenn die Herstellung des Personenbezugs für niemanden mehr möglich ist. Die so gefundenen Ergebnisse werden insbesondere auch durch die geänderte Fassung der Datenschutzrichtlinie für elektronische Kommunikation untermauert, welche zuletzt 2009 geändert wurde. Die aktuelle Fassung der Richtlinie geht auf die neuesten Entwicklungen im Rahmen der Internetkommunikation ein und verstärkt das Schutzniveau der in diesem Rahmen verwendeten und gespeicherten Daten. 544 Darüber hinaus entsprechen auch die materiell-rechtlichen Gewährleistungen der VO 45/2001/EG denen der Richtlinie 95/46/EG. 545 s. D. I. 1. b).

II. Grundrechtliche Gewährleistungen

129

Schließlich scheint sich die vom Europäischen Datenschutzbeauftragten und der Kommission im Rahmen der Stellungnahme zum „Stand des Arbeitsprogrammes für eine bessere Durchführung der Datenschutzrichtlinie“ geäußerte Vermutung, dass auf lange Sicht eine Änderung der Richtlinien in Frage käme, die aber nicht an den tragenden Prinzipien der Richtlinie rühren dürfe,546 nunmehr zu bestätigen. Im Wege des Reformpaketes der Kommission zum Schutz personenbezogener Daten wird die hier vertretene absolute Sichtweise auf die Bestimmbarkeit untermauert und in der dort vorgesehenen Begriffsdefinition stärker zum Ausdruck gebracht als bisher. Dadurch dürften bestehende Auslegungsunsicherheiten zukünftig weiterhin abgebaut werden und zu mehr Rechtssicherheit bei allen Anwendern führen.

II. Grundrechtliche Gewährleistungen Bei der Auslegung des nationalen Rechts, wie es mit § 3 Abs. 1 BDSG hier in Rede steht, spielt auch der europäische Grundrechtsstandard eine Rolle. Dieser fußt zum einen auf den Rechtsakten der Union beziehungsweise deren allgemeinen Rechtsgrundsätzen und zum anderen auf der Konvention zum Schutze der Menschenrechte und Grundfreiheiten. 1. Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK) Die Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK) findet auf zweierlei Weise Eingang in die Betrachtung der Auslegung des nationalen Rechts. Zum einen prägt sie wesentlich den auf unionaler Ebene bestehenden Grundrechtsschutz, zum anderen findet sie auch unmittelbare Anwendung auf nationaler Ebene. a) Die EMRK als völkerrechtlicher Vertrag Die EMRK ist ein völkerrechtlicher Vertrag, der von den Mitgliedern des Europarates547 am 4. November 1950 unterzeichnet wurde und am 3. Sep546

Stellungnahme des Europäischen Datenschutzbeauftragten, ABl. C 255/1, Rn. 4 vom 27.10.2007. 547 Eine Übersicht der Mitglieder des Europarates findet sich unter: http://www. coe.int/aboutCoe/index.asp?page=47pays1europe&l=en.

130

D. Europarechtliche Vorgaben für den Datenschutz

tember 1953 in Kraft trat.548 Die EMRK gewährleistet die in ihr verbrieften Rechte gemäß Art. 1 jeder Person, die der Hoheitsgewalt eines Vertragsstaates unterworfen ist.549 Durch die Gewährleistung durchsetzbarer Rechte für den Einzelnen, spricht man auch von einem „law making treaty“ oder so genannten „Gesetzesverträgen“.550 Die Stellung der EMRK im nationalen Recht ergibt sich im Übrigen nicht aus dem Vertrag selbst, sondern aus dem nationalen Recht selbst, da die EMRK keine Reglung zur innerstaatlichen Geltung beinhaltet. Generell besteht daher die Möglichkeit, dass der Konventionsstaat der EMRK Verfassungsrang, einen Rang zwischen der Verfassung und den Gesetzen oder aber einfachen Gesetzesrang einräumt.551 Deutschland hat sich für eine Umsetzung in Form der letzten Alternative entschieden. Die Geltung der Konvention als einfaches Gesetzesrecht folgt unmittelbar aus dem Umstand, dass es sich bei der EMRK um einen völkerrechtlichen Vertrag handelt, der gemäß Art. 59 Abs. 2 GG der Zustimmung der gesetzgebenden Körperschaften in Form eines Bundesgesetzes bedarf. Auch wenn die EMRK keinen Verfassungsrang hat, ist sie nach stetiger Rechtsprechung des BVerfG bei der Auslegung von Grundrechten und rechtsstaatlichen Grundsätzen im Rahmen der anerkannten Auslegungsmethoden heranzuziehen und hat somit auch Einfluss auf die Auslegung des einfachen Rechts. Dies ergibt sich bereits aus dem Vorrang des Gesetzes gemäß Art. 20 Abs. 3 GG und der Völkerrechtsfreundlichkeit des Grundgesetzes.552 b) Die Geltung der EMRK im Rahmen des Unionsrechts Die EMRK kann für die folgende Untersuchung aber nicht allein in ihrer Form als völkerrechtlicher Vertrag im Recht der Unterzeichnerstaaten als Auslegungsmaßstab gelten. Vielmehr ist in die Betrachtung einzubeziehen, dass die EMRK auch im unionsrechtlichen Rahmen ihre Geltung beansprucht. Art. 6 Abs. 3 EUV bestimmt, dass „die Grundrechte, wie sie in der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten gewährleistet sind [. . .], [. . .] als allgemeine Grundsätze Teil des Unionsrechts“ sind. Die direkte Bestimmung der Grundrechte der EMRK als all548

Zu der Entstehungsgeschichte und Entwicklung der EMRK vgl. Grabenwarter, § 1. 549 Meyer-Ladewig, Art. 1, Rn. 10. 550 Grabenwarter, § 2, Rn. 1. 551 Grabenwarter, § 3, Rn. 1. 552 BVerfGE 74, 358 (370); 82, 106 (120); 111, 307 (323).

II. Grundrechtliche Gewährleistungen

131

gemeine Grundsätze des Unionsrechts wurde erst durch den Vertrag von Lissabon553 primärrechtlich in dieser Deutlichkeit festgeschrieben. Die Formulierung des Art. 6 Abs. 2 EUV a. F. sah lediglich die „Achtung“ der Konventionsrechte vor. Die vorgenannte Regelung war eine Umsetzung der stetigen Rechtsprechung des EuGH, der über die allgemeinen Rechtsgrundsätze versuchte, den auf Gemeinschaftsebene fehlenden geschriebenen Grundrechtskatalog zu kompensieren.554 Nach der Rechtsprechung des EuGH boten die Gewährleistungen der EMRK neben den gemeinsamen Verfassungsüberlieferungen der Mitgliedstaaten die Grundlage für die Konkretisierung der allgemeinen Grundsätze des damaligen Gemeinschaftsrechts.555 Der EuGH hat demnach schon immer die EMRK zur Bestimmung des grundrechtlichen Maßstabs herangezogen, so dass sich inhaltlich durch die Neuformulierung des Vertrags von Lissabon keine Änderung ergeben. Darüber hinaus kann die Europäische Union nach Art. 6 Abs. 2 S. 1 EUV der EMRK beitreten. Ein Beitritt der EU zur EMRK würde als stärkere Form der Bindung die Einbeziehung über die allgemeinen Rechtsgrundsätze nach Art. 6 Abs. 2 EUV obsolet machen;556 eine inhaltliche Änderung des Prüfungsmaßstabs würde sich hingegen nicht ergeben. c) Gewährleistungen der EMRK Ein ausdrückliches Recht auf Datenschutz findet sich in der EMRK nicht.557 Ein solches könnte lediglich aus Art. 8 EMRK – und für Teilbereiche aus Art. 10 EMRK – abgeleitet werden. Beide Vorschriften gehören zum Kernbestand der Gewährleistungen der EMRK und sind, anders als in den Zusatzprotokollen verankerte Konventionsrechte558, für jeden Vertragsstaat verbindlich. Bei der folgenden Untersuchung stellt sich die Frage, ob und wenn ja inwiefern die genannten Konventionsrechte Anforderungen an die Auslegung 553 Vertrag von Lissabon zur Änderung des Vertrags über die Europäische Union und des Vertrags zur Gründung der Europäischen Gemeinschaft, unterzeichnet in Lissabon am 13. Dezember 2007; im Folgenden Vertag von Lissabon. 554 Zur Entwicklung der Rechtsprechung des EuGH in Bezug auf die Einbeziehung der EMRK vgl. ausführlich Kraus, in: Marauhn/Grote, Kap. 3, Rn. 12 ff., 51 ff. 555 EuGH Rs. 11/70, Slg. 1970, 1125, Rn. 4; Rs. 4/73, Slg. 1974, 491, Rn. 13; Rs. 44/79, Slg. 1979, 3727, Rn. 15 ff. 556 Britz, EuGRZ 2009, 1 (2). 557 Gridl, S. 106. 558 Grabenwarter, § 2, Rn. 4.

132

D. Europarechtliche Vorgaben für den Datenschutz

des Begriffs der personenbezogenen Daten stellen. Im Folgenden sollen die Gewährleistungen der EMRK vorgestellt werden, aus denen man einen grundrechtlich verankerten Datenschutz ableiten kann. aa) Art. 8 EMRK Gemäß Art. 8 Abs. 1 EMRK hat „jede Person [. . .] das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung und ihrer Korrespondenz“. (1) Persönlicher Schutzumfang Ob in persönlicher Hinsicht vom Gewährleistungsumfang des Art. 8 Abs. 1 EMRK nur natürliche oder auch juristische Personen umfasst werden,559 muss im Rahmen dieser Untersuchung nicht näher ausgeführt werden. Schließlich ergibt sich sowohl aus Art. 2 lit. a) RL 95/46/EG als auch aus § 3 Abs. 1 BDSG, dass unter personenbezogenen Daten nur solche zu verstehen sind, die eine natürliche Person betreffen. Eine vertiefende Darstellung des persönlichen Schutzumfanges ist daher nicht erforderlich. Für den Gang der Untersuchung ist es ausreichend festzuhalten, dass jede natürliche Person vom Schutzbereich umfasst wird. (2) Sachlicher Schutzumfang Nach dem Wortlaut werden vier Einzelrechte durch die Regelung garantiert, nämlich das Privatleben, das Familienleben, die Wohnung und die Korrespondenz, wobei es durchaus zu Überschneidungen zwischen den einzelnen Garantien kommen kann.560 Trotz der Formulierung „Recht auf Achtung“ dient Art. 8 EMRK primär als Abwehrrecht des Grundrechtsträgers gegen den Staat. Darüber hinaus legt es dem Staat aber auch eine Schutzpflicht in Bezug auf die garantierten Rechte auf.561 Standen bei der Entstehung der Konvention 1950 zu diesem Zeitpunkt herkömmliche Gefährdungsszenarien wie Wohnungsdurchsuchungen oder das Abfangen von postalischem Briefverkehr im Mittelpunkt, hat sich die 559 s. hierzu Näheres bei Schweizer, DuD 2009, 462 (464) m. w. N. auf die diesbezüglich ergangene Rechtsprechung des EGMR. 560 Bleckmann, in: Recht der Persönlichkeit, S. 9 (11); Frowein, in: Frowein/Peukert, Art. 8, Rn. 1; Marauhn/Meljnik, in: Marauhn/Grote, Kap. 16, Rn. 15. 561 Frowein, in: Frowein/Peukert, Art. 8, Rn. 2, 11; Grabenwarter, § 22, Rn. 1; Gridl, S. 140 f.; Marauhn/Meljnik, in: Marauhn/Grote, Kap. 16, Rn. 20; UerpmannWittzack, in: Ehlers/Becker, § 3, Rn. 26.

II. Grundrechtliche Gewährleistungen

133

Bedrohungslage für die in Art. 8 EMRK gewährleisteten Rechte mittlerweile gewandelt. Dies ist unter anderem in dem technologischen Wandel begründet, der es sowohl dem Staat als auch Privaten ermöglicht, personenbezogene Informationen zu gewinnen und gegebenenfalls zu verwerten.562 Anders als bei tatsächlich sichtbaren Eingriffen in die Rechte des Art. 8 EMRK, wie beispielsweise Wohnungsdurchsuchungen oder ähnlichem, wird dem Grundrechtsberechtigten im Zuge der neuen Technologien oft gar nicht bewusst, dass in seine grundrechtlich geschützte Sphäre eingegriffen wird. So können einige Informationen für sich alleine gesehen keine Aussagen über den Grundrechtsträger enthalten, die computergestützte Zusammenführung mehrerer – auch frei zugänglicher – Informationen kann hingegen zu einem vollständigen Persönlichkeitsprofil einer Person führen. Das Bedürfnis nach einer grundrechtlichen Verankerung des Datenschutzes in Art. 8 EMRK ist demnach augenscheinlich. Allerdings fällt dem Betrachter auf den ersten Blick ein unmittelbarer Bezug von den Gewährleistungen des Art. 8 EMRK zum Datenschutz oder zu personenbezogenen Daten nicht ins Auge.563 Trotz der Trennung im Wortlaut der Vorschrift zwischen den unterschiedlichen privaten Bereichen des Grundrechtsträgers, soll Art. 8 EMRK aber einen umfänglichen Schutz zur freien Entfaltung der Persönlichkeit bieten.564 Dazu könnte jedoch auch der Datenschutz zählen. Insbesondere wäre eine Einbeziehung des Schutzes personenbezogener Daten unter die Bereiche des Privatlebens oder der Korrespondenz zu erwägen.565 (a) Achtung des Privatlebens Der Schutzumfang des Privatlebens wurde bisher durch den EGMR566 nicht abschließend bestimmt. Er wird vielmehr als vollumfänglich verstanden, so dass eine abschließende Definition des Privatlebens nicht möglich ist und der EGMR bewusst auf eine solche verzichtet.567 Vielmehr entscheidet der EGMR je nach Einzelfall, ob ein bestimmter Lebenssachverhalt unter den Schutzbereich des Art. 8 Abs. 1 EMRK fällt.568 Die bisher zu Art. 8 562

Marauhn/Meljnik, in: Marauhn/Grote, Kap. 16, Rn. 10. So auch Kübler, S. 32; Scholz, S. 114. 564 Grabenwarter, § 22, Rn. 1. 565 Uerpmann-Wittzack/Jankowska-Gilberg, MMR 2008, 83 (86). Zur problematischen Abgrenzung zwischen diesen Schutzbereichen vertiefend Uerpmann-Wittzack, in: Ehlers/Becker, § 3, Rn. 6. 566 s. zu den Grundsatzurteilen zur Achtung des Privatlebens weiter unten D. II. 1. c) aa) (2) (c), insbesondere die Rechtssachen Klass u. a. ./. Deutschland, Malone ./. Vereinigtes Königreich, Leander ./. Schweden und Gaskin ./. Vereinigtes Königreich. 563

134

D. Europarechtliche Vorgaben für den Datenschutz

EMRK ergangenen Entscheidungen vermitteln dem Rechtsanwender jedoch einen ersten Überblick darüber, was dem Privatleben in diesem Sinne zuzuordnen ist. Umfasst wird jedenfalls das Recht auf Identität und Entwicklung des Einzelnen.569 Eng damit zusammenhängend ist das Recht auf Selbstbestimmung, das ebenfalls gewährleistet wird.570 Als wesentliches Element des Privatlebens ist insbesondere der Name des Betroffenen anzusehen.571 Zusammenfassend kann daher festgehalten werden, dass die freie Entwicklung der Persönlichkeit geschützt wird.572 Neben dieser aktiven Komponente gewährleistet Art. 8 EMRK aber auch eine solche passive durch die Gewährleistung der Privatsphäre.573 Denn nur dann, wenn sich der Einzelne sicher sein kann, in seinem Privatleben unbeobachtet und geschützt zu sein, verhält er sich so, wie es seinen tatsächlichen Vorstellungen entspricht. Dadurch steht dem Einzelnen ein Rückzugsraum offen, der dem Zugriff von außen grundsätzlich entzogen ist. Durch diese weite Bestimmung des Schutzbereiches der Privatsphäre besteht die Möglichkeit viele Sachverhalte, die im Übrigen unter kein Konventionsrecht zu subsumieren wären, unter Art. 8 EMRK zu fassen.574 Die Konvention kann daher als „living instrument“ den nötigen Schutz vor den oben beschriebenen neuen datenschutzrechtlichen Gefährdungslagen bereit stellen, die jedenfalls geeignet sind, die freie Persönlichkeitsentfaltung zu tangieren.575 Das oben dargestellte576 Gefährdungspotenzial vor Augen habend, verwundert es nicht, dass der Datenschutz als Teil des schützenswerten Privatlebens angesehen wird.577 Im Mittelpunkt steht dabei immer wieder die Frage, wie es dem Einzelnen gegenüber gewährleistet werden kann, über seine personenbezogenen Daten frei zu verfügen beziehungsweise über de567 EGMR EuGRZ 1993, 65, (66), Ziff. 29, (Niemietz ./. Deutschland); Marauhn/ Meljnik, in: Marauhn/Grote, Kap. 16, Rn. 17; Meyer-Ladewig, Art. 8, Rn. 3; Uerpmann-Wittzack, in: Uerpmann-Wittzack, Das neue Computergrundrecht, S. 100. 568 Breitenmoser, S. 37, 45; Brunst, S. 285; Siemen, S. 54. 569 EGMR NJW 2003, 2145 (Odièvre ./. Frankreich). 570 EGMR NJW 2002, 2851 (Pretty ./. Vereinigtes Königreich). 571 Meyer-Ladewig, Art. 8, Rn. 3. 572 Frowein, in: Frowein/Peukert, Art. 8, Rn. 3. 573 Marauhn/Meljnik, in: Marauhn/Grote, Kap. 16, Rn. 26. 574 Marauhn/Meljnik, in: Marauhn/Grote, Kap. 16, Rn. 17, sprechen diesbezüglich gar von einer „lückenfüllenden Funktion“ des Art. 8 EMRK. 575 Marauhn/Meljnik, in: Marauhn/Grote, Kap. 16, Rn. 19; Siemen, S. 27. 576 D. II. 1. c). 577 Uerpmann-Wittzack, in: Ehlers/Becker, § 3, Rn. 3.

II. Grundrechtliche Gewährleistungen

135

ren Verwendung zu entscheiden.578 Insofern ist anerkannt, dass die Sammlung und Speicherung von Daten einen rechtfertigungsbedürftigen Eingriff in das Privatleben darstellt.579 Dabei stellt sich im Zusammenhang mit der in Art. 8 EMRK dem Wortlaut nach vorausgesetzten Privatheit die Frage, inwiefern dieses Kriterium konstituierend für den Gewährleistungsumfang ist, denn viele Daten sind mittlerweile via Internet – und somit einer breiten Öffentlichkeit – zugänglich. Die Loslösung vom räumlichen zum virtuellen, stets verfügbaren Zugriffsbereich580 zieht eine stärkere Eingriffsintensität nach sich. Diesbezüglich ist von Bedeutung, ob sich die geschützte Sphäre des Privatlebens (noch) am häuslichen Bereich orientiert.581 Kann sich der Einzelne nicht mehr in gleichem Maße auf seine Privatsphäre berufen, sobald er mit der Außenwelt in Kontakt tritt? Zu beachten ist, dass der Schutz des Privatlebens nicht nur bei der Berufung auf die häusliche Privatsphäre greift.582 Eine Beschränkung der Privatsphäre auf den häuslichen Bereich kommt schon deshalb nicht in Betracht, weil diese Alternative ansonsten neben der Achtung der Wohnung überflüssig wäre. Damit dem Privatleben ein eigenständiger Anwendungsbereich zukommt, muss dieses auch über die privaten Räumlichkeiten hinausgehen.583 Grundsätzlich muss sich der Grundrechtsberechtigte auch im öffentlichen Bereich unbeobachtet bewegen können.584 Schließlich wird vom Privatleben auch die Möglichkeit umfasst, Beziehungen zu anderen Menschen herzustellen und zu entfalten585, was denknotwendigerweise (auch) im öffentlichen Raum stattfindet. Allerdings kann es unter Umständen sein, dass der Einzelne in der Öffentlichkeit stärkere Einschränkungen hinnehmen muss, als im privaten Bereich.586 Art. 8 EMRK soll diesbezüglich in seinem Anwendungsbereich dann einschlägig sein, wenn es zu systematischen und dauernden Aufzeichnungen im öffentlichen Bereich kommt.587 578

Marauhn/Meljnik, in: Marauhn/Grote, Kap. 16, Rn. 10. Frowein, in: Frowein/Peukert, Art. 8, Rn. 5. 580 Kübler, S. 34. 581 Marauhn/Meljnik, in: Marauhn/Grote, Kap. 16, Rn. 26; Meyer-Ladewig, Art. 8, Rn. 3a. 582 EGMR EuGRZ 1993, 65 (66), Ziff. 29, (Niemietz ./. Deutschland); Frowein, in: Frowein/Peukert, Art. 8, Rn. 3; Grabenwarter, § 22, Rn. 6, 9; Marauhn/Meljnik, in: Marauhn/Grote, Kap. 16, Rn. 3; Meyer-Ladewig, Art. 8, Rn. 3a. 583 Marauhn/Meljnik, in: Marauhn/Grote, Kap. 16, Rn. 27. 584 Grabenwarter, § 22, Rn. 9. 585 EGMR EuGRZ 1993, 65 (66), Ziff. 29, Niemietz vs. Deutschland. 586 Grabenwarter, § 22, Rn. 6, 9. 587 Frowein, in: Frowein/Peukert, Art. 8, Rn. 6; Meyer-Ladewig, Art. 8, Rn. 3a; Siemen, S. 113. 579

136

D. Europarechtliche Vorgaben für den Datenschutz

Im Zuge der technologischen Entwicklung und elektronischen Datenverarbeitung wurde das Bedürfnis nach grundrechtlich gewährleistetem Datenschutz offensichtlich. Mittlerweile ist anerkannt, dass der Datenschutz in Art. 8 EMRK verankert ist und einen wesentlichen Teil des Privatlebens darstellt.588 Somit kann aus Art. 8 EMRK ein ausreichender innerstaatlicher Schutz gegen Datenmissbrauch abgeleitet werden.589 Von einer Eröffnung des Schutzbereichs soll dann ausgegangen werden können, wenn Daten eines Grundrechtsträgers erhoben, gespeichert oder verarbeitet werden und dieser dadurch in seinem Privatleben beeinträchtigt wird.590 Allerdings gehören zu den geschützten Daten nicht nur solche Informationen, die tatsächlich das Privatleben betreffen. Vielmehr genügt es, wenn sie Auskünfte über das öffentliche Leben oder geschäftliche Umfeld des Betroffenen beinhalten, so dass Rückschlüsse auf das Privatleben möglich sind.591 In diesem Zusammenhang ist zu erwähnen, dass in der Rechtsprechung des EGMR mittlerweile anerkannt ist, dass das Sammeln, Speichern und Verarbeiten von Daten den Schutzbereich des Rechts auf Privatleben tangiert beziehungsweise in diesen eingreift.592 Darunter fallen auch die sogenannten Verkehrsdaten, die bei der Internetnutzung anfallen.593 (b) Achtung der Korrespondenz Unter Korrespondenz im Sinne von Art. 8 EMRK wird nach dem modernen Begriffsverständnis jede Form der Kommunikation verstanden.594 Demnach fällt unter Korrespondenz nicht nur der Briefverkehr595, sondern beispielsweise auch Telegramme, Telefax und Telefongespräche.596 Im Mittelpunkt der Regelung steht der Schutz gegen die unbefugte Kenntnisnahme des Mitteilungsinhaltes.597 Dabei wird neben dem eigentlichen 588

Breitenmoser, S. 48, 239; Grabenwarter, § 22, Rn. 10; Meyer-Ladewig, Art. 8, Rn. 11. 589 Meyer-Ladewig, Art. 8, Rn. 11. 590 Grabenwarter, § 22, Rn. 10; Marauhn/Meljnik, in: Marauhn/Grote, Kap. 16, Rn. 29; Wagner, S. 139. 591 Grabenwarter, § 22, Rn. 10. 592 EGMR ÖJZ 2001, 71 (Amann ./. Schweiz); Bleckmann, in: Recht der Persönlichkeit, S. 9 (14); Brunst, S. 287. 593 EGMR MMR 2007, 431 (432) (Copland ./. United Kingdom). 594 Frowein, in: Frowein/Peukert, Art. 8, Rn. 48; Gridl, S. 119; Marauhn/ Meljnik, in: Marauhn/Grote, Kap. 16, Rn. 60. 595 Brunst, S. 290. 596 Grabenwarter, § 22, Rn. 24; Meyer-Ladewig, Art. 8, Rn. 35; Uerpmann-Wittzack, in: Ehlers/Becker, § 3, Rn. 14.

II. Grundrechtliche Gewährleistungen

137

Kommunikationsvorgang auch der Kommunikationsweg geschützt, und zwar unabhängig davon, ob das Kommunikationssystem von staatlicher oder privater Hand getragen wird.598 Strittig ist hingegen, ob das Recht auf Achtung der Korrespondenz auch dann noch greift, wenn die Mitteilung längst beim Kommunikationspartner angekommen ist und der diese speichert oder lagert.599 Da es im Rahmen der Telekommunikation vielerlei neue Entwicklungen gab und gibt, sind sämtliche Telekommunikationsarten, wie auch Email und Internet-Telefonie unter den Schutzbereich zu fassen.600 Insofern sei darauf verwiesen, dass es sich bei der EMRK um ein so genanntes „living instrument“ handelt, das im Lichte der heutigen Umstände ausgelegt werden muss601, wozu auch neue technische Entwicklungen zählen, die somit ohne eine Änderung der Konvention mit unter den Schutzbereich der Gewährleistungen fallen. Diese Ausdehnung des Schutzbereichs hat zur Folge, dass die Aufzeichnung der Internetkommunikation einen Eingriff in den Schutzbereich des Art. 8 Abs. 1 EMRK darstellen würde.602 Von der Korrespondenz nicht eingeschlossen wird hingegen der bloße Besuch von öffentlich zugänglichen Homepages603, da es beim Vorgang des schlichten Surfens im Internet üblicherweise an der Kommunikation mit einem anderen Teilnehmer fehlt. Schließlich ist der Schutzbereich der Korrespondenz nicht erst dann tangiert, wenn es um die Speicherung oder Kenntniserlangung des Inhalts des Kommunikationsvorganges geht. Vielmehr reicht es schon aus, wenn die Rahmendaten der Telekommunikation wie Telefonnummern, Datum oder Dauer der Kommunikation erfasst werden604, die sogenannten Verkehrs- beziehungsweise Nutzungsdaten605.606 597 Jarass, § 12, Rn. 41; Marauhn/Meljnik, in: Marauhn/Grote, Kap. 16, Rn. 59; Uerpmann-Wittzack, in: Ehlers/Becker, § 3, Rn. 14. 598 Breitenmoser, S. 307; Grabenwarter, § 22, Rn. 23; Jarass, § 12, Rn. 41. 599 Marauhn/Meljnik, in: Marauhn/Grote, Kap. 16, Rn. 59. 600 Grabenwarter, § 22, Rn. 24; Klug/Reif, RDV 2008, 89 (92); Marauhn, in: Heselhaus/Nowak, § 19, Rn. 27. 601 Grabenwarter, § 5, Rn. 13; Uerpmann-Wittzack, in: Uerpmann-Wittzack, Das neue Computergrundrecht, S. 101. 602 Uerpmann-Wittzack/Jankowska-Gilberg, MMR 2008, 83 (87). 603 Grabenwarter, § 22, Rn. 24; Klug/Reif, RDV 2008, 89 (92); Marauhn, in: Heselhaus/Nowak, § 19, Rn. 27; ders./Meljnik, in: Marauhn/Grote, Kap. 16, Rn. 61. 604 Grabenwarter, § 22, Rn. 31. 605 Brunst, S. 292. 606 Jarass, § 12, Rn. 46; Uerpmann-Wittzack, in: Uerpmann-Wittzack, Das neue Computergrundrecht, S. 100.

138

D. Europarechtliche Vorgaben für den Datenschutz

(c) Datenschutzrechtliche Rechtsprechung des EGMR Der EGMR hat sich in seiner bisherigen datenschutzrechtlichen Rechtsprechung nie im Hinblick auf eine Definition eines abgeschlossenen Schutzbereiches des Art. 8 EMRK geäußert. Daher stellt sich die Frage, ob man aus den bisher entschiedenen Einzelfällen Rückschlüsse auf die Kernpunkte des Gewährleistungsumfanges ziehen kann. (aa) Klass und andere ./. Deutschland Im Fall Klass und andere rügten die Beschwerdeführer Bestimmungen des Gesetzes vom 13. August 1968 zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses, die Maßnahmen zur Überwachung legitimierten, ohne die Betroffenen darüber in Kenntnis zu setzen und ihnen eine Rechtsschutzmöglichkeit zu gewähren.607 Zu den möglichen Maßnahmen gehörte unter anderem das Abhören und Aufnehmen des Fernmeldeverkehrs.608 Auch wenn der Fernmeldeverkehr – das Telefonieren – nicht eindeutig vom Wortlaut der Vorschrift des Art. 8 EMRK erfasst wird, sah der EGMR keine Schwierigkeit darin, den Schutzbereich des Privatlebens und des Briefverkehrs als eröffnet anzusehen. Inwieweit auch das Recht auf Achtung der Wohnung tangiert sein könnte, ließ der Gerichtshof offen.609 Der EGMR hielt fest, dass die Datensammlung und -speicherung allerdings nur unter Berücksichtigung des Zweckbindungsgrundsatzes möglich und zulässig ist.610 Dies gilt insbesondere auch für die heimliche Aufzeichnung der betreffenden Daten.611 (bb) Malone ./. Vereinigtes Königreich Bei der Malone-Entscheidung stand die Rechtmäßigkeit des Abhörens von Telefongesprächen und der Registrierung von Verbindungsdaten im Zentrum der Betrachtung.612 Zur Einordnung der Telefonüberwachung unter die Gewährleistungen der EMRK verwies der EGMR auf seine Rechtsprechung im Fall Klass und andere.613 Sowohl das Recht auf Achtung des Privatlebens als auch auf Achtung des Briefverkehrs seien betroffen. 607

EGMR EuGRZ 1979, 278, Rn. 10, 11 (Klass u. a. ./. Deutschland). EGMR EuGRZ 1979, 278 (279), Rn. 17 (Klass u. a. ./. Deutschland). 609 EGMR EuGRZ 1979, 278 (284), Rn. 41 (Klass u. a. ./. Deutschland). 610 EGMR EuGRZ 1979, 278 (285), Rn. 52 (Klass u. a. ./. Deutschland). 611 Gridl, S. 112. 612 EGMR Nr. 8691/79, Urteil vom 2. August 1984, Rn. 16 f., 59, 62 (Malone ./. Vereinigtes Königreich). 608

II. Grundrechtliche Gewährleistungen

139

Da bei der Speicherung von Verbindungsdaten keine inhaltlichen Informationen genutzt werden, setzte sich der EGMR vertieft mit der Frage auseinander, ob diese Datenkategorie ebenfalls vom Gewährleistungsumfang des Art. 8 EMRK umfasst ist. Verbindungsdaten enthalten nach Ansicht des EGMR Informationen, die untrennbar mit dem eigentlichen Kommunikationsvorgang verbunden sind, so dass sie zwangsläufig auch von Art. 8 EMRK umfasst sein müssen, um einen ausreichenden Schutz der Kommunikation zu garantieren.614 Dabei kann auf zwei Arten in den Schutzbereich eingegriffen werden: Zum einen kann die Erhebung beziehungsweise Verwertung von Verbindungsdaten unmittelbar dazu genutzt werden, um bereits bekannte Straftaten aufzuklären. Zum anderen besteht aber auch die Möglichkeit, dass erst aufgrund dieser Daten eine Straftat bekannt wird. Beide Varianten stellen einen Eingriff in Art. 8 EMRK dar, der rechtsfertigungsbedürftig ist.615 Dass „bloße“ Verbindungsdaten ebenfalls unter Art. 8 EMRK fallen, zeigt, dass der EMRK im Schutzbereich des Menschenrechts nicht danach unterscheidet, ob es sich um besonders sensible Daten handelt.616 Vielmehr erscheint es ausreichend, wenn aufgrund der Daten ein Rückschluss auf das (Kommunikations-)Verhalten einer Person möglich ist. Da die Möglichkeit des Entdeckens einer Straftat durch die Verbindungsdaten bereits ausreicht, um einen Eingriff in Art. 8 EMRK zu begründen, kann es auch nicht darauf ankommen, dass die von der Überwachung betroffene Person unmittelbar und von vorneherein identifizierbar ist. Die unbefugte Herausgabe dieser Daten an (private) Dritte stellt einen Verstoß gegen Art. 8 EMRK dar.617 (cc) Leander ./. Schweden Mit der Leander-Entscheidung begann die Manifestierung des Datenschutzrechts im Rahmen von Art. 8 EMRK:618 Der Beschwerdeführer bewarb sich für eine Anstellung als Museums-Techniker. Das Museum war einer schwedischen Militäreinheit angegliedert, so dass der Beschwerdeführer einer Personenkontrolle unterzogen wurde, aufgrund derer ihm die 613 EGMR Nr. 8691/79, Urteil vom 2. August 1984, Rn. 64 (Malone ./. Vereinigtes Königreich). 614 EGMR Nr. 8691/79, Urteil vom 2. August 1984, Rn. 84 (Malone ./. Vereinigtes Königreich). 615 Gridl, S. 120. 616 Gridl, S. 131. 617 Gridl, S. 132. 618 Gridl, S. 111 f.

