Bundesgerichtshof, Entscheidung vom 28.10.2014, Az. VI ZR 135/13

BUNDESGERICHTSHOF
BESCHLUSS

VI ZR
135/13

vom

28. Oktober
2014

in dem Rechtsstreit

Nachschlagewerk:
ja
[X.]Z:
nein
[X.]R:
ja
Richtlinie 95/46/[X.] ([X.]) Art. 2 a, Art. 7 f; [X.] §§ 12, 15
Dem Gerichtshof der [X.] werden gemäß Art. 267 AEUV folgende Fragen zur Auslegung des Unionsrechts vorgelegt:
1.
Ist Art. 2 Buchstabe a der Richtlinie 95/46/[X.] des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verar-beitung personenbezogener Daten und zum freien Datenverkehr ([X.]. [X.] 1995, [X.]) [X.] -
dahin auszulegen, dass eine [X.] (IP-Adresse), die ein Diensteanbieter im Zusammenhang mit einem Zu-griff auf seine [X.]seite speichert, für diesen schon dann ein personenbezoge-nes Datum darstellt, wenn ein Dritter (hier: [X.]) über das zur Identifi-zierung der betroffenen Person erforderliche Zusatzwissen verfügt?
2.
Steht Art.
7 Buchstabe f der [X.] einer Vorschrift des nationalen Rechts entgegen, wonach der Diensteanbieter personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben und verwenden darf, soweit dies erforderlich ist, um die konkrete Inanspruchnahme des [X.] durch den jeweiligen Nutzer zu ermöglichen und abzurechnen, und wonach der Zweck, die generelle Funktionsfähigkeit des [X.] zu gewährleisten, die Verwendung nicht über das Ende des jeweiligen Nutzungsvorgangs hinaus rechtfertigen kann?
[X.], Beschluss vom 28. Oktober 2014 -
VI [X.]/13 -
LG [X.]

[X.]

-
2
-

Der V[X.]
Zivilsenat des [X.] hat am
28. Oktober
2014
durch den Vorsitzenden [X.], [X.],
[X.] und Offenloch und
die Richterin
Dr. Oehler
beschlossen:

[X.]
Das Verfahren wird ausgesetzt.
I[X.]
Dem Gerichtshof der [X.] werden gemäß Art.
267 AEUV folgende Fragen zur Auslegung des Unions-rechts vorgelegt:
1.
Ist Art. 2 Buchstabe a der Richtlinie 95/46/[X.] des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum
Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ([X.]. [X.] 1995, [X.]) -
[X.]
-
dahin auszulegen, dass eine [X.] (IP-Adresse), die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine [X.]seite spei-chert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn ein Dritter
(hier: [X.])
über das zur Identifizierung der betroffenen
Person erforderliche Zusatzwis-sen verfügt?
2.
Steht
Art. 7 Buchstabe f der [X.] einer
Vor-schrift des nationalen Rechts
entgegen, wonach
der Dienste-anbieter personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben und verwenden darf, soweit dies er-forderlich ist, um die konkrete
Inanspruchnahme des Telemedi-ums
durch den jeweiligen Nutzer zu ermöglichen und abzu--
3
-

rechnen,
und wonach der Zweck, die
generelle
Funktionsfähig-keit des
[X.]
zu gewährleisten, die Verwendung nicht über das Ende des jeweiligen Nutzungsvorgangs
hinaus [X.] kann?

Gründe:
A.
Der Kläger macht gegen die beklagte [X.] einen Unterlassungsanspruch wegen der Speicherung von [X.]n (im Folgenden: IP-Adressen) geltend. IP-Adressen sind Ziffernfolgen,
die ver-netzten Computern zugewiesen werden, um deren Kommunikation im [X.] zu ermöglichen. Beim Abruf einer [X.]seite wird die IP-Adresse des abru-fenden Computers an den Server übermittelt, auf dem die abgerufene Seite gespeichert ist. Dies ist erforderlich, um die abgerufenen Daten an den richtigen Empfänger zu übertragen.

