Urteil : Speicherung der IP-Adresse bei Telekommunikationsdienstleistern : aus der RDV 1/2015, Seite 34 bis 36
(Bundesgerichtshof, Urteil vom 3. Juli 2014 – III ZR 391/13 –)
Eine auf sieben Tage beschränkte Speicherung von IP-Adressen durch Telekommunikationsdienstleister ist zur Abwehr von Störungen der Telekommunikationsanlage zulässig (§ 96 Abs. 1 S. 2 i.V.m. § 100 Abs. 1 TKG).
(Nicht amtlicher Leitsatz)
Sachverhalt:
Die Beklagte bietet Telekommunikationsleistungen an. Der Kläger ist Inhaber eines von ihr bereitgestellten DSL-Anschlusses. Hierfür haben er und die Rechtsvorgängerin der Beklagten ein zeit- und volumenunabhängiges Pauschalentgelt vereinbart. Die Beklagte weist dem Rechner, den der Kunde zur Einwahl in das Internet nutzt, für die Dauer der einzelnen Verbindung eine IP-Adresse zu, die sie einem ihr zugeteilten Großkontingent entnimmt. Diese Adresse besteht aus einer mit einer Telefonnummer vergleichbaren, aus vier Blöcken gebildeten Ziffernfolge, die die Kommunikation vernetzter Geräte (z.B. Web-Server, E-Mail-Server oder Privatrechner) ermöglicht. Nach Beendigung der Verbindung wird die jeweilige IP-Adresse wieder freigegeben und steht den Kunden der Beklagten zur Einwahl in das Internet erneut zur Verfügung. Aufgrund dieses Verfahrens erhält der einzelne Nutzer für jede Einwahl in das Internet in aller Regel eine unterschiedliche IP-Nummer (dynamische IP-Adresse).
Die Beklagte speichert nach Beendigung der jeweiligen Verbindung unter anderem die hierfür verwendete IP-Adresse für sieben Tage. Zuvor hatte sie für die Speicherung eine längere Zeitspanne in Anspruch genommen. Der Kläger meint, die Beklagte sei verpflichtet, die IP-Adressen sofort nach dem Ende der einzelnen Internetsitzungen zu löschen. Die Beklagte ist demgegenüber der Auffassung, sie sei zur Abwehr von Störungen und Fehlern an Telekommunikationsanlagen (§ 96 Abs. 1 Satz 2 i.V. m. § 100 Abs. 1 TKG) zu einer vorübergehenden Speicherung der IP Adressen berechtigt. Aufgrund einer Änderung der technischen Voraussetzungen beruft sich die Beklagte inzwischen nicht mehr darauf, sie sei auch zum Zweck der Entgeltermittlung und -abrechnung (§ 97 Abs. 1 Satz 1, Abs. 2 TKG) für die Inanspruchnahme von Diensten, die ungeachtet des Pauschaltarifs kostenpflichtig seien, zur Speicherung befugt.