140

D. Europarechtliche Vorgaben für den Datenschutz

Anstellung verweigert wurde.619 Bei der Kontrolle seiner Person stand insbesondere seine persönliche und politische Einstellung im Vordergrund.620 Diesbezüglich stellte der EGMR fest, dass sowohl das Speichern als auch die Freigabe von Daten, die das Privatleben eines Einzelnen betreffen, einen Eingriff in die Achtung des Privatlebens nach Art. 8 EMRK darstellen.621 Dies gilt insbesondere für solche Fälle, in denen der Betroffene keine Möglichkeit hat, sich der Datensammlung zu erwehren. (dd) Gaskin ./. Vereinigtes Königreich Im Fall Gaskin ging es um das Recht des Beschwerdeführers Einsicht in über ihn angelegte Akten bezüglich seiner Pflegschaft zu nehmen.622 Die Begründung des Vereinigten Königreichs, dass behördliche Akten nicht unter den Bereich des Privatlebens fallen können623, folgte der Gerichtshof nicht.624 Enthält die behördliche Datensammlung Informationen über das Privatleben des Einzelnen, so ist der Schutzbereich des Art. 8 EMRK eröffnet. Der fehlende Zugang zu diesen Informationen stellt einen rechtfertigungsbedürftigen Eingriff dar.625 Der EGMR hebt in seiner Entscheidung jedoch hervor, dass er keine Notwendigkeit sieht, sich generell und losgelöst vom Fall Gaskin zu einem allgemeinen Recht auf Zugang zu behördlichen Daten zu äußern, das möglicherweise aus Art. 8 EMRK entspringen könnte.626

619 EGMR Nr. 9248/81, Urteil vom 26. März 1987, Rn. 10 ff. (Leander ./. Schweden). 620 EGMR Nr. 9248/81, Urteil vom 26. März 1987, Rn. 17. (Leander ./. Schweden). 621 EGMR Nr. 9248/81, Urteil vom 26. März 1987, Rn. 48. (Leander ./. Schweden). 622 EGMR Nr. 10454/83, Urteil vom 7. Juli 1989, Rn. 10 ff., 33 (Gaskin ./. Vereinigtes Königreich). 623 EGMR Nr. 10454/83, Urteil vom 7. Juli 1989, Rn. 35 (Gaskin ./. Vereinigtes Königreich). 624 EGMR Nr. 10454/83, Urteil vom 7. Juli 1989, Rn. 37 (Gaskin ./. Vereinigtes Königreich). 625 EGMR Nr. 10454/83, Urteil vom 7. Juli 1989, Rn. 36 f. (Gaskin ./. Vereinigtes Königreich). 626 EGMR Nr. 10454/83, Urteil vom 7. Juli 1989, Rn. 37 (Gaskin ./. Vereinigtes Königreich).

II. Grundrechtliche Gewährleistungen

141

(ee) Niemitz ./. Deutschland Bei der Niemitz-Entscheidung stand die Vereinbarkeit einer Durchsuchung von Kanzleiräumen mit Art. 8 EMRK im Mittelpunkt.627 Die deutsche Regierung vertrat die Auffassung, dass Kanzleiräume weder eine Wohnung darstellen noch durch das Recht auf Achtung des Privatlebens geschützt sind.628 Im Rahmen dieses Kontextes stellte der EGMR fest, dass sich der Begriff des Privatlebens keiner erschöpfenden Definition unterziehen lässt. Eine solche sei aber auch nicht notwendig, da ein zu enges Begriffsverständnis dazu führen würde, dass das Knüpfen von Kontakten und die Unterhaltung von Beziehungen zu anderen Menschen vom Schutzbereich ausgeschlossen wären. Die soziale Interaktion sei aber ein Teil des schützenswerten Privatlebens. Konsequenterweise fasst der EGMR daher auch das Berufsleben unter den Schutzbereich des Privatlebens, da die berufliche und geschäftliche Tätigkeit einen wesentlichen Schnittpunkt zur Außenwelt bildet. Hinzukommt die Tatsache, dass teilweise – insbesondere bei Selbstständigen – eine saubere Trennung zwischen privater und geschäftlicher Tätigkeit nicht möglich sei.629 Die gleiche Argumentation führt der Gerichtshof in Bezug auf das Merkmal der „Wohnung“ an, bei der ebenso wenig strikt zwischen privater und beruflicher Tätigkeit separiert werden kann.630 Schließlich kommt hinzu, dass der EGMR keinen Zweifel daran lässt, dass im Rahmen der in Art. 8 EMRK geschützten Kommunikation nicht nach beruflichen oder privaten beziehungsweise persönlichen Vorgängen zu differenzieren ist. Eine solche Trennung dann aber in Bezug auf das Privatleben oder die Wohnung durchzuführen, würde zu unerwünschten Wertungswidersprüchen innerhalb des Schutzbereichs des Art. 8 EMRK führen, die zu vermeiden seien.631 Im Ergebnis ist daher festzuhalten, dass die weite Auslegung des Gewährleistungsumfangs des Art. 8 EMRK dem Sinn und Zweck der menschenrechtlichen Garantie, nämlich dem Schutz des Individuums vor willkürlichen staatlichen Eingriffen, entspricht.632 Aus der aufgezeigten Fallkonstellation lassen sich folgende Erkenntnisse für den Schutz von IP-Adressen unter der Konvention ableiten: Die Diffe627 628 629 630 631 632

EGMR EGMR EGMR EGMR EGMR EGMR

NJW NJW NJW NJW NJW NJW

1993, 1993, 1993, 1993, 1993, 1993,

718 (Niemitz ./. Deutschland). 718, Rn. 27 (Niemitz ./. Deutschland). 718, Rn. 29 (Niemitz ./. Deutschland). 718, Rn. 30 (Niemitz ./. Deutschland). 718, Rn. 32 (Niemitz ./. Deutschland). 718, Rn. 31 (Niemitz ./. Deutschland).

142

D. Europarechtliche Vorgaben für den Datenschutz

renzierung zwischen privater und geschäftlicher Tätigkeit tritt nicht nur in Form der im Fall Niemitz dargestellten Konstellation auf. Vielmehr ist eine Reihe von alltäglichen Situationen vorstellbar, in denen sich geschäftliche beziehungsweise berufliche und private Tätigkeiten vermischen oder gar zusammenfallen. Dies gilt insbesondere auch für die Verwendung von IPAdressen: Der Internetnutzer kann beispielsweise am Arbeitsplatz in privater Angelegenheit surfen oder von zu Hause dienstliche Emails abrufen. Anhand der IP-Adresse wird aber nicht ersichtlich, in welchem Tätigkeitsfeld sich der Einzelne gerade befindet. Es ist noch nicht einmal erkennbar, ob es sich bei dem der IP-Adresse zugewiesenen Anschluss um einen privaten oder dienstlichen handelt. Das Gefährdungspotenzial durch Speicherung oder Verwendung von IP-Adressen kann demnach keiner differenzierenden Bewertung unterzogen werden. Dies entspricht dem Grundgedanken der NiemitzEntscheidung, die von einem weiten Verständnis des Privatlebens ausgeht. (ff) Kopp ./. Schweiz Gegenstand der Kopp-Entscheidung war eine durch die schweizerischen Behörden angeordnete Telefonüberwachung bezüglich der jeweiligen dienstlichen und privaten Apparate von Herrn und Frau Kopp. Nach Abschluss der Telefonüberwachung wurden die Eheleute über diese in Kenntnis gesetzt, ohne dass ihnen umfassender Zugang zu den dazugehörigen Akten gewährt wurde.633 In Anlehnung an die Niemitz-Rechtsprechung bestätigte der Gerichtshof seine Linie, dass es nicht darauf ankommt, ob das schützenswerte Verhalten – in diesem Fall die Telefongespräche – dem privaten oder geschäftlichen Lebensbereich zuzuordnen seien.634 (gg) Amann ./. Schweiz Der Amann-Entscheidung lag wiederrum die Beurteilung einer Telefonüberwachung durch die schweizerischen Behörden zugrunde. Zwar gewährte die zuständige Behörde dem Beschwerdeführer nach Beendigung der Überwachung Akteneinsicht, jedoch wurden einige wesentliche Passagen geschwärzt. Obwohl Amann erwiesenermaßen keine Straftat zur Last gelegt werden konnte, wurde die Akte an das Bundesarchiv übermittelt, wo sie 50 Jahre unter Verschluss bleiben sollte.635 633 EGMR Nr. 13/1997/797/1000, Urteil vom 25. März 1998, Rn. 6 ff. (Kopp ./. Schweiz). 634 EGMR Nr. 13/1997/797/1000, Urteil vom 25. März 1998, Rn. 50 (Kopp ./. Schweiz). 635 EGMR ÖJZ 2001, 71 (Amann ./. Schweiz).

II. Grundrechtliche Gewährleistungen

143

Der Anwendungsbereich des Art. 8 EMRK war unproblematisch eröffnet, da Telefonanrufe, unabhängig davon, ob sie in privaten oder geschäftlichen Räumen getätigt werden, von den Begriffen Privatleben und Korrespondenz umfasst werden.636 Ein Eingriff in den Schutzbereich des Art. 8 EMRK liegt durch die Abhörmaßnahmen vor.637 Ebenso begründet die Aufbewahrung der Daten einen Eingriff in das von der Konvention gewährleistete und weit auszulegende Recht auf Privatleben. Zur Begründung der weiten Auslegung führte der EGMR im Amann-Urteil aber einen neuen Aspekt ein: Diese sei aufgrund von Art. 1 und Art. 2 des Übereinkommens des Europarates zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Datenschutzkonvention) geboten.638 Zweck der Datenschutzkonvention ist insbesondere die Sicherung des Rechts auf einen Persönlichkeitsbereich, der auch bei der automatischen Verarbeitung personenbezogener Daten zu sichern sei. Dabei greift der EGMR erstmals explizit auf die in der Datenschutzkonvention festgeschriebene Definition personenbezogener Daten zurück, die als jede Information über eine bestimmte oder bestimmbare Person beschrieben wird (Art. 2 Datenschutzkonvention). Des Weiteren konkretisiert der Gerichtshof die Anforderungen an den Schutzbereichsumfang des Privatlebens in der Gestalt, dass dieser lediglich sensible Daten erfassen könne. Auch tatsächlich entstandene Unannehmlichkeiten oder Nachteile müssen dem Einzelnen durch die Speicherung nicht widerfahren sein, um den Schutz von Art. 8 EMRK in Anspruch zu nehmen.639 (hh) Rotaru ./. Rumänien Über den Beschwerdeführer Rotaru wurden während seiner Studienzeit Informationen bezüglich seiner vermeintlichen politischen Einstellung und seiner diesbezüglichen Aktivitäten gesammelt. Teile der in der Akte über den Beschwerdeführer gesammelten Informationen waren erwiesenermaßen falsch, dennoch wurde sein Antrag auf Vernichtung beziehungsweise Berichtigung der angelegten Akte abgelehnt.640 Der EGMR bestätigt im Rotaru-Urteil, dass die Gewährleistung des Privatlebens auch die Kommunikation zu Dritten und die Kontaktherstellung 636 637 638 639 640

nien).

EGMR EGMR EGMR EGMR EGMR

ÖJZ 2001, 71, Rn. 44 (Amann ./. Schweiz). ÖJZ 2001, 71, Rn. 45 (Amann ./. Schweiz). ÖJZ 2001, 71 (73), Rn. 65 (Amann ./. Schweiz). ÖJZ 2001, 71 (73), Rn. 69 f. (Amann ./. Schweiz). Nr. 28341/95, Urteil vom 4. Mai 2000, Rn. 7 ff. (Rotaru ./. Rumä-

144

D. Europarechtliche Vorgaben für den Datenschutz

zu diesen beinhaltet.641 Die Diskussion über öffentliche Themen, wie die politische Einstellung des Betroffenen, schließt einen Bezug zum Privatleben nicht aus.642 Dies gelte insbesondere dann, wenn die betreffenden Informationen von staatlicher Seite systematisch und dauerhaft gesammelt und gespeichert werden. Insofern festigt der EGMR seine Rechtsprechung aus dem Amann-Urteil, indem er wiederum auf den Zweck des Persönlichkeitsschutzes bei der automatischen Datenverarbeitung von personenbezogenen Daten, wie er in Art. 1 Datenschutzkonvention niedergelegt ist, zurückgreift.643 (ii) Weber und Saravia ./. Deutschland Die Beschwerdeführer Weber und Saravia wendeten sich vor dem EGMR gegen einzelne Vorschriften des sogenannten Verbrechensbekämpfungsgesetzes, das Vorschriften des G 10-Gesetzes nach Maßgabe des Urteils des BVerfG vom 4. Juli 1999 geändert hatte.644 Unter anderem machten sie eine Verletzung des Art. 8 EMRK geltend, da sie potenziell von der geheimen Überwachung ihrer Telefonate durch das G 10-Gesetz betroffen waren.645 Diesen Sachverhalt nahm der EGMR nochmals zum Anlass zu betonen, dass Telefongespräche sowohl von dem Begriff des Privatlebens als auch der Korrespondenz im Rahmen von Art. 8 EMRK umfasst werden.646 Diesbezüglich komme es auch nicht darauf an, ob die Überwachungsmaßnahmen tatsächlich durchgeführt wurden. Allein die Tatsache, dass mit dem G 10-Gesetz eine Ermächtigungsgrundlage zur Telefonüberwachung geschaffen wurde, reiche für die Annahme eines Eingriffs bereits aus.647 Eine sich an die Überwachung anschließende Datenübermittlung und/oder -verwendung begründen daneben einen weiteren Eingriffstatbestand.648

641

EGMR Nr. 28341/95, Urteil vom 4. Mai 2000, Rn. 43 (Rotaru ./. Rumänien). Eine Beschränkung des Anwendungsbereichs auf vertrauliche und sensible Sachverhalte und Daten vertrat hingegen Richter Bonello im Rahmen seiner „partly dissenting opinion“. Diese Beschränkung solle aus der Ratio des Privatlebens im Sinne des Art. 8 EMRK abzuleiten sein. s. EGMR Nr. 28341/95, Urteil vom 4. Mai 2000, Partly dissenting opinion of judge Bonello, Rn. 6 (Rotaru ./. Rumänien). 643 EGMR Nr. 28341/95, Urteil vom 4. Mai 2000, Rn. 43 (Rotaru ./. Rumänien). 644 EGMR NJW 2007, 1433 (Weber und Saravia ./. Deutschland). 645 EGMR NJW 2007, 1433 (1434), Rn. 69 ff. (Weber und Saravia ./. Deutschland). 646 EGMR NJW 2007, 1433 (1434), Rn. 77 (Weber und Saravia ./. Deutschland). 647 EGMR NJW 2007, 1433 (1434), Rn. 78 f. (Weber und Saravia ./. Deutschland). 648 EGMR NJW 2007, 1433 (1434), Rn. 79 (Weber und Saravia ./. Deutschland). 642

II. Grundrechtliche Gewährleistungen

145

(jj) Copland ./. Vereinigtes Königreich Wurden bis dato nur Fälle der klassischen Telefonüberwachung vor den Gerichtshof gebracht, musste sich der EGMR im Fall Copland zum ersten Mal mit den neuen Telekommunikationsformen, die das Internetzeitalter bietet, auseinandersetzen: Ein staatliches College überwachte über einen längeren Zeitraum den Gebrauch des Telefons, des Internets und den Emailverkehr der an der Schule beschäftigten Assistentin des College-Leiters, um herauszufinden, ob diese die Geräte und Dienste für den privaten Gebrauch nutzte. Insbesondere wurden die Telefonrechnungen bezüglich der angerufenen Nummern und der Verbindungsdaten, wie Dauer und Datum des Gesprächs, untersucht.649 Ebenso wurde das Surfverhalten der Beschwerdeführerin gespeichert. Dabei wurden vor allem die besuchten Internetseiten analysiert, sowie die dazugehörigen Verbindungsdaten, wie die Dauer und der Zeitpunkt des Besuchs.650 Die Regierung des Vereinigten Königreichs versuchte sich mit der Begründung, dass es sich lediglich um die Analyse einer automatischen Datenverarbeitung handelte, einer Überprüfung am Maßstab des Art. 8 EMRK zu entziehen.651 Der Gerichtshof ist der Argumentation der Regierung nicht gefolgt: Zunächst bekräftigte der EGMR die im Fall Amann begründete Rechtsprechung, nach der auch die Gespräche, die im beruflichen Bereich getätigt werden, unter die Begriffe des Privatlebens und der Korrespondenz zu fassen sind.652 Diese Rechtsprechung wurde nun im Copland-Urteil auch auf den Email-Verkehr und – ganz allgemein – auf die Nutzung des Internets übertragen, ohne dass der EGMR nach dem Wortlaut zwischen dem Begriff des Privatlebens und der Korrespondenz unterschieden hätte.653 Dieses Konzept überzeugt für die Email-Korrespondenz auf Anhieb: Das Versenden ist im Prinzip mit dem klassischen Briefversand gleichzusetzen, denn beide Kommunikationsformen dienen der Übermittlung von Inhalten zwischen Kommunikationspartnern. Lediglich das Übertragungsmedium ist 649 EGMR Nr. tes Königreich). 650 EGMR Nr. tes Königreich). 651 EGMR Nr. tes Königreich). 652 EGMR Nr. tes Königreich). 653 EGMR Nr. tes Königreich).

62617/00, Urteil vom 3. April 2007, Rn. 10 (Copland ./. Vereinig62617/00, Urteil vom 3. April 2007, Rn. 11 (Copland ./. Vereinig62617/00, Urteil vom 3. April 2007, Rn. 32 (Copland ./. Vereinig62617/00, Urteil vom 3. April 2007, Rn. 41 (Copland ./. Vereinig62617/00, Urteil vom 3. April 2007, Rn. 41 (Copland ./. Vereinig-

146

D. Europarechtliche Vorgaben für den Datenschutz

ein anderes, denn während der Brief über den konventionellen Postweg versandt wird, erfolgt die Zustellung von Emails auf elektronischem Wege via Internet. Zweifel bestehen hingegen bezüglich der undifferenzierten Übertragung der Amann-Rechtsprechung auf das Surfen im Internet, denn beim bloßen Aufruf von Homepages zur Informationsbeschaffung fehlt es typischerweise an der Kommunikation mit einem anderen beziehungsweise an der Übermittlung von Nachrichten. Unter diesem Gesichtspunkt muss zumindest die Einschlägigkeit des geschützten Bereichs der Korrespondenz ausscheiden. Etwas anderes könnte aber in Bezug auf den Begriff des Privatlebens gelten. Zwar ist das Privatleben auch auf den öffentlichen Bereich auszudehnen, aber der Kommunikationsvorgang nach außen ist nicht konstituierend für die Eröffnung des Schutzbereichs. Fraglich ist, ob der Vorgang der Informationsbeschaffung im Internet ausreichend ist, um den nötigen Zusammenhang zum Privatleben herzustellen. Auf diese Fragestellung geht der EGMR aber nicht ein. Dies kann man nur verstehen, wenn man nicht auf die möglichen Inhalte des Internetsurfverhaltens der Beschwerdeführerin abstellt, sondern auf die Daten, die während des Surfens anfallen, die dann wiederum erfasst und gespeichert werden. Diese geben nämlich zumindest Aufschluss darüber, dass die Betroffene überhaupt das Internet genutzt hat und dies möglicherweise zu privaten Zwecken. Hinzukommt wohl aus Sicht des Gerichtshofs die Tatsache, dass die Überwachung und Auswertung ohne das Wissen von Frau Copland geschah, so dass sie sich potenziell in Sicherheit bezüglich ihres Surfverhaltens und der Telefonnutzung fühlen konnte.654 Die durch das College vorgenommenen Aufzeichnungen sieht der EGMR daher als Speicherung personenbezogener Daten über das Privatleben der Beschwerdeführerin an, was in den Schutzbereich des Art. 8 EMRK fällt.655 (kk) K. U. ./. Finnland Im Urteil K. U. ./. Finnland spiegelt sich eine der klassischen Konfliktsituationen im Datenschutzrecht zwischen der Achtung des Privatlebens und der Meinungsfreiheit wider. Dem lag der Sachverhalt zugrunde, dass ein Unbekannter eine Anzeige im Internet geschaltet hat, in der er im Namen 654

EGMR Nr. 62617/00, Urteil vom 3. April 2007, Rn. 44 (Copland ./. Vereinigtes Königreich). 655 EGMR Nr. 62617/00, Urteil vom 3. April 2007, Rn. 43 (Copland ./. Vereinigtes Königreich).

II. Grundrechtliche Gewährleistungen

147

des minderjährigen Beschwerdeführers ohne dessen Wissen nach einer intimen Beziehung zu Männern suchte. Von dem Unbekannten war lediglich die dynamische IP-Adresse bekannt, jedoch weigerte sich der Access-Provider die Identität des Anschlussinhabers offenzulegen, da es im finnischen Recht an einer Ermächtigungsgrundlage zur Identifizierung fehle.656 Gegen Finnland wurde daher Beschwerde wegen Verletzung einer aus Art. 8 EMRK abgeleiteten Schutzpflicht erhoben, da der Gesetzgeber es versäumt habe, geeignete Vorschriften einzuführen, die die Zuordnung von IP-Adressen zu deren Nutzern, zumindest in dem Falle, dass diese Straftaten mittels des Internets begehen, ermöglichen.657 Der EGMR bejahte im Ergebnis eine Schutzpflichtverletzung des finnischen Staates. Auch wenn die Meinungsfreiheit und Vertraulichkeit der Kommunikation geschützt seien, um die Privatheit der Internetnutzer zu gewährleisten, könnten diese Garantien nicht absolut gewährleistet werden, sondern müssten immer in Beziehung zu den Rechten anderer oder der Straftataufklärung gesetzt werden.658 Dabei wies der Gerichtshof aber ausdrücklich darauf hin, dass diese Feststellung in keiner Weise die Frage beurteilen würde, ob sich der unbekannte Internetnutzer zur Wahrung seiner Anonymität selbst auf den Schutz von Art. 8 und/oder Art. 10 EMRK berufen könne.659 (d) Zwischenergebnis Der Schutzbereich des Art. 8 Abs. 1 EMRK erweist sich als flexibel, um neuen Gefährdungspotenzialen entgegenzutreten. So kann insbesondere unter die Achtung des Privatlebens auch der Datenschutz gefasst werden.660 Darüber hinaus findet in Teilen eine Verankerung des Datenschutzes in der Korrespondenz statt, die jegliche Kommunikationsform schützt. Aus einer Zusammenschau der dargestellten Urteile ergibt sich, dass sowohl Verbindungs- als auch Nutzungsdaten von Art. 8 EMRK geschützt werden.661 Zwar ergingen diese Urteile jeweils nur in Bezug auf die Tele656

EGMR Nr. 2872/02, Urteil vom 2. Dezember 2008, Rn. 7 ff. (K. U. ./. Finn-

land). 657

EGMR Nr. 2872/02, Urteil vom 2. Dezember 2008, Rn. 36 (K. U. ./. Finn-

land). 658

EGMR Nr. 2872/02, Urteil vom 2. Dezember 2008, Rn. 49 (K. U. ./. Finn-

land). 659

s. Fn. 658. Marauhn/Meljnik, in: Marauhn/Grote, Kap. 16, Rn. 10, 29; Rengeling/Szczekalla, Rn. 680. 661 So im Ergebnis auch Gridl, S. 119. 660

148

D. Europarechtliche Vorgaben für den Datenschutz

fonüberwachung, allerdings lässt sich festhalten, dass die diesbezüglich getroffenen Entscheidungen und Wertungen auch im Rahmen der anderen Telekommunikationsmittel gelten, da dort ebenfalls die genannten Daten anfallen.662 Das Pendant zu dem in Art. 10 GG gewährleisteten Fernmeldegeheimnis findet sich demnach implizit auch in Art. 8 EMRK wieder.663 Eine andere Beurteilung erscheint auch nicht vertretbar, da der Gewährleistungsumfang nicht von der Art des gewählten Kommunikationsmittels abhängen darf. Insbesondere wäre eine technikabhängige Lösung kaum praktikabel, da immer weitere Kommunikationsformen und -entwicklungen auf den Markt drängen. Festzuhalten bleibt mithin, dass das Sammeln, Speichern und Verarbeiten von IP-Adressen als Verkehrsdaten in den Schutzbereich des Art. 8 EMRK fällt. Verkehrsdaten erfahren einen umfassenden Schutz sowohl durch die Gewährleistung des Rechts auf Privatleben als auch durch den Schutz der Korrespondenz, zumindest in den Fällen, wenn die Internetverbindung einer konkreten Kommunikation dient. Schließlich hebt der EGMR die Datenschutzkonvention in seiner Rechtsprechung als den Schutzbereich von Art. 8 EMRK konkretisierende Regelung hervor, weswegen auf diese später noch genauer eingegangen wird.664 bb) Art. 10 EMRK Teilweise wird der Datenschutz in der Literatur auch in Art. 10 EMRK verortet.665 Im Vordergrund des Art. 10 EMRK steht zweifelsohne die Gewährleistung der Meinungsfreiheit. Dadurch wird das Recht garantiert, frei seine Meinung zu äußern und dies in jedweder denkbaren und technisch möglichen Kommunikationsform.666 Daneben wird vom Schutzbereich auch die Pressefreiheit umfasst.667 Im Zentrum der letztgenannten Freiheit steht vor allem auch der sogenannte Quellen- oder Informantenschutz.668 Geht man davon aus, dass Jour662 663

Gridl, S. 284. So auch Klesczewski, in: FS Fezer, S. 19 (20, 24); Zöller, GA 2007, 393

(410). 664

s. unten D. II. 2. Von einer „Verwischung der Grenze“ von Art. 8 EMRK zu Art. 10 EMRK sprechen etwa Marauhn/Meljnik, in: Marauhn/Grote, Kap. 16, Rn. 60. 666 Frowein, in: Frowein/Peukert, Art. 10, Rn. 5, Kugelmann, EuGRZ 2003, 16 (19). 667 Frowein, in: Frowein/Peukert, Art. 10, Rn. 3 ff., 15 ff. 668 Frowein, in: Frowein/Peukert, Art. 10, Rn. 17; Meyer-Ladewig, Art. 10, Rn. 25. 665

II. Grundrechtliche Gewährleistungen

149

nalisten durch staatliche Stellen dazu verpflichtet werden sollen, die (personenbezogenen) Daten ihrer Informanten preis zu geben, dann wird deutlich, dass Art. 10 EMRK auch zur Gewährleistung des Datenschutzes beitragen kann. In Bezug auf den Schutz von IP-Adressen wäre beispielweise folgender Sachverhalt denkbar: ein Journalist und seine „Quelle“ treffen sich in einem Online-Forum, um so Informationen auszutauschen, die der Journalist für einen Artikel benötigt. Der Informant ist zur Informationsweitergabe aber nur bereit, wenn er anonym bleibt. Die bei dem „Treffen“ verwendeten IPAdressen werden jedoch aufgezeichnet und die Daten den Akteuren zugeordnet, so dass der Nachweis gelingt, dass beide zueinander in Kontakt standen. In diesen Fallkonstellationen ist der Datenschutz eher eine Begleiterscheinung für die effektive Gewährleistung der Pressefreiheit, die weiterhin im Vordergrund bleibt: Primär hat Art. 10 EMRK nämlich den Schutz des Informationsauftrages der Presse gegenüber der Öffentlichkeit im Blick. Dieser kann aber nur dann erfüllt werden, wenn die im Pressewesen Tätigen an die entsprechenden Informationen gelangen können. Unerlässliche Voraussetzung dafür ist aber wiederum der Informantenschutz, so dass über Art. 10 EMRK zwar auch Daten des Einzelnen geschützt werden können, was aber nicht den eigentlichen Gehalt der Grundrechtsgewährleistung ausmacht.669 Anders könnte die Betrachtung in Bezug auf die Einbeziehung des Datenschutzes im Rahmen der Meinungsfreiheit ausfallen: In dem Fall, in dem es beim Surfen im Internet um den bloßen Zugang zu Informationen oder Meinungen geht oder aber das Verbreiten von Meinungen an die Allgemeinheit beabsichtigt ist, ist keine Kommunikation im Sinne einer Korrespondenz wie sie Art. 8 EMRK versteht, gegeben, da es an einem bestimmten Kommunikationspartner fehlt. Allerdings steht neben der Korrespondenz auch der Schutzbereich des Privatlebens in Art. 8 EMRK zur Verfügung, um in diesen Konstellationen als datenschutzrechtliche Gewährleistung einzugreifen. Durch die (nicht nur anlasslose) Speicherung von Verbindungsdaten kann das Gefühl einer diffusen Beobachtungssituation durch staatliche Organe entstehen, was die eingeschränkte Nutzung des Internet zur Folge haben kann. Unter diesem Aspekt ist auch die von Art. 10 EMRK umfasste Meinungsfreiheit in ihrem Schutzbereich tangiert, da es zu einem Verzicht auf die grundsätzlich gewährleistete Freiheit kommt.670 669

So im Ergebnis auch Brunst, S. 298. Am Beispiel des Eingriffs der anlasslosen Vorratsdatenspeicherung: Klug/Reif, RDV 2008, 87 (91). 670

150

D. Europarechtliche Vorgaben für den Datenschutz

Fraglich ist daher, wo die Grenze zwischen der Meinungsfreiheit und der Achtung des Privatlebens verläuft. Dabei ist zwischen den Kernbereichen der grundrechtlichen Gewährleistungen zu unterscheiden: Während Art. 8 EMRK vor allem die Vertraulichkeit der Informationsabfrage und -weitergabe umfasst, fokussiert der Schutzbereich der Meinungsfreiheit vorrangig den eigentlichen Inhalt der Kommunikation, dementsprechend die tatsächliche Meinungskundgabe nach außen.671 Die Bezugnahme auf lediglich das Grundrecht, das vom Schwerpunkt des Eingriffs am stärksten betroffen ist, scheint mit der Rechtsprechung des EGMR in Einklang zu stehen. Der Gerichtshof bezieht sich in Fällen, in denen Schutzbereiche mehrerer Konventionsrechte einschlägig sind, lediglich auf jenen, den er zuvörderst für eingeschränkt hält. Ein Rückgriff auf die weiteren Gewährleistungen erfolgt dann nicht mehr.672 Schließlich können die Ausführungen zur Meinungsfreiheit ebenso auf die Informationsfreiheit übertragen werden, die in Art. 10 Abs. 1 S. 2 EMRK als eine weitere Schutzrichtung gewährleistet wird. Dazu zählt das Recht auf Informationszugang bezüglich solcher Informationen, die jedermann zur Verfügung gestellt werden sollen.673 Zur Informationsbeschaffung in diesem Sinne gehört unter anderem auch die Internetrecherche.674 Als Ergebnis festzuhalten bleibt, dass Art. 10 EMRK in seinen unterschiedlichen Ausprägungen zwar nicht primär der Gewährleistung des Datenschutzrechtes dient, aber durch den Schutz der inhaltlichen Ebene der Kommunikation und Informationsbeschaffung gleichzeitig auch den Datenschutz mit umfasst. Dieser ist unerlässlich, um die in Art. 10 EMRK gewährleisteten Freiheiten auszuüben. 2. Übereinkommen des Europarates zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten Das Übereinkommen des Europarates zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Datenschutzkonvention) ist am 1. Oktober 1985 in Kraft getreten.675 Diese Konvention stellt das erste völkerrechtlich verbindliche Instrument zur Wahrung und zum 671

Uerpmann-Wittzack, in: Ehlers/Becker, § 3, Rn. 6. Vgl. mit Verweis auf die einschlägigen Beispiele Meyer-Ladewig, Art. 10, Rn. 43. 673 Meyer-Ladewig, Art. 10, Rn. 14. 674 Kugelmann, EuGRZ 2003, 16 (20). 675 BGBl. 1985 II, 538. 672

II. Grundrechtliche Gewährleistungen

151

Schutz personenbezogener Daten dar und wurde von allen Mitgliedstaaten der Union ratifiziert.676 Die Konvention steht aber auch der Ratifikation durch Nichtmitgliedstaaten des Europarates offen.677 Die Konvention hat Auswirkungen auf die Interpretation der EMRK.678 So nimmt der EGMR in seiner datenschutzrechtlichen Rechtsprechung ausdrücklich Bezug auf die Gewährleistungen der Konvention, um den Schutzbereich des Art. 8 EMRK zu konkretisieren.679 Umfasst wird von der Datenschutzkonvention jegliche automatisierte Datenverarbeitung, somit auch Vorgänge im Internet, wie das Erheben oder Speichern von IP-Adressen. Ebenso wie im Rahmen der Datenschutz-RL kommt es nicht darauf an, ob die Verarbeitung von staatlicher oder privater Seite erfolgt (Art. 3 Abs. 1).680 Die in dem Übereinkommen festgelegten Datenschutzgrundsätze finden sich weitestgehend auch in der allgemeinen Datenschutz-RL wieder: So wird das Übereinkommen ebenfalls durch den Zweckbindungsgrundsatz (Art. 5b) und die eingeschränkte Erfassung der in Rede stehenden Daten (Art. 5a) geprägt. In Art. 2 lit. a) der Datenschutzkonvention findet sich ebenfalls der Begriff der personenbezogenen Daten legal definiert. Im Sinne des Übereinkommens umfassen personenbezogene Daten jede Information über eine bestimmte oder bestimmbare natürliche Person. Auch hier findet sich dementsprechend die Bezugnahme auf die Bestimmbarkeit als unerlässliche Voraussetzung für den Personenbezug wieder. Anders als die DatenschutzRL enthält die Konvention jedoch keine Erwägungsgründe, so dass kein Maßstab zur Auslegung der Bestimmbarkeit an die Hand gereicht wird. Nach Verabschiedung der Datenschutzkonvention hat das Ministerkomitee des Europarates im Jahre 1999 das Thema Datenschutz nochmals auf die Agenda gesetzt und in einer Empfehlung681 Leitlinien zum Personenschutz im Hinblick auf die Erhebung und Verarbeitung von Personendaten auf den „Datenautobahnen“ verabschiedet. Zwar geht das Komitee in keiner Weise auf den in den Leitlinien zugrunde gelegten Begriff der Personen676 Hustinx, in: Nizza, die Grundrechte-Charta und ihre Bedeutung für die Medien in Europa, S. 89 (90); Johlen, in: Tettinger/Stern, Art. 8, Rn. 21; Schaar, Datenschutz im Internet, Rn. 84; Scholz, S. 114; Tinnefeld/Ehmann/Gerling, S. 103. 677 Burkert, in: Roßnagel, 2.3 Internationale Grundlagen, Rn. 27. 678 Burkert, in: Roßnagel, 2.3 Internationale Grundlagen, Rn. 30. 679 s. dazu bereits D. II. 1. c) aa) (2) (c) (gg)). 680 Gridl, S. 193. 681 Empfehlung Nr. R (99) 5 des Ministerkomitees an die Mitgliedstaaten über den Schutz des Privatlebens im Internet vom 23. Februar 1999.

