EuGH lockert Verbot von IP-Adress-Speicherung
Der Europäische Gerichtshof hält dynamisch vergebene IP-Adressen unter Umständen für personenbezogene Daten. Dennoch sei das strenge Verbot der IP-Adressen-Speicherung durch Website-Betreiber mit EU Recht unvereinbar.
(Bild: dpa, Thomas Frey)
Der Europäische Gerichtshof (EuGH) hält dynamisch vergebene IP-Adressen für "personenbezogene Daten" im Sinne des Datenschutzrechts – aber nur unter bestimmten Voraussetzungen. Dies teilte das oberste europäische Gericht am heutigen Mittwoch mit. Zu dem lange erwarteten Urteil in der Sache "Patrick Breyer vs. Bundesrepublik Deutschland" (Az. C 582/14) liegt bislang allerdings nur die Pressemitteilung vor. Der Volltext des Urteils dürfte im Laufe des Tages folgen.
Dynamisch vergebene IP-Adressen seien nur dann personenbezogen, wenn der sie speichernde Website-Betreiber "über rechtliche Mittel verfügt, die es ihm erlauben, den betreffenden Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen". Im Klartext: Nur falls der Betreiber – etwa im Fall eines Angriffs auf die Website – vom vergebenden Zugangsprovider Name und Anschrift des Adressinhabers erhalten kann, sind die Adressen auch personenbezogen. Dazu bestünden "in Deutschland offenbar rechtliche Möglichkeiten", erklärte der EuGH.
Das Gericht dürfte darauf abheben, dass Betreiber eine Strafanzeige stellen können und damit Strafverfolgungsbehörden dazu bringen, die Daten zu ermitteln. Über die Akteneinsicht in dieses Verfahren könnten sie an die Informationen gelangen. Da diese Möglichkeit jedem Betreiber grundsätzlich offensteht, könnte die EuGH-Entscheidung in der Weise ausgelegt werden, dass damit alle dynamisch vergebenen IP-Adressen darunter fallen. Dies ist aber noch unklar. Es bleibt abzuwarten, ob der Urteilsvolltext Klärung bringt.
Deutsches Datenschutzrecht ungültig
In seinem Urteil stellte der EuGH außerdem fest, dass Paragraf 15 Absatz 1 des deutschen Telemediengesetzes (TMG) gegen EU-Recht verstößt. Diesem Absatz zufolge dürfen Website-Betreiber IP-Adressen ihrer Besucher nur speichern, wenn sie für die Nutzung oder Abrechnung erforderlich sind. Diese in Deutschland gängige Praxis stehe der EU-Datenschutzrichtlinie aus dem Jahr 1995 entgegen.
Die Verarbeitung personenbezogener Daten sei rechtmäßig, "wenn sie zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, erforderlich ist, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen". Diese Abwägung fehle im TMG. Konkret dürfte das heißen, dass es Website-Betreibern durchaus erlaubt sein könnte, etwa zu Systemsicherungszwecken IP-Adressen zu speichern.
Lang schwelender Rechtsstreit
Im konkreten Fall geht es um eine gerichtliche Auseinandersetzung des Schleswig-Holsteinischen Piraten-Abgeordneten Patrick Breyer mit der Bundesrepublik Deutschland. Dieser Rechtsstreit schwelt bereits seit 2007. Breyer möchte, dass alles Websites des Bundes aufhören, IP-Adressen der Besucher ohne Einwilligung drei Monate lang zu speichern und damit Tracking zu ermöglichen. Letztlich geht es dem Datenschützer um ein generelles Verbot von IP-Logging ohne konkrete Einwilligung.
Die Bundesregierung argumentiert, die Speicherung sei nötig, um den sicheren Betrieb der Webserver zu ermöglichen, also gegebenenfalls Angriffe abzuwehren und Angreifer zu identifizieren. Sie insistiert, dass sie ohne Hilfe von Zugangsanbietern bei dynamisch vergebenen IP-Adressen keine Möglichkeit habe, Besucher anhand ihrer IP-Adresse zu identifizieren. Dies sei ihr ohnehin verboten. Die gespeicherten IP-Adressen seien deshalb keine personenbezogenen Daten im Sinne des Bundesdatenschutzgestzes (BDSG), sondern lediglich von Dritten personenbeziehbar.