Zahlreiche Einrichtungen des [X.] betreiben allgemein zugängliche [X.]portale, auf denen sie aktuelle
Informationen bereitstellen. Mit dem Ziel,
Angriffe abzuwehren und die strafrechtliche Verfolgung von Angreifern zu er-möglichen, werden bei den meisten dieser Portale alle
Zugriffe
in Protokollda-teien festgehalten. Darin werden jeweils der Name der abgerufenen Datei bzw. Seite, in Suchfelder eingegebene Begriffe, der [X.]punkt des Abrufs, die über-tragene Datenmenge, die Meldung, ob der Abruf erfolgreich war, und die IP-1
2
-
4
-

Adresse des zugreifenden Rechners über das Ende des jeweiligen Nutzungs-vorgangs hinaus gespeichert.
Der Kläger rief in der Vergangenheit verschiedene solcher [X.]seiten auf. Mit seiner Klage begehrt er, die [X.] zu verurteilen, es zu unterlassen, die IP-Adresse des zugreifenden Hostsystems des [X.], die im [X.] mit der Nutzung öffentlich zugänglicher Telemedien der [X.]n im In-ternet -
mit Ausnahme eines bestimmten Portals, für das der Kläger bereits ei-nen Unterlassungstitel erwirkt
hat
-
übertragen wird, über das Ende des [X.] hinaus zu speichern oder durch Dritte speichern zu [X.], soweit die Speicherung nicht im Störungsfall zur Wiederherstellung der Verfügbarkeit des [X.] erforderlich ist. Das Amtsgericht hat die Klage abgewiesen. Auf die Berufung des [X.] hat das Berufungsgericht
das erstin-stanzliche Urteil
unter Zurückweisung des weitergehenden Rechtsmittels teil-weise abgeändert und die [X.] verurteilt, es zu unterlassen, die IP-Adresse des zugreifenden Hostsystems des [X.], die im Zusammenhang mit der Nutzung öffentlich zugänglicher Telemedien der [X.]n im [X.] -
mit Ausnahme eines [X.]portals
-
übertragen wird, in Verbindung mit dem [X.]-punkt des jeweiligen Nutzungsvorgangs über das Ende des jeweiligen [X.] hinaus zu speichern oder durch Dritte speichern zu lassen, so-fern der Kläger
während eines Nutzungsvorgangs
seine Personalien, auch in Form einer die Personalien ausweisenden E-Mail-Anschrift, angibt und soweit die Speicherung nicht im Störungsfall zur Wiederherstellung der Verfügbarkeit des [X.] erforderlich ist.
Gegen dieses Urteil haben beide Parteien die vom Berufungsgericht zu-gelassene Revision eingelegt. Der Kläger begehrt die Verurteilung der [X.] ohne die vom Berufungsgericht ausgesprochenen Beschränkungen. Mit der 3
4
-
5
-

Revision verfolgt die [X.] ihren Antrag auf vollständige Klageabweisung weiter.

B.
Die für die Entscheidung des Rechtsstreits maßgebenden Bestimmun-gen des [X.] Rechts lauten:
§ 12 Telemediengesetz ([X.])
(1) Der Diensteanbieter darf personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es [X.] oder der Nutzer eingewilligt hat.
(2) Der Diensteanbieter darf für die Bereitstellung von [X.] personenbezogene Daten für andere Zwecke nur verwenden, soweit die-ses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf [X.] bezieht, es erlaubt oder der Nutzer eingewilligt hat.
(3) Soweit nichts anderes bestimmt ist, sind die jeweils geltenden [X.] für den Schutz personenbezogener Daten anzuwenden, auch wenn die Daten nicht automatisiert verarbeitet werden.
§ 15
Telemediengesetz ([X.])

(1) Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen ([X.]). Nutzungs-daten sind insbesondere
5
6
7
8
9
-
6
-

1. Merkmale zur Identifikation des Nutzers,
2. Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung

und
3. Angaben über die vom Nutzer in Anspruch genommenen Telemedien.
(2) Der Diensteanbieter darf [X.] eines Nutzers über die Inan-spruchnahme verschiedener Telemedien zusammenführen, soweit dies für [X.] mit dem Nutzer erforderlich ist.
(3) Der Diensteanbieter darf für Zwecke der Werbung, der Marktfor-schung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht wi-derspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach §
13 Abs.
1 hinzuweisen. Diese Nutzungsprofi-le dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.
(4) Der Diensteanbieter darf [X.] über das Ende des [X.] hinaus verwenden, soweit sie für Zwecke der Abrechnung mit dem Nutzer erforderlich sind (Abrechnungsdaten). Zur Erfüllung bestehender gesetzlicher, satzungsmäßiger oder vertraglicher Aufbewahrungsfristen darf der Diensteanbieter die Daten sperren.
...
§ 3 [X.]datenschutzgesetz ([X.])
(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).
...
10
11
12
13
-
7
-

