EuGH korrigiert Urteil zum Datenschutz von IP-Adressen
Der Europäische Gerichtshof hat klargestellt, dass IP-Adressen personenbeziehbar und damit besonders geschützt sind, wenn etwa bei einem Cyberangriff Ermittler anhand der Logfiles Bestandsdaten vom Provider einholen können.
(Bild: dpa, Thomas Frey)
Das Urteil des Europäischen Gerichtshofs (EuGH) im Fall des Datenschutzaktivisten und Piraten Patrick Breyer gegen die Bundesrepublik Deutschland hat vielfach zu der Annahme geführt, dass eine IP-Adresse nur personenbezogen und damit datenschutzrechtlich speziell geschützt sei, wenn der Anbieter eines Telemediendienstes wie einer Webseite den Inhaber der Internetkennung selbst identifizieren könne. Beobachter sahen den Datenschutz im Netz damit "in Trümmern", da der Personenbezug nun etwa durch "geschickte Vertragsgestaltung" ausgeschlossen werden könnte.
Der Kläger hat auf Antrag seines Anwalts Meinhard Starostik nun aber erreichen können, dass der EuGH das Urteil in der deutschen Sprachfassung in einem kleinen, aber entscheidenden Punkt wegen Schreib- beziehungsweise Übersetzungsfehlern berichtigt hat. Die Luxemburger Richter stellen damit klar, dass es für den Personenbezug von IP-Adressen ausreicht, wenn sich der Anbieter von Online-Mediendiensten insbesondere bei Cyberattacken an die zuständige Ermittlungsbehörde wenden kann. Dieser obliege es dann, "die nötigen Schritte" zu unternehmen, "um die fraglichen Informationen vom Internetzugangsanbieter zu erlangen und die Strafverfolgung einzuleiten".
Zuordnung nicht auszuschließen
Ordnungshüter können demnach in der Regel anhand zumindest kurzfristig verfügbarer Logfiles Name und Anschrift zu der Netzkennung hinter einem Angreifer beim Provider anfordern. Nur die Strafverfolger müssten also die IP-Adresse zuordnen können, nicht schon etwa der Betreiber einer Webseite selbst. Ob dem tatsächlich so ist, muss der Bundesgerichtshof (BGH) als die Instanz, die den Streit dem EuGH vorgelegt hat, nun nach wie vor selbst noch prüfen.
Breyer geht davon aus, dass die erwähnte Zuordnung zumindest hierzulande in Bezug auf deutsche Nutzer mithilfe einer Bestandsdatenauskunft stets möglich beziehungsweise zumindest nicht auszuschließen sei. IP-Adressen unterlägen so praktisch "immer dem Datenschutz" und dürften nur bei "berechtigtem Interesse" gespeichert werden. "Gut so", kommentierte der Jurist die Korrektur gegenüber heise online, "denn das Recht auf informationelle Selbstbestimmung muss auch vor falschem Verdacht, unberechtigten Abmahnungen" sowie dem Klau, Verlust und Missbrauch von Daten schützen. Dies gehe nicht, wenn das Risiko von Rechtsverstößen völlig ausgeblendet werde.
Webseiten des Bundes sollen nicht speichern
Mit der Auseinandersetzung will Breyer generell erreichen, dass Webseiten des Bundes nicht länger IP-Adressen der Besucher ohne deren Einwilligung drei Monate lang aufbewahren und sie damit nachverfolgbar machen. Die Bundesregierung hält die Datensammelei für nötig, um den sicheren Betrieb der Server zu ermöglichen und gegebenenfalls Angreifer ausfindig machen zu können. Breyer bemüht sich in seinem Blog, auch weitere Irrtümer und Missverständnisse rund um das Urteil aufzuklären. (anw)
