Nach einer aktuellen Entscheidung des Europäischen Gerichtshofs (EuGH) stellen "dynamische IP-Adressen" ein personenbezogenes Datum dar. Die jahrelang geführte Diskussion über die Anwendbarkeit des (deutschen) Datenschutzrechts auf dynamische IP-Adressen ist damit beendet.
Foto: Olivier Le Moal - shutterstock.com
Worum ging es in dem Verfahren?
Der Fall wirkt zunächst wenig einschüchternd. Er dürfte in seiner Tragweite aber erhebliche Auswirkungen auf das Marktverhalten vieler Webseitenbetreiber haben. Denn die Speicherung von IP-Adressen ist vielerorts Standardprozedere beim Webseitenbesuch von Internetnutzern. So haben auch viele Webseiten von Einrichtungen des Bundes die IP-Adressen ihrer Besucher bislang ausnahmslos gespeichert. Die öffentliche Hand rechtfertigt das mit Anforderungen an die IT-Sicherheit ihrer IT-Systeme. Die Speicherung der IP-Adressen sei zur Abwehr von Angriffen auf die Server der Behörden, insbesondere einer potenziellen strafrechtlichen Verfolgung von Hackern, erforderlich. "Falsch", sagt Patrick Breyer, schleswig-holsteinischer Landtagsabgeordneter der Piratenpartei. Er sieht in der Speicherung der IP-Adressen eine "unzulässige Überwachung" der Internetnutzer und klagte gegen die Behördenpraxis.
Nachdem das Verfahren zunächst bis zum Bundesgerichtshof (BGH) gelangte, legte dieser dem EuGH zwei Fragen zur Auslegung des Europäischem Datenschutzrechts vor. Der BGH wollte vom EuGH wissen, ob
eine dynamische IP-Adresse ein personenbezogenes Datum darstellt und damit den strengen Vorgaben an eine datenschutzkonforme Verarbeitung unterliegt und
inwieweit eine Verarbeitung von IP-Adressen unter dieser Prämisse nach den Vorgaben des deutschen Telemediengesetzes (TMG) zulässig ist.
Mit seinem Urteil vom 19. Oktober 2016 (Az. C-582/14) hat der EuGH klargestellt, dass es sich bei dynamischen IP-Adressen um personenbezogene Daten handelt. Der somit einschlägige § 15 TMG, der eine Verarbeitung personenbezogener Daten durch einen Webseitenbetreiber nur unter strengen Vorgaben zulässt, sei allerdings zu restriktiv.
Unter Auslegung des europäischen Datenschutzrechts müsse eine Speicherung von dynamischen IP-Adressen durch einen Webseitenbetreiber auch zulässig sein, wenn dies aufgrund eines berechtigten Interesses des Webseitenbetreibers erforderlich sei. Das kann beispielsweise bei der Abwehr von Cyberattacken der Fall sein. Eine solche Möglichkeit sieht § 15 TMG bislang aber nicht vor.
IP-Adressen und der Datenschutz: Wo liegt das Problem?
Internetnutzer hinterlassen Spuren. Beim Surfen wird die Internetprotokoll-Adresse (kurz: IP-Adresse) des benutzten PCs, Tablets oder Smartphones an den Server des Webseitenbetreibers übermittelt, dessen Webseite aufgerufen wird. Viele Webseitenbetreiber beziehungsweise Hostingdienstleister, bei denen die Webseite betrieben wird, speichern die IP-Adresse in den zugrundeliegenden Protokolldaten. Dabei handelt es sich meist um dynamische IP-Adressen. Das sind IP-Adressen, die vom jeweiligen IT-Provider nur für einen beschränkten Zeitraum einem bestimmten Gerät zugeordnet werden. Das ermöglicht IT-Provider mehr Flexibilität in der Vergabe von IP-Adressen an seine Kunden.
Lange Zeit war umstritten, ob solche dynamischen IP-Adressen personenbezogene Daten im Sinne von § 3 Absatz 1 Bundesdatenschutzgesetz (BDSG) darstellen und damit unter das strenge (deutsche) Datenschutzregime fallen. Personenbezogene Daten sind "Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person". Über die Frage, wann eine Person aufgrund eines bestimmten Datums "bestimmbar" ist, herrschte zwischen Datenschutzaufsichtsbehörden und Unternehmen Uneinigkeit.
Für dynamische IP-Adressen war dies in besonderem Maße streitbar. Denn Webseitenbetreiber können die hinter dynamischen IP-Adressen stehenden Nutzer in aller Regel nicht selbst identifizieren. Dazu sind weitere Informationen der Internetzugangsprovider, wie beispielsweise der Telekom, erforderlich.