C.
Das Berufungsgericht, dessen Urteil unter anderem in [X.], 618 ver-öffentlicht ist, hat im Wesentlichen ausgeführt,
analog §
1004 Abs.
1 Satz 2 BGB und gemäß §
823 BGB, Art.
1 Abs.
1, Art.
2 Abs.
1 GG, §
4 Abs.
1 [X.], §
12 Abs.
1 [X.]
bestehe der geltend gemachte Unterlassungsanspruch
nur insoweit,
als er Speicherungen von IP-Adressen in Verbindung mit dem [X.]-punkt des jeweiligen Nutzungsvorgangs betreffe und der Kläger während eines Nutzungsvorgangs seine Personalien angebe.

In diesem Fall sei die dynamische IP-Adresse
des [X.]
in Verbindung mit dem [X.]punkt des Nutzungsvorgangs ein personenbezogenes Datum. Die dazu erforderliche Bestimmbarkeit des Betroffenen sei relativ zu verstehen. Die Bestimmung der Person müsse gerade für die verarbeitende
Stelle technisch und rechtlich möglich sein
und dürfe keinen Aufwand erfordern, der außer [X.] zu dem Nutzen der Information für diese Stelle stehe. Danach
sei in [X.], in denen der Nutzer seinen Klarnamen offen lege, ein Personenbezug [X.] IP-Adressen zu bejahen, weil die [X.] den Klarnamen mit der IP-Adresse verknüpfen
könne.
Die
Verwendung des Datums über das Ende des [X.] sei nach §
12 Abs.
1 [X.] unzulässig, da nicht von einer Einwilligung des [X.] auszugehen sei und ein Erlaubnistatbestand
nicht vorliege. §
15 Abs.
1 [X.]
greife jedenfalls deshalb nicht, weil die Speicherung der IP-Adresse über das Ende des Nutzungsvorgangs hinaus für die Ermöglichung des Angebots
(für den jeweiligen Nutzer)
nicht erforderlich sei. Der Begriff der Erforderlichkeit sei eng auszulegen und umfasse nicht den sicheren Betrieb der Seite. [X.] wäre die von der [X.]regierung zunächst beabsichtigte Einführung eines Erlaubnistatbestandes zwecks Abwehr von Angriffen zum Schutz der Systeme nicht erforderlich
gewesen. §
5 [X.] sei nicht einschlägig, da die [X.] die 14
15
16
-
8
-

[X.]seiten nicht betreibe, um den Nutzern zur Kommunikation mit den [X.] Behörden zu dienen.
Ein weitergehender Unterlassungsanspruch bestehe nicht. Soweit der Kläger seinen Klarnamen nicht angebe, könne nur der [X.] die IP-Adresse einem bestimmten [X.]inhaber zuordnen. In den Händen der [X.]n sei die IP-Adresse hingegen -
auch in Verbindung mit dem [X.]punkt des Zugriffs
-
kein personenbezogenes Datum, weil der [X.]inhaber
bzw. Nutzer für die [X.]
nicht bestimmbar sei. Maßgeblich sei, dass der [X.] die IP-Adressen nur für einen begrenzten [X.]raum speichern und nur in bestimmten Fällen an Dritte übermitteln
dürfe. Dass die [X.] im Zusammenhang mit einem strafrechtlichen Ermittlungsverfahren oder der [X.] von Urheberrechtsverletzungen unter bestimmten Voraussetzungen an die für die Herstellung des [X.] erforderlichen Informationen ge-langen könnte, sei unerheblich, weil das Interesse an
der Verfolgung von Straf-taten und Urheberrechtsverletzungen das Persönlichkeitsrecht des Betroffenen regelmäßig überwiege.
Es komme auch nicht auf die theoretische Möglichkeit an, dass der
[X.]
der [X.]n unbefugt Auskunft erteile. Denn eine
illegale Handlung könne nicht als normalerweise und ohne großen Auf-wand durchzuführende Methode angesehen werden.