152

D. Europarechtliche Vorgaben für den Datenschutz

daten ein, jedoch wird insbesondere im Rahmen der Präambel herausgestellt, welche Grundrechtssensibilität das Thema Datenschutz im Internet besitzt. Betont wird, dass die Datenerhebung und -verarbeitung auf „Datenautobahnen“682 Risiken für das Privatleben der Menschen mit sich bringt. Dabei unterfällt die Kommunikation mithilfe der neuen Technologien insbesondere im Rahmen von Art. 8 EMRK der Achtung des Privatlebens und des Briefgeheimnisses. Explizit werden die Internetnutzer daran erinnert, dass das Internet nicht sicher ist. Aus dem Gehalt der Empfehlungen ergibt sich daher, dass das Ministerkomitee von einem hohen Gefahrenpotential bei der Internetnutzung ausgeht. Schutz davor soll neben der Datenschutzkonvention Art. 8 EMRK bieten, so dass diese Vorschriften im Sinne eines umfassenden Schutzniveaus möglichst weit ausgelegt werden müssen. 3. Relevanz der Unionsgrundrechte bei der Auslegung des deutschen Rechts Neben den Gewährleistungen der EMRK steht der unionale Grundrechtsschutz. Die unionsrechtlichen Grundrechte gelten überall dort, wo auch Unionsrecht seine Anwendung findet.683 Das führt dazu, dass zum einen die Handlungen der Organe der EU an den Grundrechten der Union zu messen sind684 und zum anderen die Mitgliedstaaten bei der Durchführung von Unionsrecht die unionsrechtlichen Gewährleistungen einhalten müssen.685 Insbesondere müssen die Mitgliedstaaten bei der Umsetzung von Richtlinien in nationales Recht die Unionsgrundrechte achten.686 Gemeinhin werden Auslegungsfragen im nationalen deutschen Recht unter Zuhilfenahme der höherrangigen deutschen Norm – üblicherweise des Grundgesetzes bei der Auslegung formeller Gesetze – beantwortet. Diese herkömmliche Methode steht aber bei Vorschriften, die auf europäischem Recht basieren, in Rede. Die Problematik der Rangordnung der bei der Auslegung zu berücksichtigenden höherrangigen Vorschriften rückt daher immer stärker ins Zentrum der Diskussion.687 682

Mit Datenautobahnen ist das Internet gemeint. Kraus, in: Marauhn/Grote, Kap. 3, Rn. 65. 684 Siemen, S. 33. 685 Die weiteren Fälle, in denen Unionsgrundrechte zur Anwendung gelangen, nämlich bei der mitgliedstaatlichen Beschränkung einer Grundfreiheit oder einer anderen geschützten Rechtsposition und bei der Anwendung von Gemeinschaftsrecht kraft innerstaatlicher Verweisung, spielen für die folgende Untersuchung keine weitere Rolle und müssen daher nicht dargestellt werden. Ausführlich aber dazu Kraus, in: Marauhn/Grote, Kap. 3, Rn. 68, 69. 686 Kraus, in: Marauhn/Grote, Kap. 3, Rn. 67. 683

II. Grundrechtliche Gewährleistungen

153

Dies gilt umso mehr, da mittlerweile eine Vielzahl688 der nationalen Vorschriften auf unionsrechtlichen Vorgaben wie den Richtlinien beruht. So wird vertreten, dass jede nationale Vorschrift, die aufgrund einer Richtlinie erlassen wurde, anhand des Unionsrechts – insbesondere unter Berücksichtigung der europäischen Grundrechte – ausgelegt werden muss.689 Dabei steht aber die Frage im Raum, ob der deutsche Gesetzgeber oder spätere Rechtsanwender auch dann an die europäischen Grundrechte gebunden ist, wenn dem Nationalstaat bei der Umsetzung, wie bei Richtlinien üblich, ein Gestaltungsspielraum zu Gute kommt.690 In Betracht kommt einerseits die Möglichkeit, lediglich nationale Grundrechte als Maßstab für die Ausgestaltung zu Rate zu ziehen.691 Andererseits wird vertreten, dass auch im Rahmen der nationalen Ausfüllung von Umsetzungsspielräumen die Bindung an europäische Grundrechte bestehe.692 Dies sei die einzige Möglichkeit, um einen unionsweiten, einheitlichen Grundrechtsstandard zu gewährleisten.693 Die Erforderlichkeit der einheitlichen Auslegung ergebe sich daraus, dass die nationale Gesetzgebung unionsrechtlich veranlasst sei.694 Eine weitere Sichtweise besteht darin, die Bindung an die Unionsgrundrechte davon abhängig zu machen, ob dem nationalen Gesetzgeber ein Umsetzungsspielraum zugestanden wird. Sollte ein solcher fehlen, kämen allein die Unionsgrundrechte als Prüfungsmaßstab in Betracht.695 Die Rechtslage bis zum Inkrafttreten des Vertrages von Lissabon am 1. Dezember 2009 war weitestgehend durch die Rechtsprechung des EuGH geprägt.696 Eine umfassende Bindung der Mitgliedstaaten an die Unionsgrundrechte stand dabei nie zur Debatte. Voraussetzung für die Bindung ist nach bisheriger stetiger Rechtsprechung ein hinreichender Gemeinschafts687

Vgl. zuletzt etwa Ritter, NJW 2010, 1110 ff. Zur genauen Berechnung des Verhältnisses zwischen rein nationalem und europäischem Recht siehe Hoppe, EuZW 2009, 168 ff. 689 Ritter, NJW 2010, 1110 (1112). 690 Vgl. Jarass, § 4, Rn. 13. 691 Kingreen, in: Callies/Ruffert, Art. 51 GrCh, Rn. 12; Weber, NJW 2000, 537 (542). 692 EuGH Rs. 2/92, Slg. 1994, I-955, Rn. 16; Ehlers, in: Ehlers, § 14, Rn. 50; Jarass, § 4, Rn. 13; Ritter, NJW 2010, 1110 (1112); wohl bejahend, aber zweifelnd Störmer, AöR 123 (1998), 541 (567 f.). 693 Ranacher, ZÖR Bd. 58 (2003), 21 (41). 694 Kühling, in: von Bogdandy/Bast, S. 657 (682). 695 BVerfG NJW 1987, 577; NJW 2000, 3124 (3124 f.); NJW 2001, 1267; NVwZ 2007, 937 (938 f.); NVwZ 2007, 942; Ziegenhorn, NVwZ 2010, 803 (806 f.). 696 Frenz, Bd. 4, Rn. 222, 224; Scheuing, EuR 2005, 162. 688

154

D. Europarechtliche Vorgaben für den Datenschutz

bezug, der dann besteht, wenn die Mitgliedstaaten „im Anwendungsbereich des Gemeinschaftsrechts“ handeln.697 Zur Konkretisierung dieser Formel hat der Gerichtshof im Laufe der Zeit698 Fallgruppen entwickelt, die die mitgliedstaatliche Bindung an die grundrechtlichen Gewährleistungen auf Unionsebene konkretisieren.699 Zum einen werden Konstellationen erfasst, in denen Mitgliedstaaten Gemeinschaftsrecht durchführen, wobei es nicht darauf ankommt, ob dies anhand abstrakt-genereller oder konkret-individueller Umsetzungsakte geschieht.700 Ausdrücklich sollen die Mitgliedstaaten auch dann an die Unionsgrundrechte gebunden sein, wenn sie Richtlinien mit Beurteilungsspielraum in nationales Recht umsetzen.701 Die Bindungswirkung wird unter anderem damit begründet, dass die mitgliedstaatliche Durchführung oder Umsetzung von Unionsrecht einer sogenannten „agency-situation“ entspricht, die als eine Art Auftragsverwaltung bezeichnet werden kann.702 Auf Unionsrecht zurückzuführende Rechtsakte, die den Bürger unmittelbar betreffen, sollen nicht einem unterschiedlichen Grundrechtsmaßstab unterliegen, je nachdem, ob die Union selbst handelt oder – was üblicher ist – die Mitgliedstaaten für die Union tätig werden.703 Schließlich kann es auch – wie bereits dargestellt704 – zu einer mittelbaren Bindung an die Unionsgrundrechte kommen705, die aber im Vergleich zu der unmittelbaren Bindung zu keinen anderen Ergebnissen führt. Zum anderen sollen die Mitgliedstaaten dann an die Grundrechte gebunden sein, wenn sie die im Unionsrecht gewährleisteten Grundfreiheiten einschränken.706 Die eben aufgeführte „agency-situation“ kann hier aber nicht 697

EuGH Rs. C-260/89 (ERT), Slg. 1991, I-2925, Rn. 42. Die Entwicklung begann mit dem Urteil in der Rechtssache Wachauf, EuGH Rs. 5/88, Slg. 1989, 2609 (2639 f.). 699 Dazu kritisch Kühling, in: von Bogdandy/Bast, S. 657 (685): „Letztlich fehlt der gesamten Rechtsprechung des EuGH zur vertikalen Reichweite der Grundrechte jegliche explizite Reflektion der sie tragenden Gründe.“ 700 Diese Konstellation trat erstmalig im Urteil in der Rechtssache Wachauf, EuGH Rs. 5/88, Slg. 1989, 2609 (2639 f.), auf. 701 EuGH C 540/03 (Europäisches Parlament/Rat), NVwZ 2006, 1033, Rn. 71, 104 f.; Ranacher, ZÖR Bd. 58 (2003), 21 (30 ff.). 702 Frenz, Bd. 4, Rn. 226; Ladenburger, in: Tettinger/Stern, Art. 51 GrCh, Rn. 26; Schilling, EuGRZ 2000, 3 (35). 703 Ladenburger, in: Tettinger/Stern, Art. 51 GrCh, Rn. 26. 704 s. D. II. 4. a) cc). 705 Callies, JZ 2009, 113 (116). 706 Vgl. dazu in der diesbezüglichen Leitentscheidung in der Rechtssache ERT, EuGH Rs. C-260/89, Slg. 1991, I-2964, Rn. 42–45. Weiterhin EuGH Rs. C-389/95 698

II. Grundrechtliche Gewährleistungen

155

zur Begründung der Grundrechtsbindung dienen. Schließlich schränken Mitgliedstaaten Grundfreiheiten nicht im Unionsinteresse ein, sondern die Durchsetzung nationaler Interessen steht bei der Beschränkung von Grundfreiheiten im Vordergrund.707 Für die Grundrechtsbindung wird aber ins Feld geführt, dass eine Trennung zwischen der notwendig vorzunehmenden Verhältnismäßigkeitsprüfung und der damit häufig einhergehenden Grundrechtsprüfung kaum möglich sei.708 Unter der Geltung der Charta spiegelt sich die Problematik in Art. 51 Abs. 1 GrCh wider, wonach die Mitgliedstaaten ausschließlich bei der Durchführung des Rechts der Union an diese gebunden sind. Insoweit steht in Frage, was unter der mitgliedstaatlichen „Durchführung“ zu verstehen ist und ob die bisherige Rechtsprechung des EuGH zur Bindung der Mitgliedstaaten an die Unionsgrundrechte durch diese Formulierung übernommen werden sollte.709 Der Entstehungsgeschichte der Vorschrift und den Erläuterungen des Grundrechtskonvents zu Art. 51 Abs. 1 GrCh kann keine bewusste und gewollte Abkehr von der Rechtsprechung entnommen werden.710 Vielmehr wurde durch die Formulierung der Vorschrift ein eher restriktiver Ansatz zur Anwendbarkeit der Charta für die Mitgliedstaaten verfolgt.711 Allerdings ist zu beachten, dass diese Auslegungshilfen des Konvents keinesfalls den Grad der Verbindlichkeit erreichen712 und somit auch eine andere Sichtweise vertretbar erscheint. Beachtenswert ist in diesem Zusammenhang jedoch, dass die Präambel der Charta eine Auslegung der dort garantierten Rechte unter gebührender Berücksichtigung der Erläuterungen des Grundrechtskonvents einfordert.713 Unstrittig ist weiterhin, dass die Durchführung des Unionsrechts weiterhin als Oberbegriff für unterschiedliche nationalstaatliche Handlungen gesehen werden kann: Zum einen solle darunter die gesetzgeberische Umset(Familiapress), Slg. 1997, I-3717, Rn. 24; Rs. C-112/00 (Schmidberger), Slg. 2003, I-5718, Rn. 74, 77; Rs. C-36/02 (Omega), Slg. 2004, I-9653, Rn. 35. 707 Kingreen, in: Callies/Ruffert, 3. Aufl., Art. 6 EUV, Rn. 61 f. 708 Ladenburger, in: Tettinger/Stern, Art. 51 GrCh, Rn. 27. 709 Dass eine Änderung der Rechtsprechung als wenig wahrscheinlich gilt, vertritt Frenz, Bd. 4, Rn. 277. 710 Callies, JZ 2009, 113 (115); Ehlers, in: Ehlers, § 14, Rn. 53 ff.; Frenz, Bd. 4, Rn. 276. 711 Huber, NJW 2011, 2385 (2387 f.); Ladenburger, in: Tettinger/Stern, Art. 51 GrCh, Rn. 22. 712 Frenz, Bd. 4, Rn. 276. 713 s. dort Satz 9.

156

D. Europarechtliche Vorgaben für den Datenschutz

zung von Richtlinien zu verstehen sein und zum anderen der verwaltungsrechtliche Vollzug von Verordnungen oder nationalem Umsetzungsrecht.714 Der Begriff der „Durchführung“ in Art. 51 Abs. 1 GrCh ist im Rahmen einer bloßen Wortlautbetrachtung enger zu verstehen als die bisher vom EuGH geprägte Formel des „Anwendungsbereichs“ des Unionsrechts.715 Einigkeit besteht ferner darüber, dass die Formulierung „Durchführung“ in Art. 51 Abs. 1 GrCh jedenfalls keine Anwendungserweiterung der Unionsgrundrechte gegenüber den äußersten Grenzen der EuGH-Rechtsprechung zulässt.716 So wird es zur Begründung der Bindung der Mitgliedstaaten an die Unionsgrundrechte bezüglich der Überprüfung nationalen Handelns nicht ausreichen, dass dieses lediglich von den Unionskompetenzen erfasst wird.717 Daneben ist zu beachten, dass die Rechtsprechung des EuGH im Wege der allgemeinen Rechtsgrundsätze nach Art. 6 Abs. 3 EUV weiterhin Anwendung findet.718 Mit dem Eintritt der Verbindlichkeit der Charta sollten nicht die bisherigen Grundrechtsgewährleistungen ersetzt werden. Vielmehr treten die Rechte der Charta neben die in den allgemeinen Rechtsgrundsätzen verankerten. Daher ist die Rechtsprechung des EuGH zur Bindung der Mitgliedstaaten an die Unionsgrundrechte zumindest für die allgemeinen Rechtsgrundsätze weiterhin von Bestand. Daraus folgt, dass auch für die Mitgliedstaaten, die sich die Verbindlichkeit der Charta abbedungen haben,719 weiterhin die Grundrechtsgarantien, wie sie über die allgemeinen Rechtsgrundsätze im Unionsrecht nach Art. 6 Abs. 3 EUV verankert sind, gelten. Sieht man vor diesem Hintergrund in Art. 51 Abs. 1 GrCh keine Übernahme der EuGH-Rechtsprechung, so hätte dies ein Auseinanderfallen der 714 Frenz, Bd. 4, Rn. 243; Hatje, in: Schwarze, Art. 51 GrCh, Rn. 18; Kingreen, in: Callies/Ruffert, Art. 51 GrCh, Rn. 8, 10; Ladenburger, in: Tettinger/Stern, Art. 51 GrCh, Rn. 35; Streinz/Michl, in: Streinz, Art. 51 GrCh, Rn. 7. 715 Insbesondere ist fraglich, ob durch die Formulierung der Charta – „bei der Durchführung des Rechts der Union“ – die Bindung der Mitgliedstaaten an die Grundrechte bei der Beschränkung von Grundfreiheiten aufrecht gehalten werden kann. Da diese Fallkonstellation für die in dieser Arbeit zu bearbeitende Fragestellung aber nicht relevant ist, kann diese hier offen bleiben. Dafür, dass auch diese Fallgruppe noch unter Art. 51 Abs. 1 S. 1 GrCh fällt, spricht sich Ladenburger, in: Tettinger/Stern, Art. 51 GrCh, Rn. 23, aus. Eine Übersicht zu den unterschiedlichen Argumenten ist zu finden bei Frenz, Bd. 4, Rn. 262 ff., insbesondere Rn. 274 ff. 716 Kühling, in: von Bogdandy/Bast, S. 657 (685). 717 Ladenburger, in: Tettinger/Stern, Art. 51 GrCh, Rn. 28. A. A. Rengeling/ Szczekalla, Rn. 325. 718 Kühling, in: von Bogdandy/Bast, S. 657 (683). 719 s. Protokoll Nr. 30 über die Anwendung der Charta der Grundrechte auf Polen und das Vereinigte Königreich.

II. Grundrechtliche Gewährleistungen

157

Anwendungsbereiche der Grundrechtskataloge zur Folge. Die Garantien der Charta würden bei der Umsetzung von Richtlinien mit Beurteilungsspielraum keine Berücksichtigung finden, während aber gleichsam die Grundrechte im Rahmen der allgemeinen Rechtsgrundsätze zu berücksichtigen wären.720 Im Ergebnis ist daher festzuhalten, dass zumindest was die Richtlinienumsetzung in nationales Recht angeht, die Mitgliedstaaten weiterhin an die Unionsgrundrechte gebunden sind. Dies gilt erst recht für Konstellationen, in denen ihnen kein Umsetzungsspielraum im Rahmen der nationalen Gesetzgebung zukommt. Aus der Unionsgrundrechtsbindung folgt zugleich, dass diese bei der Auslegung des einfachen nationalen Gesetzesrechts berücksichtigt werden müssen. In Bezug auf die Umsetzung des Art. 2 lit a) RL 95/46/EG, der den Begriff des personenbezogenen Datums definiert, wurde bereits festgestellt, dass dem nationalen Gesetzgeber kein Spielraum zusteht.721 Insofern ist die nationale Umsetzungsvorschrift des § 3 Abs. 1 BDSG nach allen soeben genannten Ansichten nach den Maßstäben der Unionsgrundrechte zu überprüfen und auszulegen. Im Folgenden ist daher der unionale Grundrechtsrahmen anhand der weiterhin geltenden allgemeinen Rechtsgrundsätze und der Bestimmungen der Charta der Grundrechte der Europäischen Union abzustecken. 4. Allgemeine Rechtsgrundsätze Geprägt wurde der Grundrechtsmaßstab auf Unionsebene lange Zeit alleine durch die Rechtsprechung des EuGH, der die Grundrechte in stetiger Rechtsprechung als allgemeine Rechtsgrundsätze anerkennt.722 Diese sind durch das Inkrafttreten des Vertrages von Lissabon und der damit erreichten Verbindlichkeit der Charta nicht obsolet geworden, sondern vielmehr gemäß Art. 6 Abs. 3 EUV weiterhin bei der Bestimmung des unionsrechtlichen Grundrechtsmaßstabes mit ausschlaggebend. 720 So im Ergebnis auch Kühling, in: von Bogdandy/Bast, S. 657 (683), der von der Forcierung einer „unerfreulichen Zweiteilung von Chartagrundrechten und allgemeinen Rechtsgrundsätzen“ spricht. 721 s. hierzu die Ausführungen in D. I. 1. a). 722 Erstmals in: EuGH Rs. 29/69, Slg. 1969, 419 (425), Rn. 7 (Stauder). Für das Grundrecht bezüglich des Schutzes personenbezogener Daten kann dies seit dem Urteil in der Rs. Promusicae (EuGH Rs. C-274/06, Rn. 63, abgedruckt in MMR 2008, 227 (229)) gelten.

158

D. Europarechtliche Vorgaben für den Datenschutz

a) Datenschutzrechtliche Rechtsprechung des EuGH Im Folgenden sollen daher die Urteile des EuGH dargestellt werden, die hinsichtlich eines unionsrechtlichen Grundrechts auf Datenschutz als prägend angesehen werden können und mögliche Anhaltspunkte für die Auslegung des Begriffs der personenbezogenen Daten liefern. aa) Rechtssache Stauder Als erster Fall, dem ein datenschutzrechtlicher Hintergrund innewohnt, gilt die Rechtssache Stauder.723 Dabei stand unter anderem die Frage im Raum, ob es mit den allgemeinen Rechtsgrundsätzen des Gemeinschaftsrechts vereinbar sei, die Abgabe verbilligter Butter an Empfänger bestimmter sozialer Hilfen, an die Offenbarung des Namens des Empfängers gegenüber dem Verkäufer zu knüpfen.724 Der nationalen Vorschrift lag eine Entscheidung der Kommission zugrunde, die bestimmte, dass die zuvor genannten Begünstigten Butter nur gegen einen auf ihren Namen ausgestellten Gutschein erhalten könnten.725 Nach der französischen und italienischen Fassung der Kommissionsentscheidung war hingegen nur ein „individualisierter“ Gutschein vonnöten, ohne dass die Nennung des Namens konkret vorgeschrieben wurde. Nach Eingang des Vorlagebeschlusses beim EuGH wurde die deutsche Fassung der Entscheidung in der Formulierung an die französische und italienische angepasst.726 Der EuGH entschied, dass bei einer Entscheidung, die an alle Mitgliedstaaten gerichtet ist, diejenige Auslegung des Wortlautes zu wählen ist, die bei effektiver Zweckverfolgung am wenigsten in die Rechte des Betroffenen eingreift.727 Insofern genüge ein individualisierter Gutschein. Allerdings stellte der EuGH fest, dass die Entscheidung dadurch weder die namentliche Nennung fordert noch verbietet. Der Mitgliedstaat sei bei der Umsetzung der Entscheidung frei.728 Beachtlich ist aber die Feststellung, die am Ende des Urteils getroffen wird: Die Auslegung der streitigen Vorschrift enthalte nichts, was die von den allgemeinen Grundsätzen der Gemeinschaftsordnung umfassten Grund723

EuGH Rs. EuGH Rs. 725 Art. 4 der L 52/9). 726 Art. 2 der L 200/29). 727 EuGH Rs. 728 EuGH Rs. 724

29/69, Slg. 1969, 419 ff. (Stauder). 29/69, Slg. 1969, 419 (420) (Stauder). Entscheidung der Kommission vom 12. Februar 1969 (ABl. 1969, Entscheidung der Kommission vom 9. August 1969 (ABl. 1969, 29/69, Slg. 1969, 419 (425), Rn. 4 (Stauder). 29/69, Slg. 1969, 419 (425), Rn. 6 (Stauder).

II. Grundrechtliche Gewährleistungen

159

rechte in Frage stelle.729 Hier anerkennt der EuGH nicht nur, dass Grundrechte zu den allgemeinen Grundsätzen der Gemeinschaft gehören, sondern geht implizit auch davon aus, dass personenbezogene Daten – sei es der Name als solcher oder Daten, die eine Person individualisieren können – von den Gemeinschaftsgrundrechten geschützt werden. Allerdings fehlt es an einer Konkretisierung des genauen Schutzumfanges.730 Insbesondere fehlt es auch an einer Begrenzung auf Daten, die zwingend mit dem Privatleben des Einzelnen in Verbindung gebracht werden müssten.731 bb) Rechtssache Fisheries and Food Im Rahmen des Vorabentscheidungsverfahrens in der Rechtssache Fisheries and Food ging es unter anderem um die Auslegung der Art. 3 und Art. 9 der Verordnung Nr. 3508/92. Diesbezüglich war fraglich, ob diese Vorschriften in Verbindung mit den allgemeinen Grundsätzen des Gemeinschaftsrechts eine Weitergabe von in der Verordnung näher bestimmten Daten an Dritte zulassen.732 Im Rahmen der Beantwortung der Vorlagefrage ging der EuGH erstmals auf die allgemeine Datenschutz-RL 95/46/EG ein.733 Diese war zum maßgeblichen Zeitpunkt im Ausgangsverfahren zwar noch nicht in Kraft getreten, allerdings konkretisiere die allgemeine Datenschutzrichtlinie die auf Gemeinschaftsebene bestehenden allgemeinen Grundsätze, die sich bereits aus den Rechtsordnungen der Mitgliedstaaten ableiten ließen.734 Um die grundrechtliche Beurteilung der Weitergabe von persönlichen Daten an einen Dritten vorzunehmen, nahm der EuGH daher unmittelbar Bezug auf die Vorschriften der allgemeinen Datenschutz-RL.735 cc) Rechtssache Österreichischer Rundfunk In dem Urteil Österreichischer Rundfunk steht erstmals die Auslegung einzelner Bestimmungen der Datenschutzrichtlinie 95/46/EG anhand der 729

EuGH Rs. 29/69, Slg. 1969, 419 (425), Rn. 7 (Stauder). Auch GA Karl Roemer machte in seinen Schlussanträgen keine Ausführungen zur Vereinbarkeit der Kommissionsentscheidung mit den Grundrechten; vgl. SA GA Roemer, Rs. 29/69, Slg. 1969, 419 (427 ff.) (Stauder). 731 Siemen, S. 225. 732 EuGH Rs. C-369/98, Slg. 2000, I-06751, Rn. 22 (Fisheries and Food). 733 EuGH Rs. C-369/98, Slg. 2000, I-06751, Rn. 33 (Fisheries and Food). 734 EuGH Rs. C-369/98, Slg. 2000, I-06751, Rn. 34 (Fisheries and Food). Insofern folgte der EuGH den Schlussanträgen des Generalanwaltes Alber, siehe SA GA Alber, Rs. C-369/98, Slg. 2000, I-06751, Rn. 44 (Fisheries and Food). 735 EuGH Rs. C-369/98, Slg. 2000, I-06751, Rn. 35 (Fisheries and Food). 730

160

D. Europarechtliche Vorgaben für den Datenschutz

Unionsgrundrechte im Mittelpunkt.736 Das Urteil ist im Rahmen eines Vorabentscheidungsverfahrens ergangen und betraf die Frage nach der Notwendigkeit und Zulässigkeit der namentlichen Veröffentlichung von Arbeitnehmern in Beschäftigungsverhältnissen, die der Kontrolle des österreichischen Rechnungshofes unterliegen, wenn deren Bezüge eine gewisse Betragsgrenze überschritten haben.737 Zunächst stand in Rede, ob Vorschriften der RL 95/46/EG überhaupt auf den genannten Sachverhalt Anwendung finden und insofern bei der Auslegung der nationalen Vorschriften berücksichtigt werden müssen.738 Schließlich handelte es sich bei der Frage nach der Veröffentlichung der Arbeitnehmer bezüglich der Höhe ihrer Bezüge auf den ersten Blick um eine rein nationale Angelegenheit. Ziel der Richtlinie ist nach Art. 1 RL 95/46/EG, den Schutz der Privatsphäre beim freien Verkehr der personenbezogenen Daten zwischen den Mitgliedstaaten zu gewährleisten. Die in Rede stehenden Daten unterliegen aber keinem mitgliedstaatlichen Verkehr. Aus diesen Gründen lehnte der Generalanwalt Tizziano in seinen Schlussanträgen auch die Anwendbarkeit der Richtlinie ab. Die fragliche Verarbeitung personenbezogener Daten erfolge nämlich nicht für die Ausübung von Tätigkeiten, die in den Anwendungsbereich des Gemeinschaftsrechts fielen, was aber Voraussetzung für die Anwendbarkeit gemäß Art. 3 Abs. 2 RL 95/46/EG sei. Alleiniger Zweck der Datenverarbeitung sei die Ausübung der Kontrolltätigkeit des österreichischen Rechnungshofes und die Information der österreichischen Bürger, was aber nicht die Anwendbarkeit der Richtlinie auslösen könne.739 Diese Kontrollfunktion diene nämlich nicht der Erfüllung gemeinschaftrechtlicher Aufgaben, so dass es sich um eine originär mitgliedstaatliche Regelung handele.740 Grenzüberschreitende Bezüge seien rein hypothetischer Natur.741 Festzuhalten ist nach Ansicht des Generalanwalts Tizziano, dass nicht jedwede Vorschrift, die eine Datenverarbeitung regelt, als Umsetzungsakt 736 EuGH verb. Rs. C-465/00, C-138/01 u. C-139/01, Slg. 2003, I-04989 (Österreichischer Rundfunk). 737 EuGH verb. Rs. C-465/00, C-138/01 u. C-139/01, Slg. 2003, I-04989, Rn. 2 (Österreichischer Rundfunk). 738 EuGH verb. Rs. C-465/00, C-138/01 u. C-139/01, Slg. 2003, I-04989, Rn. 31 (Österreichischer Rundfunk). 739 SA GA Tizziano, verb. Rs. C-465/00, C-138/01 u. C-139/01, Slg. 2003, I-04989, Rn. 41 ff. (Österreichischer Rundfunk). 740 SA GA Tizziano, verb. Rs. C-465/00, C-138/01 u. C-139/01, Slg. 2003, I-04989, Rn. 43 (Österreichischer Rundfunk). 741 SA GA Tizziano, verb. Rs. C-465/00, C-138/01 u. C-139/01, Slg. 2003, I-04989, Rn. 46 (Österreichischer Rundfunk).