Neben Löschungs- und Unterlassungsansprüchen hinsichtlich weiterer Daten hat der Kläger die Verurteilung der Beklagten zur sofortigen Löschung der seinem Rechner zugeteilten IP-Adressen nach dem jeweiligen Ende der Internetverbindungen verfolgt. Das Landgericht hat den Anträgen teilweise stattgegeben, hinsichtlich der IP-Adressen die Beklagte jedoch nur verurteilt, diese sieben Tage nach dem jeweiligen Ende der Internetverbindungen zu löschen. Die hiergegen gerichtete Berufung des Klägers hat das Oberlandesgericht in einem ersten Urteil zurückgewiesen. Auf die Revision des Klägers hat der Senat diese Entscheidung mit Urteil vom 13. Januar 2011 (III ZR 146/10, NJW 2011, 1509), auf das wegen der Einzelheiten Bezug genommen wird, aufgehoben und die Sache an die Vorinstanz zurückverwiesen. Das Oberlandesgericht hat nach Durchführung einer Beweisaufnahme die Berufung des Klägers wiederum zurückgewiesen. Hiergegen richtet sich die vom Berufungsgericht zugelassene erneute Revision des Klägers
Aus den Gründen:
Das Berufungsgericht hat ausgeführt, unter Berücksichtigung der rechtlichen Vorgaben des ersten Revisionsurteils und der Ergebnisse der im zweiten Berufungsverfahren durchgeführten Beweisaufnahme sei die Beklagte zur Speicherung der dem jeweiligen Nutzer zugeteilten dynamischen IP-Adressen für einen Zeitraum von sieben Tagen nach dem Ende der jeweiligen Internetverbindungen gemäß § 100 Abs. 1 TKG befugt. Die in Rede stehende Datenerhebung und -verwendung sei geeignet, erforderlich und im engeren Sinne verhältnismäßig, um Gefahren für die Funktionsfähigkeit des Telekommunikationsbetriebs entgegenzuwirken. Die Identität des jeweiligen Internetbenutzers sei aus der IP-Nummer selbst nicht zu entnehmen. Sie sei erst durch die Zusammenführung mit weiteren Angaben zu ermitteln. Dies finde nach dem wechselseitigen Sachvortrag der Parteien nur bei dem konkreten Verdacht einer Störung oder eines Fehlers an den Telekommunikationsanlagen statt. Die Speicherung sei zudem auf einen sehr kurzen Zeitraum begrenzt. Die Interessen, denen die Datenspeicherung diene, seien von erheblichem Gewicht. Soweit die IP-Nummern zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern notwendig seien, würde der Verzicht auf die von der Beklagten praktizierte Speicherung angesichts der gerichtsbekannten Häufigkeit von „Denial-of-Service-Attacken“ und der Versendung von Spam-Mails, Schad- und Spionageprogrammen zu einer schwerwiegenden und nachhaltigen Beeinträchtigung der Kommunikationsinfrastruktur führen, und zwar zum Schaden der Beklagten und aller ihrer Kunden.
Nach den überzeugenden Angaben des vom Gericht beauftragten Sachverständigen gebe es jedenfalls nach dem derzeitigen Stand der Technik keine anderen Möglichkeiten als die von der Beklagten praktizierte Speicherung, um Störungen der Telekommunikationsanlagen zu erkennen, einzugrenzen und notfalls zu beseitigen. Der Sachverständige habe nachvollziehbar dargelegt, dass bei der Beklagten monatlich mehr als 500.000 Missbrauchs-(Abuse-)Meldungen eingingen, von denen 162.000 im Zusammenhang mit Spams stünden. 164.000 hätten einen potentiell direkten Einfluss auf die Infrastruktur und die Dienste der Beklagten. Daneben gebe es Abusemeldungen zu anderen Arten von Missbräuchen (Schadcodes auf Webseiten, Hacking und dergleichen). Der Sachverständige habe in sich stimmig und nachvollziehbar erläutert, dass das von der Beklagten entwickelte System zur Abwehr dieser Beeinträchtigungen erforderlich sei und beibehalten werden müsse. Es habe auch dazu geführt, dass es kaum Fälle gegeben habe, in denen ein anderes Telekommunikationsunternehmen einen bestimmten Adressraum der Beklagten wegen von dort massenhaft ausgehender Spams mit der Folge gesperrt habe, dass aus dem Adressbereich kommende Nachrichten überhaupt nicht mehr angenommen worden seien.
