EuGH-Urteil zu IP-Adressen

Webseitenbetreiber sind in der Pflicht

25.10.2016
Von    und Christoph Maiworm
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Webseitenbetreiber dürfen dynamische IP-Adressen jetzt nur noch unter strengen Voraussetzungen verarbeiten - Ausnahmen vorbehalten.

Nach einer aktuellen Entscheidung des Europäischen Gerichtshofs (EuGH) stellen "dynamische IP-Adressen" ein personenbezogenes Datum dar. Die jahrelang geführte Diskussion über die Anwendbarkeit des (deutschen) Datenschutzrechts auf dynamische IP-Adressen ist damit beendet.

Der Europäische Gerichtshof hatte darüber zu entscheiden, ob dynamische IP-Adressen der Besucher von dem Betreiber einer Webseite gespeichert werden dürfen.
Der Europäische Gerichtshof hatte darüber zu entscheiden, ob dynamische IP-Adressen der Besucher von dem Betreiber einer Webseite gespeichert werden dürfen.
Foto: Olivier Le Moal - shutterstock.com

Worum ging es in dem Verfahren?

Der Fall wirkt zunächst wenig einschüchternd. Er dürfte in seiner Tragweite aber erhebliche Auswirkungen auf das Marktverhalten vieler Webseitenbetreiber haben. Denn die Speicherung von IP-Adressen ist vielerorts Standardprozedere beim Webseitenbesuch von Internetnutzern. So haben auch viele Webseiten von Einrichtungen des Bundes die IP-Adressen ihrer Besucher bislang ausnahmslos gespeichert. Die öffentliche Hand rechtfertigt das mit Anforderungen an die IT-Sicherheit ihrer IT-Systeme. Die Speicherung der IP-Adressen sei zur Abwehr von Angriffen auf die Server der Behörden, insbesondere einer potenziellen strafrechtlichen Verfolgung von Hackern, erforderlich. "Falsch", sagt Patrick Breyer, schleswig-holsteinischer Landtagsabgeordneter der Piratenpartei. Er sieht in der Speicherung der IP-Adressen eine "unzulässige Überwachung" der Internetnutzer und klagte gegen die Behördenpraxis.

Nachdem das Verfahren zunächst bis zum Bundesgerichtshof (BGH) gelangte, legte dieser dem EuGH zwei Fragen zur Auslegung des Europäischem Datenschutzrechts vor. Der BGH wollte vom EuGH wissen, ob

  1. eine dynamische IP-Adresse ein personenbezogenes Datum darstellt und damit den strengen Vorgaben an eine datenschutzkonforme Verarbeitung unterliegt und

  2. inwieweit eine Verarbeitung von IP-Adressen unter dieser Prämisse nach den Vorgaben des deutschen Telemediengesetzes (TMG) zulässig ist.

Mit seinem Urteil vom 19. Oktober 2016 (Az. C-582/14) hat der EuGH klargestellt, dass es sich bei dynamischen IP-Adressen um personenbezogene Daten handelt. Der somit einschlägige § 15 TMG, der eine Verarbeitung personenbezogener Daten durch einen Webseitenbetreiber nur unter strengen Vorgaben zulässt, sei allerdings zu restriktiv.
Unter Auslegung des europäischen Datenschutzrechts müsse eine Speicherung von dynamischen IP-Adressen durch einen Webseitenbetreiber auch zulässig sein, wenn dies aufgrund eines berechtigten Interesses des Webseitenbetreibers erforderlich sei. Das kann beispielsweise bei der Abwehr von Cyberattacken der Fall sein. Eine solche Möglichkeit sieht § 15 TMG bislang aber nicht vor.

IP-Adressen und der Datenschutz: Wo liegt das Problem?

Internetnutzer hinterlassen Spuren. Beim Surfen wird die Internetprotokoll-Adresse (kurz: IP-Adresse) des benutzten PCs, Tablets oder Smartphones an den Server des Webseitenbetreibers übermittelt, dessen Webseite aufgerufen wird. Viele Webseitenbetreiber beziehungsweise Hostingdienstleister, bei denen die Webseite betrieben wird, speichern die IP-Adresse in den zugrundeliegenden Protokolldaten. Dabei handelt es sich meist um dynamische IP-Adressen. Das sind IP-Adressen, die vom jeweiligen IT-Provider nur für einen beschränkten Zeitraum einem bestimmten Gerät zugeordnet werden. Das ermöglicht IT-Provider mehr Flexibilität in der Vergabe von IP-Adressen an seine Kunden.

Lange Zeit war umstritten, ob solche dynamischen IP-Adressen personenbezogene Daten im Sinne von § 3 Absatz 1 Bundesdatenschutzgesetz (BDSG) darstellen und damit unter das strenge (deutsche) Datenschutzregime fallen. Personenbezogene Daten sind "Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person". Über die Frage, wann eine Person aufgrund eines bestimmten Datums "bestimmbar" ist, herrschte zwischen Datenschutzaufsichtsbehörden und Unternehmen Uneinigkeit.
Für dynamische IP-Adressen war dies in besonderem Maße streitbar. Denn Webseitenbetreiber können die hinter dynamischen IP-Adressen stehenden Nutzer in aller Regel nicht selbst identifizieren. Dazu sind weitere Informationen der Internetzugangsprovider, wie beispielsweise der Telekom, erforderlich.

Der EuGH hat nun abschließend entschieden, dass es sich bei dynamischen IP-Adressen dennoch um personenbezogene Daten handelt. Dazu hat er sich eingehender mit der Frage auseinandergesetzt, welche Möglichkeiten Webseitenbetreiber haben, um eine dynamische IP-Adresse einer bestimmten Person zuzuordnen - es sich also um ein "bestimmbares" Datum handelt. Nach dem EuGH solle hierfür ausreichen, wenn ein Webseitenbetreiber über "rechtliche Mittel" verfüge, die vernünftigerweise eingesetzt werden könnten, um mit Hilfe Dritter die betreffende Person hinter der dynamischen IP-Adresse bestimmen zu lassen. Das sei in Deutschland laut EuGH möglich. Denn es bestehe die rechtliche Möglichkeit des Webseitenbetreibers, insbesondere im Fall von Cyberattacken, sich an die zuständigen Behörden zu wenden, um die fraglichen Informationen vom Internetzugangsprovider zu erlangen - beispielsweise um eine Strafverfolgung einzuleiten).