Home
Intern
Der EuGH hat mit Urteil vom 19.10.2016 (Az.: C-582/14) entschieden, dass dynamische IP-Adressen für Webseitenbetreiber personenbezogene Daten sind. Jedoch sind die einzuhaltenden Datenschutzvorschriften teilweise zu strikt und daher nicht mit dem EU-Recht vereinbar. Bleibt am Ende also alles beim Alten?
Die Entscheidung geht zurück auf eine Vorlage des BGH (Beschluss vom 28.10.2014, Az.: VI ZR 135/15). Der BGH hat sich mit einer Klage des Piratenpolitikers Patrick Breyer gegen die Bundesrepublik Deutschland auseinanderzusetzen. Er wendet sich gegen die Speicherung von IP-Adressen auf den Webseiten der Einrichtungen des Bundes (bspw. Ministerien).
Sie speichern sämtliche Daten des Abrufs wie Zeitpunkt, gesuchte Begriffe und IP-Adresse des zugreifenden Computers auch nach dem Abruf der Seite. Die Bundesregierung begründet das mit der Abwehr und strafrechtlichen Verfolgung von Cyber-Attacken. Herr Breyer sieht darin eine unzulässige Überwachung des Nutzungsverhaltens von Internetnutzern.
Entscheidend war die Frage der Bestimmbarkeit von Internetnutzern anhand der IP-Adressen. IP-Adressen werden Internetnutzern von ihrem Internet-Service-Provider (bspw. Telekom) zugewiesen und fungieren beim Surfen quasi als Absenderadresse. Über die Absenderadresse können die abgerufenen Inhalte an den richtigen Nutzer übermittelt werden. Neben statischen (gleich bleibenden) werden auch dynamische IP-Adressen vergeben, die sich in regelmäßigen Abständen ändern.
Eine Identifikation der Nutzer allein anhand dynamischer IP-Adressen ist nicht möglich. Vielmehr bedarf es weiterer Zusatzinformationen, über die nur der Internet-Service-Provider verfügt. Der EuGH lässt jedoch eine solche indirekte Identifikationsmöglichkeit mit Hilfe des Internet-Service-Providers ausreichen.
Interessant ist dabei besonders, dass der EuGH auf die bloße Möglichkeit der Identifikation der Nutzer abstellt. Er orientiert sich dabei offensichtlich an dem von der Bundesrepublik genannten Fall einer Cyber-Attacke. In diesem Fall soll die Identifikation mit Hilfe der Straf-verfolgungsbehörden und des Internet-Service-Providers möglich und vor allem zulässig sein. Der EuGH lässt somit die theoretische Bestimmbarkeit von Internetnutzern im „worst case” einer Cyber-Attacke ausreichen, um dynamische IP-Adressen für sämtliche Webseitenbetrei-ber allgemein als personenbezogene Daten zu qualifizieren.
Zugleich macht der EuGH einen Schritt rückwärts: Zwar unterliegen IP-Adressen als personenbezogene Daten den strengen Datenschutzvorschriften. Die Vorschriften des Telemediengesetzes sind nach Auffassung des EuGH wiederum zu streng. Demnach greift § 15 TMG zu kurz, wenn er die Verarbeitung personenbezogener Daten lediglich zu Abrechnungszwecken ermöglicht. Der EuGH sieht darin eine unzulässige Einschränkung der Datenschutzrichtlinie. Demnach ist die Verarbeitung personenbezogener Daten nach Interessenabwägung auch bei einem berechtigten Interesse des Verarbeitenden – hier des Webseitenbetreibers – zulässig. Da die Regelungen im TMG eine solche Abwägung im konkreten Einzelfall nicht zulassen, stehen sie der Datenschutzrichtlinie insoweit entgegen.
Im Ergebnis ist die Speicherung von IP-Adressen nach der Argumentation des EuGH weiterhin zulässig. Dynamische IP-Adressen unterliegen zwar den Datenschutzvorschriften, können bei berechtigtem Interesse des Webseitenbetreibers dennoch gespeichert werden. Ein solches Interesse hat der EuGH im vorliegenden Fall in der Aufrechterhaltung der Funktionsfähigkeit der Webseite gesehen. Das dürfte generell auf alle Webseitenbetreiber zutreffen.
Zunächst bleibt jedoch die Entscheidung des BGH abzuwarten. Auch wenn dieser der Argumentation des EuGH folgt, ist hinsichtlich des berechtigten Interesses nach dem EuGH stets eine Einzelfallabwägung vorzunehmen. Somit kann nicht pauschal von einer Zulässigkeit der Speicherung von IP-Adressen ausgegangen werden.
Webseitenbetreiber sollten daher ihren Umgang mit den IP-Adressen ihrer Besucher überprüfen. Sofern kein berechtigtes Interesse vorliegt, ist die Speicherung von IP-Adressen weiterhin grundsätzlich nur mit der Einwilligung des Nutzers zulässig.
Die Entscheidung des EuGH wird auch unter der ab dem 25. Mai 2018 geltenden Datenschutzgrundverordnung (DSGVO) Bestand haben. Die für die Entscheidung relevanten Vorschriften der Datenschutzrichtlinie sind im Wesentlichen inhaltsgleich in der DSGVO enthalten.
zuletzt aktualisiert am 22.12.2016
Juliane Grimm
Rechtsanwältin
Associate Partner
Anfrage senden
Profil
Alexander von Chrzanowski
Rechtsanwalt, Fachanwalt für IT-Recht und Arbeitsrecht