II. Grundrechtliche Gewährleistungen

161

der Richtlinie 95/46/EG verstanden werden darf, da ansonsten jeder Datenverarbeitungsvorgang in den Anwendungsbereich der Richtlinie fallen würde und die eingrenzende Vorschrift des Art. 3 Abs. 2 RL 95/46/EG obsolet wäre.742 Allein mit der Begründung, dass die Richtlinie auch dem Schutz der Grundrechte diene, könne der Anwendungsbereich nicht eröffnet werden, da das Primärziel die Harmonisierung des Binnenmarktes sei, was lediglich auf einer zweiten Stufe einen einheitlichen Grundrechtsschutz nach sich ziehe, ohne jedoch einen eigenständigen Regelungsinhalt darzustellen.743 Würde man den Grundrechtsschutz als selbstständiges Regelungsziel anerkennen, hätte die Richtlinie nicht auf der Harmonisierungsgrundlage des Art. 100a EGV a. F. erlassen werden dürfen.744 Trotz der detaillierten Begründung der Nicht-Anwendbarkeit der allgemeinen Datenschutz-RL durch Generalanwalt Tizziano kam der EuGH in seinem Urteil zum gegenteiligen Ergebnis: Die Anwendbarkeit der Richtlinie, die auf Grundlage des Art. 100a EGV a. F. ergangen ist, setze im Einzelfall nicht voraus, dass tatsächlich ein Zusammenhang mit dem Binnenmarkt bestehe. Ausreichend sei vielmehr, dass zum Zeitpunkt der Verabschiedung der Richtlinie das Ziel der Binnenmarktharmonisierung verfolgt werde, was im vorliegenden Fall nie in Rede stand.745 Würde man die Frage nach dem Erfordernis der Binnenmarktsrelevanz bei jedem Sachverhalt von neuem stellen, so wäre Rechtsunsicherheit bezüglich der Anwendbarkeit der Richtlinie und deren Umsetzungsvorschriften die Folge.746 Eine Beschränkung auf Sachverhalte mit konkretem Binnenmarktbezug sei durch die Vorschrift des Art. 3 Abs. 1 RL 95/46/EG auch nicht gefordert. Vielmehr werde aus der Formulierung des Art. 3 Abs. 2 RL 95/46/EG sichtbar, dass die Datenschutzrichtlinie nur ganz spezielle Politikbereiche beziehungsweise Lebensbereiche aus ihrem Anwendungsbereich ausschließen wolle.747 Der Gerichtshof geht damit im Ergebnis von der Anwendbarkeit der Datenschutzrichtlinie aus.

742 SA GA Tizziano, verb. Rs. C-465/00, C-138/01 u. I-04989, Rn. 48 (Österreichischer Rundfunk). 743 SA GA Tizziano, verb. Rs. C-465/00, C-138/01 u. I-04989, Rn. 52 f. (Österreichischer Rundfunk). 744 SA GA Tizziano, verb. Rs. C-465/00, C-138/01 u. I-04989, Rn. 54 (Österreichischer Rundfunk). 745 EuGH verb. Rs. C-465/00, C-138/01 u. C-139/01, Slg. (Österreichischer Rundfunk). 746 EuGH verb. Rs. C-465/00, C-138/01 u. C-139/01, Slg. (Österreichischer Rundfunk). 747 EuGH verb. Rs. C-465/00, C-138/01 u. C-139/01, Slg. (Österreichischer Rundfunk).

C-139/01, Slg. 2003, C-139/01, Slg. 2003, C-139/01, Slg. 2003, 2003, I-04989, Rn. 41 2003, I-04989, Rn. 42 2003, I-04989, Rn. 43

162

D. Europarechtliche Vorgaben für den Datenschutz

Über die Bejahung der Anwendbarkeit der Richtlinie und deren unmittelbare Bezugnahme auf die Grundrechte gelingt es dem EuGH, die nationale Vorschrift an den Maßstäben des unionalen Grundrechtsschutzes zu messen, ohne dass es sich bei der österreichischen Regelung um einen expliziten Umsetzungsakt zur Datenschutzrichtlinie handeln würde.748 Die Rechtsprechung des EuGH hat zur Konsequenz, dass jede automatisierte Datenverarbeitung in Europa an den Maßstäben der Datenschutzrichtlinie zu messen ist, es sei denn, dass eine der expliziten Ausnahmevorschriften des Art. 3 RL 95/46/EG einschlägig ist. Auf einen grenzüberschreitenden Bezug beziehungsweise eine Binnenmarktrelevanz kommt es nicht an. Diese Rechtsprechung zugrunde legend, erhält die Auslegung der Richtlinie im deutschen Recht einen quasi absoluten Stellenwert, da sämtliche Sachverhalte, die vom Bundesdatenschutzgesetz erfasst werden, gleichzeitig auch die Anwendbarkeit der Richtlinie nach sich ziehen. Im Laufe der Beantwortung der Vorlagefragen geht der Gerichtshof dann auf die konkrete Auslegung der Vorschriften der Richtlinie, insbesondere Art. 6 und 7 RL 95/46/EG749, ein. Der EuGH stellt fest, „dass die Bestimmungen der Richtlinie 95/46, soweit sie die Verarbeitung personenbezogener Daten betreffen, die zu Beeinträchtigungen der Grundfreiheiten und insbesondere des Rechts auf Achtung des Privatlebens führen kann, im Licht der Grundrechte auszulegen sind, die nach ständiger Rechtsprechung zu den allgemeinen Grundsätzen gehören [. . .].“750 Dass die Vorschriften der Richtlinie diesen Maßstäben genügen müssen, ergibt sich bereits aus Art. 1 Abs. 1 RL 95/46/EG, der bestimmt, dass die Regelungen dem Grundrechtsschutz und insbesondere dem Schutz der Privatsphäre zu dienen bestimmt sind. Gleiches ergibt sich auch aus den Erwägungsgründen 10 und 11 der Richtlinie. Nachdem der EuGH den Prüfungsmaßstab in dieser Weise festgelegt hat, stellt er im Folgenden ausdrücklich auf Art. 8 EMRK als grundrechtlichen Prüfungsrahmen ab, da die Gewährleistungen der EMRK im Rahmen von Art. 6 Abs. 2 EUV a. F.751 als Rechtserkenntnisquelle dienen.752 Zur Bestimmung des Schutzbereichs von Art. 8 Abs. 1 EMRK nimmt der EuGH sogar unmittelbaren Bezug auf die Rechtsprechung des EGMR, so als gelte die EMRK in der Union bereits 748

Scheuing, EuR 2005, 162 (171). Da es im Laufe der Bearbeitung nicht auf den Regelungsgehalt dieser Vorschriften angeht, wird die konkrete Auslegung nicht weiter dargestellt und verfolgt. 750 EuGH verb. Rs. C-465/00, C-138/01 u. C-139/01, Slg. 2003, I-04989, Rn. 68 (Österreichischer Rundfunk). 751 Jetzt Art. 6 Abs. 3 EUV. 752 EuGH verb. Rs. C-465/00, C-138/01 u. C-139/01, Slg. 2003, I-04989, Rn. 71 (Österreichischer Rundfunk). 749

II. Grundrechtliche Gewährleistungen

163

unmittelbar und nicht lediglich als Rechtserkenntnisquelle, ohne eine zwingende Bindung herzustellen.753 Der EuGH macht sich daher die Definition des Privatlebens unter der EMRK zu eigen und stellt fest, dass dieses „nicht eng ausgelegt werden darf und dass es grundsätzlich nicht in Betracht kommt, berufliche Tätigkeiten . . . vom Begriff des Privatlebens auszunehmen“.754 Auch im Rahmen der weiteren (Rechtsfertigungs-)Prüfung nimmt der EuGH direkt Bezug auf die vom EGMR aufgestellten Grundsätze.755 Dadurch, dass der Grundrechtsschutz in Art. 1 Abs. 1 RL 95/46/EG als ausdrückliches Ziel der Richtlinie erklärt wird, erscheint es geradezu zwingend die Datenschutzrichtlinie im Lichte der Unionsgrundrechte auszulegen.756 Werden Richtlinien anhand von Unionsrechten ausgelegt757 und ist diese Auslegung der nationalen Umsetzung zugrunde zu legen, so kommt es zumindest zu einer mittelbaren Bindung der Mitgliedstaaten an die Unionsgrundrechte bei der Umsetzung von Richtlinien.758 Ob die nationalen Organe dementsprechend unmittelbar bei der Richtlinienumsetzung an die Unionsgrundrechte gebunden sind oder eine mittelbare Bindung über die anhand der Unionsgrundrechte auszulegenden Richtlinie hergestellt wird, ist von wenig praktischer Relevanz.759 Vielmehr steht im Ergebnis nach dieser Rechtsprechung fest, dass Unionsgrundrechte bei der nationalen Gesetzgebung zu berücksichtigen sind, sofern das Unionsrecht auf den in Rede stehenden Sachverhalt Anwendung findet. Dem EuGH wurde nach dieser Entscheidung vorgeworfen, dass er sich durch den Verzicht auf den grenzüberschreitenden Bezug im Einzelfall zum „obersten Datenschutzwächter in Europa“ aufschwingen würde.760 Die Annahme, dass Mitgliedstaaten immerhin noch bei rein nationalen Sachverhalten den Grundrechtsmaßstab selbstständig bestimmen könnten761, kann nach 753

s. dazu Classen, CML Rev. 41 (2004), 1377 (1383); Ruffert, EuGRZ 2004, 466 (471). 754 EuGH verb. Rs. C-465/00, C-138/01 u. C-139/01, Slg. 2003, I-04989, Rn. 73 (Österreichischer Rundfunk). 755 EuGH verb. Rs. C-465/00, C-138/01 u. C-139/01, Slg. 2003, I-04989, Rn. 76 ff. (Österreichischer Rundfunk). 756 So auch Scheuing, EuR 2005, 162 (172 f.); Siemen, S. 264. 757 Zur Auslegung von Sekundärrecht anhand von europäischen Grundrechten vgl. bereits Schilling, EuGRZ 2000, 3 (31). 758 s. zu dieser „mittelbaren Bindung“ an die Unionsgrundrechte EuGH Rs. 222/84, Slg. 1986, 1663 (Johnston) und Rs. C-185/97, Slg. 1998, I-5199, Rn. 21 f. (Coote). 759 Britz, EuGRZ 2009, 1 (3). 760 Ruffert, EuGRZ 2004, 466 (470). Zur generellen Kritik am Urteil siehe Britz, EuGRZ 2009, 1 (4 f.); Classen, CML Rev. 41 (2004), 1377 (1381 f.). 761 Siemen, S. 263.

164

D. Europarechtliche Vorgaben für den Datenschutz

dem Urteil in der Rechtssache Österreichischer Rundfunk nicht mehr aufrechterhalten werden. Bliebe es bei der Auslegung des Anwendungsbereichs der Richtlinie, wäre quasi jede Datenverarbeitung am Maßstab der Unionsgrundrechte zu messen.762 Allerdings widerspricht diese Deutung dem Wortlaut der Datenschutz-RL: Aus der Zusammenschau des ersten und zweiten Absatzes von Art. 1 RL 95/46/EG ergibt sich, dass die Unionsgrundrechte immer dann Anwendung finden müssen, wenn der freie Verkehr personenbezogener Daten zwischen den Mitgliedstaaten betroffen ist. Aus dem Umkehrschluss ergibt sich, dass der nationale Grundrechtsschutz als Maßstab nur dann in Betracht kommt, wenn der grenzüberschreitende Verkehr nicht betroffen ist. Ebenfalls kritisiert wird, dass der EuGH den Querschnittscharakter des Datenschutzes in seinem Urteil verkannt hätte: Allein die Tatsache, dass die Datenverarbeitung grenzüberschreitend erfolge, könne nicht den Anwendungsbereich der Richtlinie eröffnen.763 dd) Rechtssache Lindqvist Das Urteil in der Rechtssache Lindqvist ist im Kontext der Arbeit insofern beachtlich, als dass sich der EuGH mit einer datenschutzrechtlichen Frage auseinandersetzen muss, die ihren Ursprung im Internet hat.764 Dadurch wird auch im Rahmen des Unionsrechts deutlich, dass Szenarien im Internet eine Gefährdung des Datenschutzes begründen können.765 Dem Vorabentscheidungsverfahren lag folgender Sachverhalt zugrunde: Gegen die schwedische Staatsangehörige Lindqvist war ein Strafverfahren anhängig, in dessen Rahmen sie angeklagt wurde gegen die schwedischen Rechtsvorschriften zum Schutz personenbezogener Daten verstoßen zu haben. Frau Lindqvist hatte auf einer Homepage Daten über sich und ihre Kollegen veröffentlicht, die ehrenamtlich in einer Kirchengemeinde tätig waren.766 Zu den online gestellten Informationen gehörten unter anderem die Namen der ehrenamtlich Tätigen, teilweise deren Telefonnummern, Familienverhältnisse und die Aufgabenwahrnehmung in der Gemeinde.767 Frau Lindqvist unterließ es, ihre Kollegen über die Veröffentlichung ihrer Daten zu informieren oder gar deren Einwilligung einzuholen. Nachdem 762 763 764 765 766 767

Britz, EuGRZ 2009, 1 (4). Britz, EuGRZ 2009, 1 (5). EuGH Rs. C-101/01 (Lindqvist). Siemen, S. 271. EuGH Rs. C-101/01, Rn. 2 (Lindqvist). EuGH Rs. C-101/01, Rn. 13 (Lindqvist).

II. Grundrechtliche Gewährleistungen

165

sich nach Bekanntwerden einige der Betroffenen beschwerten, wurden die in Rede stehenden Daten unverzüglich entfernt.768 Im Rahmen der Vorlagefragen, die eine Antwort darauf bieten sollen, ob der soeben dargestellte Sachverhalt eine ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten darstellt769, stellt der EuGH fest, dass die Nennung des Namens einer Person in Verbindung mit deren Telefonnummer oder mit Informationen über ihr Arbeitsverhältnis oder ihre Freizeitbeschäftigung, personenbezogene Daten im Sinne des Art. 2 lit. a) RL 95/46/EG sind.770 Darüber hinaus war wiederum die Frage zu beantworten, ob die Datenschutzrichtlinie auf den vorliegenden Sachverhalt überhaupt anwendbar ist. Generalanwalt Tizziano sah den Anwendungsbereich der Richtlinie im Fall Lindqvist nicht eröffnet. Die von Frau Lindqvist vorgenommene Handlung falle nicht in den Anwendungsbereich des Gemeinschaftsrechts. Die fragliche Homepage mitsamt der Informationen wurde von ihr ohne Gewinnstreben, ehrenamtlich und außerhalb eines Arbeitsverhältnisses errichtet. Der dem Gemeinschaftsrecht innewohnende wirtschaftliche Charakter fehle demnach nach Ansicht des Generalanwaltes vollständig.771 Zudem wiederholte Generalanwalt Tizziano wie bereits in seinen Schlussanträgen in der Rechtssache Österreichischer Rundfunk, dass allein die Tatsache, dass es sich um einen grundrechtsrelevanten Sachverhalt handele, nicht die Anwendbarkeit der Datenschutzrichtlinie nach sich ziehen könne.772 Der Grundrechtsschutz könne nur sekundär, neben der Harmonisierung des Binnenmarktes verfolgt werden, da die Richtlinie ansonsten auf der falschen Rechtsgrundlage, Art. 100a EGV a. F., erlassen worden sei.773 Einen anderen Standpunkt vertrat jedoch der EuGH, der im Zuge des Lindqvist-Urteils nochmals den in der Rechtssache Österreichischer Rundfunk aufgestellten Grundsatz bestätigt: Für die Anwendbarkeit der RL 95/46/EG komme es im Einzelfall nicht darauf an, ob ein Zusammenhang mit dem freien Verkehr zwischen den Mitgliedstaaten herzustellen sei.774 Die Ausnahmevorschrift des Art. 3 Abs. 2 erster Gedankenstrich RL 95/46/EG sei vielmehr eng auszulegen und somit auf die dort genann768

EuGH Rs. C-101/01, Rn. 14 (Lindqvist). Vgl. zum Wortlaut der hier nicht weiter zu vertiefenden Vorlagefragen EuGH Rs. C-101/01, Rn. 18 (Lindqvist). 770 EuGH Rs. C-101/01, Rn. 24 (Lindqvist). 771 SA GA Tizziano, Rs. C-101/01, Rn. 36 (Lindqvist). 772 SA GA Tizziano, Rs. C-101/01, Rn. 39 ff. (Lindqvist). 773 SA GA Tizziano, Rs. C-101/01, Rn. 41 f. (Lindqvist). 774 EuGH Rs. C-101/01, Rn. 40 ff. (Lindqvist). 769

166

D. Europarechtliche Vorgaben für den Datenschutz

ten Kategorien beschränkt, beziehungsweise nur auf solche ausdehnbar, die mit diesen gleichgeordnet werden können.775 Dies träfe aber für eine ehrenamtlich ausgeführte Tätigkeit wie die von Frau Lindqvist nicht zu.776 Die Ausnahme, die in Art. 3 Abs. 2 zweiter Gedankenstrich RL 95/46/ EG normiert ist, umfasst nur Tätigkeiten, die zum Privat- oder Familienleben von Einzelpersonen gehören. Bei der Unbegrenztheit des Internets komme diese Ausnahme aber bei jeglichen Sachverhalten, die dieses Medium betreffen, nicht in Betracht, da eine Internetseite nicht auf das Privatund Familienleben beschränkt werden, sondern von jedermann von überall auf der Welt aufgerufen werden könne.777 Im Rahmen der Frage, ob das Abrufen einer Internetseite in einem Drittland eine Übermittlung von Daten im Sinne des Art. 25 RL 95/46/EG darstelle, nimmt der EuGH dazu Stellung, welche Daten beim Surfvorgang im Netz übertragen werden.778 Dabei hebt der Gerichtshof hervor, dass die eigentliche Homepage regelmäßig auf dem Server eines so genannten Host-Service-Providers gespeichert ist, von dem aus die Übermittlung der Seiteninhalte an jede mit dem Internet verbundene Person ermöglicht wird.779 Art. 25 RL 95/46/EG stelle eine Spezialregelung zur „herkömmlichen“ Verarbeitung von Daten dar780, die aber keinesfalls auf das Internet beschränkt sei. Aus den Ausführungen des EuGH wird deutlich, dass er den Service-Provider als eigenständigen Teil der Internetkommunikation ansieht, der die notwendigen Vorgänge zur Datenverarbeitung und somit zum Aufrufen einer Homepage vornimmt, so dass Frau Lindqvist selbst keine Datenverarbeitung oder -übermittlung vornimmt, wenn ein Dritter den fraglichen Seiteninhalt abruft.781 Dies ist vielmehr ein Vorgang, der aus der Perspektive des Host-Providers zu beantworten ist. Was durch den EuGH in diesem Zusammenhang nicht näher berücksichtigt wurde – dazu bestand aber auch keine Notwendigkeit – ist, dass die Grundlage zur Kommunikation mit dem Service-Provider und zum Seitenabruf die Übermittlung von IP-Adressen ist. Festzuhalten bleibt aber, dass 775

EuGH Rs. C-101/01, Rn. 44 (Lindqvist). EuGH Rs. C-101/01, Rn. 45 (Lindqvist). 777 EuGH Rs. C-101/01, Rn. 47 (Lindqvist). Insofern besteht auch keine abweichende Beurteilung zum Schlussantrag des Generalanwalts Tizziano; SA GA Tizziano, Rs. C-101/01, Rn. 34 f. (Lindqvist). 778 EuGH Rs. C-101/01, Rn. 58 ff. (Lindqvist). 779 EuGH Rs. C-101/01, Rn. 59 (Lindqvist). 780 EuGH Rs. C-101/01, Rn. 63, 67 (Lindqvist). 781 EuGH Rs. C-101/01, Rn. 62 (Lindqvist). 776

II. Grundrechtliche Gewährleistungen

167

nach der Rechtsprechung die Datenübermittlung via Internet in den Anwendungsbereich der allgemeinen Datenschutzrichtlinie fällt. Eine Datenübermittlung findet insbesondere immer dann statt, wenn Informationen über den Service-Provider abgerufen werden und so ein Datenaustausch stattfindet, der denknotwendigerweise auch die Übermittlung der IP-Adressen umfasst. Schließlich betraf einer der Vorlagefragen die Vereinbarkeit der Datenschutzrichtlinie mit den grundrechtlichen Gewährleistungen des Unionsrechts. Dabei stand insbesondere in Rede, ob die Regelungen mit der unter anderem in Art. 10 EMRK garantierten Meinungsfreiheit zu vereinbaren sind.782 Damit tritt abermals der Konflikt zwischen dem Schutz der freien Meinungsäußerung einerseits und der Privatsphäre andererseits zutage, die im Wege einer Abwägung widerstreitender Belange in Einklang gebracht werden müssen.783 Die Richtlinie 95/46/EG enthält bereits Regelungen, die darüber bestimmen, ob und unter welchen Voraussetzungen eine zulässige oder unzulässige Datenverarbeitung vorliegt. Durch diese richtungsweisenden Vorschriften wird bereits eine Abwägung zwischen den relevanten Belangen vorgenommen und der zulässige Weg vorgezeigt.784 Darüber hinaus bietet die Datenschutzrichtlinie aber einen solchen Umsetzungsspielraum, der ebenso eine Abwägung auf nationaler (Umsetzungs-)Ebene ermöglicht und erforderlich macht. Bei dieser Abwägung sind aber die Unionsgrundrechte zu beachten und als Auslegungsmaßstab zu berücksichtigen.785 Explizit stellt der EuGH fest, dass die Mitgliedstaaten auch darauf zu achten haben, „dass sie sich nicht auf eine Auslegung einer Richtlinie stützen, die mit den durch die Gemeinschaftsrechtsordnung geschützten Grundrechten oder den anderen allgemeinen Grundsätzen des Gemeinschaftsrechts, wie dem Grundsatz der Verhältnismäßigkeit, kollidiert.“786 Klar kommt dadurch zum Ausdruck, dass der Gerichtshof bei der Durchführung von Richtlinien von einer mittelbaren Bindung der Mitgliedstaaten an die Unionsgrundrechte ausgeht, die durch die grundrechtskonforme Auslegung der Richtlinie wirken. Abschließend galt es für den Gerichtshof die Frage zu klären, ob es den Mitgliedstaaten möglich ist, einen über die Datenschutzrichtlinie hinausgehenden Schutz der Privatsphäre zu garantieren.787 Dies ist insofern von 782 783 784 785 786 787

EuGH EuGH EuGH EuGH EuGH EuGH

Rs. Rs. Rs. Rs. Rs. Rs.

C-101/01, C-101/01, C-101/01, C-101/01, C-101/01, C-101/01,

Rn. Rn. Rn. Rn. Rn. Rn.

72 80 82 86 87 91

(Lindqvist). f. (Lindqvist). (Lindqvist). (Lindqvist). (Lindqvist). (Lindqvist).

168

D. Europarechtliche Vorgaben für den Datenschutz

Belang, als dass man sich die Frage stellen könnte, ob der nationale Begriff der personenbezogenen Daten weiter gefasst werden darf als der europäische und somit die Anwendbarkeit Schutzvorschriften des BDSG auslösen würde. Aus dem achten und zehnten Erwägungsgrund der Richtlinie 95/46/EG leitet der Gerichtshof ab, dass das Ziel nicht etwa eine Mindestharmonisierung, sondern eine grundsätzlich umfassende Harmonisierung ist.788 Gerade ein gleichwertiges Schutzniveau solle den freien Verkehr personenbezogener Daten sicherstellen.789 Diesem Ziel stehe es aber nicht entgegen, dass die Mitgliedstaaten den Anwendungsbereich der Richtlinie auf ursprünglich von der Gemeinschaft nicht umfasste Sachverhalte ausdehnen, soweit dieses einer anderen gemeinschaftsrechtlichen Bestimmung nicht entgegenstehe.790 ee) Rechtssache Fluggastdaten Das Europäische Parlament erhob gegen den Beschluss des Rates vom 17. Mai 2004 über den Abschluss eines Abkommens zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen und deren Übermittlung durch die Fluggesellschaften an das Bureau of Coustoms and Border Protection des United States Department of Homeland Security Nichtigkeitsklage. Dabei war die Übermittlung von personenbezogenen Daten in ein Drittland anhand der gemeinschaftsrechtlichen Vorschriften zu beurteilen. Daneben erhob das Europäische Parlament eine weitere Nichtigkeitsklage gegen die Entscheidung der Kommission vom 14. Mai 2004 über die Angemessenheit des Schutzes der personenbezogenen Daten, die in den Passenger Name Records enthalten sind, welche an das United States Bureau of Custooms ans Border Protection übermittelt werden sollen.791 Im Zuge der Datenübermittlung in ein Drittland, wie den Vereinigten Staaten von Amerika, muss hinsichtlich der Rechte und Freiheiten ein gleichwertiges Schutzniveau gewährleistet werden, wie es auch innerhalb der Union besteht, Art. 25 RL 95/46/EG. Daher sah Generalanwalt Léger hier die Notwendigkeit Art. 8 EMRK als Prüfungsmaßstab anzuführen, um die in Rede stehenden Rechtsakte auf ihre Rechtmäßigkeit hin zu überprü788

EuGH Rs. C-101/01, Rn. 95 f. (Lindqvist). EuGH Rs. C-101/01, Rn. 97 (Lindqvist). 790 EuGH Rs. C-101/01, Rn. 98 (Lindqvist). 791 Zum ausführlichen Sachverhalt und den tatsächlichen Hintergründen der Notwendigkeit zum Erlass der in Frage stehenden Rechtsakte siehe: SA GA Léger, verb. Rs. C-317/04 u. C-318/04, Rn. 21 ff. (Europäisches Parlament gegen Rat der Europäischen Union und Kommission). 789

II. Grundrechtliche Gewährleistungen

169

fen.792 Darüber hinaus war die Überprüfung am Maßstab der Grundrechte geboten, da die Rechtsakte selbst als Ziel neben der Terrorismusbekämpfung die Achtung der Grundrechte, insbesondere des Schutzes der Privatsphäre, durch die Bezugnahme auf die Datenschutzrichtlinie 95/46/EG, vorsahen.793 Insofern bestätigt Generalanwalt Léger, dass im Unionsrecht das Recht auf Achtung des Privatlebens verankert ist und einen allgemeinen Grundsatz des Gemeinschaftsrechts darstellt. Als besonderer Teilaspekt dieses Rechts wird der Schutz personenbezogener Daten anerkannt.794 Als Eingriff in das geschützte Recht wertet Generalanwalt Léger insbesondere auch die Sammlung von personenbezogenen Daten. Selbst solche Daten, die für sich keinen Personenbezug aufweisen, können in ihrer Gesamtheit dem Schutz des Art. 8 EMRK unterfallen, wenn durch deren Abgleich Persönlichkeitsprofile geschaffen werden können.795 Im Rahmen der sich anschließenden Rechtfertigungsprüfung stellt Generalsanwalt Léger ausdrücklich auf die durch Art. 8 Abs. 2 EMRK aufgestellten Rechtfertigungsanforderungen ab.796 Der EuGH ging in seinem Urteil nicht weiter auf die Anforderungen des Art. 8 EMRK ein, da er den Nichtigkeitsklagen des Europäischen Parlaments bereits aus anderen Gründen statt gab, die an dieser Stelle nicht weiter zu erläutern sind.797 ff) Rechtssache Bavarian Lager In der Rechtssache Bavarian Lager geht es um den zentralen Konflikt zwischen dem Datenschutz einerseits und dem Recht der Unionsbürger auf Zugang zu den Dokumenten der Organe andererseits.798 Die Verord792 SA GA Léger, verb. Rs. C-317/04 u. C-318/04, Rn. 21 ff. (Europäisches Parlament gegen Rat der Europäischen Union und Kommission). 793 SA GA Léger, verb. Rs. C-317/04 u. C-318/04, Rn. 131 (Europäisches Parlament gegen Rat der Europäischen Union und Kommission). 794 SA GA Léger, verb. Rs. C-317/04 u. C-318/04, Rn. 209 (Europäisches Parlament gegen Rat der Europäischen Union und Kommission). 795 SA GA Léger, verb. Rs. C-317/04 u. C-318/04, Rn. 212 (Europäisches Parlament gegen Rat der Europäischen Union und Kommission). 796 s. dazu SA GA Léger, verb. Rs. C-317/04 u. C-318/04, Rn. 214 ff. (Europäisches Parlament gegen Rat der Europäischen Union und Kommission). Auf die Prüfung der Rechtfertigung muss an dieser Stelle nicht weiter eingegangen werden, da dabei insbesondere die Frage der Terrorismusbekämpfung als legitimes Ziel diskutiert wird, was im Rahmen dieser Arbeit nicht von Belang ist. 797 EuGH verb. Rs. C-317/04 u. C-318/04, Rn. 54 ff. (Europäisches Parlament gegen Rat der Europäischen Union und Kommission). 798 Zu dem grundsätzlichen Konflikt der beiden Rechte siehe einleitend SA GAin Sharpston, Rs. C 28/08 P, Rn. 1 ff. (Bavarian Lager).

