Druckversion
Donnerstag, 1.06.2023, 09:52 Uhr


Legal Tribune Online
Schriftgröße: abc | abc | abc
https://www.lto.de//recht/hintergruende/h/bgh-urteil-vizr13513-dynamische-ip-adressen-personenbezogene-daten-speicherung-internetseiten-bundesrepublik/
Fenster schließen
Artikel drucken
22943

BGH entscheidet und verweist zurück: Dyna­mi­sche IP-Adressen sind per­so­nen­be­zo­gene Daten

von Martin Kilgus

16.05.2017

IP-Adressen

© iinspiration - stock.adobe.com

Darf die Bundesrepublik die IP-Adressen der Nutzer ihrer Internetseiten länger speichern als der Besuch dauert? Martin Kilgus erklärt, wie der Fall eines Piraten-Politikers vom BGH beurteilt worden ist und wie es jetzt weitergeht.

Anzeige

IP-Adressen und ihr Personenbezug

Am Dienstag hat der Bundesgerichtshof (BGH) entschieden, dass dynamische IP-Adressen personenbezogene Daten sind und dass sie unter bestimmten Umständen von Website-Betreibern über den temporären Seitenabruf hinaus gespeichert werden dürfen (Urt. v. 16.05.2017, Az. VI ZR 135/13).

Dem BGH befasste sich mit der Frage, ob der Betreiber einer Website die IP-Adressen seiner Besucher länger speichern darf als diese auf der Seite verweilen.

Die Frage, die zunächst sehr technisch und abstrakt klingt, birgt Zündstoff: IP-Adressen sind die Kennungen, mit denen die Kommunikation im Internet erst ermöglicht wird. Jeder Nutzer erhält für seinen Rechner bei der Einwahl ins Internet eine solche IP-Adresse zum Surfen zugewiesen. An diese Adresse werden dann die aufgerufenen Seiten ausgeliefert. Deswegen muss der Betreiber einer Website die IP-Adresse des Nutzers erheben und speichern, um seine Seite dem Nutzer überhaupt anzeigen zu können. Technisch zwingend ist die Speicherung der Adresse allerdings nur, solange noch Daten an den Nutzer ausgeliefert werden müssen, er also aktiv auf der Internetseite verweilt.

An dieser Stelle entzündete sich der Streit, der der Entscheidung des BGH zugrunde lag. Denn die beklagte Bundesrepublik Deutschland speichert die IP-Adressen bei Besuchen auf ihren Webseiten auch noch nach Ende des Seitenbesuchs und damit länger als technisch zwingend erforderlich.

Dagegen wendete sich der schleswig-holsteinische Abgeordnete der Piratenpartei Patrick Breyer. Er sieht in der Speicherung eine unzulässige Überwachung der Website-Nutzer. Die Bundesrepublik Deutschland als Website-Betreiberin hält die Speicherung der IP-Adressen dagegen für zulässig: Sie argumentiert, nur so technische Maßnahmen ergreifen zu können, wenn ihre Internetangebote angegriffen würden, und gegebenenfalls strafrechtliche Schritte gegen die Angreifer einleiten zu können.

Wann darf überhaupt länger gespeichert werden?

Ob die IP-Adresse länger gespeichert werden darf als technisch zwingend notwendig, hängt maßgeblich davon ab, ob IP-Adressen überhaupt personenbezogene Daten sind. Denn nur wenn das der Fall ist, findet das restriktive Datenschutzrecht Anwendung.

Über den Personenbezug von dynamischen IP-Adressen in der Hand des Website-Anbieters kann man sich deshalb streiten, weil es sich aus Sicht des Website-Betreibers zunächst einmal nur um eine Nummer handelt, die aus sich heraus keinen Rückschluss auf den Nutzer zulässt. Überdies wird diese Nummer bei Internetanschlüssen von Endverbrauchern bei jeder Einwahl ins Internet oder in der Regel zumindest einmal täglich neu vergeben, die Zuordnung zu einer Person ist damit nicht dauerhaft möglich.

Nach dem europäischen Datenschutzrecht sind personenbezogene Daten jedoch auch schon Daten, die sich auf eine "bestimmbare" natürliche Person beziehen. Nur: Wann ist der Nutzer hinter der IP-Adresse bestimmbar? Nach dem absoluten Maßstab bereits dann, sobald ein beliebiger Dritter in der Lage wäre, einen Personenbezug herzustellen. Die IP-Adresse wäre dann personenbezogen.

Nach anderer Ansicht ist eine relative Betrachtung entscheidend: Danach kommt es darauf an, ob der Website-Betreiber selbst eine Verknüpfung zwischen IP-Adresse und Website-Nutzer herstellen kann.
Der BGH legte diese Frage vor einiger Zeit dem Europäischen Gerichtshof (EuGH) vor, der einen Mittelweg wählte: Danach kann eine dynamische IP-Adresse für den Website-Betreiber ein personenbezogenes Datum darstellen, wenn der Betreiber über "rechtliche Mittel" verfügt, mit deren Hilfe er die betroffene Person bestimmen bzw. bestimmen lassen kann.

