Der BGH hat mit Urteil vom 16.05.2017 – VI ZR 135/13 – entschieden, dass IP-Adressen personenbezogene Daten sind. Damit folgt der BGH dem EuGH, welcher in seinem Urteil vom 19.10.2016 in der Rechtssache C?582/14 festgestellt hatte, dass
eine dynamische Internetprotokoll-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Website, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, für den Anbieter ein personenbezogenes Datum im Sinne der genannten Bestimmung darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen.
Der EuGH konnte hier im Hinblick auf die EU-DSGVO gar nicht anders entscheiden, denn in dem Erwägungsgrund 26 ist festgehalten:
Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden. Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d. h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische oder für Forschungszwecke.
Und was hat das Ganze nun mit Filesharing zu tun?
Ne ganze Menge. In Filesharingverfahren werden IP-Adressen durch die Anti-Piracy Unternehmen, wie z.B. die Firma Digital Forensisch GmbH, ehemals ipoque GmbH, gesammelt. Mit Hilfe von § 101 Abs. 9 UrhG können anhand dieser gesammelten Daten (IP-Adresse und Zeitstempel) – nach allgemeinem Ermessen wahrscheinlich – die Anschlussinhaber relativ einfach und kostengünstig ermittelt werden und somit eine natürliche Person identifiziert werden.
Na und?
Welche Auswirkungen dies auf die Ermittlungen und die Beweiswürdigung in Filesharingverfahren haben kann, hatte ich bereits 2012 in der DuD besprochen.Ich bin gespannt, ob sich die Instanzgerichte nunmehr mit der Thematik Datenschutz auch in P2P-Verfahren beschäftigen werden.
Stefan Lutz, LL.M.
Rechtsanwalt und Fachanwalt für IT-Recht
externer Datenschutzbeauftragter
Lehrbeauftragter für IT-Recht an der RWU
Rechtsanwalt und Fachanwalt für IT-Recht Stefan Lutz, LL.M. berät Firmen und private Mandanten in den Rechtsgebieten des IT-Rechts, wozu unter anderem das Datenschutzrecht (BDSG, DSGVO, TDDDG...), Urheberrecht, Wettbewerbsrecht, Markenrecht, E-Commerce-Recht, Social Media Recht und das Recht der Künstlichen Intelligenz gehören.
Telefon: 0751 / 27 088 530