D.
Gemäß Art.
267 Abs.
1 Buchstabe b und Abs.
3 AEUV ist von Amts we-gen eine Vorabentscheidung des Gerichtshofs der [X.] über die Auslegung des Art.
2 Buchstabe a und des Art.
7 Buchstabe f der Richtlinie 95/46/[X.] des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Da-17
18
-
9
-

ten und zum freien Datenverkehr ([X.]. [X.] 1995, [X.]) -
[X.]
-
einzuholen, da davon der Erfolg bzw. Misserfolg der Revisionen
der Parteien
abhängt.

Der Kläger könnte von der
[X.]n beanspruchen,
es zu unterlassen, die
für den
Abruf ihrer [X.]seiten durch den Kläger übermittelten IP-Adressen in Verbindung mit der [X.] des jeweiligen Abrufs
über das Ende des jeweiligen Nutzungsvorgangs hinaus zu speichern oder durch Dritte speichern zu lassen
(mit Ausnahme eines Störfalles zur Wiederherstellung der Verfügbar-keit des [X.]). Das setzt voraus, dass
es sich bei dem Speichern der (hier allein in Frage stehenden
dynamischen) IP-Adresse um einen nach
dem Datenschutzrecht unzulässigen
Eingriff in das allgemeine Persönlichkeitsrecht -
in seiner Ausprägung als Recht auf informationelle
Selbstbestimmung
-
des [X.] handelte (§
1004 Abs.
1, §
823 Abs.
1 BGB i. V. mit Artt.
1 und 2 GG). Davon wäre auszugehen, wenn die IP-Adresse -
jedenfalls zusammen mit dem [X.]punkt des Zugriffs auf eine [X.]seite
-
zu den "personenbezogenen [X.]"
im Sinne von Art. 2 Buchstabe a in Verbindung mit Erwägungsgrund 26
Satz 2 der [X.] bzw. §
12 Abs.
1 und 3 [X.]
i. V. mit §
3
Abs.
1
[X.] zählte ([X.])
und ein Erlaubnistatbestand im Sinne von Art.
7 Buch-stabe f der [X.]
bzw.
§
12 Abs.
1 und 3, §
15 Abs.
1 und 4 [X.] nicht vorläge
(I[X.]).
[X.] Zur Vorlagefrage I[X.] 1.
1. Nach §
12 Abs.
1 [X.] darf
"o-gene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat."
Diese Vor-schrift ist anwendbar, da die in Rede stehenden Portale als Telemedien (§
1 19
20
21
-
10
-

Abs.
1 Satz 1 [X.]), die [X.] als Diensteanbieter (§
2 Satz 1 Nr.
1 [X.]) und der Kläger als Nutzer (§
11 Abs.
2 [X.]) anzusehen sind.
2. Personenbezogene Daten sind nach der auch für das Telemedienge-setz maßgeblichen (KG, [X.], 418; [X.] in [X.]/Gabel, [X.],
2.
Aufl., §
12 [X.]
Rn.
5) Legaldefinition in §
3 Abs.
1 [X.] "Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimm-baren natürlichen Person
(Betroffener)."
Die von der [X.]n gespeicherten dynamischen IP-Adressen sind
jedenfalls im Kontext mit den weiteren in den Protokolldateien gespeicherten Daten als Einzelangaben über sachliche [X.]se anzusehen, da die Daten
Aufschluss darüber
gaben, dass zu be-stimmten [X.]punkten bestimmte Seiten bzw. Dateien über das [X.] abgeru-fen wurden
(vgl. [X.]/[X.], [X.], 8.
Aufl., §
3 Rn.
10; [X.], [X.], 547, 548). Diese sachlichen Verhältnisse
waren solche des [X.]; denn er war Inhaber des [X.]es, dem die IP-Adressen zugewiesen waren (vgl. [X.], Urteil vom 12. Mai 2010 -
I [X.], [X.]Z 185, 330 Rn.
15),
und
hat die [X.]seiten im Übrigen auch
selbst aufgerufen. Da die
gespeicherten [X.]
aber
aus sich heraus keinen unmittelbaren Rückschluss
auf die Identität des [X.] zuließen, war
dieser nicht "bestimmt"
im
Sinne des §
3 Abs.
1 [X.] (vgl. [X.] in [X.], BeckRTD-Komm., §
11 [X.] Rn.
22; [X.]/Schomerus, [X.], 11.
Aufl., §
3 Rn.
10). Für den
Personenbezug kommt es deshalb darauf an, ob er
"bestimmbar"
war.

