Bundesgerichtshof, Entscheidung vom 16.05.2017, Az. VI ZR 135/13

[X.]:[X.]:[X.]:2017:160517UVIZR135.13.0

[X.]UN[X.]SGERICHTSHOF

IM NAMEN [X.]S VOLKES

URTEIL
VI [X.]/13

Verkündet am:

16. Mai 2017

Holmes

Justizangestellte

als Urkundsbeamtin

der Geschäftsstelle
in dem Rechtsstreit

Nachschlagewerk:
ja
[X.]Z:
ja
[X.]R:
ja
[X.] § 12 Abs. 1 und 2, § 15 Abs. 1; §
3 Abs. 1 [X.]; Richtlinie 95/46/[X.] des [X.] und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenver-kehr (A[X.]l. Nr. L 281 S. 31) Art. 2 [X.]uchst. a, Art. 7 [X.]uchst. f.
a)
Die dynamische IP-Adresse, die von einem Anbieter von [X.] beim Zugriff einer Person auf eine [X.]seite, die dieser Anbieter allgemein zu-gänglich macht, gespeichert wird, stellt für den Anbieter ein personenbezogenes Datum im
Sinne des §
12 Abs.
1 und 2 [X.] in Verbindung mit §
3 Abs.
1 [X.] dar (Fortführung von [X.] [X.], 3579).
b)
§ 15 Abs. 1 [X.] ist entsprechend Art.
7 [X.]uchst.
f der Richtlinie 95/46 [X.] dahin auszulegen, dass ein Anbieter von [X.] personenbezogene [X.] eines Nutzers dieser Dienste ohne dessen Einwilligung auch über das Ende eines Nutzungsvorgangs hinaus dann erheben und verwenden darf, soweit ihre Erhebung und ihre Verwendung erforderlich sind, um die generelle Funktionsfä-higkeit der Dienste zu gewährleisten, wobei es allerdings einer Abwägung mit dem Interesse und den Grundrechten und -freiheiten der Nutzer bedarf (Fortführung von [X.] aaO).
[X.], Urteil vom 16. Mai 2017 -
VI [X.]/13 -
LG [X.]erlin

AG [X.]erlin-Tiergarten

-
2
-

Der VI.
Zivilsenat des [X.]gerichtshofs hat auf die mündliche Verhandlung vom 14. Februar 2017
durch den Vorsitzenden [X.], [X.], die Richterinnen Dr.
[X.] und [X.] sowie [X.]
Klein
für Recht erkannt:
Auf die Revisionen
der Parteien
wird das Urteil der 57. Zivilkam-mer des Landgerichts
[X.]erlin vom 31. Januar 2013
aufgehoben.

Die Sache wird zur neuen Verhandlung und Entscheidung, auch über die Kosten des Revisionsverfahrens, an das [X.]erufungsge-richt zurückverwiesen.
Von Rechts wegen

Tatbestand:
Der Kläger macht gegen die beklagte [X.] einen Unterlassungsanspruch wegen der Speicherung von [X.] (im Folgenden: IP-Adressen) geltend. IP-Adressen sind Ziffernfolgen, die ver-netzten Computern
zugewiesen werden, um deren Kommunikation im [X.] zu ermöglichen. [X.]eim Abruf einer [X.]seite wird die IP-Adresse des abru-fenden Computers an den Server übermittelt, auf dem die abgerufene Seite gespeichert ist. Dies ist erforderlich, um die abgerufenen Daten an den richtigen Empfänger zu übertragen.
Zahlreiche Einrichtungen des [X.] betreiben allgemein zugängliche [X.]portale, auf denen sie aktuelle Informationen bereitstellen. Mit dem Ziel, Cyber-Angriffe abzuwehren und die strafrechtliche
Verfolgung von Angreifern 1
2
-
3
-

