BGH entscheidet und verweist zurück: Dyna­mi­sche IP-Adressen sind per­so­nen­be­zo­gene Daten

von Martin Kilgus

16.05.2017

2/2: Speicherung erlaubt nach Abwägung

Soweit danach dynamische IP-Adressen personenbezogene Daten darstellen, dürfen Sie nur verarbeitet werden, wenn dies entweder gesetzlich gestattet ist oder der Betroffene eingewilligt hat. Eine gesetzliche Gestattung kann sich in Deutschland aus § 15 Telemediengesetz ergeben. Danach dürfen personenbezogene Daten durch einen Website-Anbieter erhoben und gespeichert werden, soweit dies erforderlich ist, damit die Website genutzt werden kann. Darüber hinaus dürfen die Daten nach dem Wortlaut nur gespeichert werden, wenn dies zu Abrechnungszwecken erforderlich ist.

Bei einer reinen Informationsseite ohne kostenpflichtige Elemente und damit ohne Abrechnungsbedarf wäre die die Speicherung von IP-Adressen ohne Einwilligung daher unzulässig. Dieser Regelungsgehalt ist jedoch zu eng und deswegen mit der europäischen Datenschutzrichtlinie (RL 95/46/EG) nicht vereinbar, wie der EuGH im bereits zitierten Urteil entschied: Es müsse im Einzelfall eine Interessenabwägung möglich sein, wie dies in Art.  7 lit. f) der Datenschutzrichtlinie vorgesehen ist.
Die personenbezogenen Daten dürfen danach länger gespeichert werden, wenn nicht die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person die berechtigten Interessen des Website-Betreibers überwiegen. Auf Seiten des Website-Betreibers sei insbesondere das Interesse zu berücksichtigen, die generelle Funktionsfähigkeit des Internetangebots zu gewährleisten.

BGH folgt dem EuGH

Ausgehend von diesen Leitlinien des EuGH hatte der BGH nun zweierlei zu entscheiden: Zum einen, ob dem Website-Betreiber in Deutschland "rechtliche Mittel" zur Verfügung stehen, um den IP-Adressnutzer zu identifizieren, mithin also personenbezogene Daten vorliegen. Zum anderen stellte sich die Frage, ob die Speicherung der dynamischen IP-Adressen im konkreten Fall zulässig war.

Zur ersten Frage stellt der BGH fest, dass die dynamischen IP-Adressen für die Bundesrepublik Deutschland als Betreiber der Webseiten ein personenbezogenes Datum darstellen. Dies überrascht wenig, hatte doch schon der EuGH in seinem Urteil angemerkt, dass es als "rechtliches Mittel" genüge, wenn im Falle von Cyberattacken mit Hilfe der Strafverfolgungsbehörden die Nutzer hinter einer IP-Adresse identifiziert werden können.

Die zweite Frage vermochte der BGH nicht abschließend zu entscheiden: Das Berufungsgericht habe noch keine hinreichenden Feststellungen dazu getroffen, ob die Speicherung der IP-Adressen erforderlich ist, um die Funktionsfähigkeit der angebotenen Dienste zu gewährleisten. Zumindest gibt der BGH aber einige Anhaltspunkte, worauf zu achten ist: So sollen auf Seiten des Website-Anbieters, also der Bundesrepublik, das Gefahrenpotenzial und der "Angriffsdruck" berücksichtigt werden. Bei der Abwägung mit den Grundrechten und Grundfreiheiten der Seitenbesucher seien sodann auch Gesichtspunkte der Generalprävention und der Strafverfolgung zu berücksichtigen.

Eine unendliche Geschichte?

Es bleibt also spannend: Möglicherweise ergeben sich aus der noch ausstehenden Urteilsbegründung weitere Anhaltspunkte zum erforderlichen "Angriffsdruck" und weiteren Abwägungsaspekten.
Jedenfalls das Landgericht  Berlin, das nunmehr wieder mit der Sache befasst ist, wird sich zur Entscheidung des konkreten Falls dazu äußern müssen. Interessant wird sein, ob danach in der Abwägung auch berücksichtigt werden kann, dass die Internet-Provider Informationen zur Zuordnung zwischen Nutzer und IP-Adresse nur sehr begrenzt herausgeben dürfen.

In der Regel ist eine Zuordnung nach §§ 100b, 100g Strafprozessordnung nur nach richterlicher Anordnung bei Straftaten von im Einzelfall erheblicher Bedeutung oder Straftaten mittels Telekommunikation zulässig. Auch der Auskunftsanspruch des Urheberrechtsinhabers steht nach § 101 Abs. 9 Urhebergesetz unter Richtervorbehalt.

Martin Kilgus ist Rechtsanwalt bei CMS in Deutschland und berät schwerpunktmäßig zu Fragen des Datenschutzes und des IT-Rechts.

Zitiervorschlag

Martin Kilgus, BGH entscheidet und verweist zurück: Dynamische IP-Adressen sind personenbezogene Daten . In: Legal Tribune Online, 16.05.2017 , https://www.lto.de/persistent/a_id/22943/ (abgerufen am: 07.10.2022 )

Infos zum Zitiervorschlag