BGH entscheidet und verweist zurück: Dynamische IP-Adressen sind personenbezogene Daten
© iinspiration - stock.adobe.com
Darf die Bundesrepublik die IP-Adressen der Nutzer ihrer Internetseiten länger speichern als der Besuch dauert? Martin Kilgus erklärt, wie der Fall eines Piraten-Politikers vom BGH beurteilt worden ist und wie es jetzt weitergeht.
Am Dienstag hat der Bundesgerichtshof (BGH) entschieden, dass dynamische IP-Adressen personenbezogene Daten sind und dass sie unter bestimmten Umständen von Website-Betreibern über den temporären Seitenabruf hinaus gespeichert werden dürfen (Urt. v. 16.05.2017, Az. VI ZR 135/13).
Dem BGH befasste sich mit der Frage, ob der Betreiber einer Website die IP-Adressen seiner Besucher länger speichern darf als diese auf der Seite verweilen.
Die Frage, die zunächst sehr technisch und abstrakt klingt, birgt Zündstoff: IP-Adressen sind die Kennungen, mit denen die Kommunikation im Internet erst ermöglicht wird. Jeder Nutzer erhält für seinen Rechner bei der Einwahl ins Internet eine solche IP-Adresse zum Surfen zugewiesen. An diese Adresse werden dann die aufgerufenen Seiten ausgeliefert. Deswegen muss der Betreiber einer Website die IP-Adresse des Nutzers erheben und speichern, um seine Seite dem Nutzer überhaupt anzeigen zu können. Technisch zwingend ist die Speicherung der Adresse allerdings nur, solange noch Daten an den Nutzer ausgeliefert werden müssen, er also aktiv auf der Internetseite verweilt.
An dieser Stelle entzündete sich der Streit, der der Entscheidung des BGH zugrunde lag. Denn die beklagte Bundesrepublik Deutschland speichert die IP-Adressen bei Besuchen auf ihren Webseiten auch noch nach Ende des Seitenbesuchs und damit länger als technisch zwingend erforderlich.
Dagegen wendete sich der schleswig-holsteinische Abgeordnete der Piratenpartei Patrick Breyer. Er sieht in der Speicherung eine unzulässige Überwachung der Website-Nutzer. Die Bundesrepublik Deutschland als Website-Betreiberin hält die Speicherung der IP-Adressen dagegen für zulässig: Sie argumentiert, nur so technische Maßnahmen ergreifen zu können, wenn ihre Internetangebote angegriffen würden, und gegebenenfalls strafrechtliche Schritte gegen die Angreifer einleiten zu können.
Wann darf überhaupt länger gespeichert werden?
Ob die IP-Adresse länger gespeichert werden darf als technisch zwingend notwendig, hängt maßgeblich davon ab, ob IP-Adressen überhaupt personenbezogene Daten sind. Denn nur wenn das der Fall ist, findet das restriktive Datenschutzrecht Anwendung.
Über den Personenbezug von dynamischen IP-Adressen in der Hand des Website-Anbieters kann man sich deshalb streiten, weil es sich aus Sicht des Website-Betreibers zunächst einmal nur um eine Nummer handelt, die aus sich heraus keinen Rückschluss auf den Nutzer zulässt. Überdies wird diese Nummer bei Internetanschlüssen von Endverbrauchern bei jeder Einwahl ins Internet oder in der Regel zumindest einmal täglich neu vergeben, die Zuordnung zu einer Person ist damit nicht dauerhaft möglich.
Nach dem europäischen Datenschutzrecht sind personenbezogene Daten jedoch auch schon Daten, die sich auf eine "bestimmbare" natürliche Person beziehen. Nur: Wann ist der Nutzer hinter der IP-Adresse bestimmbar? Nach dem absoluten Maßstab bereits dann, sobald ein beliebiger Dritter in der Lage wäre, einen Personenbezug herzustellen. Die IP-Adresse wäre dann personenbezogen.
Nach anderer Ansicht ist eine relative Betrachtung entscheidend: Danach kommt es darauf an, ob der Website-Betreiber selbst eine Verknüpfung zwischen IP-Adresse und Website-Nutzer herstellen kann.
Der BGH legte diese Frage vor einiger Zeit dem Europäischen Gerichtshof (EuGH) vor, der einen Mittelweg wählte: Danach kann eine dynamische IP-Adresse für den Website-Betreiber ein personenbezogenes Datum darstellen, wenn der Betreiber über "rechtliche Mittel" verfügt, mit deren Hilfe er die betroffene Person bestimmen bzw. bestimmen lassen kann.