Der EuGH hat nun abschließend entschieden, dass es sich bei dynamischen IP-Adressen dennoch um personenbezogene Daten handelt. Dazu hat er sich eingehender mit der Frage auseinandergesetzt, welche Möglichkeiten Webseitenbetreiber haben, um eine dynamische IP-Adresse einer bestimmten Person zuzuordnen - es sich also um ein "bestimmbares" Datum handelt. Nach dem EuGH solle hierfür ausreichen, wenn ein Webseitenbetreiber über "rechtliche Mittel" verfüge, die vernünftigerweise eingesetzt werden könnten, um mit Hilfe Dritter die betreffende Person hinter der dynamischen IP-Adresse bestimmen zu lassen. Das sei in Deutschland laut EuGH möglich. Denn es bestehe die rechtliche Möglichkeit des Webseitenbetreibers, insbesondere im Fall von Cyberattacken, sich an die zuständigen Behörden zu wenden, um die fraglichen Informationen vom Internetzugangsprovider zu erlangen - beispielsweise um eine Strafverfolgung einzuleiten).
Was heißt das nun für die Speicherung von IP-Adressen?
Da der EuGH dynamische IP-Adressen als personenbezogene Daten einordnet, dürfen diese nur noch erhoben und verarbeitet werden, wenn das Gesetz dies eindeutig vorsieht (sogenannter Rechtfertigungsgrund) oder der Internetnutzer hierin eindeutig eingewilligt hat. Das bestimmt § 4 Absatz 1 BDSG. Juristen sprechen vom sogenannten "Verbot mit Erlaubnisvorbehalt".
Zum Video: Webseitenbetreiber sind in der Pflicht
In diesem Zusammenhang entscheidend ist § 15 TMG. Die Speicherung der dynamischen IP-Adresse von Internetnutzern ist danach - zusammengefasst - nur zulässig, wenn dies für die Nutzung der Webseite oder zu Zwecken der Abrechnung erforderlich ist. Dann wäre die Speicherung von dynamischen IP-Adressen aber per se unzulässig. Denn bei den meisten Webseiten dürfte diese weder für die Nutzung der Webseite noch für Abrechnungszwecken erforderlich sein.
Der EuGH hat entschieden, dass dieses Ausnahmeverhältnis zu restriktiv ist. Denn die für das TMG maßgebliche Regelung der übergeordneten Europäischen Datenschutzrichtlinie 95/46 (konkret: Art. 7 Buchstabe f) sieht einen weitergehenden Spielraum für die Speicherung von IP-Adressen vor. Danach ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie zur Verwirklichung des berechtigten Interesses erforderlich ist, das von dem für die Verarbeitung Verantwortlichen oder von dem beziehungsweise dem Dritten wahrgenommen wird, denen die Daten übermittelt werden - sofern nicht das Interesse oder die Grundfreiheiten der betroffenen Person überwiegen. Ein berechtigtes Interesse kann dann auch die "Aufrechterhaltung der Funktionsfähigkeit" der Webseite -beispielsweise gegen Cyberattacken - sein.
Da § 15 TMG eine solche Abwägung nicht vorsieht, sondern die Speicherung von personenbezogenen Daten, wie der dynamischen IP-Adressen, auf technische Notwendigkeiten reduziert, ist die bestehende Regelung nach der Entscheidung des EuGH mit der Europäischen Datenschutzrichtlinie 95/46 nicht vereinbar. Die Bestimmung ist europarechtskonform auszulegen.
Wie geht es weiter?
Das EuGH-Urteil trifft generalistische Aussagen zum Umgang mit dynamischen IP-Adressen. Da es sich um ein Urteil in einem Vorabentscheidungsersuchen handelt, wird das Verfahren nun an den BGH zurückverwiesen. Dieser muss zeitnah unter Berücksichtigung der dargestellten Entscheidungsgründe des EuGH im Einzelfall entscheiden.
Nach den Entscheidungsgründen des EuGH ist aber schon klar: Behörden und Unternehmen werden gehalten sein, ihre Webseiten genau auf die Speicherung von (dynamischen) IP-Adressen hin zu untersuchen und unter Umständen die bestehende Praxis umzustellen. Denn die Speicherung von IP-Adressen wird trotz europarechtskonformer Auslegung von § 15 TMG ohne konkreten und berechtigten Anlass nicht (mehr) möglich sein. Kritisch zu hinterfragen ist auch der Einsatz von Trackingtools. Häufig werden hier nämlich IP-Adressen ohne Einwilligung (und ein berechtigtes Interesse) gespeichert und zu Marketingzwecken verwendet. Das kann nach dem Urteil des EuGH mit gesteigerten Risiken verbunden sein.