a) Die Bestimmbarkeit einer Person setzt voraus, dass grundsätzlich die Möglichkeit besteht, ihre Identität festzustellen
([X.] in [X.]/Gabel, [X.],
2.
Aufl., §
3 Rn.
11; [X.]/[X.] in [X.], [X.], §
3 Rn.
13). Um-stritten ist, ob bei der Prüfung der Bestimmbarkeit ein objektiver oder ein relati-ver Maßstab anzulegen ist.
22
23
-
11
-

aa) Nach einer Auffassung kommt es auf die individuellen Verhältnisse der verantwortlichen Stelle
nicht an (so etwa [X.], [X.], 286, 289; dies.,
[X.], 34 ff.; [X.], [X.], 345, 346; [X.], Datenschutz
im
[X.], [X.]. 3 Rn. 153, 174
f.; ähnlich [X.] in Däub-ler/[X.]/[X.]/ders., [X.], 4.
Aufl., §
3 Rn.
13, 15; vgl. auch [X.] BVG, Urteil vom 27. Mai 2009 -
A-3144/2008
-
BeckRS 2009, 22471 unter [X.]). Danach kann ein Personenbezug auch dann
anzunehmen sein, wenn ausschließlich ein Dritter in der Lage ist, die Identität des Betroffenen festzustel-len.
bb) Die
überwiegende Auffassung vertritt
demgegenüber einen relativen Ansatz.
Ein Personenbezug ist danach zu verneinen, wenn die Bestimmung
des Betroffenen gerade für die verantwortliche Stelle mit einem unverhältnis-mäßigen Aufwand an [X.], Kosten und Arbeitskraft verbunden ist, so dass das Risiko einer Identifizierung als praktisch irrelevant erscheint. Dies wird, da das Gesetz die Begriffe des [X.] und des [X.] verwendet, aus §
3 Abs.
6 [X.] hergeleitet ([X.]/[X.], [X.],
8.
Aufl., §
3 Rn.
23, 196; [X.] in [X.]/[X.]/[X.]/ders., [X.], 4.
Aufl., §
3 Rn.
13; [X.] in: [X.]/Gabel, [X.], 2.
Aufl., §
12 [X.] Rn.
8; [X.], [X.], 625). Dies könnte bei einer entsprechenden Auslegung in [X.] stehen mit der [X.], nach deren Erwägungsgrund 26 bei der Beurteilung der Bestimmbarkeit alle Mittel berücksichtigt werden sollten, die "vernünftigerweise" eingesetzt werden könnten, um die betreffende Person zu bestimmen ([X.], WP 136 S.
15, www.ec.europa.eu/justice/data-protection/article-29; [X.] in [X.]/Gabel, aaO, §
3 [X.] Rn.
12; [X.]/[X.], aaO Rn.
24).
cc) Stellte
man mit dem relativen Ansatz auf die Kenntnisse, Mittel und Möglichkeiten der die IP-Adressen speichernden Stelle
ab, könnten dieselben 24
25
26
-
12
-