Der gerichtlich bestellte Sachverständige habe neben der grundsätzlichen Sinnhaftigkeit der Verfahrensweise der Beklagten auch geprüft, ob Veränderungen denkbar seien, mit Hilfe derer die Speicherung der IP-Adressen für sieben Tage überflüssig werden könnte und ob entgegen der vom Bundesbeauftragten für Datenschutz und Informationsfreiheit geteilten Auffassung der Beklagten zumindest der Speicherzeitraum verkürzt werden könnte. Danach scheide aber insbesondere die vom Sachverständigen angesprochene und theoretisch bestehende Möglichkeit der sogenannten Pseudonymisierung, bei der die IP-Adresse nicht gespeichert würde, aus. Zwar wäre es bei diesem Verfahren möglich, die Kundenkennung nicht mit der IP Adresse, sondern einer zusätzlichen Zeichenkette zu verknüpfen, die nicht automatisch einem bestimmten Kunden zuzuordnen wäre. Die Pseudonymisierung müsste aber in jedem einzelnen Fall des § 100 Abs. 1 TKG wieder aufgehoben werden, wozu eine vertrauenswürdige Stelle angerufen werden müsste. Der Sachverständige habe nachvollziehbar und unwidersprochen dargelegt, dass der damit verbundene Mehraufwand angesichts der Vielzahl der Fälle, die monatlich abzuwickeln seien, in der Praxis nicht vertretbar sei.
II.
Dies hält den Angriffen der Revision stand.
1. Gegen die auf der Grundlage der Ausführungen des Sachverständigen getroffenen tatsächlichen Feststellungen des Berufungsgerichts erhebt die Revision weder zum Verfahren noch in der Sache Rügen. Hierfür hätte auch keine Veranlassung bestanden.
2. Unbehelflich für den geltend gemachten Anspruch, die jeweils dem Kläger zugeteilte IP-Nummer nach Beendigung der einzelnen Verbindung in das Internet zu löschen, ist der Hinweis der Revision auf die vom Sachverständigen kursorisch angesprochene Möglichkeit der „Pseudonymisierung“, die die Beklagte entgegen der Annahme des Berufungsgerichts nicht generell, sondern allein für den Kläger vornehmen könne.
Bei diesem Verfahren soll die Kundenkennung nicht mit der für die Internetverbindung genutzten IP-Adresse verknüpft werden, sondern mit einer anderen anonymen Zeichenfolge. Im Fall des Verdachts eines Missbrauchs würde die Zuordnung dieser Kennung zu den Daten des Nutzers – im Gegensatz zur Praxis der Beklagten – nicht automatisch, sondern durch eine neutrale Stelle erfolgen. Allerdings ist auch die – zudem dynamisch, das heißt ständig wechselnden Anschlüssen zugeteilte – IP-Nummer für sich genommen anonym, wie das Berufungsgericht vom Kläger unbeanstandet festgestellt hat. Ihre Zuordnung zu einem Kunden wird erst durch die Verknüpfung mit den Sessionsdaten des Nutzers ermöglicht. Insoweit unterscheidet sich das derzeitige Verfahren der Beklagten letztlich nicht von der vom Sachverständigen angeschnittenen „Pseudonymisierung“. Der mit dieser bewirkte Gewinn an Datenschutz würde dementsprechend maßgeblich nicht infolge der Ersetzung der IP-Adresse durch eine andere Zeichenfolge bewirkt, sondern wäre darauf zurückzuführen, dass eine automatische Verknüpfung der anonymen Zeichenfolge (gleichgültig, ob IP-Adresse oder andere Kennung) durch die Beklagte selbst unterbleibt und stattdessen eine dritte Stelle zwischengeschaltet würde, die die Rückgängigmachung der Pseudonymisierung vornähme. Dies ist jedoch, wie das Berufungsgericht auf der Grundlage der Ausführungen des Sachverständigen von der Revision unbeanstandet festgestellt hat, angesichts der hohen Zahl der Vorfälle der Beklagten nicht zuzumuten. Der Kläger kann dem auch nicht mit Erfolg entgegenhalten, die Einschaltung der dritten Stelle könne auf seine Person oder seinen Anschluss beschränkt werden. Die Beklagte wäre rechtlich allen anderen Kunden gegenüber verpflichtet, ebenso zu verfahren wie gegenüber dem Kläger.
