BGH entscheidet und verweist zurück: Dynamische IP-Adressen sind personenbezogene Daten
© iinspiration - stock.adobe.com
Darf die Bundesrepublik die IP-Adressen der Nutzer ihrer Internetseiten länger speichern als der Besuch dauert? Martin Kilgus erklärt, wie der Fall eines Piraten-Politikers vom BGH beurteilt worden ist und wie es jetzt weitergeht.
Am Dienstag hat der Bundesgerichtshof (BGH) entschieden, dass dynamische IP-Adressen personenbezogene Daten sind und dass sie unter bestimmten Umständen von Website-Betreibern über den temporären Seitenabruf hinaus gespeichert werden dürfen (Urt. v. 16.05.2017, Az. VI ZR 135/13).
Dem BGH befasste sich mit der Frage, ob der Betreiber einer Website die IP-Adressen seiner Besucher länger speichern darf als diese auf der Seite verweilen.
Die Frage, die zunächst sehr technisch und abstrakt klingt, birgt Zündstoff: IP-Adressen sind die Kennungen, mit denen die Kommunikation im Internet erst ermöglicht wird. Jeder Nutzer erhält für seinen Rechner bei der Einwahl ins Internet eine solche IP-Adresse zum Surfen zugewiesen. An diese Adresse werden dann die aufgerufenen Seiten ausgeliefert. Deswegen muss der Betreiber einer Website die IP-Adresse des Nutzers erheben und speichern, um seine Seite dem Nutzer überhaupt anzeigen zu können. Technisch zwingend ist die Speicherung der Adresse allerdings nur, solange noch Daten an den Nutzer ausgeliefert werden müssen, er also aktiv auf der Internetseite verweilt.
An dieser Stelle entzündete sich der Streit, der der Entscheidung des BGH zugrunde lag. Denn die beklagte Bundesrepublik Deutschland speichert die IP-Adressen bei Besuchen auf ihren Webseiten auch noch nach Ende des Seitenbesuchs und damit länger als technisch zwingend erforderlich.
Dagegen wendete sich der schleswig-holsteinische Abgeordnete der Piratenpartei Patrick Breyer. Er sieht in der Speicherung eine unzulässige Überwachung der Website-Nutzer. Die Bundesrepublik Deutschland als Website-Betreiberin hält die Speicherung der IP-Adressen dagegen für zulässig: Sie argumentiert, nur so technische Maßnahmen ergreifen zu können, wenn ihre Internetangebote angegriffen würden, und gegebenenfalls strafrechtliche Schritte gegen die Angreifer einleiten zu können.
Wann darf überhaupt länger gespeichert werden?
Ob die IP-Adresse länger gespeichert werden darf als technisch zwingend notwendig, hängt maßgeblich davon ab, ob IP-Adressen überhaupt personenbezogene Daten sind. Denn nur wenn das der Fall ist, findet das restriktive Datenschutzrecht Anwendung.
Über den Personenbezug von dynamischen IP-Adressen in der Hand des Website-Anbieters kann man sich deshalb streiten, weil es sich aus Sicht des Website-Betreibers zunächst einmal nur um eine Nummer handelt, die aus sich heraus keinen Rückschluss auf den Nutzer zulässt. Überdies wird diese Nummer bei Internetanschlüssen von Endverbrauchern bei jeder Einwahl ins Internet oder in der Regel zumindest einmal täglich neu vergeben, die Zuordnung zu einer Person ist damit nicht dauerhaft möglich.
Nach dem europäischen Datenschutzrecht sind personenbezogene Daten jedoch auch schon Daten, die sich auf eine "bestimmbare" natürliche Person beziehen. Nur: Wann ist der Nutzer hinter der IP-Adresse bestimmbar? Nach dem absoluten Maßstab bereits dann, sobald ein beliebiger Dritter in der Lage wäre, einen Personenbezug herzustellen. Die IP-Adresse wäre dann personenbezogen.
Nach anderer Ansicht ist eine relative Betrachtung entscheidend: Danach kommt es darauf an, ob der Website-Betreiber selbst eine Verknüpfung zwischen IP-Adresse und Website-Nutzer herstellen kann.
Der BGH legte diese Frage vor einiger Zeit dem Europäischen Gerichtshof (EuGH) vor, der einen Mittelweg wählte: Danach kann eine dynamische IP-Adresse für den Website-Betreiber ein personenbezogenes Datum darstellen, wenn der Betreiber über "rechtliche Mittel" verfügt, mit deren Hilfe er die betroffene Person bestimmen bzw. bestimmen lassen kann.