BGH: Wie viel "Angriffsdruck" rechtfertigt eine längere Speicherung?

2/2: Speicherung erlaubt nach Abwägung

Soweit danach dynamische IP-Adressen personenbezogene Daten darstellen, dürfen Sie nur verarbeitet werden, wenn dies entweder gesetzlich gestattet ist oder der Betroffene eingewilligt hat. Eine gesetzliche Gestattung kann sich in Deutschland aus § 15 Telemediengesetz ergeben. Danach dürfen personenbezogene Daten durch einen Website-Anbieter erhoben und gespeichert werden, soweit dies erforderlich ist, damit die Website genutzt werden kann. Darüber hinaus dürfen die Daten nach dem Wortlaut nur gespeichert werden, wenn dies zu Abrechnungszwecken erforderlich ist.

Bei einer reinen Informationsseite ohne kostenpflichtige Elemente und damit ohne Abrechnungsbedarf wäre die die Speicherung von IP-Adressen ohne Einwilligung daher unzulässig. Dieser Regelungsgehalt ist jedoch zu eng und deswegen mit der europäischen Datenschutzrichtlinie (RL 95/46/EG) nicht vereinbar, wie der EuGH im bereits zitierten Urteil entschied: Es müsse im Einzelfall eine Interessenabwägung möglich sein, wie dies in Art.  7 lit. f) der Datenschutzrichtlinie vorgesehen ist.
Die personenbezogenen Daten dürfen danach länger gespeichert werden, wenn nicht die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person die berechtigten Interessen des Website-Betreibers überwiegen. Auf Seiten des Website-Betreibers sei insbesondere das Interesse zu berücksichtigen, die generelle Funktionsfähigkeit des Internetangebots zu gewährleisten.

BGH folgt dem EuGH

Ausgehend von diesen Leitlinien des EuGH hatte der BGH nun zweierlei zu entscheiden: Zum einen, ob dem Website-Betreiber in Deutschland "rechtliche Mittel" zur Verfügung stehen, um den IP-Adressnutzer zu identifizieren, mithin also personenbezogene Daten vorliegen. Zum anderen stellte sich die Frage, ob die Speicherung der dynamischen IP-Adressen im konkreten Fall zulässig war.

Zur ersten Frage stellt der BGH fest, dass die dynamischen IP-Adressen für die Bundesrepublik Deutschland als Betreiber der Webseiten ein personenbezogenes Datum darstellen. Dies überrascht wenig, hatte doch schon der EuGH in seinem Urteil angemerkt, dass es als "rechtliches Mittel" genüge, wenn im Falle von Cyberattacken mit Hilfe der Strafverfolgungsbehörden die Nutzer hinter einer IP-Adresse identifiziert werden können.

Die zweite Frage vermochte der BGH nicht abschließend zu entscheiden: Das Berufungsgericht habe noch keine hinreichenden Feststellungen dazu getroffen, ob die Speicherung der IP-Adressen erforderlich ist, um die Funktionsfähigkeit der angebotenen Dienste zu gewährleisten. Zumindest gibt der BGH aber einige Anhaltspunkte, worauf zu achten ist: So sollen auf Seiten des Website-Anbieters, also der Bundesrepublik, das Gefahrenpotenzial und der "Angriffsdruck" berücksichtigt werden. Bei der Abwägung mit den Grundrechten und Grundfreiheiten der Seitenbesucher seien sodann auch Gesichtspunkte der Generalprävention und der Strafverfolgung zu berücksichtigen.

Eine unendliche Geschichte?

Es bleibt also spannend: Möglicherweise ergeben sich aus der noch ausstehenden Urteilsbegründung weitere Anhaltspunkte zum erforderlichen "Angriffsdruck" und weiteren Abwägungsaspekten.
Jedenfalls das Landgericht  Berlin, das nunmehr wieder mit der Sache befasst ist, wird sich zur Entscheidung des konkreten Falls dazu äußern müssen. Interessant wird sein, ob danach in der Abwägung auch berücksichtigt werden kann, dass die Internet-Provider Informationen zur Zuordnung zwischen Nutzer und IP-Adresse nur sehr begrenzt herausgeben dürfen.

In der Regel ist eine Zuordnung nach §§ 100b, 100g Strafprozessordnung nur nach richterlicher Anordnung bei Straftaten von im Einzelfall erheblicher Bedeutung oder Straftaten mittels Telekommunikation zulässig. Auch der Auskunftsanspruch des Urheberrechtsinhabers steht nach § 101 Abs. 9 Urhebergesetz unter Richtervorbehalt.

Martin Kilgus ist Rechtsanwalt bei CMS in Deutschland und berät schwerpunktmäßig zu Fragen des Datenschutzes und des IT-Rechts.