170

D. Europarechtliche Vorgaben für den Datenschutz

nung Nr. 1049/2001 gewährt das Recht auf Zugang der Öffentlichkeit zu Dokumenten, ohne ein besonderes Interesse daran nachweisen zu müssen.799 Hingegen verpflichtet die Verordnung Nr. 45/2001 die Organe zum Schutz von personenbezogenen Daten. Dem Fall lag der Sachverhalt zugrunde, dass die Kommission sich weigerte die Namen von in Protokollen aufgeführten Aussagenden offenzulegen. Das Gericht erster Instanz ging davon aus, dass in diesem Falle die Verordnung Nr. 1049/2001 anwendbar sei und die Entscheidungsgrundlage dafür liefern müsse, ob die Namen bekannt gegeben werden müssten.800 Da es sich bei den Namen jedoch unzweifelhaft um personenbezogene Daten handele801, müsse auch geprüft werden, ob die Anwendung der Verordnung Nr. 1049/2001 im konkreten Fall den Anforderungen an Art. 8 EMRK genüge, der über Art. 6 Abs. 2 EUV a. F. seinen Niederschlag im Unionsrecht finde.802 Schließlich sieht Art. 4 Abs. 1 lit. b) VO Nr. 1049/2001 Einschränkungen zum Zugang der Öffentlichkeit zu Dokumenten zum Schutze der Privatsphäre und der Integrität des Einzelnen vor. In diesem Zusammenhang stellte das Gericht erster Instanz fest, dass zwar der Begriff des Privatlebens im Sinne des Art. 8 EMRK weit zu fassen ist und dass darunter auch der Schutz von personenbezogenen Daten fällt. Allerdings seien diese Begrifflichkeiten keinesfalls mit dem der Privatsphäre, wie er in der Verordnung Nr. 1049/2001 verwendet wird, gleichzusetzen. Daraus zog das Gericht die Schlussfolgerung, dass nicht alle personenbezogenen Daten notwendigerweise in den Bereich der Privatsphäre fallen.803 Ebenfalls seien nicht alle personenbezogenen Daten schlechterdings geeignet, die Privatsphäre des Einzelnen zu beeinträchtigen, so dass in der Weitergabe der Daten kein Eingriff in Art. 8 EMRK zu sehen sei.804 Allerdings wird in der folgenden Überprüfung des Einzelfalls, ob in der Nennung der Namen ein Eingriff in Art. 8 EMRK zu sehen ist, nicht deut799

EuG Rs. T-194/04, Rn. 92 (Bavarian Lager). EuG Rs. T-194/04, Rn. 96 ff. (Bavarian Lager). Auf das Verhältnis beider Verordnungen muss in diesem Zusammenhang allerdings nicht weiter eingegangen werden, da allein die Auslegung des Art. 8 EMRK durch das EuG für die Arbeit von Belang ist. 801 EuG Rs. T-194/04, Rn. 104 (Bavarian Lager). Das EuG ordnet beispielhaft folgende Daten als personenbezogen ein: Nachnamen, Vornamen, Postanschrift, E-Mail-Adresse, Kontonummern, Nummern von Kreditkarten, Sozialversicherungsnummern, Telefonnummern oder etwa Nummer der Fahrerlaubnis. 802 EuG Rs. T-194/04, Rn. 116 (Bavarian Lager). 803 EuG Rs. T-194/04, Rn. 118 (Bavarian Lager). 804 EuG Rs. T-194/04, Rn. 119 (Bavarian Lager). 800

II. Grundrechtliche Gewährleistungen

171

lich, ob das Gericht erster Instanz die Begriffe des Privatlebens und der Privatsphäre synonym verwendet oder aber die Privatsphäre als einen engeren Bereich des Privatlebens begreift.805 Gegen das Urteil des Gerichts erster Instanz, das im Ergebnis zu einer Verpflichtung der Kommission auf Herausgabe der Namen führte, legte die Kommission Rechtsmittel ein, so dass sich auch der EuGH mit der Frage auseinandersetzen musste und im Ergebnis das Urteil des Gerichts erster Instanz aufhob.806 In den Schlussanträgen der Generalanwältin Sharpston807 wurde wiederum darauf Bezug genommen, ob die Offenbarung des Namens einen Eingriff in Art. 8 EMRK darstellen würde. Wie zuvor das Gericht erster Instanz differenziert die Generalanwältin Sharpston nicht eindeutig zwischen dem Begriff des Privatlebens und der Privatsphäre.808 Vielmehr stellt die Generalanwältin fest, dass Art. 4 Abs. 1 lit. b) VO Nr. 1049/2001 den Schutz der Privatsphäre in der Weise übernimmt, wie er in der EMRK niedergelegt ist.809 Gerade in diesem Zusammenhang wäre es aber von Belang gewesen, festzustellen, ob der Begriff der Privatsphäre mit dem des Privatlebens im Sinne von Art. 8 EMRK synonym verwendet kann. Anders als das Gericht erster Instanz bewertete Generalanwältin Sharpston dann aber die Weitergabe der Namen als einen Eingriff in den Schutzbereich des Art. 8 EMRK, wobei sie in diesem Zusammenhang wiederum auf den Terminus „Privatsphäre“ abstellt.810 Der EuGH hob im Ergebnis die Entscheidung des Gerichts erster Instanz auf. Von tragender Bedeutung bei der Urteilsbegründung war der Umstand, dass auch beim Recht auf Informationszugang die datenschutzrechtlichen Vorschriften der VO Nr. 45/2001 Anwendung finden müssen. Die Verarbeitung personenbezogener Daten unterfalle zwar zum einen den Grundsätzen des Art. 8 EMRK, zum anderen aber auch den sekundärrechtlichen Unionsvorschriften, ohne dass ein Ausschließlichkeitsverhältnis zwischen den Regelungen bestünde.811 Im Ergebnis nimmt der EuGH an, dass eine Beeinträchtigung der Privatsphäre im Sinne des Art. 4 Abs. 1 lit. b) VO 805

Vgl. hierzu insbesondere die Ausführungen in EuG Rs. T-194/04, Rn. 131 (Bavarian Lager), in deren Rahmen nicht deutlich wird, in welchem Verhältnis die beiden Begriffe zueinanderstehen. 806 EuGH Rs. C-28/08 P, EuZW 2010, 617 (Bavarian Lager). 807 SA GAin Sharpston, Rs. C-28/08 P (Bavarian Lager). 808 SA GAin Sharpston, Rs. C-28/08 P, Rn. 152 f. (Bavarian Lager). 809 SA GAin Sharpston, Rs. C-28/08 P, Rn. 152 (Bavarian Lager). 810 SA GAin Sharpston, Rs. C-28/08 P, Rn. 153 (Bavarian Lager). 811 EuGH Rs. C-28/08 P, EuZW 2010, 617 (618) (Bavarian Lager).

172

D. Europarechtliche Vorgaben für den Datenschutz

Nr. 1049/2001 stets an den unionalen Gewährleistungen des Schutzes personenbezogener Daten zu messen sei.812 Für den Gerichtshof kommt es daher auch gar nicht darauf an, wie sich die Begriffe Privatsphäre, personenbezogene Daten und Privatleben zueinander verhalten, da er jedenfalls die Privatsphäre von den beiden letztgenannten Begriffen mit umfasst sieht. Festzuhalten bleibt daher, dass sowohl primär- und grundrechtliche Gewährleistungen als auch sekundärrechtliche Vorschriften ein Gesamtkonzept zum Schutz personenbezogener Daten bilden und sich jede Verarbeitung personenbezogener Art an diesen Maßstäben messen lassen muss. gg) Rechtssache Promusicae Dem Urteil im Vorabentscheidungsverfahren in der Rechtssache Promusicae lag folgender Sachverhalt zugrunde: Der spanische Telefonanbieter Telefónica weigerte sich, personenbezogene Verkehrsdaten über die Nutzung des Internets seiner Kunden an Promusicae herauszugeben. Promusicae ist eine Vereinigung, die im Namen von ihr angeschlossenen Rechteinhabern von geistigem Eigentum handelt. Promusicae waren IPAdressen sowie Tag und Zeit der Interntverbindungen einiger Kunden von Telefónica bekannt. Zu den bekannten Zeitpunkten sollen die Kunden mutmaßlich im Internet Urheberrechte durch illegales Herunterladen von Dateien verletzt haben. Die Weitergabe der Namen von Telefónica an Promusicae wäre erforderlich, um zivilrechtliche Ansprüche gegen die Personen, die die Urheberrechtsverletzungen begangen, geltend zu machen. Telefónica sah für die Weitergabe der Daten keine rechtliche Grundlage im nationalen Recht und verweigerte diese daher.813 Das mit der Streitigkeit befasste, vorlegende Gericht wollte im Rahmen des Vorabentscheidungsverfahrens wissen, ob das Gemeinschaftsrecht eine Pflicht zur Mitteilung personenbezogener Daten im Rahmen eines zivilrechtlichen Verfahrens vorsieht.814 Die Kernproblematik der Auskunftserteilung der Identität von Internetnutzern ist darin begründet, dass die sogenannten Stammdaten, wie Name und Adresse des Nutzers, die unzweifelhaft personenbezogene Daten darstellen, nur dann herausgegeben werden können, wenn gleichzeitig eine Verarbeitung von IP-Adressen vorliegt. Stellen IP-Adressen Verkehrsdaten 812

Wie Fn. 811. Vgl. zum Sachverhalt: EuGH Rs. C-275/06, abgedruckt in: MMR 2008, 227. 814 EuGH, Rs. C-275/06, Rn. 41 (Promusicae), abgedruckt in: MMR 2008, 227 (228). Mit dem generellen Verhältnis zwischen Datenschutz und Immaterialgüterrechten hatte sich auch bereits die Artikel 29-Gruppe auseinandergesetzt (WP 104, 10092/05/DE vom 18. Januar 2005). 813

II. Grundrechtliche Gewährleistungen

173

dar, dann ist die Verknüpfung mit den Daten der Internetnutzung grundsätzlich unzulässig.815 Wie aus den Schlussanträgen der Generalanwältin Kokott in der Rechtssache Promusicae deutlich wird, sieht sie die RL 95/46/EG als Konkretisierung der grundrechtlichen Gewährleistungen, insbesondere des Art. 8 GrCh, an.816 In überraschender Deutlichkeit hielt sie in ihren Schlussanträgen fest, dass die Angabe, welchen Anschlussinhabern zu bestimmten Zeiten bestimmte IP-Adressen zugewiesen waren, aus personenbezogenen Daten gemäß Art. 2 lit. a) RL 95/46/EG besteht.817 Sie geht in ihren Feststellungen noch weiter, indem sie bereits das Abfangen von IP-Adressen als Verarbeitung personenbezogener Daten ansieht, soweit die Inhaber der IP-Adressen durch die Speicherung der Zuweisung durch den Access-Provider bestimmbar sind.818 Daneben sind ihrer Ansicht nach zumindest die vorübergehend zugewiesenen IP-Adressen Verkehrsdaten im Sinne der Definition des Art. 2 lit. b) RL 2002/58.819 Der EuGH nimmt dagegen im Rahmen des Vorabentscheidungsverfahrens keine Stellung zu der Frage, ob es sich bei IP-Adressen um Verkehrsdaten im Sinne der Datenschutzrichtlinie für elektronische Kommunikation RL 2002/58/EG oder personenbezogene Daten im Sinne der RL 95/46/EG handelt.820 Vielmehr stellt der Gerichtshof fest, dass der einschlägigen RL 2002/58/EG weder eine Pflicht noch ein Verbot zum Erlass einer Regelung zu entnehmen ist, die die Pflicht zur Weitergabe von personenbezogenen Daten im Rahmen eines zivilrechtlichen Verfahrens vorsieht.821 Da das sekundäre Unionsrecht keine Aussage über die Notwendigkeit einer Verpflichtung zur Herausgabe der fraglichen Daten bereit hält, stellt der EuGH die Frage, ob sich eine solche Pflicht aus den Unionsgrundrechten ableiten lassen könnte.822 Insbesondere könnte sich eine solche Pflicht aus 815

So auch OGH Wien, Urteil vom 14.07.2009, Az.: 4 Ob 41/09x. SA GA Kokott, Rs. C-275/06, Rn. 53 (Promusicae). 817 SA GA Kokott, Rs. C-275/06, Rn. 61 (Promusicae). 818 SA GA Kokott, Rs. C-275/06, Rn. 36 (Promusicae). 819 SA GA Kokott, Rs. C-275/06, Rn. 63 (Promusicae). 820 Dazu bereits unter D. I. 2. c). 821 EuGH Rs. C-275/06, Rn. 54 f. (Promusicae), abgedruckt in MMR 2008, 227 (228). Diese Rechtsprechung bestätigt der EuGH auch später in seinem Beschluss in der Rechtssache LSG (EuGH Rs. C-557/07, Rn. 26 ff.), in dem er feststellt, „dass das Gemeinschaftsrecht [. . .] die Mitgliedstaaten nicht daran hindert, eine Verpflichtung zur Weitergabe personenbezogener Verkehrsdaten an private Dritte zum Zweck der zivilgerichtlichen Verfolgung von Urheberrechtsverstößen aufzustellen“. 822 EuGH Rs. C-275/06, Rn. 61 ff. (Promusicae), abgedruckt in MMR 2008, 227 (229). 816

174

D. Europarechtliche Vorgaben für den Datenschutz

dem Eigentumsschutz und/oder dem Recht auf einen wirksamen Rechtsbehelf ergeben, die jeweils als allgemeine Grundsätze des Gemeinschaftsrechts anerkannt sind.823 Bemerkenswert ist, dass der EuGH es nicht bei einer Beurteilung anhand dieser beiden Grundrechte belässt, sondern feststellt, dass in Konstellationen wie der beschriebenen „noch ein weiteres Grundrecht, nämlich betreffend dem Schutz personenbezogener Daten und damit des Privatlebens, von Bedeutung ist.“824 Obwohl die Charta der Grundrechte der EU zum Zeitpunkt des Urteils noch nicht verbindlich war, stellt der Gerichtshof bereits auf deren Art. 7 und 8 GrCh ab.825 Die widerstreitenden Grundrechtspositionen müssten in ein angemessenes Gleichgewicht gebracht werden. Dabei stellt der EuGH es ausdrücklich den Mitgliedstaaten anheim, „bei der Umsetzung der genannten Richtlinien darauf zu achten, dass sie sich auf eine Auslegung derselben stützen, die es ihnen erlaubt, ein angemessenes Gleichgewicht zwischen den verschiedenen durch die Gemeinschaftsrechtsordnung geschützten Grundrechten sicherzustellen.“826 Die Mitgliedstaaten müssten daher die Richtlinie im Lichte der Unionsgrundrechte auslegen, um diese dann dementsprechend in nationales Recht umzusetzen. In diesem Rahmen müssten die Mitgliedstaaten ihr Ermessen ausüben und jeweils überprüfen, ob ein zivilrechtlicher Anspruch auf Herausgabe der Daten vom Provider bestünde. Eine gemeinschaftsrechtliche Pflicht bestehe insofern aber nicht.827 Die Berücksichtigung des Datenschutzrechtes als Gegenpol zum Urheberrecht spiegelt sich aber nicht nur im Rahmen des Primärrechts wider, sondern findet seinen Niederschlag auch auf sekundärrechtlicher Ebene: Erwägungsgrund 2 der Richtlinie 2004/28/EG des Europäischen Parlaments und des Rates vom 29. April 2004 zur Durchsetzung der Rechte des geisteigen Eigentums stellt ausdrücklich fest, dass weder die freie Meinungsäußerung noch der freie Informationsverkehr, noch der Schutz personenbezogener Daten, auch nicht im Internet, durch den Schutz des geistigen Eigentums behindert werden soll. Die direkte Bezugnahme auf den Datenschutz auch 823

EuGH Rs. C-274/06, Rn. 61 f. (Promusicae), abgedruckt in MMR 2008, 227

(229). 824

EuGH Rs. C-274/06, Rn. 63 (Promusicae), (229). So auch bereits die Kommission im Laufe SA Rs. C-275/06, Rn. 42 (Promusicae). 825 EuGH Rs. C-274/06, Rn. 64 (Promusicae), (229). 826 EuGH Rs. C-274/06, Rn. 68 (Promusicae), (229 f.). 827 EuGH Rs. C-274/06, Rn. 70 (Promusicae), (230).

abgedruckt in MMR 2008, 227 des Verfahrens und GA Kokott, abgedruckt in MMR 2008, 227 abgedruckt in MMR 2008, 227 abgedruckt in MMR 2008, 227

II. Grundrechtliche Gewährleistungen

175

im Internet lässt eine Weitsichtigkeit erkennen, die insbesondere solche Fälle wie jenen im Vorlageverfahren umfasst. Dieses Urteil ist insofern prägend für den Datenschutz in der Union, als dass der EuGH erstmals den Datenschutz als eigenständiges Grundrecht im Rahmen der allgemeinen Rechtsgrundsätze anerkennt und diesen in unmittelbarem Zusammenhang mit Art. 7 und 8 GrCh setzt.828 Insofern sind die in der Literatur hervorgebrachten Zweifel am Bestehen eines solchen Grundrechts als allgemeiner Rechtsgrundsatz unangebracht beziehungsweise überholt.829 hh) Rechtssache Satamedia Neben dem zwischen dem Datenschutz und dem Urheberrechtsschutz bestehenden Spannungsfeld kann es auch zu Konflikten zwischen dem Schutz personenbezogener Daten und der Meinungsfreiheit kommen. Letzteres wurde im Rahmen eines Vorabentscheidungsverfahrens in der Rechtssache Satamedia thematisiert. Ähnlich wie in der Rechtssache Österreichischer Rundfunk war die Veröffentlichung von Einkommen aus Erwerbstätigkeit und Kapital und von Vermögen durch private Medienunternehmen zu beurteilen.830 Dass in den gewählten Veröffentlichungsformen (Zeitung, CDROM und Versendung von Kurzmitteilungen) eine Verarbeitung personenbezogener Daten im Sinne des Art. 3 Abs. 1 RL 95/46/EG vorlag, stand für den EuGH außer Zweifel.831 Entscheidend ist vielmehr auch hier, dass der Gerichtshof hervorhebt, dass die Datenschutzrichtlinie das Ziel anstrebt, einen Ausgleich zwischen den verschiedenen Grundrechtspositionen zu finden, in diesem Fall zwischen dem Datenschutz und der Meinungsfreiheit.832 Dabei stellt der EuGH fest, dass es Aufgabe der Mitgliedstaaten ist, die widerstreitenden Grundrechte bei der Richtlinienumsetzung in Einklang zu bringen.833 ii) Rechtssache Huber (Schlussanträge von GA Poiares Maduro) Dass die Datenschutzrichtlinie in engem Zusammenhang mit Art. 8 EMRK steht, wird auch anhand der Schlussanträge des Generalanwalts Poia828 829 830 831 832 833

Diese Deutlichkeit „bemerkenswert“ findet Zerdick, RDV 2009, 56 (58). So aber noch Ronellenfitsch, DuD 2009, 451 (459). EuGH Rs. C-73/07, Rn. 25 ff. (Satamedia). EuGH Rs. C-73/07, Rn. 36 f. (Satamedia). EuGH Rs. C-73/07, Rn. 52 f. (Satamedia). EuGH Rs. C-73/07, Rn. 54 f. (Satamedia).

176

D. Europarechtliche Vorgaben für den Datenschutz

res Maduro in der Rechtssache Huber deutlich: Der in Deutschland lebende, österreichische Staatsangehörige Huber wandte sich gegen ein in Deutschland bestehendes Ausländerregister, in dem personenbezogene Daten zentral gespeichert werden. Vergleichbare Daten deutscher Staatsangehöriger werden hingegen dezentral bei den lokalen Einwohnermelderegistern gespeichert.834 Insofern machte Huber einen Verstoß gegen das allgemeine Diskriminierungsverbot (ex-Art. 12 EGV), die Niederlassungsfreiheit (ex-Art. 43 EGV) und gegen die Datenschutzrichtlinie 95/46/EG geltend.835 Im Zuge der Beurteilung, ob die Datenspeicherung in einem Zentralregister insbesondere gegen das Erforderlichkeitsgebot des Art. 7 lit. e) RL 95/46/EG verstößt, weist der Generalanwalt mit Nachdruck darauf hin, dass im Zusammenhang mit der Datenschutzrichtlinie Art. 8 EMRK eine tragende Rolle spielt: Nationale Maßnahmen, die mit Art. 8 EMRK nicht zu vereinbaren seien, können auch nicht dem Erfordernis der Verhältnismäßigkeit nach Art. 7 lit. e) RL 95/46/EG genügen.836 Mit diesem Verweis wird zum wiederholten Male zum Ausdruck gebracht, dass die grundrechtlichen Gewährleistungen und die sekundärrechtlichen Ausgestaltungen in einem Verhältnis der Interdependenz zueinanderstehen. jj) Rechtssache Rijkeboer Im Rahmen eines Vorabentscheidungsverfahrens musste der Gerichtshof in der Rechtssache Rijkeboer zum Verhältnis der Löschung personenbezogener Daten, die an Dritte seitens der Kommunalverwaltung weitergegeben wurden einerseits und dem Recht auf Auskunft über die Verarbeitung der entsprechenden Daten andererseits, Stellung nehmen.837 Zu Beginn der Stellungnahme des Generalanwalts Dámaso Ruiz-Jarabo Colomer gibt dieser einen Überblick über die Entwicklung des Grundrechts auf Schutz der Privatsphäre. Dabei stellt er heraus, dass „die Richtlinie 95/46 eine Weiterentwicklung des Grundrechts auf Schutz der Privatsphäre unter dem Aspekt der automatischen Verarbeitung personenbezogener Daten“ darstellt.838 Nicht deutlich wird in diesem Zusammenhang, was genau er mit der angesprochenen „Weiterentwicklung“ meint: Dogmatisch ist zumindest nicht denkbar, dass fortschreitendes Sekundärrecht zu einer Änderung des Primärrechts führt.839 834 835 836 837 838 839

SA GA Poiares Maduro, Rs. C-524/06, Rn. 2 (Huber). SA GA Poiares Maduro, Rs. C-524/06, Rn. 3 (Huber). SA GA Poiares Maduro, Rs. C-524/06, Rn. 27 (Huber). SA GA Dámaso Ruiz-Jarabo Colmer, Rs. C-553/07, Rn. 1 (Rijkeboer). SA GA Ruiz-Jarabo Colmer, Rs. C-553/07, Rn. 21 (Rijkeboer). Dazu näher siehe unten D. IV.

II. Grundrechtliche Gewährleistungen

177

Weitergehende Aussagen sind dem Urteil des EuGH840 im Folgenden nicht zu entnehmen, weswegen auf eine Darstellung verzichtet werden kann. kk) Rechtssache Vorratsdatenspeicherung Gegen die Richtlinie 2006/24/EG vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG erhob Irland eine Nichtigkeitsklage gegen das Europäische Parlament und den Rat der Europäischen Union.841 Irland sah die Nichtigkeit der Richtlinie darin begründet, dass sie auf der falschen Rechtsgrundlage, nämlich ex. Art. 95 EGV, basierte. Vielmehr hätten die Regelungen nach Ansicht Irlands auf Grundlage der Art. 30, 31 Abs. 1 lit. c) und 34 Abs. 2 lit. b) EUV a. F. im Wege der intergouvernementalen Zusammenarbeit verabschiedet werden müssen.842 Die Slowakische Republik, die neben Irland als Streithelfer zugelassen wurde, führte darüber hinaus an, dass die in der Richtlinie 2006/24/EG vorgesehene Vorratsspeicherung von personenbezogenen Daten einen „erheblichen Eingriff in das Recht Einzelner auf Achtung ihres Privatlebens nach Art. 8 EMRK“ darstelle, der allein aus wirtschaftlichen Gründen nicht zu rechtfertigen sei.843 Generalanwalt Bot scheint in seinen Schlussanträgen nicht in Frage stellen zu wollen, dass die Regelungen zur Vorratsdatenspeicherung einen Eingriff in Art. 8 EMRK darstellen844, allerdings beschränkt er sich in seinen Ausführungen alleine auf die Bestimmung der Rechtsgrundlage für die Richtlinie 2002/58/EG, die er in ex. Art. 95 EGV sieht. Ebenso wenig geht der EuGH in seinem Urteil auf die Frage nach der Vereinbarkeit der Reglung mit den Unionsgrundrechten ein, indem er lediglich ausdrücklich festhält, „dass sich die von Irland erhobene Klage allein auf die Wahl der Rechtsgrundlage bezieht und nicht auf eine eventuelle Verletzung der Grundrechte als Folge von mit der Richtlinie 2006/24 verbundenen Eingriffe in das Recht auf Privatsphäre“.845 Auch wenn sich der EuGH durch die Beschränkung der Prüfung auf die Anwendbarkeit der Rechtsgrundlage einer Grundrechtsprüfung entzieht, 840 841 842 843 844 845

Vgl. EuGH Rs. C-553/07, abgedruckt in: EuZW 2009, 546, (Rijkeboer). EuGH Rs. C-301/06 (Vorratsdatenspeicherung). SA GA Bot, Rs. C-301/06, Rn. 4 f. (Vorratsdatenspeicherung). SA GA Bot, Rs. C-301/06, Rn. 50 (Vorratsdatenspeicherung). SA GA Bot, Rs. C-301/06, Rn. 94 f. (Vorratsdatenspeicherung). EuGH Rs. 301/06, Rn. 57 (Vorratsdatenspeicherung).

178

D. Europarechtliche Vorgaben für den Datenschutz

können aus der getroffenen Feststellung zwei Schlussfolgerungen gezogen werden: Zum einen erkennt der Gerichtshof das Recht auf Privatsphäre zum wiederholten Male als Unionsgrundrecht an, zum anderen scheint es für ihn nicht in Rede zu stehen, dass die Regelungen der Richtlinie über die Vorratsdatenspeicherung einen Eingriff in dieses Recht darstellen. Aus dem obigen Zitat ist zwar nicht zu entnehmen, ob durch die Vorratsdatenspeicherungsrichtlinie Grundrechte verletzt werden, von einem Eingriff in das Recht auf Privatsphäre ist aber auszugehen. Dies ist insofern von Belang, als dass durch die in Rede stehende Richtlinie unter anderem auch die Speicherung von IP-Adressen angeordnet wird.846 Damit ist festzuhalten, dass die anlasslose Speicherung von Verkehrsdaten wie IP-Adressen einen Eingriff in die Privatsphäre darstellt. ll) Rechtssache Volker und Markus Schecke GbR Ein weiterer Fall, der die widerstreitenden Interessen zwischen dem Recht auf Zugang zu Informationen und dem Schutz der Privatsphäre, insbesondere der personenbezogenen Daten, offenbart847, wurde dem EuGH vom VG Wiesbaden vorgelegt.848 Im Ausgangsverfahren ging es um die unionsrechtliche Pflicht849 zur Veröffentlichung der Empfänger von Agrarsubventionen im Internet, unter anderem mit Namen, Ort und unter Angabe der Postleitzahl sowie der Nennung der erhaltenen Subventionssumme. Die Informationen werden auf der Homepage der Bundesanstalt für Landwirtschaft und Ernährung veröffentlicht, die während einer begrenzten Zeitspanne die IP-Adressen der Besucher speichert, die die Informationen abrufen.850 In Rede stand zum einen, inwieweit die Veröffentlichungspflicht einen rechtfertigungsbedürftigen und -fähigen Eingriff in den Schutz der Privatsphäre und der personenbezogenen Daten darstellt. Einen Eingriff nahm Generalanwältin Sharpston in Bezug auf die bisherige Spruchpraxis des EuGH bezüglich der Veröffentlichung der oben genannten Daten unproblematisch an, was durch den EuGH bestätigt wurde.851 846

s. dazu bereits die obigen Ausführungen in D. I. 3. SA GA Sharpston, verb. Rs. C-92/09 u. C-93/09, Rn. 65 ff. (Volker und Markus Schecke GbR, Hartmut Eifert). 848 EuGH verb. Rs. C-92/09 und C-93/09 (Volker und Markus Schecke GbR, Hartmut Eifert). 849 Die Veröffentlichungspflicht basiert u. a. auf VO Nr. 259/2008. 850 SA GA Sharpston, verb. Rs. C-92/09 u. C-93/09, Rn. 52 (Volker und Markus Schecke GbR, Hartmut Eifert). 851 SA GA Sharpston, verb. Rs. C-92/09 u. C-93/09, Rn. 89, 122 ff. (Volker und Markus Schecke GbR, Hartmut Eifert); EuGH, verb. Rs. C-92/09 u. C-93/09, Rn. 55, 60 (Volker und Markus Schecke GbR, Hartmut Eifert). 847

II. Grundrechtliche Gewährleistungen

179

Zum anderen aber – und für die Thematik dieser Bearbeitung interessanter – war die letzte Vorlagefrage des VG Wiesbaden. In dieser wollte das vorlegende Gericht wissen, ob „Art. 7 – und hier insbesondere Buchstabe e – der Richtlinie 95/46 dahin auszulegen [ist], dass einer Praxis, die IP-Adressen der Benutzer einer Homepage ohne deren ausdrückliche Einwilligung zu speichern, entgegensteht.“852 Problematisch an dieser Fragestellung im Rahmen des Verfahrens war jedoch, dass die Daten nicht den betroffenen Personen, wie den Klägern, also den Subventionsempfängern, zuzuordnen waren. Vielmehr waren von der Speicherung der IP-Adressen vornehmlich Personen betroffen, die die Internetseite mit den Informationen über die Subventionsempfänger aufrufen, und sich lediglich über die Praxis der Subventionsvergabe informieren wollten, ohne selbst Subventionsempfänger zu sein. Dieser Personenkreis war aber gerade nicht am Ausgangsverfahren vor dem VG Wiesbaden beteiligt und konnte somit auch im Rahmen dieses Verfahrens keine Verletzung des Schutzes ihrer – möglicherweise personenbezogenen – Daten geltend machen.853 Im Ergebnis sah Generalanwältin Sharpston diese Frage daher auch als unzulässig an.854 Dieser Beurteilung folgte der EuGH, da die vorgelegte Frage insofern für die Entscheidung über die Ausgangsstreitigkeit in keiner Weise sachdienlich war.855 Dennoch können in dem Vorlageverfahren Auslegungshinweise gefunden werden, die Rückschlüsse auf den Umfang der personenbezogenen Daten im europäischen Recht zulassen: So fällt auf, dass die Generalanwältin davon ausging, dass in dem Aufruf beziehungsweise dem Besuch einer Homepage und einer damit einhergehenden Speicherung von IP-Adressen, eine Verarbeitung personenbezogener Daten im Sinne der Richtlinie 95/46/EG zu sehen ist.856 Schließlich kann man dem Urteil des EuGH Auslegungshilfen zum Schutzbereich des Art. 7 und 8 GrCh entnehmen. Der Gerichtshof äußerte 852 SA GA Sharpston, verb. Rs. C-92/09 u. C-93/09, Rn. 58 (Volker und Markus Schecke GbR, Hartmut Eifert). 853 SA GA Sharpston, verb. Rs. C-92/09 u. C-93/09, Rn. 149, 161 (Volker und Markus Schecke GbR, Hartmut Eifert). 854 SA GA Sharpston, verb. Rs. C-92/09 u. C-93/09, Rn. 150 (Volker und Markus Schecke GbR, Hartmut Eifert). GA Sharpston stellt die Vorlagefrage des VG Wiesbaden in diesem Zusammenhang gar als „etwas eigenartig“ dar (vgl. Rn. 161). 855 EuGH, verb. Rs. C-92/09 u. C-93/09, Rn. 42 (Volker und Markus Schecke GbR, Hartmut Eifert). 856 „Dies bedeutet, dass seine personenbezogenen Daten [die des Internetnutzers] (die IP-Adresse) im Sinne der Richtlinie 95/46 ‚verarbeitet‘ werden.“ Vgl. SA GA Sharpston, verb. Rs. C-92/09 u. C-93/09, Rn. 161 (Volker und Markus Schecke GbR, Hartmut Eifert).

180

D. Europarechtliche Vorgaben für den Datenschutz

sich erstmals zu den angesprochenen Vorschriften der Charta, die zum Urteilszeitpunkt bereits rechtsverbindliches Primärrecht darstellten. Der EuGH geht bei seiner Auslegung von einer Erstreckung der in Art. 7 und 8 GrCh verankerten Achtung des Privatlebens auf die Verarbeitung personenbezogener Daten aus, die jede Information über eine bestimmte oder bestimmbare natürliche Person umfassen.857 Bei der vom Gerichtshof gewählten Formulierung ist beachtenswert, dass Art. 7 und 8 GrCh gemeinsam genannt werden, so dass der Eindruck entsteht, dass beide grundrechtlichen Gewährleistungen zu einer Prüfung zusammengezogen werden.858 mm) Rechtssache Scarlet/SABAM Der dem Urteil in der Rechtssache Scarlet/SABAM859 zugrunde liegende Sachverhalt erinnert an den der Rechtssache Promusicae860. Ähnlich wie Promusicae vertritt SABAM als Verwertungsgesellschaft Autoren, Komponisten und Herausgeber von Musikwerken, während Scarlet als AccessProvider tätig ist, ohne weitere Dienstleistungen im Internet anzubieten.861 In der Rechtssache Promusicae hatte der Gerichtshof darüber zu entscheiden, ob ein Provider dazu verpflichtet ist, Name und Anschrift seiner Kunden offenzulegen, die anhand von IP-Adressen bei der Verletzung von Urheberrechten entdeckt wurden. Bei der hiesigen Fallkonstellation stand hingegen die Frage im Vordergrund, ob ein Access-Provider gegenüber Rechteinhabern verpflichtet ist, deren Werke vor einem Austausch auf Peer-to-Peer- Plattformen durch Einrichtung eines Filtersystems zu schützen und den Austausch von Dateien zu verhindern.862 Das Betreiben des beschriebenen Filtersystems setzt hierbei die Verarbeitung von IP-Adressen voraus.863 Die Filterung stellt eine präventive Maßnahme dar, die eine Urheberrechtsverletzung von vorneherein verhindern soll.864 857 EuGH, verb. Rs. C-92/09 u. C-93/09, Rn. 52 (Volker und Markus Schecke GbR, Hartmut Eifert). 858 So auch: Guckelberger, EuZW 2010, 946 und Streinz, JuS 2011, 278 (279). Diese Zusammenziehung der Grundrechte kritisieren ausdrücklich Brink/Wolff, JZ 2011, 206. (206 f.). 859 EuGH Rs. C-70/11 (Scarlet/SABAM). 860 Vgl. dazu die Ausführungen in D. II. 4. a) gg). 861 EuGH Rs. C-70/11, Rn. 15 f. (Scarlet/SABAM). 862 EuGH Rs. C-70/11, Rn. 2, 18 ff. (Scarlet/SABAM). 863 EuGH Rs. C-70/11, Rn. 26 (Scarlet/SABAM). 864 SA GA Cruz Villalón, Rs. C-70/11, Rn. 4 (Scarlet/SABAM).

