Gelten IP Adressen in Frankreich noch als persönliche Daten?

Auch wenn die Antwort auf diese Frage nicht nur in Frankreich sondern auch in Europa selbstverständlich scheint, ist es sehr wohl möglich, dass zwei Urteile des Pariser Berufungsgerichtshof diese althergebrachte Situation maßgeblich ändern werden.

Die Urteile, die am 27. April beziehungsweise am 15. Mai 2007 veröffentlicht wurden, betreffen Personen des SCPP (eine französische Vereinigung von Plattenfirmen) in zwei Fällen von Musikfälschungen, bei denen P2P Netzwerke verwendet wurden. Die beiden Berufungsprozesse schließen sowohl Zivil- als auch Strafprozesse ein und wurden im ersten Fall von der Einzelperson und der Staatsanwaltschaft und im zweiten vom SCPP und ebenfalls der Staatsanwaltschaft initiiert. Zusätzlich zum Urteil der ersten Instanz zur Fälschungsklage hatte das Pariser Gericht über die Konformität der Prozesse der ersten Instanz in Bezug auf die Speicherung von IP Adressen im P2P Netzwerk zu entscheiden. In beiden Fällen argumentierten die Personen, dass diese Speicherung vorher von der CNIL (der Französischen Datenschutzbehörde) genehmigt hätte werden sollen und folgerten daraus die Nichtigkeit des Verfahrens.

Diese Argumente wurden vom Pariser Berufungsgericht abgewiesen, wo man zu der Ansicht kam, dass die Speicherung der IP Adressen in beiden Fällen in voller Übereinstimmung mit dem Gesetz vorgenommen wurde. Das Gericht argumentierte, dass „die IP Adresse die Identifizierung der Personen, die den Computer verwendet haben, nicht erlaubt, da nur die zuständige Behörden für die Untersuchung (die Strafverfolgungsbehörden) die Identitäten der Nutzer vom ISP einholen können“ (Urteil vom 27. April). Überraschenderweise erkannte das Gericht im gleichen Urteil an, dass „man nicht vergessen darf, dass jeder Computer, der mit dem Internet verbunden ist, durch eine eindeutige Nummer namens „Internetadresse“ oder IP Adresse (Internet Protokoll) identifiziert ist, die es ermöglicht, diesen Computer unter den verbundenen Computern ausfindig zu machen oder den Sender einer Nachricht ausfindig zu machen“. Im Urteil vom 25. Mai kam das Gericht zu der Entscheidung, dass „diese Nummernfolge tatsächlich keineswegs indirekt nominative Daten der Person wiedergibt, da sie sich nur auf eine Maschine bezieht und nicht auf die Person, die diesen Computer verwendet, um Fälschungen zu begehen.“ Die Schlussfolgerung des Gericht lautete daher, dass die Speicherung der IP Adressen nicht mit der Verarbeitung von persönlichen Daten gleich gesetzt werden kann und daher nicht Gegenstand einer vorherigen Genehmigung durch die CNIL ist, wie im französischen Datenschutzgesetz vorgesehen.

Die CNIL reagierte umgehend und brachte ihre tiefe Besorgnis über die Urteile zum Ausdruck; sie forderte das französische Justizministerium auf, es in Erwägung zu ziehen, einen Kassationsfall im Interesse des Gesetzes gegen diese beiden Urteile anzustrengen, eine Vorgehensweise, die durch den Generalstaatsanwalt geschehen sollte, und die entweder widersprüchliche Rechtssprechung oder Rechtssprechung, die nicht dem Gesetz entspricht, abwenden soll. Die CNIL erinnerte daran, dass laut französischem Datenschutzgesetz persönliche Daten als „Informationen im Zusammenhang mit einer natürlichen Person, die direkt oder indirekt mit Verweis auf eine Identifikationsnummer oder einem oder mehreren spezifischen Merkmalen identifiziert werden kann. Das ist der Fall bei einem Nummernkennzeichen eines Autos, einer Telefonnummer oder einer IP Adresse.“ Die CINL bemerkte auch, dass die Arbeitsgruppe Artikel 29 der Datenschutzbeauftragten der EU „in einer Stellungnahme vom 20. Juni 2007 zum Konzept der persönlichen Daten daran erinnerten, dass die IP Adresse, die einer Nutzerin während ihrer Kommunikationen zugeschrieben wird, als persönlicher Datensatz gilt.“

In der Zwischenzeit hat die Generalanwaltschaft des Europäischen Gerichtshofes in einem völlig anderen Fall, bei dem von einem spanischen Gericht eine Einsichtnahme durch das Vorabentscheidungsvefahren eingereicht wurde, die Position vertreten, dass sich die EU-Gesetzgebung zu persönlichen Daten gegenüber dem Gemeinschaftsrecht zu e-Commerce, Urheberrechtsschutz und Schutz des geistigen Eigentums durchsetzen sollte. Die CNIL hat offensichtlich rechtzeitig bemerkt, wie sehr diese Entscheidungen der Generalanwaltschaft – die der EuGH normalerweise aufnimmt – die zukünftigen Maßnahmen der Urheberrechtsinhaber beeinflussen könnten, sowohl wenn sie IP Adressen speichern als auch wenn sie Strafverfolgungsmaßnahmen ergreifen, um die Identitäten der Internetnutzer aufzudecken, was in Frankreich und anderen Teilen Europas in Zukunft viel schwieriger zu bewerkstelligen sein wird. Ihr Vorschlag lautete daher vernünftigerweise, dass es angemessen wäre, in der Frage über die Eigenschaften von IP Adressen den EuGH um Empfehlungen zu bitten.

Paris Appeal Court decision - Anthony G. vs. SCPP (27.04.2007)

Paris Appeal Court decision - Henri S. vs. SCPP (15.05.2007)

IP address is a personal data for all the European DPAs (2.08.2007)

French Data Protection Act (English version, 6.08.2004)

EU Article 29 Working Party Opinion 4/2007 on the concept of personal data(20.06.2007)

ECJ Advocate General Conclusions on case C-257/06 (18.07.2006)

unwatched: Generalanwältin des EuGH sagt Nein zur Weitergabe von Verkehrsinformation bei Zivilfällen (01.08.2007)

(Beitrag von Meryem Marzouki, EDRI-Mitglied IRIS - Frankreich)