zu ermöglichen
und dadurch eine Abschreckungswirkung zu erreichen, werden bei einer Vielzahl
dieser Portale alle Zugriffe in Protokolldateien festgehalten. Darin werden jeweils der Name der abgerufenen Datei bzw. Seite, in Suchfelder eingegebene [X.]egriffe, der [X.]punkt des Abrufs, die übertragene Datenmenge, die Meldung, ob der Abruf erfolgreich war, und die IP-Adresse des zugreifenden Rechners über das Ende des jeweiligen Nutzungsvorgangs hinaus gespeichert.
Der Kläger rief in der Vergangenheit verschiedene solcher [X.]seiten auf. Mit seiner Klage begehrt er, die [X.]eklagte zu verurteilen, es zu unterlassen, die IP-Adresse des zugreifenden Hostsystems des [X.], die im [X.] mit der Nutzung öffentlich zugänglicher Telemedien der [X.]eklagten im In-ternet -
mit Ausnahme eines bestimmten Portals, für das der Kläger bereits ei-nen [X.] erwirkt hat -
übertragen wird, über das Ende des [X.] hinaus zu speichern oder durch Dritte speichern zu [X.], soweit die Speicherung nicht im Störungsfall zur Wiederherstellung der Verfügbarkeit des [X.] erforderlich ist.
Das Amtsgericht hat die Klage abgewiesen. Auf die [X.]erufung des [X.] hat das [X.]erufungsgericht das erstinstanzliche Urteil unter Zurückweisung des weitergehenden Rechtsmittels teilweise abgeändert. Es hat die [X.]eklagte verurteilt, es zu unterlassen, die IP-Adresse des zugreifenden Hostsystems des [X.], die im Zusammenhang mit der Nutzung öffentlich zugänglicher [X.] der [X.]eklagten im [X.] -
mit Ausnahme eines [X.]portals -
über-tragen wird, in Verbindung mit dem [X.]punkt des jeweiligen Nutzungsvorgangs über das Ende des jeweiligen Nutzungsvorgangs hinaus zu speichern oder durch Dritte speichern zu lassen, sofern der Kläger während eines Nutzungs-vorgangs seine Personalien, auch in Form einer die Personalien ausweisenden E-Mail-Anschrift, angibt und soweit die Speicherung nicht im Störungsfall zur Wiederherstellung der Verfügbarkeit des [X.] erforderlich ist.
3
4
-
4
-

Gegen dieses Urteil haben beide Parteien die vom [X.]erufungsgericht zu-gelassene Revision eingelegt. Der Kläger begehrt die Verurteilung der [X.]eklag-ten ohne die vom [X.]erufungsgericht ausgesprochenen [X.]eschränkungen. Die [X.]eklagte verfolgt ihren Antrag auf vollständige Klageabweisung weiter.

Entscheidungsgründe:
I.
Das [X.]erufungsgericht, dessen Urteil unter anderem in [X.], 618 ver-öffentlicht ist, hat im Wesentlichen ausgeführt, analog § 1004 Abs. 1 Satz 2 [X.]G[X.] und gemäß § 823 [X.]G[X.], Art. 1 Abs. 1, Art. 2 Abs. 1 GG, § 4 Abs. 1 [X.], § 12 Abs. 1 [X.] bestehe der geltend gemachte Unterlassungsanspruch nur insoweit, als er Speicherungen von IP-Adressen in Verbindung mit dem [X.]-punkt des jeweiligen Nutzungsvorgangs betreffe und der Kläger während eines Nutzungsvorgangs
seine Personalien angebe.
In diesem Fall sei die dynamische IP-Adresse des [X.] ein personen-bezogenes Datum. Die [X.]estimmung der Person müsse gerade für die verarbei-tende Stelle technisch und rechtlich möglich sein und dürfe keinen Aufwand erfordern, der außer Verhältnis zu dem Nutzen der Information für diese Stelle stehe. Danach sei in Fällen, in denen der Nutzer seinen Klarnamen offen lege, ein Personenbezug dynamischer IP-Adressen zu bejahen, weil die [X.]eklagte den Klarnamen mit der IP-Adresse verknüpfen könne.
Die Verwendung des Datums über das Ende des [X.] sei nach § 12 Abs. 1 [X.] unzulässig, da nicht von einer Einwilligung des [X.] auszugehen sei und ein Erlaubnistatbestand nicht vorliege. § 15 Abs. 1 [X.] greife jedenfalls
deshalb nicht, weil die Speicherung der IP-Adresse über 5
6
7
8
-
5
-

das Ende des Nutzungsvorgangs hinaus für die Ermöglichung des Angebots (für den jeweiligen Nutzer) nicht erforderlich sei. Der [X.]egriff der Erforderlichkeit sei eng auszulegen und umfasse nicht den sicheren [X.]etrieb der Seite.
Ein weitergehender Unterlassungsanspruch bestehe nicht. Soweit der Kläger seinen Klarnamen nicht angebe, könne nur der [X.] die IP-Adresse einem bestimmten Anschlussinhaber zuordnen. In den Händen der [X.]eklagten sei die IP-Adresse hingegen -
auch in Verbindung mit dem [X.]punkt des Zugriffs -
kein personenbezogenes Datum, weil der Anschlussinhaber bzw. Nutzer für die [X.]eklagte nicht bestimmbar sei. Maßgeblich sei, dass der [X.] die IP-Adressen nur für einen begrenzten [X.]raum speichern und nur in bestimmten Fällen an Dritte übermitteln dürfe. Dass die [X.]eklagte im Zusammenhang mit einem strafrechtlichen Ermittlungsverfahren oder der [X.] von Urheberrechtsverletzungen unter bestimmten Voraussetzungen an die für die Herstellung des [X.] erforderlichen Informationen ge-langen könnte, sei unerheblich, weil das Interesse an der Verfolgung von Straf-taten und Urheberrechtsverletzungen das Persönlichkeitsrecht des [X.]etroffenen regelmäßig überwiege. Es komme auch nicht auf die theoretische Möglichkeit an, dass der [X.] der [X.]eklagten unbefugt Auskunft erteile. Denn eine illegale Handlung könne nicht als normalerweise und ohne großen Auf-wand durchzuführende Methode angesehen werden.

