Das Schweizerische Logistep-Urteil im Volltext: Warum IP-Adressen Personendaten sind - und ob das auch in Deutschland gilt

Schade, dass Schweizer Richter nicht auch hierzulande Recht sprechen können:

Das Schweizerische Bundesgericht (BGer) hat heute die Begründung des LogiStep-Urteils veröffentlicht, in dem dem Unternehmen untersagt wird, IP-Adressen zu sammeln, um diese später abmahnen zu lassen. IP-Adressen  unterfielen als Personendaten dem Bundesgesetz über den Datenschutz (DSG). Wenn private Unternehmen IP-Adressen in P2P-Netzwerken sammelten, seien damit die Grundsätze der Erkennbarkeit und der Zweckbindung verletzt. Hierfür stehe Logistep jedoch kein Rechtfertigungsgrund zur Seite - das Sammeln verstoße damit gegen das DSG.

Ich möchte hinzufügen: Ich kenne mich im Schweizer Recht nicht aus. Aber das, was das Gericht in Sachen Personenbezogenheit der IP-Adresse sagt, könnte auch in Deutschland gelten:

"[3.2] Personendaten (bzw. "Daten" im Sinne des Datenschutzgesetzes) sind alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen (Art. 3 lit. a DSG). [...] Eine Person ist dann bestimmt, wenn sich aus der Information selbst ergibt, dass es sich genau um diese Person handelt. Bestimmbar ist die Person, wenn aufgrund zusätzlicher Informationen auf sie geschlossen werden kann. Für die Bestimmbarkeit genügt jedoch nicht jede theoretische Möglichkeit der Identifizierung. Ist der Aufwand derart gross, dass nach der allgemeinen Lebenserfahrung nicht damit gerechnet werden muss, dass ein Interessent diesen auf sich nehmen wird, liegt keine Bestimmbarkeit vor [...]


[3.5] [...] Für den vorliegenden Fall ist die Bestimmbarkeit der betroffenen Personen grundsätzlich zu bejahen. Auf ihr beruht ganz eigentlich das Geschäftsmodell der Beschwerdegegnerin [das ist Logistep, AnmdRed]. Diese zeichnet nach eigenen Angaben dynamische IP-Adressen möglicher Urheberrechtsverletzer sowie weitere Daten auf, welche sie den Rechteinhabern weitergibt. Die Rechteinhaber ihrerseits können durch Strafanzeige auf die Einleitung eines Strafverfahrens hinwirken, um in dessen Rahmen Akteneinsicht zu nehmen und so den P2P-Teilnehmer ausfindig zu machen, welcher das urheberrechtlich geschützte Werk unrechtmässig angeboten hat [...] Wohl ist davon auszugehen, dass in vielen Fällen der Urheberrechtsverletzer nicht ausfindig gemacht werden kann, so insbesondere dann, wenn verschiedene Personen zu einem Computer oder einem Netzwerk Zugang haben. Es ist jedoch ausreichend, dass die Bestimmbarkeit in Bezug auf einen Teil der von der Beschwerdegegnerin gespeicherten Informationen gegeben ist."

Also selbst dann, wenn man den - in Deutschland aufgrund des nunmehr eingeführten urheberrechtlichen Auskunftsanspruchs nicht mehr nötigen - umständlichen Weg der staatsanwaltlichen Ermittlung der Adressdaten gehen und damit Aufwand betreiben muss, liegt dennoch eine Bestimmbarkeit der Person vor. Mich begeisterte der Hinweis auf das genau darauf abzielende Geschäftsmodell der Logging-Firma und der Schluss, dass das dann doch nicht so aufwändig sein kann, wie immer geschrieben wird.

Für den deutschen Rechtsraum interessant könnte dann auch der folgende Absatz in dem Urteil sein, der auf die europäische Ebene abzielt:

"[3.6] Diese Auslegung des Datenschutzgesetzes scheint im Übrigen in Einklang mit der Rechtslage in der Europäischen Union zu stehen. [...] Das unabhängige EU-Beratungsgremium für Datenschutzfragen stuft IP-Adressen als Daten ein, die sich auf eine bestimmbare Person beziehen. Internet-Zugangsanbieter und Verwalter von lokalen Netzwerken könnten ohne grossen Aufwand Internetnutzer identifizieren [...] Dasselbe lasse sich von den Internet-Dienstanbietern sagen, die in ihren HTTP-Servern Protokolle führen würden. In diesen Fällen bestehe kein Zweifel, dass man von personenbezogenen Daten im Sinne von Art. 2 lit. a der Richtlinie 95/46/EG reden könne (Stellungnahme S. 19 f.; «http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm» unter Documents adopted/2007 [besucht am 3. November 2010])."

 Mal sehen, ob die Gerichte sich auf diese Schiene einlassen werden, nachdem das Oberlandesgericht Hamburg in ihrem Beschluss mit Aktenzeichen 5 W 126/10 noch am 03.11.2010 geschrieben hatte:

"... für den hier angerufenen Senat bestehen keine Anhaltspunkte dafür, dass ein Beweisverwertungsverbot vorliegen könnte, nur weil zwischenzeitlich ein Schweizerisches Bundesgericht die Tätigkeit des Dienstleisters L. nach dortigem Recht als datenschutzwidrig beurteilt hat. Für die rechtliche Bewertung, ob ein Beweisverwertungsverbot hinsichtlich der durch die Firma L. ermittelten IP-Adressen vorliegt, ist allein auf inländisches Recht abzustellen."

Zuletzt noch ein Schmankerl: Das Gericht weist darauf hin, dass eine Weitergabe von Daten durch die Logistep AG nicht mehr erlaubt sei:

"Die Beschwerdegegnerin wird angewiesen, jede Datenbearbeitung im Bereich des Urheberrechts einzustellen, und es wird ihr untersagt, die bereits beschafften Daten den betroffenen Urheberrechtsinhabern weiterzuleiten."

Wenn ich das richtig lese (aber ich bin ja kein Schweizer Jurist), darf die Logistep AG also, zumindest solange sie ihre Tätigkeit im Geltungsbereich des Schweizer Urteils ausübt, keine Daten beispielsweise an Rechteinhaber oder Anwaltskanzleien weiterleiten. Ich bin mir nicht sicher, welche Sanktionen es haben könnte, wenn dagegen verstoßen wird. Oder wo man einen solchen Verstoß melden könnte. Vielleicht bei der Datenschutzbehörde? Ggf. kann der unten stehende Kollege hier weiter helfen...

Links: 

• Das Logistep-Urteil des Schweizerischen Bundesgerichts vom 08.09.2010, Aktenzeichen: 1 C 285/2009 im Wortlaut.
• Dank an Herrn Kollegen Stephan Jau der Advokatur Hubatka & Partner für den Hinweis.

• Twittere diesen Artikel
• Empfehle diesen Artikel bei del.icio.us
• Empfehle diesen Artikel bei Facebook
• Empfehle diesen Artikel bei Technorati
• Digg this!
• Füge diesen Artikel den Google Bookmarks hinzu
• Empfehle diesen Artikel bei Linkedin
• Empfehle diesen Artikel bei MySpace