II. Grundrechtliche Gewährleistungen

181

Eine solche Kontrollpflicht des Access-Providers lehnte der EuGH im Ergebnis ab.865 Die Maßnahme käme einer aktiven Überwachung sämtlicher Kundendaten gleich, die weder aus sekundär- noch primärrechtlicher Sicht zulässig sei. Zwar sei der Schutz des Rechts am geistigen Eigentum in Art. 17 Abs. 2 GrCh verankert, jedoch ohne schrankenlos gewährleistet zu sein.866 Vielmehr müsse dieses Recht mit den Rechten der von der Filterung betroffenen Personen in Einklang gebracht werden.867 Insofern stehe insbesondere der Schutz der in Art. 8 und 11 GrCh garantierten Rechte im Vordergrund.868 In diesem Zusammenhang stellte der EuGH erstmals fest, dass IP-Adressen personenbezogene Daten darstellen, da sie die genaue Identifizierung der Anschlussinhaber ermöglichen.869 An einer näheren Begründung dieser rechtlichen Einschätzung fehlt es jedoch. Allerdings nahm der Generalanwalt Cruz Villalón in seinen Schlussanträgen zu dieser Frage umfassender Stellung: Zunächst stellte er fest, dass der Gerichtshof sich bisher noch nicht mit der Frage auseinandergesetzt hat, ob die IP-Adressen für sich gesehen, also ohne einen weiteren Bezug zu anderen Daten oder Informationen zu haben, einen Personenbezug aufweisen und die Meinungen zur rechtlichen Einordnung der Adressen divergieren.870 Als Hauptargument, warum IP-Adressen als personenbezogene Daten anzusehen seien, führt der Generalanwalt an, dass dies der Wertung des Art. 5 RL 2006/24/EG871 entspreche.872 Einschränkend – und insofern enger als der Gerichtshof in seinem Urteil – stellt er jedoch darauf ab, dass die Einstufung als personenbezogenes Datum nur dann erfolgen könne, soweit die Identifizierung einer Person anhand der Adressen gelinge. Dies sei durch einen Verweis auf eine Kennung oder ein anderes Merkmal möglich, dass die Person kennzeichne.873 Im Ergebnis zieht Generalanwalt Cruz Villalón die Schlussfolgerung, dass es nicht auf den rechtlichen Status der IP-Adresse ankäme, sondern auf die Beantwortung der Frage, unter welchen Voraussetzungen und zu welchen Zwecken sie erfasst und entschlüsselt werden solle, um im Anschluss daran die daraus gewonnenen Daten zu verarbeiten.874 865 866 867 868 869 870 871 872 873 874

EuGH Rs. C-70/11, Rn. 40 (Scarlet/SABAM). EuGH Rs. C-70/11, Rn. 43 (Scarlet/SABAM). EuGH Rs. C-70/11, Rn. 45 (Scarlet/SABAM). EuGH Rs. C-70/11, Rn. 50 (Scarlet/SABAM). EuGH Rs. C-70/11, Rn. 51 (Scarlet/SABAM). SA GA Cruz Villalón, Rs. C-70/11, Rn. 75 f. (Scarlet/SABAM). s. dazu bereits die Ausführungen in D. I. 3. SA GA Cruz Villalón, Rs. C-70/11, Rn. 77 (Scarlet/SABAM). SA GA Cruz Villalón, Rs. C-70/11, Rn. 78. (Scarlet/SABAM). SA GA Cruz Villalón, Rs. C-70/11, Rn. 79. (Scarlet/SABAM).

182

D. Europarechtliche Vorgaben für den Datenschutz

Diese Schlussfolgerung kann aber nur zu dem vom EuGH gefundenen Ergebnis führen, nämlich dass IP-Adressen personenbezogene Daten darstellen. Denn die Erfassung und Entschlüsselung der Adresse zum Zwecke der Identifizierung einer Person, wie sie der Generalanwalt beschreibt, ist nichts anderes als die geforderte Bestimmbarkeit einer Person, die in der Legaldefinition des Art. 2 lit. a) RL 95/46/EG festgeschrieben ist. b) Auswertung der Rechtsprechung des EuGH Nach der Untersuchung der datenschutzrechtlichen Judikatur des EuGH steht fest, dass es sich mehrheitlich um einzelfallbezogene Entscheidungen handelt, die noch keine Grundlage für eine gefestigte Datenschutzrechtsprechung bilden können und noch nicht den Grad einer allgemeingültigen Schutzbereichsbestimmung erreicht haben, unter die man jede beliebige Fallkonstellation subsumieren könnte. Dennoch kann man einige Leitlinien der Rechtsprechung nachzeichnen, die Anhaltspunkte für die datenschutzrechtliche Gewährleistungen bieten: Das Recht auf Achtung des Privatlebens ist als allgemeiner Rechtsgrundsatz im Unionsrecht verankert. Als dazugehöriger Teilaspekt werden davon auch personenbezogene Daten umfasst, die zunächst auch den Eingang über die allgemeinen Rechtsgrundsätze ins Unionsrecht fanden und mittlerweile explizit in Art. 8 GrCh anerkannt werden. Zur Konkretisierung des Schutzes der personenbezogenen Daten im Rahmen der allgemeinen Rechtsgrundsätze kann die Datenschutzrichtlinie 95/46/EG herangezogen werden. Sie bildet die Mindeststandards ab, die in den Mitgliedstaaten bei der Datenverarbeitung beachtet werden müssen. Das Verhältnis zwischen den unionalen Grundrechtsgewährleistungen zu der allgemeinen Datenschutzrichtlinie entspricht dem der Datenschutzkonvention zu Art. 8 EMRK875. Der Anwendungsbereich der Datenschutzrichtlinie umfasst jede automatisierte Datenverarbeitung in der Union, so dass die richtlinienrechtlichen Maßstäbe einzuhalten sind, ohne dass es auf einen tatsächlichen grenzüberschreitenden Binnenmarktsbezug ankäme. Dies gilt insbesondere auch für die Datenübertragung im Internet. Festzuhalten ist in diesem Zusammenhang, dass die anlasslose Speicherung von Verkehrsdaten einen Eingriff in das Recht auf Privatsphäre darstellt. Systematisch ist zu beachten, dass die Richtlinie 95/46/EG ihrerseits im Lichte der Unionsgrundrechte auszulegen ist, wozu insbesondere auch die Gewährleistungen der EMRK zählen, vorrangig Art. 8 EMRK. Diese Verpflichtung gilt auch für den nationalen Gesetzgeber, sofern das Unionsrecht 875

s. dazu bereits D. II. 2.

II. Grundrechtliche Gewährleistungen

183

seine Anwendung findet. Aufgrund der Tatsache, dass der EuGH nahezu vollständig auf den Binnenmarktsbezug verzichtet, hat dies zur Folge, dass die nationalen grundrechtlichen Datenschutzstandards nahezu vollständig hinter die unionalen zurücktreten. In der Gesamtschau bilden das datenschutzrelevante Primär- und Sekundärrecht ein sich ergänzendes Gesamtkonzept zum Schutze personenbezogener Daten. Hält das Sekundärrecht keine ausdrückliche Regelung für einen Sachverhalt bereit, kann auf die Unionsgrundrechte zurückgegriffen werden, um die Maßstäbe der Verarbeitung zu bestimmen. Spätestens mit der rechtsverbindlichen Einführung der Charta ist der Datenschutz als eigenständiges Grundrecht anerkannt. Die Prüfung des Datenschutzgrundrechts scheint unter dem Regime der Charta nach den Art. 7 und 8 GrCh zu erfolgen. Durch die Zusammenziehung der Prüfung beider grundrechtlicher Gewährleistungen wird der Gefahr vorgebeugt, dass sich der EuGH in Konflikt mit der Rechtsprechung des EGMR begibt, denn unter der EMRK ist nur der Schutz des Privatlebens nach Art. 8 EMRK ausdrücklich normiert, wozu auch der Datenschutz gezählt wird.876 Da Art. 7 GrCh ausdrücklich auch im Lichte des Art. 8 EMRK ausgelegt wird, erscheint es sinnvoll von vorneherein Art. 7 GrCh mit in die Prüfung des Art. 8 GrCh einzubeziehen, um Widersprüche zwischen den Grundrechtskatalogen zu vermeiden. Kritisieren kann man an dieser Lösung, dass sie der Systematik der Charta widerspricht, denn Art. 8 GrCh regelt ausdrücklich einen speziellen Aspekt des Privatlebens, nämlich den Schutz personenbezogener Daten, und ist daher als lex specialis zu Art. 7 GrCh anzusehen.877 Das Spezialitätsverhältnis beider Grundrechtsgewährleistungen kommt insbesondere durch die ausdifferenzierte Schrankenregelung zum Ausdruck, die durch die Einbeziehung von Art. 7 GrCh nicht umgangen werden darf. Künftig bleibt daher abzuwarten, wie der EuGH das Verhältnis beider Grundrechtsnormen konkretisieren wird. 5. Charta der Grundrechte der Europäischen Union Die Charta der Grundrechte der Europäischen Union (Charta) kennt anders als die EMRK die spezielle Gewährleistung des Schutzes der personenbezogenen Daten in Art. 8 GrCh. Daneben besteht mit Art. 7 GrCh eine allgemein gehaltene grundrechtliche Regelung, die neben der Wohnung auch die Kommunikation und das Privat- und Familienleben schützt. 876 877

Streinz, JuS 2011, 278 (279). Guckelberger, EuZW 2011, 126 (127). s. dazu sogleich auch D. II. 5.

184

D. Europarechtliche Vorgaben für den Datenschutz

a) Verbindlichkeit der Charta der Grundrechte der Europäischen Union Durch das Inkrafttreten des Vertrags von Lissabon am 1. Dezember 2009 hat die Charta der Grundrechte der Europäischen Union Verbindlichkeit erlangt. Art. 6 Abs. 1 EUV bestimmt nunmehr, dass „die Union [. . .] die Rechte, Freiheiten und Grundsätze an(erkennt), die in der Charta der Grundrechte der Europäischen Union vom 7. Dezember 2000 in der am 12. Dezember 2007 in Straßburg angepassten Fassung niedergelegt sind; die Charta der Grundrechte und die Verträge sind rechtlich gleichrangig“. Somit verfügt die Union erstmals über einen auf primärrechtlicher Ebene verankerten, geschriebenen Grundrechtskatalog. Art. 51 Abs. 1 S. 1 GrCh bestimmt den Anwendungsbereich der Charta beziehungsweise deren Grundrechtsverpflichtete: Die Organe, Einrichtungen und sonstigen Stellen der Union sind unter Wahrung des Subsidiaritätsprinzips an die Bestimmungen der Charta gebunden. Dies gilt insbesondere bei der Verabschiedung von verbindlichen Unionsakten, wie Richtlinien, Verordnungen oder ähnlichem.878 Daneben sind nach dem Wortlaut der Norm auch die Mitgliedstaaten an die Grundrechte gebunden, allerdings ausschließlich bei der Durchführung von Unionsrecht. Was genau unter der Durchführung von Unionsrecht zu verstehen ist, ist bisher noch nicht abschließend geklärt.879 Unstrittig fällt jedoch die mitgliedstaatliche Richtlinienumsetzung unter den Begriff der „Durchführung von Unionsrecht“.880 Mithin sind die Bestimmungen der Charta sowohl bei der Auslegung der Datenschutzrichtlinien, deren Umsetzung auf nationaler Ebene und deren dortiger Auslegung zu berücksichtigen. b) Gewährleistungsumfang des Art. 8 GrCh Art. 8 GrCh gewährleistet „jede(r) Person [. . .] das Recht auf Schutz der sie betreffenden personenbezogenen Daten“. Mit dem Schutz der personenbezogenen Daten findet der Datenschutz Eingang in die Charta.881 Dabei handelt es sich um ein „innovatives Grundrecht“882, das in dieser ausdrück878

Frenz, Bd. 4, Rn. 211 ff. Vgl. zu diesem Themengebiet: Huber, NJW 2011, 2385 (2387 f.); Nusser, Die Bindung der Mitgliedstaaten an die Unionsgrundrechte. 880 s. hierzu bereits die Ausführungen unter D. II. 3. 881 Johlen, in: Tettinger/Stern, Art. 8, Rn. 9; Spiecker gen. Döhmann/Eisenbarth, JZ 2011, 169 (171). 879

II. Grundrechtliche Gewährleistungen

185

lichen Form nicht in der EMRK verankert ist.883 Im tatsächlichen Sinne innovativ ist die Gewährleistung des Art. 8 GrCh hingegen nicht, denn der Datenschutz wurde bereits zuvor als Teilaspekt des Privatlebens in Art. 8 EMRK verortet.884 Nach dem Willen des Verfassungskonvents soll die EMRK als völkerrechtlicher Vertrag auch weiterhin zur Bestimmung des Schutzbereichs des Art. 8 GrCh dienen.885 Vor diesem Hintergrund verwundert es nicht, dass Art. 8 GrCh in einem engen Zusammenhang zu Art. 7 GrCh steht886, der die Parallelnorm zu Art. 8 EMRK darstellt887. Dabei war es dem Grundrechtskonvent durchaus bewusst, dass das Recht auf informationelle Selbstbestimmung trotz der Schaffung des Art. 8 GrCh integraler Bestandteil des in Art. 7 GrCh geschützten Privatlebens bleibt.888 Nichtsdestotrotz gilt Art. 8 GrCh als lex specialis zu Art. 7 GrCh.889 Aus diesem Spezialitätsverhältnis lässt sich auch das eigentlich zu schützende Rechtsgut des Art. 8 GrCh ableiten: So steht nicht etwa das Datum, also die Information als solche im Mittelpunkt, sondern vielmehr die Person beziehungsweise deren Privatleben, über die das Datum Auskunft gibt.890 Dies ergibt sich auch bereits aus der Formulierung personenbezogene Daten. Dementsprechend soll es sich bei personenbezogenen Daten um alle nur denkbaren Informationen handeln, die auf eine Person bezogen werden kön882 Bernsdorff, in: Meyer, Art. 8, Rn. 12; Edenharter, in: Uerpmann-Wittzack, Das neue Computergrundrecht, S. 116; Hustinx, in: Nizza, die Grundrechte-Charta und ihre Bedeutung für die Medien in Europa, S. 89; Knecht, in: Schwarze, Art. 8 GrCh, Rn. 1. 883 D. II. 1. c). 884 Bernsdorff, in: Meyer, Art. 8, Rn. 12; Frenz, Bd. 4, Rn. 1360; Jarass, GrCh, Art. 8, Rn. 1. 885 Hustinx, in: Nizza, die Grundrechte-Charta und ihre Bedeutung für die Medien in Europa, S. 89 (91); Jarass, GrCh, Art. 8, Rn. 1; Schorkopf, in: Ehlers/ Becker, § 15, Rn. 46. 886 Bernsdorff, in: Meyer, Art. 8, Rn. 13; Tettinger, in: Tettinger/Stern, Art. 7, Rn. 4. In diese Richtung scheint auch der EuGH zu gehen, der in seiner datenschutzrechtlichen Rechtsprechung seit Inkrafttreten Art. 7 und Art. 8 GrCh gemeinsam prüft. Siehe dazu EuGH verb. Rs. C-92/09 und C-93/09 (Volker und Markus Schecke GbR, Hartmut Eifert) und die näheren Ausführungen in D. II. 4. a) ll). 887 Bernsdorff, in: Meyer, Art. 7, Rn. 1; Marauhn, in: Heselhaus/Nowak, § 19, Rn. 2, 4. 888 Bernsdorff, in: Meyer, Art. 8, Rn. 13. 889 Jarass, § 12, Rn. 2; ders., GrCh, Art. 8, Rn. 4; Kingreen, in: Callies/Ruffert, Art. 8 GrCh, Rn. 1; Knecht, in: Schwarze, Art. 8 GrCh, Rn. 5; Mehde, in: Heselhaus/Nowak, § 21, Rn. 13; Streinz, in: Streinz, Art. 7 GrCh, Rn. 4; Tettinger, in: Tettinger/Stern, Art. 7, Rn. 15. 890 Mehde, in: Heselhaus/Nowak, § 21, Rn. 22.

186

D. Europarechtliche Vorgaben für den Datenschutz

nen, ohne dass diese besonders sensibler Natur sein müssten.891 Der Hinweis, dass ein „ausreichender personaler Bezug“ gegeben sein müsse892, ist zur Konkretisierung der Begrifflichkeit wenig hilfreich, da er keine Anhaltspunkte für eine Auslegungshilfe bietet. So wird auch in Frage gestellt, ob Art. 8 GrCh überhaupt konkrete Maßstäbe zur Ausgestaltung des europäischen Datenschutzrechts entnommen werden können.893 Die Definition der personenbezogenen Daten, die der EuGH im Rahmen des Art. 8 GrCh gefunden hat, lehnt sich an die bisherige Rechtsprechung des EGMR an und umfasst Informationen, die eine bestimmte oder bestimmbare natürliche Person betreffen.894 Gemeinhin wird ein potenzieller Personenbezug als ausreichend erachtet, was bedeutet, dass die betroffene Person erst dann identifizierbar ist, wenn eine dahingehende Datenverarbeitung erfolgt ist. Gleiches soll für den Fall gelten, dass erst durch die Verwendung mehrerer Daten ein (personenbezogenes) Persönlichkeitsprofil hergestellt werden kann.895 Dem steht auch nicht die in der Rechtssache Volker und Markus Schecke GbR896 begonnene Rechtsprechung des EuGH entgegen, wonach der Gerichtshof zu bevorzugen scheint, Art. 8 GrCh nicht isoliert, sondern im Zusammenhang mit Art. 7 GrCh zu prüfen. Die Bezugnahme auf die Maßstäbe des Art. 7 GrCh führt nicht dazu, dass weitere Voraussetzungen – wie etwa eine Betroffenheit des Privatlebens – erfüllt sein müssen, um den Schutzbereich von Art. 8 GrCh zu eröffnen. Vielmehr kann über Art. 7 GrCh sichergestellt werden, dass die im Rahmen von Art. 8 EMRK ergangene datenschutzrechtliche Rechtsprechung zum Merkmal des Privatlebens, das sowohl in Art. 7 GrCh als auch in Art. 8 EMRK normiert ist, Eingang in die Auslegung des Art. 8 GrCh finden kann.897 Ein engerer Bezug zur Privatsphäre ist daher auch nicht nach der Rechtsprechung des EuGH zur Schutzbereichseröffnung des Art. 8 GrCh erforderlich.898 891 Britz, EuGRZ 2009, 1 (8); Guckelberger, EuZW 2011, 126 (128); Jarass, § 13, Rn. 5; Knecht, in: Schwarze, Art. 8 GrCh, Rn. 5; Rengeling/Szczekalla, Rn. 681. 892 So Jarass, § 13, Rn. 5. 893 Britz, EuGRZ 2009, 1. 894 EuGH, verb. Rs. C-92/09 u. C-93/09, Rn. 52 (Volker und Markus Schecke GbR, Hartmut Eifert); s. dazu bereits die Ausführungen in D. II. 4. a) ll). Darüber hinaus Guckelberger, EuZW 2011, 126 (128). 895 Frenz, Bd. 4, Rn. 1371. 896 EuGH, verb. Rs. C-92/09 u. C-93/09 (Volker und Markus Schecke GbR, Hartmut Eifert). 897 Vgl. dazu bereits die Ausführungen in D. II. 4. b). 898 Britz, EuGRZ 2009, 1 (8). So im Ergebnis auch Guckelberger, EuZW 2011, 126 (128), der jedoch den EuGH dahingehend kritisiert, dass er eine Chance verpasst habe, Art. 8 GrCh eigenständige Konturen zu verleihen.

II. Grundrechtliche Gewährleistungen

187

Eine weitergehende Konkretisierung des Gewährleistungsumfanges des Art. 8 GrCh könnte sich – unter anderem nach den unverbindlichen Erläuterungen des Grundrechtskonvents – aus den bereits existierenden unionsrechtlichen Bestimmungen ergeben.899 Auskunft über die Bestimmung des Regelungsgehalts könne daher insbesondere die RL 95/46/EG bringen900, die den Begriff des personenbezogenen Datums in Art. 2 lit. a) definiert. Neben Daten, die das Privatleben oder gar die Privatsphäre betreffen, sollen auch andere darüber hinausgehende Daten umfasst werden.901 Es stellt sich die Frage, ob es sich bei dem Grundrecht des Schutzes personenbezogener Daten um ein Grundrecht „zweiter Klasse“ handelt, da es lediglich dem Sekundärrecht entnommen ist und in dessen Lichte ausgelegt werden soll.902 Nur teilweise wird in der Literatur dazu Stellung genommen, dass grundsätzlich die grundrechtlichen Gewährleistungen das Sekundärrecht prägen sollten und nicht umgekehrt, wie es auf den ersten Blick im Verhältnis zwischen Art. 8 GrCh und der allgemeinen Datenschutzrichtlinie der Fall ist.903 Um der Normenhierarchie auch im Unionsrecht gerecht zu werden, kann als Ergebnis jedoch nur stehen, dass Art. 8 GrCh ein selbstständiges, seinen Gewährleistungsumfang selbstständig bestimmendes Grundrecht ist. Die Garantien des Grundrechts werden lediglich durch die Sekundärrechtsakte näher bestimmt, ohne aber selbst den grundrechtlichen Schutzbereich verengen zu können. Als Auslegungsmaxime muss daher gelten, dass das Sekundärrecht in der Weise angewandt wird, dass dem Grundrecht zu maximaler und optimaler Wirkung verholfen wird.904

899 Bernsdorff, in: Meyer, Art. 8, Rn. 2, 14; Britz, EuGRZ 2009, 1 (8); Faßbender, RDV 2009, 96 (102); Frenz, Bd. 4; Rn. 1361; Hustinx, in: Nizza, die Grundrechte-Charta und ihre Bedeutung für die Medien in Europa, S. 89 (91); Jarass, § 12, Rn. 5; Johlen, in: Tettinger/Stern, Art. 8, Rn. 12; Kingreen, in: Callies/Ruffert, Art. 8 GrCh, Rn. 6; Siemen, EuR 2004, 306 (307), dies., S. 281. 900 Edenharter, in: Uerpmann-Wittzack, Das neue Computergrundrecht, S. 115; Frenz, Bd. 4, Rn. 1368; Jarass, GrCh, Art. 8, Rn. 5; Johlen, in: Tettinger/Stern, Art. 8, Rn. 16, 31; Kingreen, in: Callies/Ruffert, Art. 8 GrCh, Rn. 5, 7. 901 Jarass, Art. 8, Rn. 6; Kingreen, in: Callies/Ruffert, Art. 8 GrCh, Rn. 9. 902 Bernsdorff, in: Meyer, Art. 8, Rn. 17; Edenharter, in: Uerpmann-Wittzack, Das neue Computergrundrecht, S. 116; Johlen, in: Tettinger/Stern, Art. 8, Rn. 16, 31; Jarass, GrCh, Art. 8, Rn. 2; Knecht, in: Schwarze, Art. 8 GrCh, Rn. 1; Mehde, in: Heselhaus/Nowak, § 21, Rn. 13. 903 Frenz, Bd. 4, Rn. 1361 f. 904 So im Ergebnis auch Frenz, Bd. 4, Rn. 1364 f. Jarass, GrCh, Art. 8, Rn. 3 spricht lediglich davon, dass „das Sekundärrecht im Lichte des Art. 8 auszulegen“ ist.

188

D. Europarechtliche Vorgaben für den Datenschutz

c) Verhältnis zu den Gewährleistungen der EMRK Neben dem Unionsrecht und insbesondere der Datenschutzrichtlinie haben aber auch die Rechtssetzungsakte des Europarates, vor allem die EMRK und somit insbesondere die Rechtsprechung des EGMR, einen besonderen Einfluss auf die Reichweite des Art. 8 GrCh.905 Daher gilt auch bei Art. 8 GrCh, dass sich die Daten nicht auf einen speziellen Bereich, insbesondere nicht die Intim- oder Privatsphäre, beziehen müssen, um in den grundrechtlichen Schutzbereich zu fallen.906 Schließlich liegt auch Art. 8 EMRK eine weite Auslegung des Privatlebens zugrunde.907 Die Charta lehnt sich ihrem Inhalt nach stark an die Garantien der EMRK an, so dass sich zwangsläufig die Frage nach dem Verhältnis der beiden Grundrechtskataloge zueinander stellt. Augenscheinlich wird dies insbesondere im Rahmen von Art. 7 GrCh, der sein Pendant in Art. 8 Abs. 1 EMRK findet.908 Der Wortlaut des Gewährleistungsumfangs ist quasi identisch: Sowohl in Art. 7 GrCh als auch in Art. 8 Abs. 1 EMRK wird jeder Person das Recht auf Achtung ihres Privatund Familienlebens sowie ihrer Wohnung zugesprochen. Allein in Bezug auf die in Art. 8 Abs. 1 EMRK gewährleistete Korrespondenz gibt es eine Abweichung zur Charta, die in Art. 7 GrCh von der Achtung der Kommunikation spricht. Diese begriffliche Differenz ist aber allein dem späteren Entstehungszeitpunkt der Charta und der damit einhergehenden technischen Entwicklung geschuldet909, die durch die Verwendung des Kommunikationsbegriffs neuere Telekommunikationsformen bereits terminologisch unproblematisch einschließt, während diese im Rahmen der EMRK durch die Auslegung des Begriffs der Korrespondenz umfasst werden. Allerdings begnügt sich die Charta nicht damit, den Datenschutz unter die Achtung des Privatlebens zu fassen. Durch Art. 8 GrCh wurde eine selbstständige Regelung zum Schutz personenbezogener Daten geschaffen. 905 Bernsdorff, in: Meyer, Art. 8, Rn. 2, 19 f.; Frenz, Bd. 4, Rn. 1427; Johlen, in: Tettinger/Stern, Art. 8, Rn. 20. 906 Britz, EuGRZ 2009, 1 (8). 907 Frenz, Bd. 4, Rn. 1372. 908 Mit Verweis auf die Auflistung des Präsidiums bezüglich der Rechte der Grundrechte-Charta, die dieselbe Bedeutung und Tragweite haben wie die Rechte der EMRK Becker, in: Schwarze, Art. 52 GrCh, Rn. 15; Streinz, in: Streinz, Art. 7 GrCh, Rn. 1. 909 Marauhn, in: Heselhaus/Nowak, § 19, Rn. 16, 28; ders./Meljnik, in: Marauhn/ Grote, Kap. 16, Rn. 9; Rengeling/Szczekalla, Rn. 664; Tettinger, in: Tettinger/Stern, Art. 7, Rn. 2, 41.

II. Grundrechtliche Gewährleistungen

189

Eines Rückgriffs auf Art. 7 GrCh bedarf es daher zur Verortung des Datenschutzes im Rahmen der Charta grundsätzlich nicht, da Art. 8 GrCh im Verhältnis zu Art. 7 GrCh als lex specialis gilt.910 Dennoch geht, wie bereits gezeigt, die Entwicklung der Rechtsprechung des EuGH dahin, Art. 7 und 8 GrCh gemeinsam zu prüfen, um die Wertungen des Art. 8 EMRK über Art. 7 GrCh auch in Art. 8 GrCh einfließen zu lassen.911 Damit trägt der EuGH der Intention des Grundrechtskonvents Rechnung, wonach Art. 8 EMRK auch der Bestimmung des Art. 8 GrCh dienen soll.912 Art. 52 Abs. 3 GrCh versucht schließlich das Verhältnis zwischen den Bestimmungen der Charta und der EMRK zu regeln: Soweit die Charta Rechte enthält, die denen der EMRK entsprechen, kommt diesen die gleiche Bedeutung und Tragweite wie nach der Konvention zu. Diese Bestimmung führt aber nicht dazu, dass das Unionsrecht nicht einen weitergehenden Schutz gewährleisten kann. Die „Entsprechens-Klausel“ des Art. 52. Abs. 3 GrCh führt insoweit zu Auslegungsunsicherheiten, als dass nicht unmittelbar ersichtlich ist, wann sich die Rechte der Grundrechtskataloge entsprechen, da zum Teil unterschiedliche Formulierungen gewählt wurden oder Rechte, die im Laufe der Judikatur des EGMR entstanden sind, in die Grundrechte-Charta ausdrücklich aufgenommen wurden.913 Vorherrschende Ansicht in Bezug auf das Verhältnis von Art. 8 EMRK und Art. 8 GrCh ist dabei, dass es dem Datenschutzgrundrecht der Charta an einer Entsprechung im Rahmen der EMRK fehle, so dass Art. 52 Abs. 3 S. 1 GrCh auf Art. 8 GrCh keine Anwendung finde.914 Dies lässt sich insofern auf den Wortlaut der beiden Grundrechtskataloge stützen, als dass der Schutz personenbezogener Daten nicht ausdrücklich in der EMRK genannt wird. Nach Sinn und Zweck der Regelung kann aber dahinstehen, ob Art. 8 GrCh seine Entsprechung in Art. 8 EMRK findet oder nicht, denn Art. 53 GrCh soll zum einen sichern, dass keine Bestimmung der Charta als eine Einschränkung oder Verletzung der Menschenrechte und Grundfreiheiten, insbesondere der EMRK, ausgelegt wird. Dies steht mit Art. 8 GrCh nicht in Rede, da der Schutz der personenbezogenen Daten lediglich eine beson910 Jarass, § 12, Rn. 2; ders., GrCh, Art. 8, Rn. 4; Marauhn, in: Heselhaus/Nowak, § 19, Rn. 42; Mehde, in: Heselhaus/Nowak, § 21, Rn. 13. 911 s. dazu bereits D. II. 4. b). 912 Hustinx, in: Nizza, die Grundrechte-Charta und ihre Bedeutung für die Medien in Europa, S. 89 (91); Jarass, GrCh, Art. 8, Rn. 1; Schorkopf, in: Ehlers/ Becker, § 15, Rn. 46. 913 Grabenwarter, § 22, Fn. 23. 914 Britz, EuGRZ 2009, 1 (3).

190

D. Europarechtliche Vorgaben für den Datenschutz

dere Ausprägung des Schutzes des Privatlebens darstellt, der eine explizite Berücksichtigung im Grundrechtskatalog gefunden hat. Zum anderen soll sich der Rechtsanwender bei der Auslegung der Charta an den Bestimmungen der EMRK und der dazu ergangenen Rechtsprechung des EGMR orientieren915, was durch den EuGH allein schon durch die gemeinsame Prüfung von Art. 7 und 8 GrCh gewährleistet wird. Einer Diskrepanz zwischen den Grundrechtskatalogen in Bezug auf den Schutz der personenbezogenen Daten ist damit vorgebeugt.