  • Drucken
  • Senden
  • Zitieren
Zitiervorschlag

Martin Kilgus, BGH entscheidet und verweist zurück: Dynamische IP-Adressen sind personenbezogene Daten . In: Legal Tribune Online, 16.05.2017 , https://www.lto.de/persistent/a_id/22943/ (abgerufen am: 01.06.2023 )

Infos zum Zitiervorschlag
  • Mehr zum Thema
    • Datenschutz
    • Europa- und Völkerrecht
    • Datenschutz
    • Europa
    • Internet
    • Telekommunikation
  • Gerichte
    • Bundesgerichtshof (BGH)
30.05.2023
Patente

Gemeinsame europäische Gerichtsbarkeit:

Neues Ein­heit­li­ches Pat­ent­ge­richt nimmt Arbeit auf

Am 01. Juni wird das neue EU-Einheitspatent eingeführt. Streitigkeiten darüber werden zukünftig an einem neuen Einheitlichen Patentgericht geführt. In Deutschland nehmen fünf Standorte des Gerichts ihre Arbeit auf. 

Artikel lesen
24.05.2023
Markenrecht

EuG zum Markenrecht:

Bran­chen­ver­band kann "Emmen­taler" nicht schützen lassen

Emmentaler Käse werde von vielen deutschen Verbrauchern als Käsesorte und nicht als Marke verstanden, findet das EuG. Entsprechend könne der Begriff nicht markenrechtlich geschützt werden, entschied das EuG.

Artikel lesen
01.06.2023
Presseschau

Die juristische Presseschau vom 1. Juni 2023:

Urteil gegen mili­tante Antifa-Gruppe / Kritik am geplanten Selbst­be­stim­mungs­ge­setz / Kein Equal Pay für Leih­ar­beiter

Das OLG Dresden verurteilte Lina E. zu einer Haftstrafe von über fünf Jahren. Der Entwurf des geplanten Selbstbestimmungsgesetz steht in der Kritik. Leiharbeiter dürfen laut Bundesarbeitsgericht schlechter bezahlt werden als die Stammbelegschaft.

Artikel lesen
31.05.2023
beA

BGH zu an falsches Gericht adressierten Schriftsatz:

Anwalt hat ver­säumte Frist zu ver­schulden

Anwälte müssen ihre Schriftsätze genau überprüfen und dürfen nicht auf ihr gut geschultes Personal vertrauen. Für Fehler durch falsche Angaben müssen sie ggf. einstehen, hat der BGH zu einem per beA falsch versandten Schriftsatz entschieden.

Artikel lesen
29.05.2023
Jurastudium

Videobericht zu Demonstration vor Justizministerkonferenz:

"Die juris­ti­sche Aus­bil­dung darf nicht krank machen!"

Empörte Nachwuchsjuristen gewappnet mit Megaphon und Schildern richten ihre Reform-Forderungen an die in Berlin tagenden Justizminister. Angesichts sinkender Studentenzahlen liegt der Handlungsbedarf auf der Hand. Wie reagiert die Politik? 

Artikel lesen
31.05.2023
Extremismus

OLG Dresden urteilt im Linksextremismus-Prozess:

Über fünf Jahre Haft­strafe für Lina E.

Nach 99 Prozesstagen hat das OLG Dresden das Urteil im Fall Lina E gesprochen. Die Studentin muss für fünf Jahre und drei Monate in Haft, weil sie und Mitangeklagte Personen aus der rechten Szene zusammengeschlagen haben sollen.

Artikel lesen
TopJOBS
Rechts­an­walt (w/m/d) IT-Recht und Da­ten­schutz­recht

Taylor Wessing , Ham­burg

Rechts­re­fe­ren­dar (m/w/d)

OBI Group Holding SE & Co. KGaA , Wer­mels­kir­chen

Rechts­an­wäl­te (w/m/d) mit und oh­ne Be­ruf­s­er­fah­rung für den Be­reich...

ADVANT Beiten , Ber­lin

Voll­ju­ris­ten / Wirt­schafts­ju­ris­ten (w/m/d) Di­gi­tal Bu­si­ness

reuschlaw , Saar­brü­cken

Rich­ter/in auf Pro­be (m/w/d)

Ministerium für Justiz und Verbraucherschutz des Landes Sachsen-Anhalt , Mag­de­burg

Wis­sen­schaft­li­che Mit­ar­bei­ter (w/m/d) Di­gi­tal Bu­si­ness

reuschlaw , Saar­brü­cken

Se­nior Di­gi­tal Pro­duct Ma­na­ger - WKO (m/w/d)

Wolters Kluwer Deutschland GmbH , Hürth

Se­nior Le­gal Coun­sel (m/w/d) - Da­ten­schutz und IT-Recht

OBI Group Holding SE & Co. KGaA , Wer­mels­kir­chen

Alle Stellenanzeigen
Veranstaltungen
18. FGS Doktorandenseminar

16.06.2023, Bonn

Fortbildung Miet- und Wohnungseigentumsrecht im Selbststudium/online

09.06.2023

Mediation Kompakt im Fernstudium/online

12.06.2023

Health & Law: Künstliche Intelligenz im Gesundheitswesen

12.06.2023, Berlin

Out & About - Ein Event mit unserem LGBTQ+-Netzwerk in Berlin

29.06.2023, Berlin

Alle Veranstaltungen
Copyright © Wolters Kluwer Deutschland GmbH