3. November 2016Datenschutz

Ein schwarzer Tag für den Datenschutz? EuGH entscheidet über das Speichern dynamischer IP-Adressen

Der Entscheidung des EuGH lag ein Rechtsstreit des Piratenpartei-Abgeordneten Patrick Breyer gegen die Bundesrepublik Deutschland zugrunde, in dem er sich gegen die Aufzeichnung und Speicherung seiner IP-Adresse während sowie nach dem Zugriff auf Webseiten von Einrichtungen des Bundes zur Wehr setzte. Der Bundesgerichtshof (BGH) legte hierzu dem EuGH zwei entscheidungserhebliche Fragen zur Klärung vor, die sinngemäß lauteten:

  1. Stellt eine IP-Adresse, die ein Website-Betreiber im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon ein personenbezogenes Datum dar, wenn die Identifizierung erst durch Informationen eines Dritten (hier des Zugangsanbieters) möglich wird?
  2. Verstößt das deutsche Telemediengesetz mit § 15 Abs. 1 TMG gegen die europäische Datenschutz-Richtlinie? (Nach § 15 Abs. 1 TMG dürfen Webseitenbetreiber personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben und verwenden soweit dies erforderlich ist, um die konkrete Nutzung des Telemediums durch den jeweiligen Nutzer zu ermöglichen oder abzurechnen)

Der EuGH bejahte beide Fragen im Grundsatz und sorgte damit auf Seitens Breyer für Bestürzung, klärt damit jedoch eine in der datenschutzrechtlichen Literatur langewährende Diskussion um einen nachweisbaren Personenbezug dynamischer IP-Adressen.


Sind dynamische IP-Adressen personenbezogene Daten?

Laut EuGH ist dies der Fall, wenn die Identität des Nutzers auch auf legitime Weise durch Hinzuziehung des Sonderwissens des Internetzugangsanbieters bestimmt werden kann. Dies geschieht bspw. im Rahmen eines Auskunftsrechts zur Vorbeugung und Aufklärung möglicher Cyberattacken:

Der Anbieter von Online-Mediendiensten verfügt somit offenbar über Mittel, die vernünftigerweise eingesetzt werden könnten, um mit Hilfe Dritter, und zwar der zuständigen Behörde und dem Internetzugangsanbieter, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen.“ (EuGH, Urt. v. 19.10.2016, Rs. C-582/14, Rn. 48)

Es kommt somit nicht – wie die Gegenmeinung behauptete – darauf an, dass der entsprechende Website-Betreiber nicht selbst über die Informationen verfügt, die für eine Identifizierung ohne unverhältnismäßigen Aufwand erforderlich sind.

Der EuGH begründet seine Entscheidung im Wesentlichen mit dem Wortlaut von Art. 2 Buchst. A der Richtlinie 95/46 (Datenschutz-Richtlinie), wonach nicht nur eine direkt identifizierbare, sondern auch eine indirekt identifizierbare Person als bestimmbar angesehen wird. Ergänzt wird diese Begründung durch den 26. Erwägungsgrund der genannten Richtlinie, der auf die Mittel Bezug nimmt, die vernünftigerweise entweder von dem Verantwortlichen für die Datenverarbeitung selbst oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen. Dies ist nach dem EuGH ein Indiz dafür, dass es für die Einstufung als personenbezogenes Datum nicht notwendig sei, dass sich alle zur Identifizierung der betreffenden Person erforderlichen Informationen in den Händen einer einzigen Person befänden.


Darf die IP-Adresse auch über die jeweilige Nutzung der entsprechenden Internetseite hinaus gespeichert werden?