Möglicher Missbrauch
Breyer genügt das nicht. Seiner Argumentation zufolge sind "nur gelöschte Surfprotokolle wirklich wirksam vor Zuordnung und Missbrauch geschützt". Die IP-Adress-Speicherung sei de facto eine dreimonatige Vorratsdatenspeicherung und ermögliche Nutzer-Tracking ohne Einwilligung. Der Bund verstoße gegen das Recht auf informationelle Selbstbestimmung der Website-Besucher sowie gegen Paragraf 12 TMG.
Zuletzt hatte das Landgericht (LG) Berlin in der Sache Anfang 2013 als Berufungsinstanz entschieden. Demnach ist die Speicherung nur untersagt, falls der Website-Betreiber selbst von den IP-Adressen auf die Besucher schließen kann (Az. 57 S 87/08). Solange der Nutzer also keine "Personalien, auch in Form einer die Personalien ausweisenden E-Mail-Anschrift" angebe, sei die Speicherung zulässig. Sowohl Breyer als auch die Bundesregierung haben gegen dieses Urteil Revision eingelegt, sodass sich nun der Bundesgerichtshof (BGH) mit der Frage befasst.
EuGH befragt
Im Oktober 2014 hat der BGH per Beschluss den EuGH um Klärung gebeten, inwieweit IP-Adressen nach europäischem Datenschutzrecht personenbezogen sind. Außerdem möchte das oberste deutsche Gericht wissen, ob die europäische Datenschutzrichtlinie im Einklang mit dem deutschen Datenschutzrecht steht, wonach eine Speicherung von IP-Adressen über den Nutzungszeitraum der Website hinaus zu Systemsicherungszecken nicht zulässig ist.
Im Mai hatte dazu bereits der Generalanwalt Manuel Campos Sánchez-Bordona für den Europäischen Gerichtshof (EuGH) Stellung bezogen. Er hält es für erforderlich, Daten auch bereits dann zu schützen, wenn ein Dritter in der Lage wäre, den Bezug der Daten zu einer Person herzustellen. Es sei aber nicht jedes Wissen eines hypothetischen, unbekannten und unerreichbaren Dritten relevant. Aber zu beachten sei eben doch zumindest das Wissen auch solcher Akteure, die "vernünftigerweise durchführbar oder praktikabel" die Zusatzinformationen zum Personenzug liefern könnten.
[Update 19.10.16, 14:00 Uhr]
Der EuGH hat das Urteil nunmehr veröffentlicht. Darin bestätigt das Gericht, dass es nur von einem "relativen" Personenbezug von dynamisch vergebenen IP-Adressen ausgeht. Website-Betreiber haben demnach lediglich unter Zurhilfenahme von Zugangs-Providern die Möglichkeit, ihre Nutzer anhand der IP-Adressen zu bestimmen.
Der BGH habe in seiner Vorlageentscheidung zwar darauf hingewiesen, dass das deutsche Recht es Zugangsanbietern nicht erlaube, dem Website-Betreiber die zur Identifizierung der betreffenden Person erforderlichen Zusatzinformationen "direkt zu übermitteln". Doch gebe es demnach offenbar für Website-Betreiber rechtliche Möglichkeiten, die es ihm erlauben, sich insbesondere im Fall von Cyberattacken an die zuständige Behörde zu wenden, um die fraglichen Informationen vom Internetzugangsanbieter zu erlangen und die Strafverfolgung einzuleiten. Ob dies so sei, habe der BGH noch zu prüfen.
Breyer enttäucht
In einer ersten Stellungnahme räumt der Kläger Patrick Breyer ein, seine Ziele verfehlt zu haben: "Zwar konnte ich den jahrelangen Streit darüber, ob Surfprotokolle mit IP-Adressen dem Datenschutz unterliegen, für mich entscheiden. Gleichzeitig hat der Gerichtshof aber das Verbot einer massenhaften Surfprotokollierung, das im deutschen Telemediengesetz festgelegt war, gekippt. Ob das EU-Recht Anbietern eine massenhafte Aufzeichnung unseres Internet-Nutzungsverhaltens gestattet und wenn ja, wie lange, lässt der Gerichtshof offen und unentschieden."
Breyer befürchtet nun neue Rechtsunsicherheiten: "Die geforderte Interessensabwägung dürfte die Gerichte noch lange beschäftigen." Er betont, dass seiner Ansicht nach die Speicherung von IP-Adressen zum sicheren Betrieb einer Websites nich nötig sei – anders als vom Bund behauptet. Ein Gerichtsgutachten belege das. "Internet-Systeme durch Nutzerüberwachung schützen zu wollen wäre so sinnlos wie über eine offene Lagerhalle eine Videokamera zu hängen", sagte Breyer. (hob)