2/2: Speicherung erlaubt nach Abwägung
Soweit danach dynamische IP-Adressen personenbezogene Daten darstellen, dürfen Sie nur verarbeitet werden, wenn dies entweder gesetzlich gestattet ist oder der Betroffene eingewilligt hat. Eine gesetzliche Gestattung kann sich in Deutschland aus § 15 Telemediengesetz ergeben. Danach dürfen personenbezogene Daten durch einen Website-Anbieter erhoben und gespeichert werden, soweit dies erforderlich ist, damit die Website genutzt werden kann. Darüber hinaus dürfen die Daten nach dem Wortlaut nur gespeichert werden, wenn dies zu Abrechnungszwecken erforderlich ist.
Bei einer reinen Informationsseite ohne kostenpflichtige Elemente und damit ohne Abrechnungsbedarf wäre die die Speicherung von IP-Adressen ohne Einwilligung daher unzulässig. Dieser Regelungsgehalt ist jedoch zu eng und deswegen mit der europäischen Datenschutzrichtlinie (RL 95/46/EG) nicht vereinbar, wie der EuGH im bereits zitierten Urteil entschied: Es müsse im Einzelfall eine Interessenabwägung möglich sein, wie dies in Art. 7 lit. f) der Datenschutzrichtlinie vorgesehen ist.
Die personenbezogenen Daten dürfen danach länger gespeichert werden, wenn nicht die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person die berechtigten Interessen des Website-Betreibers überwiegen. Auf Seiten des Website-Betreibers sei insbesondere das Interesse zu berücksichtigen, die generelle Funktionsfähigkeit des Internetangebots zu gewährleisten.
BGH folgt dem EuGH
Ausgehend von diesen Leitlinien des EuGH hatte der BGH nun zweierlei zu entscheiden: Zum einen, ob dem Website-Betreiber in Deutschland "rechtliche Mittel" zur Verfügung stehen, um den IP-Adressnutzer zu identifizieren, mithin also personenbezogene Daten vorliegen. Zum anderen stellte sich die Frage, ob die Speicherung der dynamischen IP-Adressen im konkreten Fall zulässig war.
Zur ersten Frage stellt der BGH fest, dass die dynamischen IP-Adressen für die Bundesrepublik Deutschland als Betreiber der Webseiten ein personenbezogenes Datum darstellen. Dies überrascht wenig, hatte doch schon der EuGH in seinem Urteil angemerkt, dass es als "rechtliches Mittel" genüge, wenn im Falle von Cyberattacken mit Hilfe der Strafverfolgungsbehörden die Nutzer hinter einer IP-Adresse identifiziert werden können.
Die zweite Frage vermochte der BGH nicht abschließend zu entscheiden: Das Berufungsgericht habe noch keine hinreichenden Feststellungen dazu getroffen, ob die Speicherung der IP-Adressen erforderlich ist, um die Funktionsfähigkeit der angebotenen Dienste zu gewährleisten. Zumindest gibt der BGH aber einige Anhaltspunkte, worauf zu achten ist: So sollen auf Seiten des Website-Anbieters, also der Bundesrepublik, das Gefahrenpotenzial und der "Angriffsdruck" berücksichtigt werden. Bei der Abwägung mit den Grundrechten und Grundfreiheiten der Seitenbesucher seien sodann auch Gesichtspunkte der Generalprävention und der Strafverfolgung zu berücksichtigen.
Eine unendliche Geschichte?
Es bleibt also spannend: Möglicherweise ergeben sich aus der noch ausstehenden Urteilsbegründung weitere Anhaltspunkte zum erforderlichen "Angriffsdruck" und weiteren Abwägungsaspekten.
Jedenfalls das Landgericht Berlin, das nunmehr wieder mit der Sache befasst ist, wird sich zur Entscheidung des konkreten Falls dazu äußern müssen. Interessant wird sein, ob danach in der Abwägung auch berücksichtigt werden kann, dass die Internet-Provider Informationen zur Zuordnung zwischen Nutzer und IP-Adresse nur sehr begrenzt herausgeben dürfen.
In der Regel ist eine Zuordnung nach §§ 100b, 100g Strafprozessordnung nur nach richterlicher Anordnung bei Straftaten von im Einzelfall erheblicher Bedeutung oder Straftaten mittels Telekommunikation zulässig. Auch der Auskunftsanspruch des Urheberrechtsinhabers steht nach § 101 Abs. 9 Urhebergesetz unter Richtervorbehalt.
Martin Kilgus ist Rechtsanwalt bei CMS in Deutschland und berät schwerpunktmäßig zu Fragen des Datenschutzes und des IT-Rechts.
Gerichte, der BGH und andere dem Recht Wissenden haben wohl Ahnung von Datenverarbeitung - Hui ....
