Die Begrün­dung des im Ergeb­nis bere­its bekan­nten Logis­tep-Urteils des BGer vom 8. Sep­tem­ber 2010 ist seit heute ver­füg­bar (vgl. auch unseren früheren Beitrag). Das BGer hält fest, dass IP-Adressen Per­so­n­en­dat­en sind, dass sie dem DSG unter­fall­en, dass die Samm­lung von IP-Adressen durch pri­vate Unternehmen in P2P-Net­zw­erken die Grund­sätze der Erkennbarkeit und Zweck­bindung und damit — man­gels eines Recht­fer­ti­gungs­grun­des — das DSG ver­let­zen.

Damit hebt das BGer das Urteil des BVGer auf, das IP-Adressen zwar eben­falls als Per­so­n­en­dat­en qual­i­fizierte, die Daten­bear­beitung durch Logis­tep aber als gerecht­fer­tigt betra­chtete. Logis­tep sam­melt in Daten­tauschnet­zen (P2P-Net­ze) IP-Adressen der Benutzer und übergibt diese den Rechtein­hab­ern, die in der Folge gegen die Benutzer vorge­hen kön­nen.

Fraglich war zunächst, ob IP-Adressen (Begriff: siehe Anhang der AEFV) dem DSG unter­fall­en. Das BGer bejaht dies; ent­ge­gen ein­er Lehrmei­n­ung (Ket­tiger, vgl. hier, pdf) spiele die Tat­sache, dass IP-Adressen Adressierungse­le­mente iSv FMG 3 lit. f sind, keine Rolle: Das Fer­n­meldege­heim­nis iSv FMG 43 gelte nur für Per­so­n­en, die mit fer­n­melde­di­en­stlichen Auf­gaben “betraut” sind; es kann hier also nicht als lex spe­cialis wirken.

Der Begriff des Per­so­n­en­da­tums iSv DSG 3 lit. a set­zt voraus, dass sich das Datum auf eine “bes­timmte oder bes­timm­bare Per­son” bezieht. Hier ging es um die Bes­timm­barkeit. IP-Adressen iden­ti­fizieren einen an das Inter­net angeschlosse­nen Com­put­er. Bei dynamis­chen IP-Adressen kann nur der Provider Auskun­ft über den betr­e­f­fend­en Anschluss geben. Das spielt für die Qual­i­fika­tion indes keine Rolle; es genügt, wie das BGer hier im Anschluss an Rosen­thal fes­thält, wenn die Anschlüsse für Logis­tep nach Über­gabe der Dat­en durch den Provider erkennbar wer­den (E. 3.4). Dass die Provider die zu den gesammten IP-Adressen gehöri­gen Anschlüsse erst im Rah­men eines Strafver­fahrens offen­le­gen müssen, tut der Qual­i­fika­tion als Per­so­n­en­dat­en eben­falls keinen Abbruch (E. 3.5): Nach den all­ge­meinen Lebenser­fahrun­gen — und nach dem Geschäftsmod­ell von Logis­tep — ist aus Sicht des BGer davon auszuge­hen, dass dieser Aufwand nicht über­mäs­sig ist. Im Gegen­teil ist damit zu rech­nen, dass die Rechtein­hab­er auf­grund der IP-Adressen zumin­d­est einen Teil der Nutzer aus­find­ig machen.

Das BVGer hat­te eine Ver­let­zung der Grund­sätze der Erkennbarkeit und Zweck­bindung der Daten­bear­beitung fest­gestellt (DSG 4 III und IV), also einen Ver­stoss gegen DSG 12 II a (Per­sön­lichkeitsver­let­zung). Dies wurde nicht sub­stan­ti­iert gerügt, so dass es auch vor BGer auf einen Recht­fer­ti­gungs­grund iSv DSG 13 ankam. Dass DSG 12 II a — im Gegen­satz zu lit. b und c — nicht aus­drück­lich auf die Möglichkeit ein­er Recht­fer­ti­gung ver­weist, bedeutet laut BGer nicht, dass eine Recht­fer­ti­gung aus­geschlossen ist; sie könne aber nur “mit gross­er Zurück­hal­tung” angenom­men wer­den.

Entschei­dend war deshalb, ob ein über­wiegen­des pri­vates oder öffentlich­es Inter­esse als Recht­fer­ti­gungs­grund iSv DSG 13 vor­lag. Das BGer verneint dies in ein­er erstaunlich knap­pen Erwä­gung (E. 6.3.3). Auss­chlaggebend war die Befürch­tung, dass die Logis­tep-Meth­o­d­en zu Unsicher­heit­en führen kön­nen, näm­lich

“zu ein­er Unsicher­heit in Bezug auf die im Inter­net angewen­de­ten Meth­o­d­en wie auch in Bezug auf Art und Umfang der gesam­melten Dat­en und deren Bear­beitung. Ins­beson­dere sind die Spe­icherung und die mögliche Ver­wen­dung der Dat­en ausser­halb eines ordentlichen Gerichtsver­fahrens nicht klar bes­timmt.”

Daran ändere auch das Inter­esse von Logis­tep und jenes der Urhe­ber­rechtsin­hab­er nichts. Immer­hin hielt das BGer fest, es stelle nicht etwa den Daten­schutz generell über das Urhe­ber­recht.

Daher war das Urteil des BVGer aufzuheben. Es kon­nte auch offen­ge­lassen wer­den, ob das BWIS anwend­bar wäre.

Inzwis­chen hat das OLG Ham­burg eben­falls mit Bezug auf Logis­tep anders als das BGer (allerd­ings sehr knapp) fest­ge­hal­ten, dass es sich bei IP-Adressen nicht um Per­so­n­en­dat­en han­dle, weil der Aufwand zur Ermit­tlung der Anschlüsse “mit nor­malen Mit­teln” nicht möglich sei (Urteil im Voll­text, pdf). Ein Beweisver­w­er­tungsver­bot sah das OLG nicht, “nur weil zwis­chen­zeitlich ein Schweiz­erisches Bun­des­gericht die Tätigkeit […] nach dor­tigem Recht als daten­schutzwidrig beurteilt hat.”

Zu diesem Urteil vgl. auch den Kun­zOBlog und RA Bühlmann.

David Vasella

Posted by David Vasella

RA Dr. David Vasella ist Gründer von swissblawg und Rechtsanwalt und Counsel bei Walder Wyss. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert, betreibt den Blog daten:recht und ist Lehrbeauftragter der Universität Zürich.