3. Im Übrigen tritt die Revision der Rechtsauffassung des Senats in seinem ersten Revisionsurteil in dieser Sache vom 13. Januar 2011 (a.a.O.) entgegen. Auch unter Berücksichtigung der vom Kläger vorgebrachten Angriffe hält der Senat nach Überprüfung jedoch an seinem Rechtsstandpunkt fest.(wird ausgeführt).
5. Schließlich gibt auch das Urteil des Gerichtshofs der Europäischen Union vom 8. April 2014 (C-293/12 u.a. – Digital Rights Ireland Ltd. u.a., BeckRS 2014, 80686), mit dem die Ungültigkeit der Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/ EG (ABl. Nr. L 105 S. 54) ausgesprochen wurde, dem Senat keinen Anlass, seinen im ersten Revisionsurteil vom 13. Januar 2011 (a.a.O.) eingenommenen Rechtsstandpunkt zu revidieren. Maßgeblich für die Ungültigkeit dieser Richtlinie, die eine anlasslose Vorratsspeicherung von Verkehrs- und Bestandsdaten für mindestens sechs Monate vorsah, war nach der Entscheidung des Gerichtshofs das Fehlen eines objektiven Kriteriums, das es ermöglichte, den Zugang der zuständigen nationalen Behörden zu den Daten und deren spätere Nutzung zwecks Verhütung und Verfolgung von Straftaten auf solche Delikte zu beschränken, die unter Berücksichtigung des Ausmaßes und der Schwere des Grundrechtseingriffs als hinreichend schwer angesehen werden konnten, um den Eingriff zu rechtfertigen (a.a.O. Rn. 60). Weiterhin monierte der Gerichtshof, dass die Richtlinie keine materiell- und verfahrensrechtlichen Voraussetzungen für den Zugang der zuständigen nationalen Behörden zu den gespeicherten Daten und deren spätere Nutzung enthielt. Es fehle eine ausdrückliche Bestimmung, dass sich der Zugang zu den und die spätere Nutzung der Daten strikt auf die Zwecke der Verhütung und der Verfolgung genau abgegrenzter schwerer Straftaten beschränke (a.a.O. Rn. 61). Vor allem unterliege der Zugriff der nationalen Behörden zu den auf Vorrat gespeicherten Daten keiner vorherigen Kontrolle eines Gerichts oder einer anderen unabhängigen Stelle, deren Entscheidung die Wahrung der Verhältnismäßigkeit gewährleiste (a.a.O. Rn. 62). Schließlich beanstandete der Gerichtshof, dass die Mindestspeicherfrist für sämtliche Datenkategorien sechs Monate betragen sollte, ohne dass die Festlegung auf objektiven Kriterien beruhte, die gewährleisteten, dass sie auf das absolut Notwendige beschränkt wurde (a.a.O. Rn. 63 f).
Diese Erwägungen sind auf die hier im Streit befindliche siebentägige Speicherung von IP-Adressen zu den in § 100 Abs. 1 TKG bestimmten Zwecken nicht übertragbar. Die Speicherung erfolgt nicht für die Zwecke der Strafverfolgungsbehörden, sondern im Interesse des Netzbetreibers. Ein Zugriff von Polizei oder Staatsanwaltschaft auf die gespeicherten Daten ist in dieser Rechtsgrundlage nicht vorgesehen. Überdies ist die Speicherfrist von sieben Tagen nach den aufgrund sachverständiger Beratung getroffenen, nicht angegriffenen tatrichterlichen Feststellungen auf das zur Erreichung der legitimen Zwecke des § 100 Abs. 1 TKG notwendige Maß begrenzt. Sie ist auch ihrer absoluten Dauer nach nicht mit der in der genannten Richtlinie bestimmten Mindestfrist von sechs Monaten vergleichbar.