Die Bundesrepublik Deutschland begründete die Speicherung aller Zugriffe auf ihre Internetseiten damit, dass dies notwendig sei, um Angriffe abzuwehren und die strafrechtliche Verfolgung von Angreifern zu ermöglichen. Gespeichert wurden deshalb nach dem Abruf der Webseite der Name der abgerufenen Seite bzw. Datei, die in Suchfelder eingegebenen Begriffe, der Zeitpunkt des Abrufs, die übertragene Datenmenge, die Meldung, ob der Abruf erfolgreich war und letztendlich die IP-Adresse des zugreifenden Computers. Dies sei für die Gewährleistung und Aufrechterhaltung der Sicherheit und Funktionsfähigkeit der von ihr allgemein zugänglich gemachten Websites für Online-Mediendienste erforderlich, insbesondere um sogenannte „Denial-of-Services“-Cyberangriffe zu erkennen und zu verhindern. Diese beabsichtigen, durch gezieltes und koordiniertes Fluten einzelner Webserver mit einer Vielzahl von Anfragen, die Funktionsfähigkeit dieser Webseiten lahm zu legen.

Es bestand jedoch ein Problem: Diese langfristige Speicherung der Daten ging eigentlich über die Grenzen des § 15 Abs. 1 TMG hinaus, wonach der Dienstanbieter personenbezogene Daten eines Nutzers nur erheben und verwenden darf, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. In der Literatur wurde nämlich überwiegend die Auffassung vertreten, dass die Erhebung und Verwendung der personenbezogenen Daten eines Nutzers nur erlaubt sei, um eine konkrete Nutzung der Website zu ermöglichen. Eine generelle Gewährleistung und Aufrechterhaltung der Sicherheit und Funktionsfähigkeit der Internetseite solle von § 15 Abs. 1 TMG aber nicht erfasst sein.

Diesem Verständnis widersprach der EuGH jetzt und begründete dies damit, dass Art. 7 der Richtlinie 95/46 eine erschöpfende und abschließende Liste der Fälle vorsieht, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann. Den Mitgliedsstaaten sei es deshalb nicht gestattet, neue Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung personenbezogener Daten neben diesen Artikel einzuführen oder zusätzliche Bedingungen aufzustellen, die die Tragweite eines der sechs in Art. 7 der Richtlinie 95/46 vorgesehenen Grundsätze verändern würden. Konkret berief sich der EuGH auf Art. 7 Buchst. f der Richtlinie, wonach auf die Verwirklichung eines „berechtigten Interesses“, das von dem für die Verarbeitung Verantwortlichen wahrgenommen wird, abgestellt und eine Interessenabwägung im Einzelfall ermöglicht wird. Dies sei aber durch die Regelung in § 15 Abs. 1 TMG nicht gewährleistet. Der EuGH stellt vielmehr klar, dass die Einrichtungen des Bundes durchaus ein berechtigtes Interesse im Sinne der Richtlinie daran haben könnten, die Aufrechterhaltung der Funktionsfähigkeit der von ihnen allgemein zugänglich gemachten Websites über ihre konkrete Nutzung hinaus zu gewährleisten.

 

Fazit

Da ein großer Teil der Website-Betreiber aus ähnlichen Gründen wie Einrichtungen der Bundesrepublik Deutschland die IP-Adressen ihrer Nutzer speichert, kann dem Urteil eine entscheidende Bedeutung beigemessen werden. Es stellt nun eindeutig klar, dass die restriktive Auslegung von § 15 Abs. 1 TMG nicht mit dem EU-Recht vereinbar und eine über den jeweiligen Zugriff der Internetseite hinausgehende Speicherung von IP-Adressen zumindest nicht grundsätzlich verboten ist. Wie so oft wird es auch hier wieder sehr auf den jeweiligen Einzelfall darauf ankommen, ob ein „berechtigtes Interesse“ des Website-Betreibers bejaht werden und ob dies im Rahmen einer Abwägung mit den Interessen des Betroffenen – namentlich seinen Grundrechten und Grundfreiheiten – überwiegen kann.

Auch wenn Patrick Breyer in der für ihn entscheidenden Frage unterlag und die Entscheidung für ihn somit ein schwarzer Tag für den Datenschutz war, bleibt ihm doch ein Wermutstropfen: Er hat mit seinem Verfahren eine Grundsatzentscheidung zu der Frage nach der Personenbeziehbarkeit von dynamischen IP-Adressen erwirkt, die eine jahrelange Diskussion zugunsten des Datenschutzes beendet haben könnte.

 

 

nach oben
Mehr zum Thema

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.