Daten für eine Stelle -
etwa für den [X.] (vgl. [X.], [X.]. 2011,
[X.] Rn.
51 -
Scarlet Extended) -
personenbezogen und für eine andere Stelle
-
etwa für den Anbieter einer [X.]seite (hier: die [X.]) -
nicht per-sonenbezogen sein (so etwa [X.], [X.], 687, 689; LG Wup-pertal, [X.], 838, 839; [X.], [X.], 767 m. zust. [X.]. Eck-hardt;
ders., [X.], 339, 342 ff.; [X.], [X.], 8, 10 ff.; Krü-ger/Maucher, [X.], 433, 436 ff.; [X.]/[X.], [X.], 8.
Aufl., §
3 Rn.
32 f.; [X.]/[X.] in [X.], [X.], §
3 Rn.
14 f.; [X.]/Schomerus, [X.], 11.
Aufl., §
3 Rn.
10; [X.]/[X.]/Herb, Datenschutzrecht, §
3 [X.] Rn.
32 [Stand: Januar 2012];
[X.]/[X.] in [X.]/[X.], Recht der elektronischen Medien, 2.
Aufl., §
11 [X.] Rn.
5b; [X.] in: [X.]/Gabel, [X.], 2.
Aufl., §
12 [X.] Rn.
8; [X.] in [X.], BeckRTD-Komm., §
11 [X.] Rn.
23; [X.]/[X.], ebd., §
12 [X.] Rn.
44; Müller-Broich, [X.], §
11 Rn.
5; [X.] in [X.][X.]/[X.], [X.].
[X.], [X.].
16.2 Rn.
76
[Stand: Dezember 2009]; Härting, [X.]recht, 5.
Aufl., [X.]. B Rn.
276).
b) Für die Auslegung des nationalen Rechts (§
12 Abs.
1 [X.]) ist maß-gebend, wie der Personenbezug
in Art.
2 Buchstabe a der -
diesen Bereich be-treffenden
-
[X.] zu verstehen
ist.
aa) Der Wortlaut der Richtlinienbestimmung scheint nicht
eindeutig zu sein. Nach dem Erwägungsgrund 26 Satz 2 der Richtlinie
sollen
bei der Ent-scheidung, ob eine Person bestimmbar ist, auch Mittel berücksichtigt werden, die "von einem [X.]" eingesetzt werden könnten, um die betreffende Person zu bestimmen. Das könnte so zu verstehen sein, dass der Personenbezug auch für einen Verantwortlichen, der eine Information lediglich speichert, schon dann zu bejahen ist, wenn ausschließlich ein Dritter, läge diesem die Information vor, den Betroffenen ohne unverhältnismäßigen Aufwand identifizieren könnte; je-27
28
-
13
-

denfalls könnte ein Personenbezug dann anzunehmen sein, wenn vernünf-tigerweise nicht auszuschließen ist, dass die Information zukünftig an den [X.] übermittelt wird (vgl. [X.], [X.], 34, 38; [X.], [X.], 547, 550 f.). Andererseits könnte
ein solches Verständnis des [X.] nicht zwingend
sein. Berücksichtigt man bei der Beurteilung der Bestimm-barkeit nur
Mittel, die "vernünftigerweise" eingesetzt werden könnten, um die betreffende Person zu bestimmen ([X.], WP 136 S.
15, www.ec.europa.eu/justice/data-protection/article-29; [X.] in Tae-ger/Gabel, [X.], 2.
Aufl., §
3 [X.] Rn.
12; [X.]/[X.], [X.], 8.
Aufl., §
3
Rn.
24), wäre auch ein relatives Verständnis der Bestimmbarkeit und damit des [X.] möglich.
3. Die Frage ist
im Streitfall entscheidungserheblich.
a) Folgt man
dem objektiven Ansatz, so waren
die dem [X.] des [X.]
zugewiesenen
und von der [X.]n gespeicherten
dynamischen
IP-Adressen
auch über das Ende der einzelnen Nutzungsvorgänge
hinaus perso-nenbezogen. Denn das Berufungsgericht hat angenommen, dass der [X.] des [X.] die für dessen Identifizierung anhand der IP-Adressen
erforderlichen Daten über das Ende der einzelnen [X.]verbindun-gen
hinaus gespeichert hat (zur Befugnis des Anbieters vgl. [X.], Urteile vom 13. Januar 2011 -
III ZR 146/10, NJW 2011, 1509 und vom 3. Juli 2014 -
VI [X.], NJW 2014, 2500). Mit diesem Zusatzwissen
hätten die von der [X.] gespeicherten Daten ohne unverhältnismäßigen Aufwand dem Kläger als [X.]inhaber zugeordnet werden können.
b) Folgt man demgegenüber dem relativen Ansatz, so ist der [X.] im Streitfall zu verneinen. Denn
die Stellen der [X.]n, die die IP-Adressen des [X.] gespeichert haben, hätten den Kläger
nicht ohne unver-hältnismäßigen Aufwand identifizieren
können.
Nach den getroffenen Feststel-29
30
31
-
14
-