II.
Die [X.]eurteilung des [X.]erufungsgerichts hält revisionsrechtlicher [X.] nicht
stand.
9
10
-
6
-

A) Revision des [X.]
Die
Revision des [X.] hat
Erfolg.
Nach den vom [X.]erufungsgericht bisher getroffenen Feststellungen kann nicht ausgeschlossen werden, dass der Kläger von der [X.]eklagten
nach § 1004 Abs. 1
[X.]G[X.] analog, § 823 Abs.
1 [X.]G[X.] i.V.m.
Art. 2 Abs. 1
und
Art. 1 Abs. 1
GG, § 4 Abs. 1 [X.], § 12 Abs. 1 [X.]
beanspruchen
kann, es zu unter[X.], die für den Abruf ihrer [X.]seiten durch den Kläger übermittelten IP-Adressen in Verbindung mit der [X.] des jeweiligen Abrufs über das Ende des jeweiligen Nutzungsvorgangs hinaus zu speichern oder durch Dritte speichern zu lassen. [X.]ei dem Speichern der (hier allein in Frage stehenden dynamischen) IP-Adresse
kann es sich um einen nach dem Datenschutzrecht unzulässigen Eingriff in das allgemeine Persönlichkeitsrecht des [X.] in seiner Ausprä-gung als Recht auf informationelle Selbstbestimmung
handeln.
Hierzu wird das [X.]erufungsgericht weitere Feststellungen zu treffen haben.
1. Ein Unterlassungsanspruch
scheitert
nicht daran, dass die gespeicher-ten (dynamischen) IP-Adressen mangels [X.]estimmbarkeit des [X.] für die [X.]eklagte keine personenbezogenen
Daten im Sinne von § 12 Abs.
1 [X.] darstellen.
a) Nach § 12 Abs. 1 [X.] darf der Diensteanbieter
personenbezogene Daten zur [X.]ereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift,
die sich ausdrücklich auf [X.] bezieht, es erlaubt oder der Nutzer eingewilligt hat.
Diese Vorschrift ist anwendbar, da die in Rede stehenden Portale als [X.] (§ 1 Abs. 1 Satz 1 [X.]), die [X.]eklagte als Diensteanbieter (§ 2 Satz 1 Nr. 1 [X.]) und der Kläger als Nutzer (§ 11 Abs. 2 [X.]) anzusehen sind.
11
12
13
14
15
16
-
7
-

b) Personenbezogene Daten sind nach der auch für das Telemedienge-setz maßgeblichen (KG, [X.], 418; [X.] in Taeger/Gabel, [X.], 2.
Aufl., § 12 [X.] Rn. 5) Legaldefinition in § 3 Abs. 1 [X.] "Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimm-baren natürlichen Person ([X.]etroffener)".
Die von der [X.]eklagten gespeicherten dynamischen IP-Adressen
des [X.]
sind jedenfalls im Kontext mit den weiteren in den Protokolldateien ge-speicherten Daten als Einzelangaben über sachliche Verhältnisse anzusehen, da
die Daten Aufschluss darüber geben, dass zu bestimmten [X.]punkten [X.] Seiten bzw. Dateien über das [X.] abgerufen wurden (vgl. [X.]/
[X.], [X.], 8. Aufl., § 3 Rn. 10; [X.], [X.], 547, 548). Diese sach-lichen Verhältnisse waren solche des [X.]; denn er war Inhaber des [X.], dem die IP-Adressen zugewiesen waren (vgl. [X.], Urteil vom 12.
Mai 2010 -
I [X.], [X.]Z 185, 330 Rn. 15), und
er
rief die [X.]sei-ten im Übrigen auch selbst auf.
Da die gespeicherten Daten
aus sich heraus keinen unmittelbaren Rückschluss auf die Identität des [X.] zuließen, war dieser zwar nicht "bestimmt"
im Sinne des § 3 Abs. 1 [X.] (vgl. [X.] in Roßnagel, [X.]eckRTD-Komm., § 11 [X.] Rn. 22; [X.]/Schomerus, [X.], 12.
Aufl., § 3 Rn. 10), er war jedoch
"bestimmbar".
c) Die [X.]estimmbarkeit einer Person setzt voraus, dass grundsätzlich die Möglichkeit besteht, ihre Identität festzustellen ([X.] in Taeger/Gabel, [X.], 2. Aufl., § 3 Rn. 11; [X.]/[X.] in [X.], [X.], 2. Aufl.,
§ 3 Rn.
13). Umstritten war, ob bei der Prüfung der [X.]estimmbarkeit ein objektiver oder ein relativer Maßstab anzulegen ist
(vgl. zum damaligen [X.] Senatsbeschluss vom 28. Oktober 2014
-
VI [X.]/13, VersR
2015, 370
Rn.
23 ff.).
17
18
19
-
8
-