III. Primärrecht Neben den grundrechtlichen Verankerungen im europäischen Recht, spiegelt sich der Datenschutz auch im Primärecht der Union in der Fassung des Vertrags von Lissabon wider. 1. Art. 16 AEUV Aufgrund der durch den Vertrag von Lissabon aufgelösten „Säulenstruktur“ der Union, findet sich eine weitere Datenschutzbestimmung in Teil II „Allgemein geltende Bestimmungen“ des AEUV, nämlich im dortigen Art. 16. Aufgrund dieser systematischen Stellung gilt Art. 16 AEUV für alle unionalen Politikbereiche.916 Nach Abs. 1 der Gewährleistung hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Der Wortlaut und die Stellung der Vorschrift werfen unweigerlich die Frage auf, inwieweit ihr ein selbstständiger Anwendungsbereich neben den oben aufgeführten917 grundrechtlichen Gewährleistungen zukommt. Art. 16 AEUV ist die Nachfolgeregelung des Art. 286 Abs. 1 EGV. In dieser Vorschrift fand der Datenschutz seinen ersten ausdrücklichen Niederschlag auf der damaligen Gemeinschaftsebene durch den Vertrag von Amsterdam.918 Art. 286 Abs. 1 EGV begründete für die Unionsorgane eine Bindung an die sekundärrechtlichen Datenschutzvorschriften.919 915 Vgl. hierzu Abs. 5 der Präambel der Charta der Grundrechte der Europäischen Union, nachdem die Charta die Rechte der EMRK bekräftigt, wie sie sich auch aus der Rechtsprechung des EGMR ergeben. 916 Spiecker gen. Döhmann/Eisenbarth, JZ 2011, 169 (172). 917 s. D. II. 918 Kotzur, in: Geiger/Khan/Kotzur, Art. 16 AEUV, Rn. 1; Reich, S. 440. 919 Kingreen, in: Callies/Ruffert, 3. Aufl. 2007, Art. 286 EGV, Rn. 3; Herrmann, in: Streinz, 2003, Art. 286 EGV, Rn. 1.

III. Primärrecht

191

Die Fassung des Art. 16 AEUV ist demgegenüber nicht mit der Regelung vor Inkrafttreten des Vertrages von Lissabon zu vergleichen. Insbesondere sieht die Vorschrift des AEUV nicht nur die Organe der europäischen Union als Adressat wie dies noch Art. 286 Abs. 1 EGV tat, sondern begründet ein subjektives Recht auf Datenschutz, das grundrechtlich ausgestaltet ist.920 In seiner Formulierung entspricht Art. 16 Abs. 1 AEUV derjenigen des Art. 8 Abs. 1 GrCh, so dass sich zwangsläufig die Frage nach dem Verhältnis der beiden Vorschriften zueinander stellt. Anders als Art. 8 Abs. 2 GrCh bestimmt Art. 16 Abs. 2 AEUV keinen Schrankenvorbehalt für Eingriffe in den Gewährleistungsumfang des Datenschutzrechts. Vielmehr ist in der Vorschrift des AEUV eine Ermächtigung zum Erlass von Sekundärrechtsakten, die dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten dienen sollen, inbegriffen, die für alle unionalen Politikbereiche gilt.921 Das Verhältnis von Charta-Grundrechten und diesen entsprechenden vertraglichen Regelungen soll sich nach Art. 52 Abs. 2 GrCh richten. Die Ausübung der in der Charta anerkannten Rechte, die in den Verträgen ebenfalls gewährleistet werden, erfolgt im Rahmen der in den Verträgen festgelegten Bedingungen und Grenzen. Wendet man Art. 52 Abs. 2 GrCh im Fall von Art. 8 GrCh und Art. 16 AEUV konsequent an, kommt man zu dem Ergebnis, dass die spezielle Schrankenregelung des Art. 8 Abs. 2 GrCh und die allgemeine nach Art. 52 Abs. 1 GrCh nicht zur Anwendung kommen dürfen, da Art. 16 Abs. 1 AEUV keine Schranken bei gleichem Gewährleistungsumfang vorsieht. Dieses Ergebnis kann aber nicht gewünscht sein, da nicht davon auszugehen ist, dass der Verfassungskonvent mit Art. 8 Abs. 2 GrCh eine spezielle Schrankenreglung treffen wollte, die dann aber wegen Art. 52 Abs. 2 GrCh keine Anwendung findet. Vielmehr sollte man in Art. 16 AEUV eine Bekräftigung des Rechts auf Schutz personenbezogener Daten sehen, die zum einen im Zusammenhang mit der neu geschaffen Kompetenzregel des Art. 16 Abs. 2 AEUV steht. Nach Abschaffung der Säulenstruktur wird so die Ausdehnung des Geltungsbereichs von Sekundärrechtsakten auf alle Zuständigkeitsbereiche der Union ermöglicht, insbesondere auch auf die polizeiliche und justizielle Zusammenarbeit, so dass nunmehr ein einheitlicher Rechtsrahmen für den Datenschutz geschaffen werden kann.922 920

Boehm, JA 2009, 435 (439); Kotzur, EuGRZ 2011, 105 (110). Zerdick, in: Folgerungen aus der Vergemeinschaftung der Justiz- und Innenpolitik für den Datenschutz, S. 4 f. 922 Artikel 29-Gruppe/Arbeitsgruppe Polizei und Justiz, WP 02356/09/DE, S. 8. 921

192

D. Europarechtliche Vorgaben für den Datenschutz

Zum anderen ist Art. 16 AEUV im Zusammenhang mit Art. 15 AEUV, der ein Recht auf Zugang zu Dokumenten bekräftigt, zu lesen. Beide Rechte stehen zueinander in einem gewissen Spannungsfeld und müssen zu einem möglichst schonenden Ausgleich gebracht werden. Hätte man in Art. 16 AEUV den Schutz personenbezogener Daten nicht explizit aufgenommen, könnte man einseitig von einer Bevorzugung des Rechts auf Zugang zu Dokumenten ausgehen. Dies wird nunmehr durch die Nennung beider Vorschriften verhindert. Daneben ist Art. 52 Abs. 2 GrCh nur auf Bestimmungen des EUV und AEUV anwendbar, die vor Inkrafttreten des Vertrages von Lissabon bereits Teil des Unionsrechts waren.923 Dies ergibt sich aus dem Sinn und Zweck der Vorschrift, die gewährleisten soll, dass subjektive Rechte924, die bereits in der alten Fassung des EG-Vertrages und des EU-Vertrages garantiert wurden, nicht durch die Bestimmungen der Grundrechte-Charta geschmälert werden sollten.925 Um den genannten Umständen Rechnung zu tragen, wird man im Ergebnis zu einer ausnahmsweisen Nicht-Anwendung des Art. 52 Abs. 2 GrCh in Bezug auf Art. 8 GrCh und Art. 16 AEUV kommen.926 Darüber hinaus kann man wegen der kongruenten Formulierung des jeweils ersten Absatzes der Vorschriften von einem identischen Gewährleistungsumfang ausgehen und somit auch von derselben Auslegung des Begriffs der personenbezogenen Daten. 2. Art. 39 EUV In Ergänzung zu Art. 16 AEUV gewährleistet Art. 39 EUV den Schutz personenbezogener Daten auch im Bereich der Gemeinsamen Außen- und Sicherheitspolitik.927

923

Kingreen, in: Callies/Ruffert, Art. 52 GrCh, Rn. 3. Becker, in: Schwarze, Art. 52 GrCh, Rn. 2. 925 Kingreen, in: Callies/Ruffert, Art. 8 GrCh, Rn. 3. 926 So im Ergebnis auch Bernsdorff, in: Meyer, Art. 8, Rn. 17; Britz, EuGRZ 2009, 1 (2); dies., in: Das Grundrecht auf Datenschutz in Art. 8 der Grundrechtecharta, S. 3; Kingreen, in: Callies/Ruffert, Art. 8 GrCh, Rn. 3; Spiecker gen. Döhmann/Eisenbarth, JZ 2011, 169 (172). 927 Geiger, in: Geiger/Khan/Kotzur, Art. 39 EUV, Rn. 1. 924

IV. Bestimmung des europäischen Prüfungsmaßstabs (Ergebnis)

193

IV. Bestimmung des europäischen Prüfungsmaßstabs (Ergebnis) Zusammenfassend kann daher folgender europäischer Prüfungsmaßstab zur Bestimmung der Reichweite des Schutzes personenbezogener Daten festgehalten werden: Sowohl Art. 8 EMRK als auch Art. 8 GrCh im Zusammenspiel mit Art. 7 GrCh bestimmen den grundrechtlichen Schutzumfang auf Unionsebene. Gleichzeitig dienen sie als Auslegungsmaxime für die datenschutzrechtlichen Richtlinien, insbesondere RL 95/46/EG. Verfehlt ist es in diesem Zusammenhang jedoch von einem „Grundrechtsschutz durch Richtlinien“928 zu sprechen. Andernfalls bestünde die Gefahr, dass man sich in einen Widerspruch zur Normenhierarchie begibt, wonach die Grundrechte den Maßstab für die untergesetzlichen Rechtsnormen, also auch für Richtlinien und Verordnungen bilden. Daher ist es umgekehrt nicht denkbar, dass datenschutzrechtliche Sekundärrechtsakte den Umfang des Grundrechtes aus Art. 8 GrCh bestimmen. Zwar können Richtlinien und Verordnungen grundrechtliche Gewährleistungen näher ausgestalten und konkretisieren, der eigentliche Schutzrahmen muss aber aus dem Grundrecht selbst abgeleitet werden.929 Ansonsten liefe man Gefahr, in einen Zirkelschluss zu verfallen, wenn einerseits die sekundärrechtlichen Bestimmungen den Umfang des Grundrechts bestimmen würden und andererseits dieselben Richtlinienbestimmungen gleichzeitig anhand des grundrechtlichen Maßstabs überprüft werden müssten. Dies gilt umso mehr, als dass es sich bei dem Begriff des personenbezogenen Datums um denjenigen handelt, der überhaupt erst den Schutzbereich eröffnet. Untermauert wird dieses Ergebnis durch Art. 52 Abs. 2 GrCh, denn danach erfolgt die Ausübung der in der Charta anerkannten Rechte im Rahmen der in den Verträgen festgelegten Bedingungen und Grenzen. Damit wird ausdrücklich ausschließlich auf eine Schutzbereichsbestimmung aus dem Primärrecht heraus abgestellt. Das Sekundärrecht kann dazu nicht herangezogen werden, um eine Aushöhlung der Grundrechte durch rangniedrigere Normen zu verhindern. Dennoch ist im Verhältnis von Art. 8 GrCh zu der allgemeinen Datenschutzrichtlinie ein Spezialfall zu sehen, da letztere der Fassung des Daten928

Schorkopf, in: Ehlers/Becker, § 15, Rn. 24; Siemen, EuR 2004, 306 (314), dies., S. 242 f. Ähnlich Rengeling/Szczekalla, Rn. 679, die von einem „gesetzesmediatisiertem Schutz“ ausgehen. 929 So auch Albers, in: Hofmann-Riem/Schmidt-Aßmann/Voßkuhle, Bd. 2, Rn. 44; Britz, EuGRZ 2009, 1 (5 f.); Kingreen, in: Callies/Ruffert, Art. 8 GrCh, Rn. 8; Kotzur, EuGRZ 2011, 105 (110); Ruffert, EuGRZ 2004, 466 (470).

194

D. Europarechtliche Vorgaben für den Datenschutz

schutzgrundrechtes zeitlich voraus ging und sich der Verfassungskonvent bei der Ausarbeitung der Charta-Vorschriften ausdrücklich an die bisher ergangene Rechtsprechung und die bestehenden sekundärrechtlichen Rechtsakte angelehnt hat.930 So ist zu erklären, dass sich der Terminus des personenbezogenen Datums auch in Art. 8 GrCh wiederfindet und sich die bisherige Auslegung des Begriffs an der Begriffsdefinition der Richtlinie orientiert.931 Allerdings ist zu berücksichtigen, dass der Schutzbereich eines Grundrechts stets abstrakt zu bestimmen ist. Würde man – wie teilweise vertreten932 – davon ausgehen, dass materielle Regelungen des Sekundärrechts geeignet sind, den Schutzbereich des Grundrechts festzulegen, liefe man Gefahr, eine einheitliche Schutzbereichsbestimmung aufzugeben. Dies wird insbesondere im Hinblick auf die VO 45/2001/EG erkennbar, die allein die Unionsorgane verpflichtet, dennoch aber als Maßstab für die Schutzbereichseröffnung dienen soll933, was abzulehnen ist. Im Rahmen des Verhältnisses von Art. 8 GrCh zu den datenschutzrechtlichen Sekundärrechtsakten erhält Art. 8 EMRK eine immense Bedeutung, da anhand dessen Auslegung schon frühzeitig – bereits vor Inkrafttreten der allgemeinen Datenschutzrichtlinie – Maßstäbe zum Schutze personenbezogener Daten auf Grundrechtsebene gesetzt wurden. Diese spiegeln sich nunmehr auch in der Ausgestaltung des Art. 8 GrCh und der Konkretisierung der personenbezogenen Daten wider. Durch die Verflechtung der unterschiedlichen Grundrechtskataloge wird ein – ohnehin systemwidriger – Rückgriff auf die Grundsätze der Datenschutzrichtlinie zur Bestimmung des Schutzbereichs entbehrlich. Festzuhalten bleibt daher, dass die unionalen grundrechtlichen Maßstäbe auf Grundlage des Art. 8 EMRK und Art. 7 und 8 GrCh bestimmt werden, um Wertungswidersprüche zwischen den Grundrechtskatalogen zu vermeiden. So kann die bisherige Rechtsprechung des EGMR und des EuGH zum Datenschutz als besondere Ausprägung des Schutzes des Privatlebens weiterhin berücksichtigt werden. Eine weitere Konkretisierung des Art. 8 EMRK konnte daneben durch die Datenschutzkonvention erfolgen, während die datenschutzrechtlichen Richtlinien zwar nicht den Schutzbereich des Art. 8 GrCh bestimmen, jedoch eine einfachrechtliche Umsetzung desselben darstellen. 930

Vergleiche hierzu Britz, EuGRZ 2009, 1 (5 f.). Britz, EuGRZ 2009, 1 (8); Edenhart, in: Uerpmann-Wittzack, Das neue Computergrundrecht, S. 117. 932 Siemen, S. 251. 933 So Siemen, S. 251. 931

IV. Bestimmung des europäischen Prüfungsmaßstabs (Ergebnis)

195

Gerade anhand der Auslegungsfrage in Bezug auf die Sichtweise auf den Personenbezug, der sich aus dem einfachen Recht nicht ohne Weiteres beantworten lässt, zeigt sich, dass eine Auslegung anhand höherrangiger Normen erforderlich ist. Insofern besteht zwar kein Konfliktfall zwischen dem Schutzbereich des Art. 8 GrCh und der Auslegung der personenbezogenen Daten im Sinne des Art. 2 lit. a) RL 95/46/EG, denn die Datenschutzrichtlinie selbst geht, wie bereits gezeigt, von einem weiten Begriffsverständnis aus. Auch nach den grundrechtlichen Maßstäben soll der Personenbezug für einen umfassenden Schutz sorgen, ohne dass es auf einen Bezug zur Privatsphäre ankäme, so dass auch auf grundrechtlicher Ebene von der absoluten Sichtweise auszugehen ist, zumal ein potentieller Personenbezug als ausreichend erachtet wird. Schließlich ist in Bezug auf die Schutzbereichsbestimmung zu beachten, dass es sowohl der EuGH als auch der EGMR in ihrer bisherigen datenschutzrechtlichen Rechtsprechung vermieden haben, sich auf eine konkrete Definition des Gewährleistungsumfanges festzulegen. Insofern blieb der Praxis der Rechtsanwender bis heute keine andere Möglichkeit, als sich auf die normierten Definitionen der Datenschutzrichtlinie, insbesondere auf Art. 2 lit. a) RL 95/46/EG, zu stützen. Neben den grundrechtlichen Schutz der EMRK und der GrundrechteCharta treten zum einen die in Art. 6 Abs. 3 EUV verankerten allgemeinen Grundsätze des Unionsrechts, wozu auch die Achtung des Privatlebens zählt, wobei der Schutz personenbezogener Daten dazu einen Unterfall bildet, und zum anderen das übrige Primärrecht, insbesondere Art. 16 AEUV, wobei dessen Wertungen im Einklang mit Art. 8 GrCh stehen. Auf der nächsten Ebene steht das datenschutzrechtliche Sekundärrecht, in dessen Rahmen der allgemeinen Datenschutzrichtlinie eine überragende Bedeutung zukommt. Durch die Ausdehnung deren Anwendungsbereichs, die sie durch die Judikatur des EuGH erfahren hat, strahlt das gesamte unionale Datenschutzrecht auf das nationale Recht aus. Die sekundärrechtlichen Bestimmungen garantieren einen umfassenden Schutz von IP-Adressen, da sie sowohl unter die zu schützenden Kategorien der Verkehrsdaten als auch der personenbezogenen Daten fallen. Für personenbezogene Daten ergibt sich dies aus dem der Begriffsdefinition des Art. 2 lit. a) RL 95/46/EG zugrunde liegenden objektiven Ansatz zur Sichtweise auf die Bestimmbarkeit, was durch die Datenschutzrichtlinie für elektronische Kommunikation untermauert wird. Dieser Prüfungskanon bildet den Auslegungsmaßstab für das nationale Recht.

E. Zusammenfassende Bewertung IP-Adressen sind personenbezogene Daten im Sinne des § 3 Abs. 1 BDSG und unterfallen damit den nationalen datenschutzrechtlichen Vorschriften. Der Begriff der personenbezogenen Daten ist anhand einer objektiven Sichtweise auf die Bestimmbarkeit auszulegen. Diese Bewertung gilt unabhängig davon, ob IP-Adressen statisch oder dynamisch vergeben werden. Die im Rahmen des Volkszählungsurteils des BVerfG934 entwickelte Rechtsprechung zum Schutze personenbezogener Daten untermauert dieses Ergebnis. In diesem Zusammenhang hielt das BVerfG fest, dass es „unter den Bedingungen der automatischen Datenverarbeitung kein ‚belangloses‘ Datum mehr gebe.“935 Sobald versucht werden soll, anhand eines Datums den Personenbezug herzustellen, muss mithin der Schutz der informationellen Selbstbestimmung und des darauf fußenden Datenschutzrechts greifen. Der Personenbezug kann nur dann entfallen, wenn die Zuordnung der IPAdresse zu einer Person für jedermann ausgeschlossen ist oder zumindest nur mittels eines unverhältnismäßigen Aufwands zu bewerkstelligen ist. Eine Anonymisierung muss mit anderen Worten mit dem Löschen der Daten gleichbedeutend sein. Dieses Ergebnis hat zwangsläufig zur Folge, dass Pseudonyme noch als personenbezogene Daten angesehen werden müssen, da ihnen die Möglichkeit der Re-Identifizierung immanent ist. Solange eine Stelle oder eine Person noch über einen Schlüssel zur Re-Identifizierung verfügt, kann der Personenbezug aus einer absoluten Sichtweise mit einem vertretbaren Aufwand hergestellt werden. Im Ergebnis können Daten daher nur zwei Kategorien zugeordnet werden, die sich gegenseitig ausschließen: Einerseits personenbezogene Daten, die die Anwendung der datenschutzrechtlichen Vorschriften auslösen oder andererseits anonyme Daten, die des Schutzes des BDSG nicht bedürfen. Die Auffassung, Pseudonyme nicht als selbstständige Datenkategorie neben den anonymen und personenbezogenen Daten zu sehen, steht im Einklang mit der momentanen Gesetzeslage, die bisher keine privilegierte Behandlung dieses Datentypus vorsieht. 934 935

BVerfGE 65, 1. BVerfGE 65, 1 (45).

E. Zusammenfassende Bewertung

197

Im Lichte der Datensparsamkeit und einer größtmöglichen Anonymität im Internet ist es aber geboten und wünschenswert, die Verarbeitung pseudonymer Daten, die immerhin erschwert einer Person zuzuordnen sind, im Gesamtkonzept des Datenschutzes zu privilegieren. Darüber hinaus unterfallen dynamische IP-Adressen, die für jede Einwahl ins Internet neu vergeben werden, der Kategorie der Verkehrsdaten gemäß § 3 Nr. 30 TKG, da sie nicht losgelöst vom jeweiligen Kommunikationsvorgang einer Person zugeordnet werden können. Gleichsam ermöglichen sie es, den Bezug von der Kommunikation zu den an ihr beteiligten Personen herzustellen, weswegen sie als Verkehrsdaten als personenbezogene Daten anzusehen sind. Anders fällt die Beurteilung hingegen mit Blick auf die statischen IPAdressen aus, die nicht für jeden Kommunikationsvorgang anlassbezogen vergeben werden, sondern einer Person und ihrem Anschluss durch ihren Vertragsanbieter fest zugewiesen wurden. Sie dienen damit der inhaltlichen Ausgestaltung des Vetragsverhältnisses zwischen Anschlussinhaber und Access-Provider und erfüllen damit die Definition der Bestandsdaten nach § 3 Nr. 3 TKG. Die absolute Sichtweise zur Beurteilung der Personenbeziehbarkeit korrespondiert mit den datenschutzrechtlichen Vorschriften auf europäischer Ebene. Zunächst umfasst der Schutzbereich des Art. 8 EMRK in seiner Ausprägung der Achtung des Privatlebens und der Korrespondenz, unter der jegliche Art von Kommunikation zu verstehen ist, auch den Datenschutz. Daraus folgt, dass sowohl Verbindungs- als auch Nutzungsdaten, zu denen IP-Adressen zählen, vom Schutzbereich erfasst werden. Das Sammeln, Speichern und Verarbeiten von IP-Adressen ist daher grundrechtlich geschützt, wobei eine Konkretisierung des Schutzumfangs durch die Datenschutzkonvention erfolgt. Daneben dient Art. 10 EMRK in seinen unterschiedlichen Ausprägungen zwar nicht primär der Gewährleistung des Datenschutzrechtes, aber durch den Schutz der inhaltlichen Ebene der Kommunikation und Informationsbeschaffung wird gleichzeitig auch der Datenschutz mit umfasst. Dieser ist unerlässlich, um die in Art. 10 EMRK gewährleisteten Freiheiten auszuüben. Des Weiteren werden die auch im europäischen Recht unter den Begriff der personenbezogenen Daten fallenden IP-Adressen durch Art. 8 GrCh geschützt. Dieser steht zwar grundsätzlich in einem Spezialitätsverhältnis zu Art. 7 GrCh, jedoch empfiehlt sich eine gemeinsame Prüfung beider Grundrechtsgarantien, um Wertungswidersprüche zu Art. 8 EMRK zu vermeiden.

198

E. Zusammenfassende Bewertung

Daran knüpft die Tatsache an, dass das Recht auf Achtung des Privatlebens, und als dessen Unterfall der Schutz der personenbezogenen Daten, als allgemeiner Grundsatz im Unionsrecht verankert ist. Anhand dieses grundrechtlichen Maßstabes hat die Auslegung des europäischen Sekundärrechtes zu erfolgen, insbesondere der Begriffsdefinition der personenbezogenen Daten im Rahmen des Art. 2 lit. a) RL 95/46/EG. Diesbezüglich besteht kein Umsetzungsspielraum für den nationalen Gesetzgeber, weswegen sich die Auslegung allein an europäischen Grundrechten und der Richtlinie selbst zu orientieren hat. Auf sekundärrechtlicher Ebene wird ein umfassender Schutz der IPAdresse gewährleistet. Aufgrund des in Erwägungsgrund 26 der allgemeinen Datenschutzrichtlinie verankerten objektiven Ansatzes, fallen IP-Adressen unter die Legaldefinition der personenbezogenen Daten im Sinne des Art. 2 lit. a) RL 95/46/EG. Dieser Personenbezug entfällt nur dann, wenn die Herstellung des Personenbezuges für niemanden mehr möglich ist und somit anonyme Daten vorliegen. Das soeben dargestellte Ergebnis zur nationalen Auslegung des Begriffs von personenbezogenen Daten anhand des Beispiels der IP-Adresse korrespondiert daher mit den europarechtlichen Anforderungen. Da dennoch – wie diese Untersuchung gezeigt hat – in der Praxis erhebliche Auslegungsschwierigkeiten bestehen, ist eine gesetzgeberische Klarstellung wünschenswert. Diese könnte beispielsweise im Zuge der bevorstehenden Reformierung des europäischen Datenschutzrechtes erfolgen.

Literaturverzeichnis Albers, Marion: Umgang mit personenbezogenen Informationen und Daten, in: Hofmann-Riem, Wolfgang/Schmidt-Aßmann, Eberhard/Voßkuhle, Andreas: Grundlagen des Verwaltungsrechts, Bd. 2, München 2008, S. 107–220. Arlt, Christian: Datenschutzrechtliche Betrachtung von Onlineangeboten zum Erwerb digitaler Inhalte, in: MMR 2007, 683. Backu, Frieder: Geolokasitation und Datenschutz, in: ITRB 2009, 88. Bär, Wolfgang: Telekommunikationsüberwachung und andere verdeckte Ermittlungsmaßnahmen, Gesetzliche Neuregelungen zum 1.1.2008, in: MMR 2008, 215. Barnitzke, Benno: Herausgabe von IP-Adressen, Eine datenschutzrechtliche Bewertung der Entscheidung des OLG Hamburg, Urteil vom 2.7.2008 – 5U 73/07, in: DuD 2010, 482. Bäumler, Helmut: E-Privacy, Datenschutz im Internet, Braunschweig 2000. – Das Recht auf Anonymität, in: Bäumler, Helmut/Mutius, Albert von: Anonymität im Internet, Grundlagen, Methoden und Tools zur Realisierung eines Grundrechts, Braunschweig 2003, S. 1–11. Bäumler, Helmut/Mutius, Albert von: Anonymität im Internet, Grundlagen, Methoden und Tools zur Realisierung eines Grundrechts, Braunschweig 2003. Bergkamp, Lucas/Dhont, Jan: Data Protection in Europe and the Internet, An Analysis of the European Community’s Privacy Legislation in the Context of the World Wide Web, in: The EDI Law Review 2000, 71. Bergmann, Michael: Grenzüberschreitender Datenschutz, Baden-Baden 1985. Bernsdorff, Norbert/Borowsky, Martin: Die Charta der Grundrechte der Europäischen Union, Handreichungen und Sitzungsprotokolle, Baden-Baden 2002. Bizer, Johann: Web-Cookies – datenschutzrechtlich, in: DuD 1998, 277. – Das Recht auf Anonymität in der Zange gesetzlicher Identifizierungspflichten, in: Bäumler, Helmut/Mutius, Albert von: Anonymität im Internet, Grundlagen, Methoden und Tools zur Realisierung eines Grundrechts, Braunschweig 2003, S. 78–94. – Personenbezug bei Cookies, in: DuD 2003, 644. Bleckmann, Albert: Das Allgemeine Persönlichkeitsrecht in der Europäischen Menschenrechtskonvention, Zur Interpretation des Art. 8 Abs. 1 EMRK, in: Erichsen, Hans-Uwe/Kollhosser, Helmut/Welp, Jürgen: Recht der Persönlichkeit, Bd. 100, Berlin 1996, S. 9–22. Boehm, Franziska: Datenschutz in der Europäischen Union, in: JA 2009, 435.

200

Literaturverzeichnis

Boehme-Neßler, Volker: CyberLaw, Lehrbuch zum Internet-Recht, München 2001. – Das Ende des Staates? Zu den Auswirkungen der Digitalisierung auf den Staat, in: ZÖR 64 (2009), 145. – Vertrauen im Internet – Die Rolle des Rechts, in: MMR 2009, 439. Bogdandy, Armin von/Bast, Jürgen: Europäisches Verfassungsrecht, Theoretische und dogmatische Grundzüge, 2. Aufl., Dordrecht 2009. Brandi-Dohrn, Anselm/Lejeune, Mathias: Recht 2.0 – Informationsrecht zwischen virtueller und realer Welt, Bd. 17, Köln 2008. Braum, Stefan: „Parallelwertungen in der Laiensphäre“: Der EuGH und die Vorratsdatenspeicherung, in: ZRP 2009, 174. Breitenmoser, Stephan: Der Schutz der Privatsphäre gemäß Art. 8 EMRK, Das Recht auf Achtung des Privat- und Familienlebens, der Wohnung und des Briefverkehrs, Basel 1986. Brenner, Michael: Die Wahrung nationaler Datenschutzstandards in der Europäischen Gemeinschaft, in: Veränderte Sicherheitslage und Datenschutz im europäischen Staatenverbund, 14. Wiesbadener Forum Datenschutz, S. 57–67. Brink, Stefan/Wolff, Heinrich Amadeus: Anmerkung zu dem EuGH-Urteil Rs. C-92/09 und C–93/09, in: JZ 2011, 206. Britz, Gabriele: Das Grundrecht auf Datenschutz in Art. 8 der Grundrechtecharta, http://www.datenschutz.hessen.de/europa.htm (zuletzt abgerufen: 16.03.2013). – Europäisierung des grundrechtlichen Datenschutzes?, in: EuGRZ 36 (2009), 1. – Schutz informationeller Selbstbestimmung gegen schwerwiegende Grundrechtseingriffe – Entwicklungen im Lichte des Vorratsdatenspeicherungsurteils, in: JA 2011, 81. Brühann, Ulf: Europarechtliche Grundlagen, in: Roßnagel, Alexander: Handbuch Datenschutzrecht, München 2003, S. 131–155. Brunst, Phillip W.: Anonymität im Internet – rechtliche und tatsächliche Rahmenbedingungen, Zum Spannungsfeld zwischen einem Recht auf Anonymität bei der elektronischen Kommunikation und den Möglichkeiten zur Identifizierung und Strafverfolgung, Berlin 2009. Burkert, Herbert: Internationale Grundlagen, in: Roßnagel, Alexander: Handbuch Datenschutzrecht, München 2003, S. 85–130. Busch, Martin: Aktueller Stand der Reform des EG-Rahmenrechts für die elektronische Kommunikation, in: N&R 2009, 159. Callies, Christian: Europäische Gesetzgebung und nationale Grundrechte – Divergenzen in der aktuellen Rechtsprechung von EuGH und BVerfG?, in: JZ 2009, 113. Callies, Christian/Ruffert, Matthias: EUV/EGV, Das Verfassungsrecht der Europäischen Union mit Europäischer Grundrechtecharta, 3. Aufl., München 2007. – EUV/EGV, Das Verfassungsrecht der Europäischen Union mit Europäischer Grundrechtecharta, 4. Aufl., München 2011.

Literaturverzeichnis

201

Classen, Claus Dieter: Anmerkung zu: Joined Cases C-465/00, C-138/01 and C-139/01, Österreichischer Rundfunk, Judgement of 20 May 2003, Full Court, [2003] ECR I-4989, in: CML Rev. 2004, 1377. Dammann, Ulrich/Simitis, Spiros: EG-Datenschutzrichtlinie, Baden-Baden 1997. Darnstädt, Thomas/Hornig, Frank/Müller, Martin U./Rosenbach, Marcel/Schmudt, Hilmar: [email protected], in: Der Spiegel 32/2009, 68. Däubler, Wolfgang/Klebe, Thomas/Wedde, Peter/Weichert, Thilo: Bundesdatenschutzgesetz, Kompaktkommentar zum BDSG, 3. Aufl., Frankfurt am Main 2010. Dix, Alexander/Petri, Thomas B.: Das Fernmeldegeheimnis und die deutsche Verfassungsidentität, Zur Verfassungswidrigkeit der Vorratsdatenspeicherung, in: DuD 2009, 531. Dreier, Thomas/Schulze, Gernot: Urheberrechtsgesetz, 3. Aufl., München 2008. Dworschak, Manfred: Im Netz der Späher, in: Der Spiegel 2/2011, 68. Eberle, Carl-Eugen: Medien und Datenschutz – Antinomien und Antipathien, in: MMR 2008, 508. Eckhardt, Jens: Datenschutzerklärungen und Hinweise auf Cookies, in: ITRB 2005, 46. – Anmerkung zum Urteil des LG Berlin vom 06.09.2007, in: K&R 2007, 602. – Anmerkung zu AG München, Urteil vom 30.09.2008 133 C 5677/08, in: K&R 2008, 768. – IP-Adresse als personenbezogenes Datum – neues Öl ins Feuer, Personenbezug im Datenschutzrecht – Grenzen der Bestimmbarkeit am Beispiel der IP-Adresse, in: CR 2011, 339. Edenharter, Andrea: Der Schutz informationstechnischer Systeme auf der Ebene der Europäischen Union, in: Uerpmann-Wittzack, Robert: Das neue Computergrundrecht, Berlin 2009, S. 111–125. Ehlers, Dirk/Becker, Ulrich: Europäische Grundrechte und Grundfreiheiten, 3. Aufl., Berlin 2009. Ehmann, Eugen/Helfrich, Marcus: EG-Datenschutzrichtlinie, Kurzkommentar, Köln 1999. EMR-Fachtagung vom 22.–23. März 2001 im ERA-Kongress-Zentrum Trier: Nizza, die Grundrechte-Charta und ihre Bedeutung für die Medien in Europa, Nice, the Charter of fundamental rights and their importance for the media in Europe, Bd. 23, Baden-Baden 2001. Erichsen, Hans-Uwe/Kollhosser, Helmut/Welp, Jürgen: Recht der Persönlichkeit, Bd. 100, Berlin 1996. Ernst, Stefan/Spoenle, Jan: Anmerkung zum Urteil des LG Frankenthal vom 21.05.2008, Az. 6 O 156/08, in: MMR 2008, 689. Europäische Kommission: Datenschutz in der Europäischen Union, Luxemburg 2001.

