Am 17.12.2020 hat der Generalanwalt am EuGH (GA) Maciej Szpunar in der Rechtssache C‑597/19 seine Schlussanträge vorgelegt.
In dem Verfahren geht es um die Klage einer Lizenzinhaberin aus Zypern (Mircom), die erotische Filme öffentlich wiedergeben darf. Gleichzeitig ist Mircom auch mit der Verfolgung unzulässiger öffentlicher Wiedergaben in Peer-to-Peer-Netz beauftragt.
Mircom erhob in Antwerpen Klage, mit der sie u. a. beantragte, den Internetzugangsanbieter Telenet aufzugeben, die Daten zur Identifizierung ihrer Kunden vorzulegen, deren Internetanschlüsse dazu genutzt worden seien, in einem Peer-to-Peer-Netz mittels des BitTorrent-Protokolls Filme aus dem Repertoire von Mircom zu teilen. Die IP-Adressen dieser Verbindungen wurden für Mircom von der Media Protector GmbH mittels einer speziellen Software erhoben.
Zunächst befasst sich der GA kurz mit der Frage, ob eine IP-Adresse ein personenbezogenes Datum darstellt. Mit Verweis auf das EuGH-Urteil in der Sache Breyer (C‑582/14) bejaht dies der GA, wenn Verantwortliche über ein gesetzliches Mittel zur Identifizierung der Inhaber von Internetanschlüssen verfügen.
Sodann geht es in den Schlussanträgen um die Frage der Zulässigkeit des Umgangs mit den IP-Adressen und die Rechtsgrundlage hierfür. Das vorlegende Gericht möchte wissen, ob Art. 6 Abs. 1 lit. f DSGVO dahin auszulegen ist, dass die Speicherung der IP-Adressen der Personen, deren Internetanschlüsse für das Teilen geschützter Werke in Peer-to-Peer-Netzen verwendet wurden, wie die von Media Protector für Mircom vorgenommene, eine rechtmäßige Verarbeitung personenbezogener Daten darstellt. Es geht also um die Erhebung und Verwendung der IP-Adressen zur Verfolgung von Rechtsverletzungen.
Der Erlaubnistatbestand erfordert kumulativ:
(1) Vorliegen eines berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden
(2) Erforderlichkeit der Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses
(3) kein Überwiegen der Grundrechte und Grundfreiheiten der betroffenen Person
Zu (1):
Nach Ansicht des GA hängt das berechtigte Interesse im konkreten Fall auch davon ab, ob der Verantwortliche hier befugt ist, einen Antrag auf Offenlegung der IP-Adresse nach der Richtlinie 2004/48 zu stellen. Sollte dies nicht der Fall sein, bestünde auch kein berechtigtes Interesse. Oder allgemeiner: kein berechtigtes Interesse für eine Datenverarbeitung, die gegen gesetzliche Vorgaben verstößt.
Etwas allgemeiner formuliert der GA zudem, dass die ordnungsgemäße Beitreibung von Forderungen durch einen Zessionar dieser Forderungen ein berechtigtes Interesse darstellen kann, das die Verarbeitung personenbezogener Daten rechtfertigt. Damit eine solche Verarbeitung gerechtfertigt ist, muss der Zessionar jedoch anschließend diese Daten nutzen können, um die Schuldner der erworbenen Forderungen zu ermitteln. Hier kommt im konkreten Fall dann wieder die Frage ins Spiel, ob der Antrag auf Auskunft über die Namen der Inhaber der Internetanschlüsse, die durch die fraglichen IP-Adressen identifiziert wurden, zulässig ist.
Zu (2):
Bei dem Merkmal der „Erforderlichkeit“ hat der GA kein Bedenken. Die Verwendung der IP-Adresse ist seiner Ansicht nach erforderlich, um das berechtigte Interesse zu verwirklichen. Denn die Kommunikation in einem Netz von Rechnern erfolgt zwangsläufig über IP-Adressen, die verschiedenen Routern zugeordnet sind.
„Jede Feststellung einer Handlung, mit der eine Datei über ein solches Netz geteilt wird, und damit einer Verletzung von Urheberrechten und verwandten Schutzrechten, wenn die Datei ein geschütztes Werk enthält und das Teilen ohne Zustimmung der Inhaber dieser Rechte geschieht, erfolgt zwangsläufig über die Identifizierung und Speicherung der IP-Adresse, von der aus diese Handlung vorgenommen wurde“.
Interessant an der Begründung des GA ist, dass es für die „Erforderlichkeit“ ausreicht, dass der Inhaber des Anschlusses nicht unbedingt auch der Verletzter sein muss (der die Handlung begangen hat). Doch ist dieser nach Ansicht des GA in der Lage, Auskunft über die verantwortliche Person zu erteilen, oder kann für die über seinen Internetanschluss begangenen Handlungen selbst haftbar gemacht werden. Auch dies reicht also für eine datenschutzrechtliche Erforderlichkeit aus.
Zu (3):
Hinsichtlich der Abwägung des Interesses mit den Grundrechten und ‑freiheiten der betroffenen Personen, verweist der GA darauf, dass es sich um das Vorliegen etwaiger besonderer Umstände des Einzelfalls handelt. Es ist Sache des zuständigen Gerichts, zu prüfen, ob solche besonderen Umstände vorliegen.