Kanzlei Dr. Bahr
Navigation
Kategorie: Datenschutzrecht

EuGH: Präzisierung der Anforderungen an eine Vorratsdatenspeicherung

Vorratsspeicherung von IP-Adressen und Zugang zu Identitätsdaten möglich, sofern diese strikt getrennt aufbewahrt werden und der Grundrechte-Eingriff nicht schwerwiegend ist.

Der Gerichtshof präzisiert die Anforderungen an die Modalitäten der Vorratsspeicherung dieser Daten und des Zugangs zu ihnen  

Die Mitgliedstaaten können den Internetzugangsanbietern mit dem Ziel der Bekämpfung von Straftaten im Allgemeinen eine Pflicht zur allgemeinen und unterschiedslosen Vorratsspeicherung von IP-Adressen auferlegen, sofern eine solche Speicherung keine genauen Schlüsse auf das Privatleben der fraglichen Person zulässt. Dafür können Speichermodalitäten sorgen, die eine wirksame strikte Trennung der IP-Adressen und der übrigen Kategorien personenbezogener Daten, insbesondere der Identitätsdaten, gewährleisten.  

Die Mitgliedstaaten können zudem unter bestimmten Bedingungen der zuständigen nationalen Behörde Zugang zu den Identitätsdaten gewähren, die IP-Adressen zuzuordnen sind, sofern eine solche, die strikte Trennung der  verschiedenen Datenkategorien gewährleistende Vorratsspeicherung sichergestellt worden ist.  

Können in atypischen Situationen die Besonderheiten des einen solchen Zugang regelnden nationalen Verfahrens es ermöglichen, durch die Verknüpfung der gesammelten Daten und Informationen genaue Schlüsse auf das  Privatleben der betreffenden Person zu ziehen, muss der Zugang zu ihnen einer vorherigen Kontrolle durch ein  Gericht oder eine unabhängige Verwaltungsstelle unterworfen werden.  

Zum Schutz der Werke, an denen ein Urheberrecht oder ein verwandtes Schutzrecht besteht, vor Rechtsverletzungen im Internet wurden in einem französischen Dekret zwei Verarbeitungen personenbezogener  Daten vorgesehen. Die erste besteht darin, dass Einrichtungen der Rechteinhaber IP-Adressen sammeln, die in Peer-to-Peer-Netzen zur Begehung solcher Rechtsverletzungen genutzt worden zu sein scheinen, und sie der Hohen Behörde für die Verbreitung von Werken und den Schutz von Rechten im Internet (Hadopi)1 zur Verfügung stellen.  Die zweite umfasst u. a. den Abgleich der IP-Adresse mit den Identitätsdaten ihres Inhabers durch die  Internetzugangsanbieter auf Ersuchen der Hadopi. 

Diese Datenverarbeitungen ermöglichen es der Hadopi, gegen die identifizierten Personen ein Verfahren einzuleiten, bei dem pädagogische und repressive Maßnahmen kombiniert werden und das in den gravierendsten Fällen zur Befassung der Staatsanwaltschaft führen kann.  

Vier Vereinigungen zum Schutz der Rechte und Freiheiten im Internet haben den französischen Conseil d’État  (Staatsrat) mit einer Klage auf Nichtigerklärung des fraglichen Dekrets befasst. Dieses Gericht möchte vom  Gerichtshof wissen, ob die genannten Datenverarbeitungen mit dem Unionsrecht vereinbar sind.  

Das Plenum des Gerichtshofs entscheidet, dass die allgemeine und unterschiedslose Vorratsspeicherung von IP- Adressen nicht zwangsläufig einen schweren Eingriff in die Grundrechte darstellt. 

Eine solche Vorratsspeicherung ist zulässig, wenn die nationale Regelung Speichermodalitäten vorschreibt, die eine  wirksame strikte Trennung der verschiedenen Kategorien personenbezogener Daten gewährleisten und es  damit ausschließen, dass genaue Schlüsse auf das Privatleben der betreffenden Person gezogen werden können. 

Der Gerichtshof fügt hinzu, dass das Unionsrecht einer nationalen Regelung nicht entgegensteht, die es gestattet, der zuständigen nationalen Behörde allein zu dem Zweck, eine Person zu identifizieren, die im Verdacht steht, eine  Straftat begangen zu haben, Zugang zu den einer IP-Adresse zuzuordnenden Identitätsdaten zu gewähren, die  von den Internetzugangsanbietern wirksam strikt getrennt auf Vorrat gespeichert wurden. 

Die Mitgliedstaaten  müssen allerdings gewährleisten, dass der Zugang keine genauen Schlüsse auf das Privatleben der Inhaber der  betreffenden IP-Adressen ermöglicht. Dies impliziert, dass es den Bediensteten, die über den Zugang verfügen,  untersagt ist, Informationen über den Inhalt der konsultierten Dateien offenzulegen, die unter den IP-Adressen  besuchten Internetseiten nachzuverfolgen und allgemeiner diese Adressen zu anderen Zwecken als dem der  Identifizierung ihrer Inhaber im Hinblick auf den Erlass etwaiger gegen sie gerichteter Maßnahmen zu nutzen.  

Wenn der Zugang zu Identitätsdaten der Nutzer elektronischer Kommunikationsmittel allein zur Identifizierung des  betreffenden Nutzers dient, ist eine vorherige Kontrolle des Zugangs durch ein Gericht oder eine unabhängige  Verwaltungsstelle nicht erforderlich, sofern der mit dem Zugang verbundene Grundrechtseingriff nicht als  schwerwiegend eingestuft werden kann. 

Diese Kontrolle muss jedoch vorgesehen sein, falls die Besonderheiten  des einen solchen Zugang regelnden nationalen Verfahrens es durch die Verknüpfung der im Lauf der verschiedenen Stufen dieses Verfahrens gesammelten Daten und Informationen ermöglichen können, genaue  Schlüsse auf das Privatleben der betreffenden Person zu ziehen, so dass ein schwerer Eingriff in ihre Grundrechte  vorliegt. In einem solchen Fall muss die Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle vor  einer solchen Verknüpfung erfolgen, unter Wahrung der Effektivität des genannten Verfahrens, das es insbesondere ermöglichen muss, Fälle einer möglichen Wiederholung des fraglichen rechtswidrigen Verhaltens zu ermitteln.  

Urteil des Gerichtshofs in der Rechtssache C-470/21 | La Quadrature du Net u. a. (Personenbezogene  Daten und Bekämpfung der Nachahmung)  

Quelle: Pressemitteilung des EuGH v. 30.04.2024

Rechts-News durch­suchen

15. Januar 2025
Ein DSGVO-Auskunftsrecht besteht unabhängig davon, ob die erhaltenen Daten für andere Zwecke, wie z. B. Klagevorbereitungen, genutzt werden sollen.
ganzen Text lesen
14. Januar 2025
Der EuGH hat geklärt, wann Anfragen an Datenschutzbehörden als exzessiv gelten können und welche Maßnahmen Behörden ergreifen dürfen.
ganzen Text lesen
13. Januar 2025
Die verpflichtende Angabe der Anrede beim Kauf eines Bahntickets verstößt gegen die DSGVO, da sie für den Vertrag nicht unerlässlich und…
ganzen Text lesen
09. Januar 2025
Die EU-Kommission muss einem Nutzer 400 EUR DSGVO-Schadenersatz zahlen, da sie durch die Nutzung von "Sign in with Facebook" eine rechtswidrige…
ganzen Text lesen

Rechts-News durchsuchen