2/2: Speicherung erlaubt nach Abwägung
Soweit danach dynamische IP-Adressen personenbezogene Daten darstellen, dürfen Sie nur verarbeitet werden, wenn dies entweder gesetzlich gestattet ist oder der Betroffene eingewilligt hat. Eine gesetzliche Gestattung kann sich in Deutschland aus § 15 Telemediengesetz ergeben. Danach dürfen personenbezogene Daten durch einen Website-Anbieter erhoben und gespeichert werden, soweit dies erforderlich ist, damit die Website genutzt werden kann. Darüber hinaus dürfen die Daten nach dem Wortlaut nur gespeichert werden, wenn dies zu Abrechnungszwecken erforderlich ist.
Bei einer reinen Informationsseite ohne kostenpflichtige Elemente und damit ohne Abrechnungsbedarf wäre die die Speicherung von IP-Adressen ohne Einwilligung daher unzulässig. Dieser Regelungsgehalt ist jedoch zu eng und deswegen mit der europäischen Datenschutzrichtlinie (RL 95/46/EG) nicht vereinbar, wie der EuGH im bereits zitierten Urteil entschied: Es müsse im Einzelfall eine Interessenabwägung möglich sein, wie dies in Art. 7 lit. f) der Datenschutzrichtlinie vorgesehen ist.
Die personenbezogenen Daten dürfen danach länger gespeichert werden, wenn nicht die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person die berechtigten Interessen des Website-Betreibers überwiegen. Auf Seiten des Website-Betreibers sei insbesondere das Interesse zu berücksichtigen, die generelle Funktionsfähigkeit des Internetangebots zu gewährleisten.
BGH folgt dem EuGH
Ausgehend von diesen Leitlinien des EuGH hatte der BGH nun zweierlei zu entscheiden: Zum einen, ob dem Website-Betreiber in Deutschland "rechtliche Mittel" zur Verfügung stehen, um den IP-Adressnutzer zu identifizieren, mithin also personenbezogene Daten vorliegen. Zum anderen stellte sich die Frage, ob die Speicherung der dynamischen IP-Adressen im konkreten Fall zulässig war.
Zur ersten Frage stellt der BGH fest, dass die dynamischen IP-Adressen für die Bundesrepublik Deutschland als Betreiber der Webseiten ein personenbezogenes Datum darstellen. Dies überrascht wenig, hatte doch schon der EuGH in seinem Urteil angemerkt, dass es als "rechtliches Mittel" genüge, wenn im Falle von Cyberattacken mit Hilfe der Strafverfolgungsbehörden die Nutzer hinter einer IP-Adresse identifiziert werden können.
Die zweite Frage vermochte der BGH nicht abschließend zu entscheiden: Das Berufungsgericht habe noch keine hinreichenden Feststellungen dazu getroffen, ob die Speicherung der IP-Adressen erforderlich ist, um die Funktionsfähigkeit der angebotenen Dienste zu gewährleisten. Zumindest gibt der BGH aber einige Anhaltspunkte, worauf zu achten ist: So sollen auf Seiten des Website-Anbieters, also der Bundesrepublik, das Gefahrenpotenzial und der "Angriffsdruck" berücksichtigt werden. Bei der Abwägung mit den Grundrechten und Grundfreiheiten der Seitenbesucher seien sodann auch Gesichtspunkte der Generalprävention und der Strafverfolgung zu berücksichtigen.
Eine unendliche Geschichte?
Es bleibt also spannend: Möglicherweise ergeben sich aus der noch ausstehenden Urteilsbegründung weitere Anhaltspunkte zum erforderlichen "Angriffsdruck" und weiteren Abwägungsaspekten.
Jedenfalls das Landgericht Berlin, das nunmehr wieder mit der Sache befasst ist, wird sich zur Entscheidung des konkreten Falls dazu äußern müssen. Interessant wird sein, ob danach in der Abwägung auch berücksichtigt werden kann, dass die Internet-Provider Informationen zur Zuordnung zwischen Nutzer und IP-Adresse nur sehr begrenzt herausgeben dürfen.
In der Regel ist eine Zuordnung nach §§ 100b, 100g Strafprozessordnung nur nach richterlicher Anordnung bei Straftaten von im Einzelfall erheblicher Bedeutung oder Straftaten mittels Telekommunikation zulässig. Auch der Auskunftsanspruch des Urheberrechtsinhabers steht nach § 101 Abs. 9 Urhebergesetz unter Richtervorbehalt.
Martin Kilgus ist Rechtsanwalt bei CMS in Deutschland und berät schwerpunktmäßig zu Fragen des Datenschutzes und des IT-Rechts.