aa) Der erkennende Senat hat daher mit dem vorgenannten [X.]eschluss dem [X.]
(im Folgenden: Gerichtshof) gemäß Art. 267 AEUV unter anderem
folgende Frage zur Auslegung des Unionsrechts vorgelegt:
"Ist Art. 2 [X.]uchstabe a der Richtlinie 95/46/[X.] des Europäischen Parla-ments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ([X.]. [X.] 1995, [X.]) -
Datenschutz-Richtlinie -
dahin auszulegen, dass ei-ne [X.]protokoll-Adresse (IP-Adresse), die ein Diensteanbieter im [X.] mit einem Zugriff auf seine [X.]seite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn ein Dritter (hier: [X.]) über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt?"
bb) Der Gerichtshof hat
mit
Urteil vom 19. Oktober 2016
-
C-582/14, [X.], 3579
die Frage wie folgt beantwortet:
"Art.
2 [X.]uchst.
a der Richtlinie 95/46/[X.] des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass eine dynamische [X.]protokoll-Adresse, die von einem Anbieter von [X.] beim Zugriff einer Person auf eine Websi-te, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, für den Anbieter ein personenbezogenes Datum im Sinne der genannten [X.]estimmung darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, die betref-fende Person anhand der Zusatzinformationen, über die der [X.]zugangs-anbieter dieser Person verfügt, bestimmen zu lassen."
20
21
22
23
-
9
-

Zur [X.]egründung hat der Gerichtshof im Wesentlichen ausgeführt
(aaO, Rn. 40 ff.), bereits aus dem Wortlaut
von Art.
2 [X.]uchst.
a der Richtlinie 95/46
[X.]
gehe hervor, dass nicht nur eine direkt identifizierbare, sondern auch eine indirekt identifizierbare Person als bestimmbar angesehen werde.
Die Verwen-dung des [X.]egriffs "indirekt"
durch den [X.] deute
darauf hin, dass es für die Einstufung einer Information als personenbezogenes Datum nicht erforderlich sei, dass die Information für sich genommen die Identifizierung der betreffenden Person ermögliche. Zudem heiße
es im 26.
Erwägungsgrund der Richtlinie 95/46
[X.], dass bei der Entscheidung, ob eine Person bestimmbar sei, alle Mittel berücksichtigt werden sollten, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem [X.] einge-setzt werden könnten, um die betreffende Person zu bestimmen.
Da dieser [X.] auf die Mittel [X.]ezug nehme, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem "[X.]"
eingesetzt werden könnten, sei
sein Wortlaut ein Indiz dafür, dass es für die Einstufung eines Datums als "personenbezogenes Datum"
im Sinne von Art.
2 [X.]uchst.
a der Richtlinie 95/46
[X.]
nicht erforderlich sei, dass sich alle zur Identifizierung der betreffenden Person erforderlichen Informationen in den Händen einer ein-zigen Person befänden. Dass über die zur Identifizierung des Nutzers einer Website erforderlichen Zusatzinformationen nicht der Anbieter von [X.] verfüge, sondern der [X.]zugangsanbieter dieses Nutzers, vermöge
daher nicht auszuschließen, dass die von einem Anbieter von [X.] gespeicherten dynamischen IP-Adressen für ihn personenbe-zogene Daten im Sinne von Art.
2 [X.]uchst.
a der Richtlinie 95/46 [X.] darstellten.
Die Möglichkeit, eine dynamische IP-Adresse mit den Zusatzinformationen zu verknüpfen, über die der [X.]zugangsanbieter verfüge, stelle ein Mittel dar, das vernünftigerweise zur [X.]estimmung der betreffenden Person eingesetzt werden könne.
Das vorlegende Gericht weise
in seiner Vorlageentscheidung 24
-
10
-

