Die Begrün­dung des im Ergeb­nis bereits bekann­ten Logi­step-Urteils des BGer vom 8. Sep­tem­ber 2010 ist seit heu­te ver­füg­bar (vgl. auch unse­ren frü­he­ren Bei­trag). Das BGer hält fest, dass IP-Adres­sen Per­so­nen­da­ten sind, dass sie dem DSG unter­fal­len, dass die Samm­lung von IP-Adres­sen durch pri­va­te Unter­neh­men in P2P-Netz­wer­ken die Grund­sät­ze der Erkenn­bar­keit und Zweck­bin­dung und damit — man­gels eines Recht­fer­ti­gungs­grun­des — das DSG ver­let­zen.

Damit hebt das BGer das Urteil des BVGer auf, das IP-Adres­sen zwar eben­falls als Per­so­nen­da­ten qua­li­fi­zier­te, die Daten­be­ar­bei­tung durch Logi­step aber als gerecht­fer­tigt betrach­te­te. Logi­step sam­melt in Daten­tau­sch­net­zen (P2P-Net­ze) IP-Adres­sen der Benut­zer und über­gibt die­se den Rech­te­inha­bern, die in der Fol­ge gegen die Benut­zer vor­ge­hen kön­nen.

Frag­lich war zunächst, ob IP-Adres­sen (Begriff: sie­he Anhang der AEFV) dem DSG unter­fal­len. Das BGer bejaht dies; ent­ge­gen einer Lehr­mei­nung (Ket­ti­ger, vgl. hier, pdf) spie­le die Tat­sa­che, dass IP-Adres­sen Adres­sie­rungs­ele­men­te iSv FMG 3 lit. f sind, kei­ne Rol­le: Das Fern­mel­de­ge­heim­nis iSv FMG 43 gel­te nur für Per­so­nen, die mit fern­mel­de­dienst­li­chen Auf­ga­ben “betraut” sind; es kann hier also nicht als lex spe­cia­lis wir­ken.

Der Begriff des Per­so­nen­da­tums iSv DSG 3 lit. a setzt vor­aus, dass sich das Datum auf eine “bestimm­te oder bestimm­ba­re Per­son” bezieht. Hier ging es um die Bestimm­bar­keit. IP-Adres­sen iden­ti­fi­zie­ren einen an das Inter­net ange­schlos­se­nen Com­pu­ter. Bei dyna­mi­schen IP-Adres­sen kann nur der Pro­vi­der Aus­kunft über den betref­fen­den Anschluss geben. Das spielt für die Qua­li­fi­ka­ti­on indes kei­ne Rol­le; es genügt, wie das BGer hier im Anschluss an Rosen­thal fest­hält, wenn die Anschlüs­se für Logi­step nach Über­ga­be der Daten durch den Pro­vi­der erkenn­bar wer­den (E. 3.4). Dass die Pro­vi­der die zu den gesamm­ten IP-Adres­sen gehö­ri­gen Anschlüs­se erst im Rah­men eines Straf­ver­fah­rens offen­le­gen müs­sen, tut der Qua­li­fi­ka­ti­on als Per­so­nen­da­ten eben­falls kei­nen Abbruch (E. 3.5): Nach den all­ge­mei­nen Lebens­er­fah­run­gen — und nach dem Geschäfts­mo­dell von Logi­step — ist aus Sicht des BGer davon aus­zu­ge­hen, dass die­ser Auf­wand nicht über­mä­ssig ist. Im Gegen­teil ist damit zu rech­nen, dass die Rech­te­inha­ber auf­grund der IP-Adres­sen zumin­dest einen Teil der Nut­zer aus­fin­dig machen.

Das BVGer hat­te eine Ver­let­zung der Grund­sät­ze der Erkenn­bar­keit und Zweck­bin­dung der Daten­be­ar­bei­tung fest­ge­stellt (DSGIII und IV), also einen Ver­stoss gegen DSG 12 II a (Per­sön­lich­keits­ver­let­zung). Dies wur­de nicht sub­stan­ti­iert gerügt, so dass es auch vor BGer auf einen Recht­fer­ti­gungs­grund iSv DSG 13 ankam. Dass DSG 12 II a — im Gegen­satz zu lit. b und c — nicht aus­drück­lich auf die Mög­lich­keit einer Recht­fer­ti­gung ver­weist, bedeu­tet laut BGer nicht, dass eine Recht­fer­ti­gung aus­ge­schlos­sen ist; sie kön­ne aber nur “mit gro­sser Zurück­hal­tung” ange­nom­men wer­den.

Ent­schei­dend war des­halb, ob ein über­wie­gen­des pri­va­tes oder öffent­li­ches Inter­es­se als Recht­fer­ti­gungs­grund iSv DSG 13 vor­lag. Das BGer ver­neint dies in einer erstaun­lich knap­pen Erwä­gung (E. 6.3.3). Aus­schlag­ge­bend war die Befürch­tung, dass die Logi­step-Metho­den zu Unsi­cher­hei­ten füh­ren kön­nen, näm­lich

zu einer Unsi­cher­heit in Bezug auf die im Inter­net ange­wen­de­ten Metho­den wie auch in Bezug auf Art und Umfang der gesam­mel­ten Daten und deren Bear­bei­tung. Ins­be­son­de­re sind die Spei­che­rung und die mög­li­che Ver­wen­dung der Daten ausser­halb eines ordent­li­chen Gerichts­ver­fah­rens nicht klar bestimmt.”

Dar­an ände­re auch das Inter­es­se von Logi­step und jenes der Urhe­ber­rechts­in­ha­ber nichts. Immer­hin hielt das BGer fest, es stel­le nicht etwa den Daten­schutz gene­rell über das Urhe­ber­recht.

Daher war das Urteil des BVGer auf­zu­he­ben. Es konn­te auch offen­ge­las­sen wer­den, ob das BWIS anwend­bar wäre.

Inzwi­schen hat das OLG Ham­burg eben­falls mit Bezug auf Logi­step anders als das BGer (aller­dings sehr knapp) fest­ge­hal­ten, dass es sich bei IP-Adres­sen nicht um Per­so­nen­da­ten hand­le, weil der Auf­wand zur Ermitt­lung der Anschlüs­se “mit nor­ma­len Mit­teln” nicht mög­lich sei (Urteil im Voll­text, pdf). Ein Beweis­ver­wer­tungs­ver­bot sah das OLG nicht, “nur weil zwi­schen­zeit­lich ein Schwei­ze­ri­sches Bun­des­ge­richt die Tätig­keit […] nach dor­ti­gem Recht als daten­schutz­wid­rig beur­teilt hat.”

Zu die­sem Urteil vgl. auch den KunzO­Blog und RA Bühl­mann.

David Vasella

Posted by David Vasella

RA Dr. David Vasella ist Gründer von swissblawg und Rechtsanwalt und Counsel bei Walder Wyss. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert, betreibt den Blog daten:recht und ist Lehrbeauftragter der Universität Zürich.