Schon wenige Monate später - im Oktober 2014 - hatte sich der BGH mit der seit langer Zeit umstrittenen Frage
zu befassen, ob IP-Adressen auch dann als personenbezogene Daten dem Datenschutzrecht unterfallen, wenn sie
von einem Website-Anbieter gespeichert werden (vgl. 23. TB Nr. 4.3.2).
Anlass der Klage war die Speicherung der IP-Adressen auf den Websites der Bundesrepublik Deutschland. Der
Kläger erachtete dies als unzulässig: Über die Speicherung der IP-Adresse und des Zeitpunkts (Datum und Uhrzeit) des Aufrufs sei eine Identifizierung seiner Person möglich, so dass es sich um eine Speicherung von personenbezogenen Daten handele, für die keine Rechtsgrundlage bestehe. Die Bundesrepublik Deutschland, vertreten durch das auch für das Datenschutzrecht zuständige BMI, hält die Protokollierung der Aufrufe ihrer Websi tes hingegen für zulässig, weil es sich bei IP-Adressen zumindest dann nicht um personenbezogene Daten handele, wenn sie von einem Website-Anbieter erhoben würden. Dieser könne einen Personenbezug selbst nicht
herstellen. Ohnehin sei die Speicherung für Datensicherheitszwecke erforderlich und daher selbst bei Annahme
eines Personenbezugs zulässig. Die Vorinstanzen hatten die Klage abgewiesen, dem Kläger aber auch in einigen
Fragen Recht gegeben.
Der BGH hat am 28. Oktober 2014 (Az. VI ZR 135/13) die Frage der Personenbeziehbarkeit von IP-Adressen
wegen ihrer grundsätzlichen Bedeutung erwartungsgemäß dem Europäischen Gerichtshof vorgelegt. Die mit
Spannung zu erwartende Entscheidung des EuGH zum Personenbezug - dem Schlüsselbegriff des Datenschutzrechts - wird nicht nur für eine einheitliche Auslegung des (noch) geltenden Rechts, sondern auch für die derzeit
in Brüssel diskutierte Reform des europäischen Datenschutzrechts (vgl. oben Nr. 1) von herausragender Bedeutung sein.
8.8.3 Kontrollen im Telekommunikationsbereich - nicht nur gute Erfahrungen
Bei Beratungs- und Kontrollbesuchen festgestellte datenschutzrechtliche Defizite sollten in angemessener Zeit
behoben werden. Leider geschieht dies nicht immer. Wenn selbst Beanstandungen nicht weiterhelfen, muss
mein Sanktionsinstrumentarium erweitert werden.
Bei ca. 3.500 Telekommunikationsanbietern ist eine flächendeckende Überprüfung aller Unternehmen unmöglich. Wie schon in der Vergangenheit habe ich mich deswegen auf einige Anbieter konzentrieren müssen und
dabei vielfach positive Eindrücke gewonnen, auch weil Datenschutz immer mehr als Wettbewerbsvorteil gesehen wird. Neben Licht gibt es aber auch immer Schatten, über den im Folgenden berichtet werden soll.
Er bemühte sich stets
Wirklich viel Geduld benötigte ich gegenüber der E-Plus Service GmbH & Co. KG bei einem Sachverhalt, über
den ich bereits in meinem 23. Tätigkeitsbericht (Nr. 6.3) berichtet habe. Mitte 2009 hatte der Anbieter mich
über Probleme bei der Löschung von Bestandsdaten informiert. Damals ging er von einem Abschluss des Berei nigungsverfahrens im Jahr 2010 aus. In der Folgezeit kam es trotz eines konstanten Bemühens um eine Bereini gung jedoch immer wieder zu Verzögerungen, weil Informationen, etwa über Vertragswechsel oder offene Forderungen, aus verschiedenen Systemen zusammengetragen werden mussten. Nur so war herauszufinden, ob die
Daten eines Kunden überhaupt gelöscht werden können. Die alten Bestandsdaten konnten daher überwiegend
erst Ende 2014 gelöscht werden, der endgültige Abschluss wird erst im Jahr 2015 erfolgen.
Bei der Verarbeitung von Verkehrsdaten, bei der ich ebenfalls Mängel festgestellt hatte, dauern die Bemühun gen allerdings noch länger. Nach aktueller Planung kann mein zusammen mit der Bundesnetzagentur (BNetzA)
entwickelter Leitfaden für eine datenschutzgerechte Speicherung von Verkehrsdaten (vgl. 24. TB Nr. 6.7) erst
Ende 2016 umgesetzt werden - wenn sich dies nicht aufgrund einer Firmenfusion noch weiter verzögert. Da ich
diesen Zeitraum für unangemessen lange halte, habe ich eine Beanstandung gegen die E-Plus Service GmbH &
Co. KG ausgesprochen.
– 150 –
BfDI 25. Tätigkeitsbericht 2013-2014