zwar darauf hin, dass das [X.] Recht es dem [X.]zugangsanbieter nicht erlaube, dem Anbieter von [X.] die zur Identifizierung der betreffenden Person erforderlichen Zusatzinformationen direkt zu [X.], doch gebe
es offenbar -
vorbehaltlich der vom vorlegenden Gericht inso-weit vorzunehmenden Prüfungen -
für den Anbieter von [X.] rechtliche Möglichkeiten, die es ihm erlaubten, sich insbesondere im Fall von Cyberattacken an die zuständige [X.]ehörde zu wenden, damit diese
die nötigen Schritte unternehme, um die fraglichen Informationen vom [X.]zugangsan-bieter zu erlangen und die Strafverfolgung einzuleiten. Der Anbieter von [X.] verfüge
somit offenbar über Mittel, die vernünftigerweise ein-gesetzt werden könnten, um mit Hilfe Dritter, und zwar der zuständigen [X.] und dem [X.]zugangsanbieter, die betreffende Person anhand der ge-speicherten IP-Adressen bestimmen zu lassen.
cc) Auf dieser Grundlage ist
das Tatbestandsmerkmal "[X.] Daten"
des
§ 12 Abs. 1 und 2 [X.]
in Verbindung mit § 3 Abs. 1 [X.]
richt-linienkonform dahingehend auszulegen, dass eine dynamische IP-Adresse, die von einem Anbieter von [X.] beim Zugriff einer Person auf eine [X.]seite, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, für den Anbieter ein personenbezogenes Datum im Sinne der genannten [X.]estimmung darstellt.
Denn die [X.]eklagte verfügt über rechtliche Mittel, die vernünftigerweise eingesetzt werden können, um mit Hilfe Dritter, und zwar der zuständigen [X.]e-hörde und des
[X.]zugangsanbieters, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen
(vgl. Gerichtshof aaO Rn. 47). Die [X.]eklagte kann -
im Falle einer bereits eingetretenen Schädigung -
Strafan-zeige bei den Strafverfolgungsbehörden erstatten; im Falle der drohenden Schädigung kann sie die zur Gefahrenabwehr zuständigen [X.]ehörden einschal-25
26
-
11
-

ten. Nach § 100j
Abs. 2 und 1 StPO, § 113 TKG
(vgl. [X.] 130, 151)
kön-nen die für die Verfolgung von Straftaten oder Ordnungswidrigkeiten zuständi-gen [X.]ehörden
zu diesem Zweck von [X.]zugangsanbietern bei Vorliegen bestimmter Voraussetzungen Auskunft verlangen,
entsprechendes gilt für
die für die Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung zu-ständigen [X.]ehörden, die Verfassungsschutzbehörden des [X.] und der Länder, den
Militärischen
Abschirmdienst und den
[X.]nachrichtendienst zur Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung oder für die Erfüllung der gesetzlichen Aufgaben der genannten Stellen.
Die in eine [X.] aufzunehmenden Daten dürfen auch anhand einer zu einem bestimmten [X.]punkt zugewiesenen [X.]protokoll-Adresse bestimmt werden. Dadurch können die gewonnenen Informationen zusammengeführt und der Nutzer be-stimmt werden (vgl. Gerichtshof aaO Rn. 49 a.E.).
2. Auf der Grundlage der vom [X.]erufungsgericht getroffenen Feststellun-gen lässt sich nicht beurteilen, ob zugunsten der [X.]eklagten ein Erlaubnistatbe-stand
im Sinne von
§ 15 Abs. 1 [X.] eingreift.
a) Handelt es sich bei der IP-Adresse im Zusammenhang mit den Daten des Zugriffs um personenbezogene Daten, ist
die Speicherung über den Zugriff hinaus nach § 12 Abs. 1 [X.] nur zulässig, soweit dieses Gesetz oder eine an-dere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.
b) Eine Einwilligung des Nutzers liegt hier nicht vor. Es kommt aber eine Erlaubnis nach § 15 Abs. 1 [X.] in [X.]etracht.
Danach darf der Diensteanbieter personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen ([X.]). [X.] sind dabei insbesondere Merkmale zur Identifikation des Nutzers, Angaben über [X.]eginn und Ende sowie 27
28
29
-
12
-

