EuGH zu IP-Adressen von Internet-Nutzern:Datenschutz gilt auch für IP-Adressen
von Dr. Gero Ziegenhorn und Katharina von Heckel
19.10.2016
Anzeige
2/2: Rechtmäßigkeit des Speicherns von IP-Adressen
Weil nach dem Urteil des EuGH IP-Adressen personenbezogene Daten sind, gilt das datenschutzrechtliche Verbot mit Erlaubnisvorbehalt. IP-Adressen dürfen nur erhoben und verwendet werden, wenn es hierfür eine gesetzliche Erlaubnis oder eine Einwilligung des Betroffenen gibt.
Maßgeblich ist § 15 Abs. 1 TMG. Der Webseitenbetreiber darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Nutzungsdaten darf er gem. § 15 Abs. 4 Satz 1 TMG über das Ende des Nutzungsvorgangs hinaus verwenden, soweit sie für Zwecke der Abrechnung mit dem Nutzer erforderlich sind.
Da IP-Adressen bei Nutzern, die lediglich surfen, in der Regel nicht für Abrechnungszwecke erforderlich sind, folgt aus der gesetzlichen Regelung, dass IP-Adressen nach dem Besuch der Webseite grundsätzlich nicht gespeichert werden dürfen.
Die deutsche Bestimmung ist damit restriktiver als die zugrundeliegende Regelung des Art. 7 Buchstabe f der EG-Datenschutzrichtlinie. Diese enthält eine Interessenabwägung. Die Verarbeitung personenbezogener Daten ist hiernach rechtmäßig, wenn sie zur Verwirklichung des berechtigten Interesses erforderlich ist, das von dem für die Verarbeitung Verantwortlichen wahrgenommen wird, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.
§ 15 TMG reduziert die nach der Richtlinie auf einer Interessenabwägung fußende Rechtfertigung für die Speicherung personenbezogener Daten allein auf den Fall, dass die Datenverarbeitung zur Nutzung des Telemediums technisch notwendig ist. Das ist – so der EuGH – zu restriktiv und mit der Richtlinie unvereinbar. Die deutsche Regelung in § 15 Abs. 1 i.V.m. Abs. 4 TMG muss insofern europarechtskonform ausgelegt werden.
Konsequenzen für die Praxis
Unternehmen und Behörden müssen ihre Webseiten nun technisch durchleuchten. Häufig wissen Webseitenbetreiber nicht einmal, ob die für sie tätigen Hosting-Dienstleister IP-Adressen speichern. Datenschutzrechtlich sind jedoch die Webseitenbetreiber verantwortlich. Sie sollten daher bei ihren Dienstleistern nachhaken und diese – auch mit Blick auf die ab 25. Mai 2018 geltende EU-Datenschutz-Grundverordnung – anweisen, IP-Adressen nicht anlasslos und unbegrenzt in Log-Dateien zu speichern.
Im Einzelfall ist zu prüfen, ob es gewichtige Gründe für eine über den Webseitenbesuch hinausgehende Speicherung gibt.
Eine große Relevanz hat das Urteil des EuGH zudem für die in der Praxis häufig vorkommende Auswertung und Nutzung von IP-Adressen beispielsweise zu statistischen und marketingbezogenen Zwecken. Nach dem EuGH-Urteil ist klar: Hierfür bedarf es einer datenschutzrechtlichen Erlaubnis. Da eine Einwilligung der Nutzer häufig nicht vorhanden ist, sind auch solche Datenflüsse mit erheblichen rechtlichen Risiken behaftet.
Dr. Gero Ziegenhorn und Katharina von Heckel sind Anwälte bei Redeker Sellner Dahs und dort schwerpunktmäßig im Bereich Datenschutz tätig.
Seit Mitte Februar soll der Digital Services Act schädliche Online-Aktivitäten und Desinformation auf Tiktok, Instagram & Co. verhindern. Warum die Persönlichkeitsrechte trotzdem in Gefahr bleiben, erläutert Lucas Brost.
Moderne Handys enthalten Unmengen an Daten, darunter auch Intimstes. Sollte ein Zugriff der Ermittlungsbehörden auf die Daten daher nur bei schwerer Kriminalität möglich sein? Der EuGH kam zu ähnlichen Ergebnissen wie jüngst der 74. DJT.
Der Legal-Hackathon 2024 brachte kreative Lösungen für aktuelle Herausforderungen im Rechtswesen hervor. Im Fokus standen digitale Tools, die den Einsatz von KI, effizientere Kanzleiprozesse und die Einhaltung von Vorschriften erleichtern.
Bundesjustizminister Buschmann wirbt in der Debatte über den Etat seines Hauses für mehr Anstrengungen beim Abbau von Bürokratie. Das sei auch bitter nötig, hält die Union der Koalition entgegen und attestiert ihr “Regulierungseifer”.
In der SZ schilderten zwei Frauen ihre sexuellen Erlebnisse mit Till Lindemann. Das OLG Frankfurt untersagte der SZ nun den Verdacht zu verbreiten, der Rammstein-Sänger habe Sex ohne Zustimmung mit einer der Frauen gehabt.
Richter und Staatsanwälte in NRW üben Kritik am Dienstherrn: Die Arbeitsbedingungen seien wegen der mangelhaften IT schlecht, die Sparpläne drückten zusätzlich auf die Stimmung und vergraulten Nachwuchs wie junge Kollegen zugleich.