lungen ist davon auszugehen, dass ihnen -
die Nichtangabe der Personalien vorausgesetzt
-
keine Informationen vorlagen, die dies ermöglicht hätten. [X.] als es bei statischen IP-Adressen der Fall sein kann, lässt sich die [X.] dynamischer IP-Adressen zu bestimmten Anschlüssen keiner allgemein zugänglichen Datei entnehmen ([X.], [X.], 478, 480).
c) Der [X.] des [X.] durfte den Stellen der [X.]n, welche die IP-Adressen speichern
(sog. verantwortliche Stellen), keine Auskunft über dessen Identität erteilen, weil es dafür keine gesetzliche Grundlage
gibt
(§
95 Abs.
1 Satz 3 TKG). Alleine die Befugnisse der zuständigen Stellen nach §
113 TKG (etwa die Staatsanwaltschaft im Rahmen eines Ermittlungsverfah-rens) rechtfertigen es noch nicht, die auf Grund dieser Befugnisse beschaffba-ren Informationen auch für andere staatliche Stellen
(etwa die Stellen der [X.], welche die IP-Adressen speichern), an die diese Informationen nicht weitergegeben werden dürfen, als zugänglich anzusehen. Illegale
Handlungen können -
erst recht bei staatlichen
Stellen
-
nicht als Mittel der Informationsbe-schaffung angesehen werden.

I[X.] Zur Vorlagefrage I[X.] 2.
Wäre davon auszugehen, dass es sich bei der IP-Adresse im [X.] mit den Daten des Zugriffs um
personenbezogene Daten handelte, wäre die Speicherung über den Zugriff hinaus nach §
12 Abs.
1
[X.] nur zuläs-sig,
soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrück-lich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. Eine solche Einwilligung liegt hier nicht vor. Es kommt aber eine Erlaubnis nach §
15 Abs.
1 [X.] in Betracht. Auch insoweit ist eine Vorabentscheidung des [X.] der [X.] über die Auslegung des Art.
7 Buchstabe f der [X.] einzuholen.
32
33
34
-
15
-

1. Nach §
15 Abs.
1 [X.] darf der Diensteanbieter personenbezogene Daten
eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen ([X.]). [X.] sind dabei insbesondere Merkmale zur Identi-fikation des Nutzers, Angaben über Beginn
und Ende sowie des Umfangs der jeweiligen Nutzung und Angaben über die vom Nutzer in Anspruch genomme-nen Telemedien.
a) Für die rechtliche Prüfung ist nach dem Vortrag der [X.]n davon auszugehen, dass
die Speicherung der IP-Adressen zur Gewährleistung und Aufrechterhaltung der Sicherheit und Funktionsfähigkeit ihrer Telemedien erfor-derlich
ist. Dies gilt
insbesondere für die Erkennung und Abwehr häufig auftre-tender "[X.], bei denen die [X.] durch ge-zieltes und koordiniertes Fluten einzelner Webserver mit einer Vielzahl von [X.] lahm gelegt wird.
b) Fraglich ist, ob dadurch die Voraussetzungen des §
15 Abs.
1 [X.]
er-füllt sein können. Eine solche Auslegung wäre mit dem Wortlaut der Vorschrift vereinbar. Denn die behaupteten "[X.] führen dazu, dass das [X.] nicht mehr erreichbar und seine Inanspruchnahme somit nicht mehr möglich ist. Wenn und soweit Maßnahmen des Diensteanbieters erforderlich sind, um solche Angriffe abzuwehren, könnten die Maßnahmen deshalb als erforderlich angesehen werden, "um die Inanspruchnahme von [X.] zu ermöglichen" (vgl. [X.]/[X.], [X.], 626, 627).
c) In der Literatur wird allerdings überwiegend die Auffassung vertreten, dass die Datenerhebung und -verwendung
nur erlaubt ist, um
ein konkretes Nutzungsverhältnis zu ermöglichen und die Daten, soweit sie nicht für Abrech-nungszwecke benötigt werden, mit dem Ende des jeweiligen Nutzungsvorgangs zu löschen sind. Dafür spricht insbesondere §
15
Abs.
4 Satz 1 [X.], der eine 35
36
37
38
-
16
-