des Umfangs der jeweiligen Nutzung und Angaben über die vom Nutzer in [X.] genommenen Telemedien.
c) Fraglich war, ob die Voraussetzungen des § 15 Abs. 1 [X.] auch dadurch erfüllt sein können, dass
die Maßnahmen des Diensteanbieters
über den konkreten Nutzungsvorgang hinaus
"erforderlich"
sind, um Cyberangriffe ("[X.]) abzuwehren und damit
die Inanspruchnahme von Telemedien
(allgemein)
zu ermöglichen. Eine solche Auslegung wäre mit dem Wortlaut der Vorschrift vereinbar
gewesen. Denn die
behaupteten "[X.] führen dazu, dass das [X.] nicht mehr erreichbar und seine Inanspruchnahme somit nicht mehr möglich ist. Allerdings wurde
in der Literatur überwiegend die
(enge)
Auffassung vertreten, dass die Datener-hebung
und -verwendung nur erlaubt sei, um ein konkretes Nutzungsverhältnis zu ermöglichen und die Daten, soweit sie nicht für Abrechnungszwecke benötigt werden, mit dem Ende des jeweiligen Nutzungsvorgangs zu löschen seien
(vgl. zum
damaligen
[X.] Senatsbeschluss vom 28. Oktober 2014 -
VI [X.]/13, aaO
Rn. 38). Dieses
enge
Verständnis des § 15 Abs. 1 [X.] hätte
ei-ner Erlaubnis zur Speicherung der IP-Adressen zur (generellen) Gewährleis-tung und Aufrechterhaltung der Sicherheit und Funktionsfähigkeit von [X.] entgegengestanden.
aa) Der erkennende Senat hat dem [X.] gemäß Art. 267 AEUV deshalb folgende weitere Frage zur Auslegung des [X.] vorgelegt:
"Steht Art. 7 [X.]uchstabe f der Datenschutz-Richtlinie einer Vorschrift des nationalen Rechts entgegen, wonach der Diensteanbieter personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben und verwenden darf, soweit dies erforderlich ist, um die konkrete Inanspruchnahme des Tele-mediums durch den jeweiligen Nutzer zu ermöglichen und abzurechnen, und 30
31
32
-
13
-

wonach der Zweck, die generelle Funktionsfähigkeit des [X.] zu ge-währleisten, die Verwendung nicht über das Ende des jeweiligen Nutzungsvor-gangs hinaus rechtfertigen kann?"
bb) Der Gerichtshof hat mit Urteil vom 19. Oktober 2016
-
C-582/14, aaO
die Frage wie folgt beantwortet:
"Art.
7 [X.]uchst.
f der Richtlinie 95/46 ist dahin auszulegen, dass er einer Regelung eines Mitgliedstaats entgegensteht, nach der ein Anbieter von [X.] personenbezogene Daten eines Nutzers dieser Dienste ohne dessen Einwilligung nur erheben und verwenden darf, soweit ihre Erhebung und ihre Verwendung erforderlich sind, um die konkrete Inanspruchnahme der Dienste durch den betreffenden Nutzer zu ermöglichen und
abzurechnen, ohne dass der Zweck, die generelle Funktionsfähigkeit der Dienste zu gewährleisten, die Verwendung der Daten über das Ende eines Nutzungsvorgangs hinaus rechtfertigen kann."
cc) Danach wäre die Auslegung des § 15 Abs. 1 und 4 [X.]
in dem oben angesprochenen engen Sinne
mit Art. 7 [X.]uchst. f der Richtlinie 95/46
[X.]
un-vereinbar.
§ 15 Abs. 1 [X.] ist entsprechend Art.
7 [X.]uchst.
f der Richtlinie 95/46
[X.]
dahin auszulegen, dass ein Anbieter von [X.] per-sonenbezogene Daten eines Nutzers dieser Dienste ohne dessen Einwilligung auch über das Ende eines Nutzungsvorgangs hinaus dann erheben und [X.] darf, soweit ihre Erhebung und ihre Verwendung erforderlich sind, um die generelle Funktionsfähigkeit der Dienste zu gewährleisten, wobei es [X.] einer Abwägung mit dem Interesse und
den Grundrechten und -freiheiten der Nutzer bedarf.
Nach Art.
7 [X.]uchst.
f der Richtlinie 95/46
[X.]
ist die Verarbeitung perso-nenbezogener Daten rechtmäßig, wenn sie "erforderlich [ist] zur Verwirklichung 33
34
35
36
-
14
-

