BGH verhandelt zur Zulässigkeit von IP-Adressen-Speicherung auf Websites
In einem wieder aufgenommenen Verfahren muss der Bundesgerichtshof abwägen, ob bei der IP-Adress-Speicherung die Sicherheitsargumente von Website-Betreibern oder die Persönlichkeitsrechte der Nutzer überwiegen.
Nach mehr als zwei Jahren Unterbrechung hat sich der Bundesgerichtshof (BGH) am heutigen Dienstag wieder mit der Frage beschäftigt, ob Einrichtungen des Bundes IP-Adressen der Nutzer ihrer Websites speichern dürfen. Ausgangspunkt des seit zehn Jahren andauernden Rechtsstreits ist eine Klage des Schleswig-Holsteinischen Piraten-Landtagsabgeordneten Patrick Breyer gegen die Bundesrepublik Deutschland.
Der Datenschutzaktivist will erreichen, dass es sämtlichen Websites des Bundes untersagt wird, IP-Adressen von Websitebesuchern ohne Einwilligung drei Monate lang zu speichern. Er sieht in dieser selbst beobachteten Praxis einen Verstoß gegen das verfassungsmäßige Recht auf Informationelle Selbstbestimmung der Betroffenen sowie einen Verstoß gegen Paragraf 12 Telemediengesetz (TMG), wonach ein Diensteanbieter personenbezogene Daten zur Bereitstellung von Telemedien nur aufgrund einer Rechtsgrundlage oder mit Einwilligung des Nutzers erheben und verwenden darf.
Die Bundesregierung hielt mit dem Argument dagegen, dass das Sammeln von Daten notwendig sei, um den sicheren Betrieb der Server zu ermöglichen und um möglichenfalls Angreifer identifizieren zu können. Außerdem handle es sich bei dynamischen IP-Adressen nicht um personenbezogene Daten, da ohne Hilfe des Zugangsanbieters keine Möglichkeit bestehe, Nutzer anhand der IP-Adresse zu identifizieren.
Paragraf 15 TMG europarrechtswidrig
Der BGH hatte im Rahmen eines Vorabentscheidungsverfahrens den Europäischen Gerichtshof (EuGH) angerufen, um europarechtliche Aspekte klären zu lassen. Der EuGH hatte im Oktober 2016 klargestellt, dass es für den Personenbezug von IP-Adressen ausreicht, wenn ein Anbieter von Online-Mediendiensten die rechtliche Möglichkeit hat, sich insbesondere im Fall von Cyberattacken zum Beispiel an Strafverfolgungsbehörden zu wenden, um so den Anschlussinhaber vom Zugangsanbieter zu erfahren. Damit war zumindest der lange schwelende Streit, ob dynamische IP-Adressen ein personenbezogenes Datum darstellen, geklärt.
Allerdings hatte der EuGH im selben Urteil auch festgestellt, dass der einschlägige Paragraf 15 Absatz 1 TMG gegen EU-Recht verstößt. Der deutschen Regelung zufolge darf der Website-Betreiber "personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen." Laut EuGH werde hier die in der europäischen Datenschutzrichtlinie vorgesehene Abwägung zwischen den berechtigten Interessen des Diensteanbieters und den Grundfreiheiten und Grundrechten des Nutzers nicht berücksichtigt.
Deshalb sei die Verarbeitung von personenbezogenen Daten wie IP-Adressen eben doch rechtmäßig, "wenn sie zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder dem bzw. Dritten wahrgenommen wird, denen die Daten übermittelt werden, erforderlich ist, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen“
Sicherheit vs. Persönlichkeitsrecht
Im wiederaufgenommenen Verfahren (Az. VI ZR 135/13) muss der 6. Zivilsenat des BGH deshalb nun abwägen, ob die Sicherheitsargumente von Website-Betreibern oder die Persönlichkeitsrechte der Nutzer überwiegen. In der einstündigen mündliche Verhandlung gingen heute die Parteien auf das Urteil des EuGH ein und legten ihre Rechtsansicht dar.
Breyers Vertreter, der BGH-Anwalt Dr. Michael Schultz, machte noch einmal deutlich, dass eine Speicherung von IP-Adressen nach Meinung seines Mandanten keinen Beitrag zur Sicherheit von IT-Systemen leisten würde. Er verwies hierbei erneut auf ein Sachverständigengutachten (PDF) des Landgerichts (LG) Berlin, was dies bestätigen soll.
Der Vertreter der Bundesregierung ging auf die rechtliche Möglichkeit ein, IP-Adressen vom Zugangsprovider zu erlangen. Ein hierauf gerichteter zivilrechtlicher Anspruch bestehe nicht und strafprozessual habe man als Website-Betreiber keinen Einfluss auf das Verfahren. Zwar könne man bei der Staatsanwaltschaft Anzeige erstatten. Aber ob, wie und vor allen Dingen wie schnell im Falle einer Cyber-Attacke ermittelt werde, könne der Diensteanbieter nicht beeinflussen. Da IP-Adressen zeitlich begrenzt gespeichert würden, müsse man weniger von einem Rechtsanspruch sondern vielmehr von der Hoffnung auf Herausgabe der Daten sprechen.
ZurĂĽck zum Landgericht?
Einig waren sich die Parteien darin, dass das Verfahren zurück an das Berufungsgericht verwiesen werden müsse. Das LG Berlin hatte Anfang 2013 entschieden, dass eine Speicherung untersagt sei, falls der Website-Betreiber selbst von den IP-Adressen auf die Nutzer schließen kann (Az. 57 S 87/08) – was der Fall ist, wenn der Nutzer selbst weitere personenbezogene Daten beim Besuch der Website angibt. Nicht entschieden hatte es jedoch, ob die Speicherung von IP-Adressen zur generellen Funktionsfähigkeit der Websites notwendig ist. Diese Entscheidung stünde jetzt an.
Der 6. Zivilsenat hat am heutigen Dienstag Nachmittag mitgeteilt, dass er die Entscheidung in der Sache vertagt hat. Sein Urteil will er nunmehr am 16. Mai 2017 verkünden. Der Kläger Patrick Breyer gab sich heute in Karlsruhe gegenüber heise online kämpferisch: Falls nötig werde er das Verfahren bis zum Bundesverfassungsgericht bringen. (hob)