Verwendung der Daten zu Abrechnungszwecken auch über das Ende des [X.] hinaus ausdrücklich erlaubt und der im Fall einer weiten Ausle-gung des §
15 Abs.
1 [X.] nur klarstellende Bedeutung hätte (vgl. Zscherpe in [X.]/Gabel, [X.], 2.
Aufl., §
15 [X.] Rn.
32, 40; jurisPK-[X.]recht/[X.], 4.
Aufl., [X.].
9 Rn.
362; [X.] in Ho-eren/[X.]/[X.], [X.]. [X.], [X.].
16.2 Rn.
204 [Stand: [X.]]). Dieses Verständnis des §
15 Abs.
1 [X.] würde einer
Erlaubnis zur Speicherung der IP-Adressen zur (generellen) Gewährleistung und [X.] der Sicherheit und Funktionsfähigkeit von Telemedien
entge-genstehen.
2. Da für das Verständnis des §
15 Abs.
1 [X.] der diesen Bereich re-gelnde Art.
7 Buchstabe f der [X.]
maßgebend ist, stellt sich die Frage, wie diese Richtlinienbestimmung
auszulegen ist.
a) Nach Art.
7 Buchstabe f der [X.] ist die Verarbei-tung personenbezogener Daten rechtmäßig, wenn sie
erforderlich
ist zur [X.], das von dem für die Verarbeitung Ver-antwortlichen oder von dem bzw. den [X.] wahrgenommen wird, denen die Daten übermittelt werden, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person, die gemäß Art.
1 Abs.
1 der Richtlinie geschützt sind, überwiegen. Nach dem Urteil des [X.] vom 24. November 2011 in Sachen [X.] und [X.]
([X.]. 2011, [X.] Rn.
29 ff.) führt die [X.] zu einer grundsätzlich umfassenden Harmonisierung
der nationalen Rechtsvorschriften. Deshalb steht Art.
7 Buch-stabe f der [X.] hinsichtlich der Verarbeitung personenbezo-gener Daten jeder nationalen Regelung entgegen, die bei Fehlen der Einwilli-gung der betroffenen Person neben den beiden in der Vorschrift genannten kumulativen Voraussetzungen zusätzliche Erfordernisse aufstellt. Zwar dürfen 39
40
-
17
-

die Mitgliedstaaten in der Ausübung ihres Ermessens gemäß
Art.
5 der [X.] Leitlinien für die geforderte Abwägung aufstellen. Eine [X.] Regelung darf jedoch nicht die Verarbeitung bestimmter Kategorien perso-nenbezogener Daten ausschließen,
indem sie für diese Kategorien das Ergeb-nis der Abwägung abschließend vorschreibt, ohne Raum für ein Ergebnis zu lassen, das auf Grund besonderer Umstände des Einzelfalls anders ausfällt
([X.], aaO).

b) Nach diesen Maßstäben könnte das vom Berufungsgericht befürwor-tete enge Verständnis des §
15 Abs.
1 [X.] nicht in Einklang mit Art.
7 Buch-stabe f der
[X.]
stehen ([X.], [X.], 115, 118; vgl. auch [X.]/[X.], [X.], 626, 627
und
[X.], Urteil vom 4. Juni 2013 -
1
StR 32/13, [X.]St 58, 268 Rn.
70 ff.). Denn nach dieser Auslegung dürfte der Diensteanbieter personenbezogene Daten des Nutzers ohne dessen Einwilligung über das Ende des jeweiligen Nutzungsvorgangs hinaus nur zu einem bestimmten Zweck, nämlich dem der Abrechnung, verwenden; für ande-re
Zwecke
dürften die Daten nach Ende des Nutzungsvorgangs unabhängig von einer Abwägung der im Einzelfall berührten Interessen
nicht verwendet werden.
c) Danach stellt sich die Frage, ob §
15 Abs.
1 [X.] richtlinienkonform dahin
ausgelegt werden
muss, dass
auch der von dem Diensteanbieter [X.], die Funktionsfähigkeit des [X.]
zu gewährleisten,
die [X.] personenbezogener Daten des Nutzers auch über das Ende des je-weiligen Nutzungsvorgangs hinaus
rechtfertigen kann, wenn, soweit und solan-ge die Verwendung zu diesem Zweck erforderlich ist.
3. Die Frage ist auch entscheidungserheblich.
41
42
43
-
18
-

Wenn nach der Entscheidung des Gerichtshofs zu Art.
2 Buchstabe
a der [X.] der Personenbezug der gespeicherten IP-Adressen zu bejahen
sein sollte, könnte der Anspruch des [X.]
gleichwohl
entfallen, wenn der Erlaubnistatbestand des §
15 Abs.
1 [X.]
-
bei einem von der [X.] geforderten weiteren Verständnis
-
eingriffe.

Galke
[X.]
[X.]

Offenloch
Oehler

Vorinstanzen:
[X.], Entscheidung vom 13.08.2008 -
2 C 6/08 -

LG [X.], Entscheidung vom 31.01.2013 -
57 [X.]/08 -

44