Maya FischerDie Speicherung von IP Adressen ist so sinnlos wie ein Kropf - ausser man möchte ein übergroßes Adressbuch führen - Warum wird wohl IP6 eingeführt - damit jeder Erdenbürger seinen personenbezogene feste IP-Kreis bekommt und auch wirklich alle seine digitalen Spuren jederzeit ausgewertet werden können. Absolut vertane Zeit darüber zu reden, IP Adressen sind zwingender Bestandteil eines jeden Datenpacketes was durch die Welt flutscht - eben der Absender ( damit man auch antworten kann ) - dieses Paket geht bis zum Zielrechner über unendlich viele andere Rechner die alle mitschreiben können und alle lesen mit, netterweise schickt der Großteil der Dummbratsen die meissten Sachen unverschlüsselt - dafür vielen Dank . Der Staat spioniert sowieso mit, wenn nicht in DE dann eben BND mit einem Rechner in Timbuktu - wer soll das nachweisen , aber es ist Fakt.
Liebe Richter, hört auf etwas verstehen zu wollen was Euch falsch erklärt wird. GG "Die Würde des ...." steht doch im Gesetz, wer also ohne Einwilligung eines Nutzers dessen Daten speichert verstößt dagegen, wer Polizeiakten fälscht ist ein Terrorist - macht doch das Leben wieder logisch und bestraft endlich die VW Vorstände und Ingenieure, die mir meine Lunge bis heute kaputt machen, angemessen !!!! Das senkt Sozialabgaben und würde - entgegen dem Sinn des Kapitalismus - den Meschen dienen, verbietet die Elbvertiefung und damit die Vernichtung von Lebensraum, verfolgt Meschendfeinde - fangt bei den Traditionsvereinen der BW an, besser bei deren Oberbefehlshaberin und den Inspekteuren. Es gibt so vieles was Ihr sinnvoll entscheiden könntet - Tut es doch einmal ....
Natürlich haben Gerichte davon Ahnung: Sie bestellen dazu entsprechende Sachverständige, und das sind in der Regel ausgewiesene Experten (auch wenn das viele dahergelaufene Programmierer nicht glauben, die meinen, dass nur genau ihr Horizont definiert, was Fachwissen ist und was nicht).
"in der Regel " -> genau da liegt der Hase im Pfeffer - auch viele dahergelaufene Anwälte bemühen Sachverständige für Gutachten "in der Regel" - bitte womit liegt begründet das Sachverständige wirklich wissen was Sie erzählen - Beispiel ? Personen identifizieren die einen Integralhelm tragen - anhand Blitzerfoto - Kosten ca. 7000 DM - Ergebnis des Sachverständigen 99% - Wissen des Beschuldigten - Falsches Gutachten des Sachverständigen in diesem Fall .... Fakt. Leider sind andere Fälle von Straftaten bekannt wo Beschuldigte von diesem ein falsches Gutachten bekommen haben und verurteilt wurden - Die revision zu teuer war .... und jetzt bitte ?
Eben nurIch bin mir sehr sicher das es einen Sachverständigen gibt der einem Richter plausibel darlegt das ein Zitronenfalter Zitronen faltet.
Sammlungen Dynamische IP's sind auf keinen Fall personenbezogenen Daten - Sie sind allein ein Protokoll der Adressierung von Paketen im Protokoll - manipulierbar und einfach nur temporär ! "in der Regel "
Die einfache Aussage :
"Jeder Nutzer erhält für seinen Rechner bei der Einwahl ins Internet eine solche IP-Adresse zum Surfen zugewiesen" ist einfach falsch , erstens wird nicht nur gesurft ..... weiterhin : Hinter Routern und hinter Routern sitzen andere Router und ggf Switches - Nur wer eine feste IP im Internet besitzt kann daran teilnehmen - deshalb bilden alle Geräte hinter dem Provider eigene, interne Netze hinter denen weitere interne Netze liegen ... so ist das nunmal mit den Netzen ; nichts anders ist das Internet .... hält sich ein Provider an seine Datenschutzerklärung gibt er keine Daten weiter. Ist jemand im Besitz einer festen IP ( in Timbuktu ?? ) und benutzt seine Maschine mit der festen IP als Proxy im VPN Netzt mit Tunnel der alle Minuten die Logs löscht ... dann wars das mit persönlichem Bezug zur IP .... (nur so als Konstrukt) ... Soetwas muss man auch mal zur Kenntnis nehmen -
Für die Mass der InetUsers ist das Internet die gefährlichste Praline der Welt - und da Gerichte ja nicht wirklich unabhängig sind ..... das will aber auch keiner begreifen ...
Tschau