Die Begründung des im Ergebnis bereits bekannten Logistep-Urteils des BGer vom 8. September 2010 ist seit heute verfügbar (vgl. auch unseren früheren Beitrag). Das BGer hält fest, dass IP-Adressen Personendaten sind, dass sie dem DSG unterfallen, dass die Sammlung von IP-Adressen durch private Unternehmen in P2P-Netzwerken die Grundsätze der Erkennbarkeit und Zweckbindung und damit — mangels eines Rechtfertigungsgrundes — das DSG verletzen.
Damit hebt das BGer das Urteil des BVGer auf, das IP-Adressen zwar ebenfalls als Personendaten qualifizierte, die Datenbearbeitung durch Logistep aber als gerechtfertigt betrachtete. Logistep sammelt in Datentauschnetzen (P2P-Netze) IP-Adressen der Benutzer und übergibt diese den Rechteinhabern, die in der Folge gegen die Benutzer vorgehen können.
Fraglich war zunächst, ob IP-Adressen (Begriff: siehe Anhang der AEFV) dem DSG unterfallen. Das BGer bejaht dies; entgegen einer Lehrmeinung (Kettiger, vgl. hier, pdf) spiele die Tatsache, dass IP-Adressen Adressierungselemente iSv FMG 3 lit. f sind, keine Rolle: Das Fernmeldegeheimnis iSv FMG 43 gelte nur für Personen, die mit fernmeldedienstlichen Aufgaben “betraut” sind; es kann hier also nicht als lex specialis wirken.
Der Begriff des Personendatums iSv DSG 3 lit. a setzt voraus, dass sich das Datum auf eine “bestimmte oder bestimmbare Person” bezieht. Hier ging es um die Bestimmbarkeit. IP-Adressen identifizieren einen an das Internet angeschlossenen Computer. Bei dynamischen IP-Adressen kann nur der Provider Auskunft über den betreffenden Anschluss geben. Das spielt für die Qualifikation indes keine Rolle; es genügt, wie das BGer hier im Anschluss an Rosenthal festhält, wenn die Anschlüsse für Logistep nach Übergabe der Daten durch den Provider erkennbar werden (E. 3.4). Dass die Provider die zu den gesammten IP-Adressen gehörigen Anschlüsse erst im Rahmen eines Strafverfahrens offenlegen müssen, tut der Qualifikation als Personendaten ebenfalls keinen Abbruch (E. 3.5): Nach den allgemeinen Lebenserfahrungen — und nach dem Geschäftsmodell von Logistep — ist aus Sicht des BGer davon auszugehen, dass dieser Aufwand nicht übermässig ist. Im Gegenteil ist damit zu rechnen, dass die Rechteinhaber aufgrund der IP-Adressen zumindest einen Teil der Nutzer ausfindig machen.
Das BVGer hatte eine Verletzung der Grundsätze der Erkennbarkeit und Zweckbindung der Datenbearbeitung festgestellt (DSG 4 III und IV), also einen Verstoss gegen DSG 12 II a (Persönlichkeitsverletzung). Dies wurde nicht substantiiert gerügt, so dass es auch vor BGer auf einen Rechtfertigungsgrund iSv DSG 13 ankam. Dass DSG 12 II a — im Gegensatz zu lit. b und c — nicht ausdrücklich auf die Möglichkeit einer Rechtfertigung verweist, bedeutet laut BGer nicht, dass eine Rechtfertigung ausgeschlossen ist; sie könne aber nur “mit grosser Zurückhaltung” angenommen werden.
Entscheidend war deshalb, ob ein überwiegendes privates oder öffentliches Interesse als Rechtfertigungsgrund iSv DSG 13 vorlag. Das BGer verneint dies in einer erstaunlich knappen Erwägung (E. 6.3.3). Ausschlaggebend war die Befürchtung, dass die Logistep-Methoden zu Unsicherheiten führen können, nämlich
“zu einer Unsicherheit in Bezug auf die im Internet angewendeten Methoden wie auch in Bezug auf Art und Umfang der gesammelten Daten und deren Bearbeitung. Insbesondere sind die Speicherung und die mögliche Verwendung der Daten ausserhalb eines ordentlichen Gerichtsverfahrens nicht klar bestimmt.”
Daran ändere auch das Interesse von Logistep und jenes der Urheberrechtsinhaber nichts. Immerhin hielt das BGer fest, es stelle nicht etwa den Datenschutz generell über das Urheberrecht.
Daher war das Urteil des BVGer aufzuheben. Es konnte auch offengelassen werden, ob das BWIS anwendbar wäre.
Inzwischen hat das OLG Hamburg ebenfalls mit Bezug auf Logistep anders als das BGer (allerdings sehr knapp) festgehalten, dass es sich bei IP-Adressen nicht um Personendaten handle, weil der Aufwand zur Ermittlung der Anschlüsse “mit normalen Mitteln” nicht möglich sei (Urteil im Volltext, pdf). Ein Beweisverwertungsverbot sah das OLG nicht, “nur weil zwischenzeitlich ein Schweizerisches Bundesgericht die Tätigkeit […] nach dortigem Recht als datenschutzwidrig beurteilt hat.”
Zu diesem Urteil vgl. auch den KunzOBlog und RA Bühlmann.