EuGH Urteil vom 19.10.2016 - C-582/14

Entscheidungsstichwort (Thema)

Vorlage zur Vorabentscheidung. Verarbeitung personenbezogener Daten. Begriff ‚personenbezogene Daten’. Internetprotokoll-Adressen. Speicherung durch einen Anbieter von Online-Mediendiensten. Nationale Regelung, die eine Berücksichtigung des berechtigten Interesses des für die Verarbeitung Verantwortlichen nicht zulässt

Normenkette

Richtlinie 95/46/EG Art. 2 Buchst. a, Art. 7 Buchst. f

Beteiligte

Breyer

Patrick Breyer

Bundesrepublik Deutschland

Tenor

1. Art. 2 Buchst. a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass eine dynamische Internetprotokoll-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Website, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, für den Anbieter ein personenbezogenes Datum im Sinne der genannten Bestimmung darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen.

2. Art. 7 Buchst. f der Richtlinie 95/46 ist dahin auszulegen, dass er einer Regelung eines Mitgliedstaats entgegensteht, nach der ein Anbieter von Online-Mediendiensten personenbezogene Daten eines Nutzers dieser Dienste ohne dessen Einwilligung nur erheben und verwenden darf, soweit ihre Erhebung und ihre Verwendung erforderlich sind, um die konkrete Inanspruchnahme der Dienste durch den betreffenden Nutzer zu ermöglichen und abzurechnen, ohne dass der Zweck, die generelle Funktionsfähigkeit der Dienste zu gewährleisten, die Verwendung der Daten über das Ende eines Nutzungsvorgangs hinaus rechtfertigen kann.

Tatbestand

In der Rechtssache

betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Bundesgerichtshof (Deutschland) mit Entscheidung vom 28. Oktober 2014, beim Gerichtshof eingegangen am 17. Dezember 2014, in dem Verfahren

Patrick Breyer

gegen

Bundesrepublik Deutschland

erlässt

DER GERICHTSHOF (Zweite Kammer)

unter Mitwirkung des Kammerpräsidenten M. Ilešič, der Richterin A. Prechal, des Richters A. Rosas (Berichterstatter), der Richterin C. Toader und des Richters E. Jarašiūnas,

Generalanwalt: M. Campos Sánchez-Bordona,

Kanzler: V. Giacobbo-Peyronnel, Verwaltungsrätin,

aufgrund des schriftlichen Verfahrens und auf die mündliche Verhandlung vom 25. Februar 2016,

unter Berücksichtigung der Erklärungen

• von Herrn Breyer, vertreten durch Rechtsanwalt M. Starostik,
• der deutschen Regierung, vertreten durch A. Lippstreu und T. Henze als Bevollmächtigte,
• der österreichischen Regierung, vertreten durch G. Eberhard als Bevollmächtigten,
• der portugiesischen Regierung, vertreten durch L. Inez Fernandes und C. Vieira Guerra als Bevollmächtigte,
• der Europäischen Kommission, vertreten durch P. J. O. Van Nuffel, H. Krämer, P. Costa de Oliveira und J. Vondung als Bevollmächtigte,

nach Anhörung der Schlussanträge des Generalanwalts in der Sitzung vom 12. Mai 2016

folgendes

Urteil

Entscheidungsgründe

Rz. 1

Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 2 Buchst. a und Art. 7 Buchst. f der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. 1995, L 281, S. 31).

Rz. 2

Dieses Ersuchen ergeht im Rahmen eines Rechtsstreits zwischen Herrn Patrick Breyer und der Bundesrepublik Deutschland über die Aufzeichnung und Speicherung der Internetprotokoll-Adresse (im Folgenden: IP-Adresse) von Herrn Breyer während seines Zugriffs auf mehrere Websites von Einrichtungen des Bundes.

Rechtlicher Rahmen

Unionsrecht

Rz. 3

Der 26. Erwägungsgrund der Richtlinie 95/46 lautet wie folgt:

„Die Schutzprinzipien müssen für alle Informationen über eine bestimmte oder bestimmbare Person gelten. Bei der Entscheidung, ob eine Person bestimmbar ist, sollten alle Mittel berücksichtigt werden, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen. Die Schutzprinzipien finden keine Anwendung auf Daten, die derart anonymisiert sind, dass die betroffene Person nicht mehr identifizierbar ist. Die Verhaltensregeln im Sinne des Artikels 27 können ein nützliches Instrument sein, mit dem angegeben wird, wie sich die Daten in einer Form anonymisieren und aufbewahren lassen, die die Identifizierung der betroffenen Person unmöglich macht.”

Rz. 4

Art. 1 der Richtlinie lautet:

„(1) Die Mitgliedstaaten gewährleisten nach den Bestimmungen dieser Richtlinie den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten.

(2) Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen ...