Mit der Breyer-Entscheidung (C‑582/14) hat der Europäische Gerichtshof entschieden, dass die IP-Adresse des Internetanschlusses, von dem aus ein Nutzer auf die Website eines Anbieters zugreift, ein personenbezogenes Datum ist. Der Bundesgerichtshof folgt dieser Einschätzung (VI ZR 135/13).
Die aktuelle Google-Fonts-Abmahnwelle zeigt, dass diese Einschätzung falsch ist.
Stellen wir den Fall einmal nach auf dem Niveau der Sendung mit der Maus.
Geschehen ist Folgendes. Bei einem Server - also einem Dienstleister - kommt ein Brief an: „Hier Haus 157! Bitte, ganz toller Website-Server, schicke den Bauplan für die Website ganztollewebsite.de an Haus 157.“ Daraufhin schickt der Server den Bauplan für die ganz tolle Website an Haus 157. Und weil am Haus 157 das Fenster offen ist, aus dem die Anforderung abgeschickt wurde, kann der Server den Bauplan dort ablegen. Im Bauplan steht: „Damit die Website richtig chic aussieht, musst Du noch den Server von Google bitten, Dir schöne Buchstaben zu schicken.“ Und im Bauplan steht auch gleich die Adresse vom Server von Google drin.
Jetzt kann man darüber nachdenken, ob es fies vom ganz tollen Website-Server ist, den Leuten im Haus 157 zu verraten, wo es die schönen Buchstaben gibt. Aber das ist denen eh Wurscht. Sie bitten, ohne weiter nachzudenken, den Server von Google, die schönen Buchstaben ins Haus 157 zu schicken: „Lieber Google, hier Haus 157. Bitte schicke uns die schönen Buchstaben ins Haus 157.“ So geschieht's.
Anschließend können die Leute im Haus 157 anhand des Bauplans die Website nachbauen.
Nun die verwunderte Frage: Warum gilt die Information „Haus 157“, die erst an den ganz tollen Website-Server geschickt wurde und dann an den Server von Google, nach dem Verdikt des Europäischen Gerichtshofs als personenbezogenes Datum?
„Haus 157“ bezeichnet zunächst einmal nur den Ort, wohin der ganz tolle Server den Bauplan liefern soll und Google die schönen Buchstaben. Haus 157: Eine Grundstücksbezeichnung. Keine Personenbezeichnung.
Nun gut. Die Server könnten beim Grundbuchamt nachfragen, wem das Grundstück mit der Anschrift „Haus 157“ gehört. Vom Grundbuchamt bekommen sie aber keine Auskunft. Denn ein berechtigtes Interesse der beiden Server ist nicht ersichtlich. Das Grundbuchamt weiß, wem das Haus gehört. Aber diese Information ist für die Server irrelevant. Sie wollen ja nicht wissen, wem das Haus gehört. Sie wollen wissen, wer in dem Haus 157 Interesse an dem Bauplan und den schönen Buchstaben hat. Aber das weiß das Grundbuchamt natürlich nicht.
Beim Einwohnermeldeamt bekommen die Server ebenfalls keine Auskunft, denn dort müssten sie den Namen der Person nennen, über die sie Informationen begehren, und erfahren dann dessen Anschrift - jedoch nicht umgekehrt.
Nun kommt der Anfängerfehler des Europäischen Gerichtshofs ins Spiel: Der Europäische Gerichtshof denkt sich – Randnummer 47 seines Urteils – ein Geschehen dazu, das in Wahrheit gar nicht stattgefunden hat: eine Cyberattacke.
Also: Wenn binnen kürzester Zeit aus dem Haus 157 drölfzig Fantastialliarden Anfragen nach dem Bauplan der Website oder nach den schönen Buchstaben an die Server gesendet worden wären, so dass diese unter der Last der Anfragen zusammengebrochen wären, dann könnte man sich überlegen, dass die Server ein berechtigtes Interesse daran hätten zu erfahren, wer der Eigentümer des Hauses 157 ist. Sie könnten diesen dann fragen, wer in dem Haus 157 sein Unwesen treibt.
Aber - jedenfalls in dem Fall, der dem Europäischen Gerichtshof vorgelegt wurde - fand keine Cyberattacke statt. Nach rechtsstaatlichen Maßstäben bestand also für die Server keine Möglichkeit, die Adresse „Haus 157“ mit einer eindeutig identifizierbaren Person zusammenzubringen, die nach dem Bauplan oder nach den schönen Buchstaben gefragt hatte.
Aber selbst wenn die Cyberattacke stattgefunden hätte, und die Server deshalb zu Recht erfahren hätten, dass die eindeutig identifizierbare Person XY Eigentümer von Haus 157 ist, wäre die Information „Haus 157“ kein personenbezogenes Datum. Ein personenbezogenes Datum wäre, dass Person XY Eigentümer von Haus 157 ist. Aber „Haus 157“ ist und bleibt nur die Anschrift eines Grundstücks. Und wer im Haus 157 sein Unwesen treibt, also wer den Bauplan und die schönen Buchstaben haben wollte, wissen die beiden Server damit immer noch nicht.
Conclusio:
Eine IP-Adresse ist nichts anderes als eine „Anschrift“, nämlich die Adresse eines Internetanschlusses.
Wer dies anders sieht, darf sich über Briefkastenfirmen nicht beschweren. Denn Mossack Fonseca weiß, welche jeweils konkret identifizierbare Person den jeweiligen Briefkasten nutzt. Genauso wie das Grundbuchamt den Grundstückseigentümer kennt und der Internet-Zugangsprovider den Anschlussinhaber.
Aber der Postbote sieht nur, wie der Briefkasten heißt.