des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den [X.] wahrgenommen wird, denen die Daten übermit-telt werden, sofern nicht das Interesse oder die Grundrechte und Grundfreihei-ten der betroffenen Person, die gemäß Artikel
1 Absatz
1 [der Richtlinie] ge-schützt sind, überwiegen".
Art.
5 der Richtlinie 95/46 [X.] erlaubt den Mitgliedstaaten zwar, nach Maßgabe des Kapitels
II und damit des Art.
7 die Voraussetzungen näher zu bestimmen, unter denen die Verarbeitung personenbezogener Daten rechtmä-ßig ist, doch kann von dem Ermessen, über das die Mitgliedstaaten nach Art.
5 verfügen, nur im Einklang mit dem von der Richtlinie verfolgten Ziel der Wah-rung eines Gleichgewichts zwischen dem freien Verkehr personenbezogener Daten und dem Schutz der Privatsphäre
(vgl. Gerichtshof aaO Rn. 58)
Ge-brauch gemacht werden. Die Mitgliedstaaten dürfen nach Art.
5 der Richtlinie in [X.]ezug auf die Zulässigkeit der Verarbeitung personenbezogener Daten keine anderen als die in Art.
7 der Richtlinie aufgezählten Grundsätze einführen und auch nicht durch zusätzliche [X.]edingungen die Tragweite der sechs in Art.
7 vorgesehenen Grundsätze verändern (vgl. in diesem Sinne [X.] Slg 2011,
I -
12181 Rn. 33 ff.
[X.] und FECEMD).
Im vorliegenden Fall hätte §
15 [X.], wenn er in der angesprochenen engen Weise ausgelegt würde, eine geringere Tragweite als der in Art.
7 [X.]uchst.
f der Richtlinie 95/46 [X.] aufgestellte Grundsatz.
Während nämlich in Art.
7 [X.]uchst.
f der Richtlinie allgemein auf
die "[X.], das von dem für die Verarbeitung Ver-antwortlichen oder von dem bzw. den [X.] wahrgenommen wird, denen die Daten übermittelt werden", [X.]ezug genommen wird, würde §
15 [X.] dem Diensteanbieter die Erhebung und Verwendung personenbezogener Daten ei-nes Nutzers nur gestatten, soweit dies erforderlich ist, um die konkrete Inan-37
38
39
-
15
-

spruchnahme elektronischer Medien zu ermöglichen und abzurechnen. §
15 [X.] stünde daher einer zur Gewährleistung der Inanspruchnahme von [X.] dienenden Speicherung personenbezogener Daten über das Ende eines Zugriffs auf diese Dienste hinaus allgemein entgegen. Andererseits haben die Einrichtungen des [X.], die [X.] anbieten, ein berechtigtes Interesse daran, die Aufrechterhaltung der Funktionsfähigkeit der von ihnen allgemein zugänglich gemachten [X.]seiten
über ihre konkrete Nutzung hinaus zu gewährleisten.
Der Gerichtshof weist weiter darauf hin, dass Art.
7 [X.]uchst.
f der Richtli-nie 95/46 [X.] einen Mitgliedstaat daran hindert, kategorisch und ganz allgemein die Verarbeitung bestimmter Kategorien personenbezogener Daten [X.], ohne Raum für eine Abwägung der im konkreten Einzelfall einander gegenüberstehenden Rechte und Interessen zu lassen. Ein Mitgliedstaat kann daher für diese Kategorien das Ergebnis der Abwägung der einander gegen-überstehenden Rechte und Interessen nicht abschließend vorschreiben, ohne Raum für ein Ergebnis zu lassen, das aufgrund besonderer Umstände des
Einzelfalls anders
ausfällt
(vgl. in diesem Sinne [X.] Slg 2011,
I -
12181 Rn.
47
ff.
[X.] und FECEMD).
d) Diese Abwägung
kann
im Streitfall
auf der Grundlage der vom [X.] getroffenen Feststellungen nicht (abschließend) vorgenommen werden.
Das [X.]erufungsgericht hat keine hinreichenden Feststellungen dazu getroffen, ob die Speicherung der IP-Adressen des [X.] über das Ende ei-nes Nutzungsvorgangs hinaus
erforderlich ist, um im konkreten Fall die generel-le Funktionsfähigkeit der jeweils in Anspruch genommenen Dienste zu [X.]. Die [X.]eklagte verzichtet nach ihren eigenen Angaben bei einer Vielzahl der von ihr betriebenen Portale
mangels eines "[X.]"
darauf, die [X.] IP-Adressen der Nutzer zu speichern. Demgegenüber
fehlen entspre-40
41
-
16
-

