leaders.law - Blog

Wenn eine IP-Adresse ein personenbezogenes Datum ist, dann ist eine Briefkastenfirma ein Einzelkaufmann

Oder warum ein Anfängerfehler des Europäischen Gerichtshofs den Datenschutz auf den Kopf stellt

Mit der Breyer-Entscheidung (C‑582/14) hat der Europäische Gerichtshof entschieden, dass die IP-Adresse des Internetanschlusses, von dem aus ein Nutzer auf die Website eines Anbieters zugreift, ein personenbezogenes Datum ist. Der Bundesgerichtshof folgt dieser Einschätzung (VI ZR 135/13).

Die aktuelle Google-Fonts-Abmahnwelle zeigt, dass diese Einschätzung falsch ist.

Stellen wir den Fall einmal nach auf dem Niveau der Sendung mit der Maus.

Geschehen ist Folgendes. Bei einem Server - also einem Dienstleister - kommt ein Brief an: „Hier Haus 157! Bitte, ganz toller Website-Server, schicke den Bauplan für die Website ganztollewebsite.de an Haus 157.“ Daraufhin schickt der Server den Bauplan für die ganz tolle Website an Haus 157. Und weil am Haus 157 das Fenster offen ist, aus dem die Anforderung abgeschickt wurde, kann der Server den Bauplan dort ablegen. Im Bauplan steht: „Damit die Website richtig chic aussieht, musst Du noch den Server von Google bitten, Dir schöne Buchstaben zu schicken.“ Und im Bauplan steht auch gleich die Adresse vom Server von Google drin.

Jetzt kann man darüber nachdenken, ob es fies vom ganz tollen Website-Server ist, den Leuten im Haus 157 zu verraten, wo es die schönen Buchstaben gibt. Aber das ist denen eh Wurscht. Sie bitten, ohne weiter nachzudenken, den Server von Google, die schönen Buchstaben ins Haus 157 zu schicken: „Lieber Google, hier Haus 157. Bitte schicke uns die schönen Buchstaben ins Haus 157.“ So geschieht's.

Anschließend können die Leute im Haus 157 anhand des Bauplans die Website nachbauen.

Nun die verwunderte Frage: Warum gilt die Information „Haus 157“, die erst an den ganz tollen Website-Server geschickt wurde und dann an den Server von Google, nach dem Verdikt des Europäischen Gerichtshofs als personenbezogenes Datum?

„Haus 157“ bezeichnet zunächst einmal nur den Ort, wohin der ganz tolle Server den Bauplan liefern soll und Google die schönen Buchstaben. Haus 157: Eine Grundstücksbezeichnung. Keine Personenbezeichnung.

Nun gut. Die Server könnten beim Grundbuchamt nachfragen, wem das Grundstück mit der Anschrift „Haus 157“ gehört. Vom Grundbuchamt bekommen sie aber keine Auskunft. Denn ein berechtigtes Interesse der beiden Server ist nicht ersichtlich. Das Grundbuchamt weiß, wem das Haus gehört. Aber diese Information ist für die Server irrelevant. Sie wollen ja nicht wissen, wem das Haus gehört. Sie wollen wissen, wer in dem Haus 157 Interesse an dem Bauplan und den schönen Buchstaben hat. Aber das weiß das Grundbuchamt natürlich nicht.

Beim Einwohnermeldeamt bekommen die Server ebenfalls keine Auskunft, denn dort müssten sie den Namen der Person nennen, über die sie Informationen begehren, und erfahren dann dessen Anschrift - jedoch nicht umgekehrt.

Nun kommt der Anfängerfehler des Europäischen Gerichtshofs ins Spiel: Der Europäische Gerichtshof denkt sich – Randnummer 47 seines Urteils – ein Geschehen dazu, das in Wahrheit gar nicht stattgefunden hat: eine Cyberattacke.

Also: Wenn binnen kürzester Zeit aus dem Haus 157 drölfzig Fantastialliarden Anfragen nach dem Bauplan der Website oder nach den schönen Buchstaben an die Server gesendet worden wären, so dass diese unter der Last der Anfragen zusammengebrochen wären, dann könnte man sich überlegen, dass die Server ein berechtigtes Interesse daran hätten zu erfahren, wer der Eigentümer des Hauses 157 ist. Sie könnten diesen dann fragen, wer in dem Haus 157 sein Unwesen treibt.

Aber - jedenfalls in dem Fall, der dem Europäischen Gerichtshof vorgelegt wurde - fand keine Cyberattacke statt. Nach rechtsstaatlichen Maßstäben bestand also für die Server keine Möglichkeit, die Adresse „Haus 157“ mit einer eindeutig identifizierbaren Person zusammenzubringen, die nach dem Bauplan oder nach den schönen Buchstaben gefragt hatte.

Aber selbst wenn die Cyberattacke stattgefunden hätte, und die Server deshalb zu Recht erfahren hätten, dass die eindeutig identifizierbare Person XY Eigentümer von Haus 157 ist, wäre die Information „Haus 157“ kein personenbezogenes Datum. Ein personenbezogenes Datum wäre, dass Person XY Eigentümer von Haus 157 ist. Aber „Haus 157“ ist und bleibt nur die Anschrift eines Grundstücks. Und wer im Haus 157 sein Unwesen treibt, also wer den Bauplan und die schönen Buchstaben haben wollte, wissen die beiden Server damit immer noch nicht.

Conclusio:

Eine IP-Adresse ist nichts anderes als eine „Anschrift“, nämlich die Adresse eines Internetanschlusses.

Wer dies anders sieht, darf sich über Briefkastenfirmen nicht beschweren. Denn Mossack Fonseca weiß, welche jeweils konkret identifizierbare Person den jeweiligen Briefkasten nutzt. Genauso wie das Grundbuchamt den Grundstückseigentümer kennt und der Internet-Zugangsprovider den Anschlussinhaber.

Aber der Postbote sieht nur, wie der Briefkasten heißt.

Friedrich Vosberg

Rechtsanwalt, Counsel,

Zertifizierter Datenschutzbeauftragter (TÜV)

 

Vollständiges Profil
Standort Berlin

Wilmersdorf
Mommsenstraße 5
10629 Berlin
Tel. +49 (0)30 88 720 - 647
Fax +49 (0)30 88 720 - 648

Standort Dortmund

Westfalentower
Westfalendamm 87
44141 Dortmund
Tel. +49 (0)231 42 777 - 100
Fax +49 (0)231 42 777 - 269

Standort Düsseldorf

Hafen
Speditionstraße 23
40221 Düsseldorf
Tel. +49 (0)211 447 33 - 0
Fax +49 (0)211 447 33 - 307

Standort Frankfurt/Main

Turmcenter
Eschersheimer Landstraße 14
60322 Frankfurt am Main
Tel. +49 (0)69 240030 - 000
Fax +49 (0)69 240030 - 400

Standort Köln

KölnTurm
Im Mediapark 8
50670 Köln
Tel. +49 (0) 221 933 12 - 0
Fax +49 (0) 221 933 12 - 190

Standort Leipzig

Aderholdhaus
Reichsstraße 15
04109 Leipzig
Tel. +49 (0)341 44 924 - 0
Fax +49 (0)341 44 924 - 100

© Aderhold Rechtsanwaltsgesellschaft mbH