202

Literaturverzeichnis

Faßbender, Kurt: Die Umsetzung der EG-Datenschutzrichtlinie als Nagelprobe für das Demokratieprinzip deutscher Prägung, in: RDV 2009, 96. Faulhaber, Tim/Niedermeier, Robert: Verantwortlichkeiten bei Managed Security Services, Verantwortungsübertragung hat Grenzen, in: IT-Grundschutz 3 (2008), 23. Forgó, Nikolaus/Krügel, Tina: Der Personenbezug von Geodaten, Cui bono, wenn alles bestimmbar ist?, in: MMR 2010, 17. – Vorschriften zur Vorratsdatenspeicherung verfassungswidrig: Nach der Entscheidung ist vor der Entscheidung, Zugleich Kommentar zu BVerfG, Urteil vom 2.3.2010 – 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08 (K&R 2010, 248 ff.), in: K&R 2010, 217. Frenz, Walter: Handbuch Europarecht, Band 4: Europäische Grundrechte, Berlin, Heidelberg 2009. – Informationelle Selbstbestimmung im Spiegel des BVerfG, in: DVBl 124 (2009), 333. Frenz, Walter/Kühl, Andrea: Deutsche Grundrechte und Europarecht, in: Jura 2009, 401. Freund, Bernhard/Schnabel, Christoph: Bedeutet IPv6 das Ende der Anonymität im Internet? Technische Grundlagen und rechtliche Beurteilung des neuen InternetProtokolls, in: MMR 2011, 495. Fröhle, Jens: Web Advertising, Nutzerprofile und Teledienstdatenschutz, München 2003. Frowein, Jochen Abraham/Peukert, Wolfgang: Europäische Menschenrechtskonvention, EMRK-Kommentar, 3. Aufl., Kehl 2009. Gäbler, René: Das Internet, Alle Fachbegriffe auf einen Blick, Bonn 2006. Garstka, Hansjürgen: Informationelle Selbstbestimmung und Datenschutz, Das Recht auf Privatsphäre, in: Schulzki-Haddouti, Christiane: Bürgerrechte im Netz, Opladen 2003, S. 48–70. Geiger, Rudolf/Khan, Daniel-Erasmus/Kotzur, Markus: EUV/AEUV, Vertrag über die Europäische Union und Vertrag über die Arbeitsweise der Europäischen Union, 5. Aufl., München 2010. Geppert, Martin/Piepenbrock, Hermann-Josef/Schütz, Raimund/Schuster, Fabian: Beck’scher TKG-Kommentar, 3. Aufl., München 2006. Gesellschaft für Rechtspolitik Trier: Bitburger Gespräche Jahrbuch 1999/I, Medienfreiheit – Medienwirkung – Persönlichkeitsschutz, München 2000. Ghersi, Lenny/Lee, Sue/Karadagi, Allan: Gabler Kompakt-Lexikon Internet, 1400 Begriffe nachschlagen, verstehen, anwenden, Wiesbaden 2002. Gietl, Andreas: Die Zukunft der Vorratsdatenspeicherung, Anmerkung zum Urteil des BVerfG vom 2. März 2010, in: DuD 2010, 398. Gietl, Andreas/Mantz, Reto: IP-Adresse als Beweismittel im Zivilprozess, Beweiserlangung, Beweiswert und Beweisverbote, in: CR 2008, 810.

Literaturverzeichnis

203

Gola, Peter/Klug, Christoph: Die BDSG-Novellen 2009 – Ein Kurzüberblick, in: RDV-Sonderbeilage zu Heft 4 (2009), 1. Gola, Peter/Schomerus, Rudolf/Klug, Christoph: Bundesdatenschutzgesetz, BDSG Kommentar, 10. Aufl., München 2010. Golembiewski, Claudia: Anonymität im Recht der Multimediadienste, in: Bäumler, Helmut/Mutius, Albert von: Anonymität im Internet, Grundlagen, Methoden und Tools zur Realisierung eines Grundrechts, Braunschweig 2003, S. 107–116. Gounalakis, Georgios/Rhode, Lars: Persönlichkeitsschutz im Internet, Grundlagen und Online-Spezifika, München 2002. Grabenwarter, Christoph: Europäische Menschenrechtskonvention, Ein Studienbuch, 5. Aufl., München 2012. Gridl, Rudolf: Datenschutz in globalen Telekommunikationssystemen, Eine völkerund europarechtliche Analyse der vom internationalen Datenschutzrecht vorgegebenen Rahmenbedingungen, Baden-Baden 1999. Guckelberger, Annette: Anmerkung zum EuGH-Urteil vom 09.11.2010, C-92, 93/09,Volker und Markus Schecke GbR u. a./Land Hessen, in: EuZW 2010, 946. – Veröffentlichung der Leistungsempfänger von EU-Subventionen und unionsgrundrechtlicher Datenschutz, in: EuZW 2011, 12. Gundel, Jörg: Vorratsdatenspeicherung und Binnenmarktkompetenz: Die ungebrochene Anziehungskraft des Art. 95 EGV, Anmerkung zu EuGH Rs. C-301/06 – Irland/Rat und Parlament, in: EuR 2009, 536. Härting, Niko: Datenschutz im Internet, Wo bleibt der Personenbezug?, in: CR 2008, 743. – „Der Datenschutz ist im Internet noch nicht angekommen“, Kommentar zum Beschluss des VG Wiesbaden vom 27.02.09, 6 K 1045/08, BB-Kommentar, in: BB 2009, 744. – Schutz von IP-Adressen, Praxisfolgen der BVerfG-Rechtsprechung zu OnlineDurchsuchung und Vorratsdatenspeicherung, in: ITRB 2009, 35. Heidrich, Joerg/Wegener, Christoph: Datenschutzrechtliche Aspekte bei der Weitergabe von IP-Adressen, in: DuD 2010, 172. Herdegen, Matthias: Völkerrecht, 10. Aufl., München 2011. Heselhaus, F. Sebastian M./Nowak, Carsten: Handbuch der Europäischen Grundrechte, Bern 2006. Hinner, Kajetan: Internet-Lexikon, Das Netz im Griff von A bis Z, München 2001. Hobert, Guido: Datenschutz und Datensicherheit im Internet, Interdependenz und Korrelation von rechtlichen Grundlagen und technischen Möglichkeiten, Frankfurt am Main 1998. Hoeren, Thomas: Zoning und Geolocation – Technische Ansätze zu einer Reterritorialisierung des Internet, in: MMR 2007, 3. – Anmerkung zum Urteil des BGH vom 13.01.2011 – III ZR 146/10, in: JZ 2011, 695.

204

Literaturverzeichnis

Hoeren, Thomas/Müller, Ulf: Entwicklung des Internet- und Multimediarechts im Jahr 2007, in: MMR-Beilage 2008, 1. – Anonymität im Web – Grundfragen und Entwicklungen, in: ZRP 2010, 251. Hoffmann-Riem, Wolfgang/Schmidt-Aßmann, Eberhard/Voßkuhle, Andreas: Grundlagen des Verwaltungsrechts, Bd. 2 Informationsordnung, Verwaltungsverfahren, Handlungsformen, München 2008. Holznagel, Bernd/Ricke, Thorsten: Die Aufsicht im Internet – Wer hat noch nicht, wer will noch mal?, in: MMR 2008, 18. Hoppe, Tilman: Die Europäisierung der Gesetzgebung: Der 80-Prozent-Mythos lebt, in: EuZW 2009, 168. Hornung, Gerrit/Schnabel, Christoph: Verfassungsrechtlich nicht schlechthin verboten – Das Urteil des Bundesverfassungsgerichts in Sachen Vorratsdatenspeicherung –, in: DVBl 2010, 824. Huber, Peter M.: Auslegung und Anwendung der Charta der Grundrechte, in: NJW 2011, 2385. Hustinx, Peter: Art. 8 of the Charta: Fundamental Data protection and the interaction with Directives 95/46/EC and 97/66/EC, in: Nizza, die GrundrechteCharta und ihre Bedeutung für die Medien in Europa, Nice, the Charter of fundamental rights and their importance for the media in Europe: EMR-Fachtagung vom 22.–23. März 2001 im ERA-Kongress-Zentrum, Trier, Bd. 23, BadenBaden 2001, S. 89–95. Jarass, Hans D.: EU-Grundrechte, Ein Studien- und Handbuch, 2. Aufl., München 2007. – Charta der Grundrechte der Europäischen Union, München 2010. Joecks, Wolfgang/Miebach, Klaus: Münchener Kommentar zum Strafgesetzbuch, Band 6/1, Nebenstrafrecht II, München 2010. Karg, Moritz: Anmerkung zum Urteil des BGH vom 13.01.2011 – II ZR 146/10, in: MMR 2011, 345. Kilian, Wolfgang: Europäisches Wirtschaftsrecht, Ein Studienbuch, 4. Aufl., München 2010. Kilian, Wolfgang/Heussen, Benno: Computerrechts-Handbuch, 28. Nachlieferung, München Stand 2010. Kindt, Anne: Die grundrechtliche Überprüfung der Vorratsdatenspeicherung: EuGH oder BVerfG – wer traut sich?, in: MMR 2009, 661. Kirchberg-Lennartz, Barbara/Weber, Jürgen: Ist die IP-Adresse ein personenbezogenes Datum?, in: DuD 2010, 479. Klesczewski, Diethelm: Kritik der Vorratsdatenspeicherung, in: Weßlau, Edda/Wohlers, Wolfgang: Festschrift für Gerhard Fezer, zum 70. Geburtstag am 29. Oktober 2008, Berlin 2008, S. 19–34. Klug, Christoph: BDSG-Interpretation, Materialien zur EU-konformen Auslegung, 3. Aufl., Frechen 2006. – Anmerkung zum Urteil vom AG München 133 C 5677/08, in: RDV 2009, 76.

Literaturverzeichnis

205

Klug, Christoph/Reif, Yvette: Vorratsdatenspeicherung in Unternehmen? – Gesetzeslage und Ausblick, in: RDV 2008, 89. Koch, Frank A.: Internet-Recht, Praxishandbuch zu Dienstenutzung, Verträgen, Rechtsschutz und Wettbewerb, Haftung, Arbeitsrecht und Datenschutz im Internet, zu Links, Peer-to-Peer-Netzen und Domain-Recht, mit Musterverträgen, 2. Aufl., München 2005. Köhler, Markus/Arndt, Hans-Wolfgang/Fetzer, Thomas: Recht des Internet, 6. Aufl., Heidelberg 2008. Kost, Timo: Transnationales Datenschutzrecht, Am Beispiel technischer Standardisierung im Internet, in: KJ 42 (2009), 196. Kotzur, Markus: Der Schutz personenbezogener Daten in der europäischen Grundrechtsgemeinschaft, Die korrespondierende Verantwortung von EuGH, EGMR und mitgliedstaatlichen Verfassungsgerichten, in: EuGRZ 2011, 105. Kramer, Philipp: Düsseldorfer Kreis: IP-Adresse ist personenbezogenes Datum, in: DSB 2010, 14. Krüger, Stefan/Maucher, Svenja-Ariane: Ist die IP-Adresse wirklich ein personenbezogenes Datum? Ein falscher Trend mit großen Auswirkungen auf die Praxis, in: MMR 2011, 433. Kübler, Johanna: Die Säulen der Europäischen Union: einheitliche Grundrechte?, zur Grundrechtsdivergenz zwischen der ersten und dritten Säule am Beispiel des Datenschutzes, Baden-Baden 2002. Kugelmann, Dieter: Der Schutz privater Individualkommunikation nach der EMRK, in: EuGRZ 2003, 16. Ladeur, Karl-Heinz: Das Europäische Telekommunikationsrecht im Jahre 2008, in: K&R 2009, 299. Lischka, Konrad: Deutsches Internet-Recht, Die Rache des Textmonsters, http:// www.spiegel.de/netzwelt/web/0,1518,641659,00.html (zuletzt abgerufen: 16.03. 2013). Maaßen, Stefan: Anmerkung zum Beschluss des OLG Frankfurt am Main, MMR 2010, 62, in: MMR 2010, 63. Mantz, Reto: Rechtsfragen offener Netze, Rechtliche Gestaltung und Haftung des Access-Providers in zugangsoffenen (Funk-)Netzen, Karlsruhe 2008. Marauhn, Thilo/Grote, Rainer: EMRK/GG, Konkordanzkommentar zum europäischen und deutschen Grundrechtsschutz, Tübingen 2006. Meyer, Jürgen: Charta der Grundrechte der Europäischen Union, 3. Aufl., BadenBaden 2011. Meyerdierks, Per: Sind IP-Adressen personenbezogene Daten?, in: MMR 2009, 8. Meyer-Ladewig, Jens: Europäische Menschenrechtskonvention, Handkommentar, 3. Aufl., Baden-Baden 2011. Moos, Flemming: Die Entwicklung des Datenschutzrechts im Jahr 2007, in: K&R 2008, 137. – Die Entwicklung des Datenschutzrechts im Jahr 2010, in: K&R 2011, 145.

206

Literaturverzeichnis

Mutius, Albert von: Anonymität als Element des allgemeinen Persönlichkeitsrechts – terminologische, rechtssystematische und normstrukturelle Grundfragen, in: Bäumler, Helmut/Mutius, Albert von: Anonymität im Internet, Grundlagen, Methoden und Tools zur Realisierung eines Grundrechts, Braunschweig 2003, S. 12–26. Nietsch, Thomas: Zur Ermittlung dynamischer IP-Adressen durch Drittunternehmen, Zugleich Kommentar zu OLG Hamburg, Beschluss vom 3.11.2010 – 5 W 126/10, K&R 2011, 54, in: K&R 2011, 101. Nusser, Julian: Die Bindung der Mitgliedstaaten an die Unionsgrundrechte. Vorgaben für die Auslegung von Art. 51 Abs. 1 S. 1 EuGrCh, Tübingen 2011. Ott, Stephan: Schutz der Nutzerdaten bei Suchmaschinen – Oder: Ich weiß, wonach Du letzten Sommer gesucht hast . . ., in: MMR 2009, 448. Pahlen-Brandt, Ingrid: Datenschutz braucht scharfe Instrumente, Beitrag zur Diskussion um „personenbezogene Daten“, in: DuD 2008, 34. – Zur Personenbezogenheit von IP-Adressen, Zugleich eine Replik auf Eckardt, K&R 2007, 602 ff., in: K&R 2008, 288. Petri, Thomas B.: Das Urteil des Bundesverfassungsgerichts zur „Online-Durchsuchung“, in: DuD 2008, 443. – Wertewandel im Datenschutz und die Grundrechte, in: DuD 2010, 25. Pordesch, Ulrich/Seitz, Katja/Steffan, Jan/Steidle, Roland: Chrome mit Kratzern, Google’s Webbrowser und der Datenschutz, in: DuD 2009, 47. Probst, Thomas: Weniger Anonymität durch neuen Internet-Standard IPv6, in: DSB 2/2011, 10. Ranacher, Christian: Die Bindung der Mitgliedstaaten an die Gemeinschaftsgrundrechte, Reichweite – Konsequenzen – Perspektiven, in: ZÖR Bd. 58 (2003), 21. Reich, Norbert: Bürgerrechte in der Europäischen Union, Subjektive Rechte von Unionsbürgern und Drittstaatsangehörigen unter besonderer Berücksichtigung der Rechtslage nach der Rechtsprechung des EuGH und dem Vertrag von Amsterdam, Baden-Baden 1999. Rengeling, Hans-Werner/Szczekalla, Peter: Grundrechte in der Europäischen Union, Charta der Grundrechte und allgemeine Rechtsgrundsätze, Köln 2004. Rensen, Hartmut/Brink, Stefan: Linien der Rechtsprechung des Bundesverfassungsgerichts, Erörtert von den wissenschaftlichen Mitarbeitern, Berlin 2009. Ritter, Thomas: Neue Werteordnung für die Gesetzesauslegung durch den LissabonVertrag, in: NJW 2010, 1110. Ronellenfitsch, Michael: Der Vorrang des Grundrechts auf informationelle Selbstbestimmung vor dem AEUV, in: DuD 2009, 451. Roßnagel, Alexander: Handbuch Datenschutzrecht, Die neuen Grundlagen für Wirtschaft und Verwaltung, München 2003. Roßnagel, Alexander/Banzhaf, Jürgen/Grimm, Rüdiger: Datenschutz im Electronic E-Commerce, Technik – Recht – Praxis, Heidelberg 2003.

Literaturverzeichnis

207

Roßnagel, Alexander/Scholz, Philip: Datenschutz durch Anonymität und Pseudonymität – Rechtsfolgen der Verwendung anonymer und pseudonymer Daten, in: MMR 2000, 721. – Weltweites Internet – globale Rechtsordnung?, in: MMR 2002, 67. – Das Bundesverfassungsgericht und die Vorratsdatenspeicherung in Europa, in: DuD 2010, 544. – Die „Überwachungs-Gesamtrechnung“ – Das BVerfG und die Vorratsdatenspeicherung, in: NJW 2010, 1238. Rudolf, Walter: Informationsfreiheit und Persönlichkeitsschutz im Kontext des Völker- und Europarechts, in: Gesellschaft für Rechtspolitik Trier, Bitburger Gespräche Jahrbuch 1999/I, Medienfreiheit – Medienwirkung – Persönlichkeitsschutz, München 2000, S. 135–157. – Datenschutz in Europa, in: ZEuS 2003, 217. Ruffert, Matthias: Die künftige Rolle des EuGH im europäischen Grundrechtsschutzsystem, Bemerkungen zum EuGH-Urteil v. 20.5.2003, Rechnungshof/ORF u. a., EuGRZ 2003, 232, in: EuGRZ 2004, 466. Sachs, Ulrich: Marketing, Datenschutz und das Internet, Köln 2008. – Datenschutzrechtliche Bestimmbarkeit von IP-Adressen, Stand von Rechtsprechung und Schrifttum, Gesetzesauslegung nach der juristischen Methodenlehre und Ausblick für die Praxis, in: CR 2010, 547. Säcker, Franz Jürgen: Berliner Kommentar zum Telekommunikationsgesetz, 2. Aufl., Frankfurt am Main 2009. Schaar, Peter: Datenschutz im Internet, Die Grundlagen, München 2002. – Das Ende der Privatsphäre, Der Weg in die Überwachungsgesellschaft, München 2007. – Auf der Suche nach dem Datenschutz bei Suchmaschinen und in Internetforen, in: Brandi-Dohrn, Anselm/Lejeune, Mathias: Recht 2.0 – Informationsrecht zwischen virtueller und realer Welt, Bd. 17, Köln 2008, S. 1–11. Scherzer, Robert: Zur Haftung eines Sharehosts für rechtswidrige Nutzerdaten („Rapidshare“), Anmerkung zu: OLG Hamburg 5. Zivilsenat, Urteil vom 02.07. 2008 – 5 U 73/07, in: JurisPR-ITR 21/2008, Anm. 4, 17.10.2008. Scheuing, Dieter H.: Zur Grundrechtsbindung der EU-Mitgliedstaaten, in: EuR 2005, 162. Scheurle, Klaus-Dieter/Mayen, Thomas: Telekommunikationsgesetz, Kommentar, 2. Aufl., München 2008. Schild, Hans-Hermann: Datenerhebung, -verarbeitung und -nutzung, in: Roßnagel, Alexander: Handbuch Datenschutzrecht, München 2003. Schilling, Theodor: Bestand und allgemeine Lehren der bürgerschützenden allgemeinen Rechtsgrundsätze des Gemeinschaftsrechts, in: EuGRZ 2000, 3. Schleipfer, Stefan: Nutzungsprofile unter Pseudonym – Die datenschutzrechtlichen Bestimmungen und ihre Anwendung im Internet, in: RDV 2008, 143.

208

Literaturverzeichnis

– Ist die IP-Adresse zu löschen? – Eine Erörterung im Kontext von Nutzungsprofilen, in: RDV 2010, 168. Schmidt, Günter: Wann haftet der Staat? Vorschriftswidrige Datenverarbeitung und Schadensersatz, Neuwied/Frankfurt 1989. Schmidt, Stephan: Die Rechtmäßigkeit staatlicher Gefahrenabwehrmaßnahmen im Internet unter besonderer Berücksichtigung des Europäischen Gemeinschaftsrechts, Frankfurt am Main 2006. Schmitz, Peter: TDDSG und das Recht auf informationelle Selbstbestimmung, München 2000. Schnabel, Christoph: Das Recht am eigenen Bild und der Datenschutz, Die richterrechtliche Dogmatik zur Einwilligung vor dem Hintergrund europarechtlicher Einflüsse des Datenschutzes, in: ZUM 2008, 657. Schneider, Jochen: Handbuch des EDV-Rechts, 3. Aufl., Köln 2003. Scholz, Philip: Datenschutz beim Internet-Einkauf, Baden-Baden 2003. Schulzki-Haddouti, Christiane: Bürgerrechte im Netz, Opladen 2003. Schwarze, Jürgen: EU-Kommentar, 2. Aufl., Baden-Baden 2009. Schweizer, Rainer J.: Die Rechtsprechung des Europäischen Gerichtshofes für Menschenrechte zum Persönlichkeits- und Datenschutz, in: DuD 2009, 462. Seitz, Nicolai: Strafverfolgungsmaßnahmen im Internet, Köln 2004. Siemen, Birte: Grundrechtsschutz durch Richtlinien/Die Fälle Österreichischer Rundfunk u. a. und Lindqvist – Anmerkungen zu den Urteilen des Europäischen Gerichtshofes in den verbundenen Rechtssachen C-465/00, C-138/01 und C-139/01 und C-101/01, in: EuR 2004, 306. – Datenschutz als europäisches Grundrecht, Berlin 2006. Simitis, Spiros: Datenschutz heute: Prinzipien und Ambivalenz einer Modernisierung, in: Stabsabteilung der Friedrich-Ebert-Stiftung: Datenschutz im Spannungsfeld von Freiheit und Sicherheit, Dokumentation der Fachkonferenz Datenschutz 2007 am 14. Juni 2007, Berlin, Berlin 2007. – Der EuGH und die Vorratsdatenspeicherung oder die verfehlte Kehrtwende bei der Kompetenzregelung, in: NJW 2009, 1782. – Bundesdatenschutzgesetz, 7. Aufl., Baden-Baden 2011. Spiecker gen. Döhmann, Indra/Eisenbarth, Markus: Kommt das „Volkszählungsurteil“ nun durch den EuGH? – Der Europäische Datenschutz nach Inkrafttreten des Vertrags von Lissabon, in: JZ 2011, 169. Spindler, Gerald/Schuster, Fabian: Recht der elektronischen Medien, Kommentar, 2. Aufl., München 2011. Störmer, Rainer: Gemeinschaftsrechtliche Diskriminierungsverbote, in: AöR 123 (1998), 541. Streinz, Rudolf: EUV/EGV, Vertrag über die Europäische Union und Vertrag zur Gründung der Europäischen Gemeinschaft, München 2003.

Literaturverzeichnis

209

– Unionsgrundrechte (Privatleben, Datenschutz), in: JuS 2011, 278. – EUV/AEUV, Vertrag über die Europäische Union und Vertrag über die Arbeitsweise der Europäischen Union, 2. Aufl., München 2012. Tettinger, Peter/Stern, Klaus: Kölner Gemeinschaftskommentar zur Europäischen Grundrechte-Charta, München 2006. Tinnefeld, Marie-Theres: Reformvertag von Lissabon, Charta der Grundrechte und Rechtspraxis im Datenschutz, in: DuD 2009, 504. Tinnefeld, Marie-Theres/Ehmann, Eugen/Gerling, Rainer W.: Einführung in das Datenschutzrecht, Datenschutz und Informationsfreiheit in europäischer Sicht, 4. Aufl., München 2005. Tomik, Stefan: Die Herren der Terabyte, FAZ vom 01.03.2010, S. 2. Uerpmann-Wittzack, Robert: Das neue Computergrundrecht, Berlin 2009. – Der Schutz informationstechnischer Systeme nach der Europäischen Menschenrechtskonvention, in: Uerpmann-Wittzack, Robert: Das neue Computergrundrecht, Berlin 2009, S. 111–125. – Internetvölkerrecht, in: AVR 2009, 261. Uerpmann-Wittzack, Robert/Jankowska-Gilberg, Magdalena: Die Europäische Menschenrechtskonvention als Ordnungsrahmen für das Internet, in: MMR 2008, 83. Voigt, Paul: Datenschutz bei Google, in: MMR 2009, 377. Wächter, Michael: Falsifikation und Fortschritt im Datenschutz, Qualitätsmanagement und Haftung im privaten Datenschutz, Berlin 2000. Wagner, Sylke: Das Websurfen und der Datenschutz, Ein Rechtsvergleich unter besonderer Berücksichtigung der Zulässigkeit sogenannter Cookies und Web Bugs am Beispiel des deutschen und U.S.-amerikanischen Rechts, Frankfurt am Main 2006. Weber, Albrecht: Die Europäische Grundrechtscharta – auf dem Weg zu einer europäischen Verfassung, in: NJW 2000, 537. Wegener, Christoph/Heidrich, Joerg: Neuer Standard – Neue Herausforderungen: IPv6 und Datenschutz, in: CR 2011, 479. Wehr, Christina/Ujica, Matei: „Alles muss raus!“ – Datenspeicherungs- und Auskunftspflichten der Access-Provider nach dem Urteil des BVerfG zur Vorratsdatenspeicherung, in: MMR 2010, 667. Weichert, Thilo: BDSG-Novelle zum Schutz von Internet-Inhaltsdaten, in: DuD 2009, 7. – Datenschutzrecht, in: Kilian, Wolfgang/Heussen, Benno: Computerrechts-Handbuch, 28. Nachlieferung, München Stand 2010. – Dauerbrenner BDSG-Novellierung, DuD 2010, 7. Weßlau, Edda/Wohlers, Wolfgang: Festschrift für Gerhard Fezer, zum 70. Geburtstag am 29. Oktober 2008, Berlin 2008.

210

Literaturverzeichnis

Westphal, Dietrich: Leitplanken für die Vorratsdatenspeicherung – Abrücken von „Solange“, Das Urteil des BVerfG vom 2.3.2010, in: EuZW 2010, 494. Wiese, Markus: Unfreiwillige Spuren im Netz, in: Bäumler, Helmut: E-Privacy, Datenschutz im Internet, Braunschweig 2000, S. 9–19. Wohlgemuth, Hans H./Gerloff, Jürgen: Datenschutzrecht, Eine Einführung mit praktischen Fällen, 3. Aufl., Neuwied 2005. Worms, Christoph: Das Internet und die Grundrechte, Neue Gewährleistungspflichten als Ausdruck von Verfassungswandel?, in: RuP 2009, 138. Yildirim, Nuriye: Datenschutz im Electronic Government, Risiken, Anforderungen und Gestaltungsmöglichkeiten für ein datenschutzgerechtes und rechtsverbindliches eGovernment, Wiesbaden 2004. Zerdick, Thomas: Europäisches Datenschutzrecht – neuere Rechtsprechung des EuGH, in: RDV 2009, 56. – Folgerungen aus der Vergemeinschaftung der Justiz- und Innenpolitik für den Datenschutz, http://www.datenschutz.hessen.de/europa.htm (zuletzt abgerufen: 16.03.2013). Ziegenhorn, Gero: Kontrolle von mitgliedstaatlichen Gesetzen „im Anwendungsbereich des Unionsrechts“ am Maßstab der Unionsgrundrechte, in: NVwZ 2010, 803. Zöller, Mark A.: Vorratsdatenspeicherung zwischen nationaler und europäischer Strafverfolgung, in: GA 2007, 393.

Sachwortverzeichnis Access-Provider 27, 46, 47, 67, 81, 83, 87, 108 Allgemeine Grundsätze des Unionsrechts 131, 156, 157, 182, 198 Anonyme Daten 40, 43, 49, 53, 56, 109, 114 Anonymisierung 48, 50, 51, 70, 75, 97, 124, 128 Auskunftsanspruch 69, 78 Auslegungsmaßstab 162, 174, 187, 195 Bestandsdaten 59, 62, 74, 86, 89 Bestimmbarkeit 20, 39, 42, 50, 53, 104, 112, 182 – Absolute 44, 45, 47, 48, 53, 55, 82, 97, 114 – Relative 42, 43, 45, 46, 47, 52, 53, 55 Bestimmtheit 41, 104, 112 Beweisverwertungsverbot 92 Cookie 28, 76, 116, 123 Datenschutzkonvention 143, 150, 197 Datenschutzreform 119, 129 Datenverarbeitung 31, 38, 48, 103, 167 Durchführung des Unionsrechts 155, 184 Einzelangaben 39, 44 Fernmeldegeheimnis 61, 65, 69, 84, 87, 90, 92

Grundrechtsschutz durch Richtlinien 193 Hostprovider 28 Identifikationsmerkmal 51, 52 Informationelle Selbstbestimmung 15, 20, 48, 49, 63, 185, 196 IP-Adresse 37, 38, 53, 62, 67, 70, 71, 74, 89, 108, 118, 120, 142, 172, 179, 181, 196 – Dynamisch 24, 25, 46, 47, 57, 63, 81, 90, 113, 147 – Statisch 24, 45, 46, 47, 57, 63 Korrespondenz 136, 138, 146, 197 Lex specialis 189, 197 Living instrument 134, 136 Logdatei 76, 116 Meinungsfreiheit 149, 167, 175 Nutzerdaten 18 Nutzerprofil 16, 19, 29, 66, 76, 186 Nutzungsdaten 74, 97 Personenbezogene Daten 19, 20, 21, 34, 35, 37, 38, 42, 47, 50, 51, 56, 57, 61, 70, 85, 97, 109, 110, 118, 128, 146, 159, 165, 168, 173, 178, 181, 182, 184, 196 Persönliche Verhältnisse 40 Privatleben 133, 135, 138, 141, 143, 147, 152, 163, 169, 174, 188, 197 Privatsphäre 100, 108, 110, 123, 134, 170, 176

212

Sachwortverzeichnis

Pseudonyme 51, 53, 54, 56, 58, 75, 97, 114 Quellenschutz 148 Rangordnung 152 Richtlinienumsetzung 118, 126 Sachliche Verhältnisse 40 Schutzniveau 30, 33, 101, 102, 168 Sekundärrecht 128, 171, 182, 187, 193, 198 Selbstregulierung 32, 36 Speicherung auf Zuruf 95, 96 Staatliche Regulierung 31, 34 Störerhaftung 77, 89, 96 Telefonüberwachung 142, 144

Telekommunikationsvorgang 62 Territorialitätsprinzip 31, 32 Umsetzungsspielraum 102, 126, 153, 157, 167, 198 Urheberrecht 77, 95, 172, 180 Verbindungsdaten 139, 145 Verhältnismäßigkeitsgrundsatz 106 Verkehrsdaten 60, 62, 66, 69, 77, 80, 83, 86, 97, 108, 124, 136, 148, 172 Vorratsdatenspeicherung 64, 65, 125, 177 Zuordnungsregel 51, 52, 54, 55, 98, 114 Zweckbindungsgrundsatz 106, 138