chende Feststellungen dazu, wie hoch das Gefahrenpotential
bei den übrigen [X.]
des [X.] ist, welche der Kläger in Anspruch nehmen will. Dazu gehören etwa Feststellungen zu
Art, Umfang und Wirkung von bereits erfolgten und etwa drohenden Cyber-Angriffen
wie "[X.]
sowie zu der
[X.]edeutung der betroffenenTelemedien.
Erst wenn entsprechende Feststellungen hierzu getroffen sind, wird das [X.]erufungsgericht die nach dem Urteil des Gerichtshofs gebotene Abwägung zwischen dem Interesse der [X.]eklagten an der Aufrechterhaltung der Funktions-fähigkeit ihrer [X.] und dem Interesse oder den Grundrechten und Grundfreiheiten des [X.] nachzuholen haben.
Dabei wird auch der Ge-sichtspunkt der Generalprävention gebührend zu berücksichtigen sein.
Die [X.] werden dabei Gelegenheit haben, gegebenenfalls ergänzend vorzutragen.
Allerdings
dürfte
der
mit der Speicherung der Daten eines Nutzers über das Ende eines Nutzungsvorgangs hinaus verbundene Eingriff in das [X.] Persönlichkeitsrecht -
in seiner Ausprägung als Recht auf informationelle Selbstbestimmung
-
nach den bisherigen Feststellungen eher gering
wiegen. Denn die Stellen der [X.]eklagten, die die IP-Adressen des [X.] gespeichert haben, hätten den Kläger nicht ohne
Weiteres
identifizieren können. Nach den
bisher
getroffenen Feststellungen ist davon auszugehen, dass ihnen -
die Nichtangabe der Personalien vorausgesetzt -
keine Informationen vorlagen, die dies ermöglicht hätten. Anders als es bei statischen IP-Adressen der Fall sein kann, lässt sich die Zuordnung dynamischer IP-Adressen zu bestimmten An-schlüssen keiner allgemein zugänglichen Datei entnehmen (vgl. [X.], [X.], 478, 480). Der [X.] des [X.] durfte den Stellen der [X.], welche die IP-Adressen speichern (sog. verantwortliche Stellen), keine Auskunft über dessen Identität erteilen, weil es dafür keine gesetzliche Grund-lage gibt (§
95 Abs. 1 Satz 3 TKG). Die [X.]efugnisse
der zuständigen Stellen im 42
43
-
17
-

Sinne des
§
113 Abs. 3 TKG (etwa die Staatsanwaltschaft im Rahmen eines Ermittlungsverfahrens
nach § 100j StPO)
zur Feststellung der Identität sind an enge Voraussetzungen gebunden, bei deren Vorliegen
das Interesse des [X.] an der Wahrung seiner Anonymität
zurücktreten könnte.
[X.]) Revision der [X.]eklagten
Die Revision der [X.]eklagten hat ebenfalls Erfolg und führt auch insoweit zur Aufhebung des [X.]erufungsurteils und zur Zurückverweisung der Sache an das [X.]erufungsgericht.
1. Das [X.]erufungsgericht ist
zwar
zutreffend davon ausgegangen, dass die dynamische IP-Adresse des [X.] in Verbindung mit dem [X.]punkt des Nutzungsvorgangs (erst recht) ein personenbezogenes Datum im Sinne von §
12 Abs. 1 [X.] darstellt, wenn der Kläger während eines Nutzungsvorgangs seine Personalien angibt und die [X.]eklagte den Klarnamen mit der IP-Adresse verknüpfen kann. Dies begegnet nach den vorstehenden Ausführungen keiner-lei Zweifel.
2.
Jedoch steht das vom [X.]erufungsgericht befürwortete enge [X.] des § 15 Abs. 1 [X.] nicht in Einklang mit Art. 7 [X.]uchstabe f
der [X.]. § 15 Abs. 1 [X.]
muss
richtlinienkonform dahin ausgelegt werden, dass der von dem Diensteanbieter verfolgte Zweck, die generelle Funktionsfähigkeit des [X.] zu gewährleisten, die Verwendung perso-nenbezogener Daten des Nutzers auch über das Ende des jeweiligen [X.] hinaus rechtfertigen kann, wenn, soweit und solange die [X.] zu diesem Zweck erforderlich ist.
Das [X.]erufungsgericht wird auf der Grundlage der noch zu treffenden Feststellungen die erforderliche
Abwägung

44
45
46
47
-
18
-

auch für den Fall
nachzuholen haben, in dem der Nutzer während eines [X.] seine Personalien angibt.
Galke
[X.]
[X.]

Roloff
Klein

Vorinstanzen:
AG [X.]erlin-Tiergarten, Entscheidung vom 13.08.2008 -
2 C 6/08 -

LG [X.]erlin, Entscheidung vom 31.01.2013 -
57 [X.]/08 -