EuGH zu IP-Adressen von Internet-Nutzern: Daten­schutz gilt auch für IP-Adressen

von Dr. Gero Ziegenhorn und Katharina von Heckel

19.10.2016

2/2: Rechtmäßigkeit des Speicherns von IP-Adressen

Weil nach dem Urteil des EuGH IP-Adressen personenbezogene Daten sind, gilt das datenschutzrechtliche Verbot mit Erlaubnisvorbehalt. IP-Adressen dürfen nur erhoben und verwendet werden, wenn es hierfür eine gesetzliche Erlaubnis oder eine Einwilligung des Betroffenen gibt. 

Maßgeblich ist § 15 Abs. 1 TMG. Der Webseitenbetreiber darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Nutzungsdaten darf er gem. § 15 Abs. 4 Satz 1 TMG über das Ende des Nutzungsvorgangs hinaus verwenden, soweit sie für Zwecke der Abrechnung mit dem Nutzer erforderlich sind. 

Da IP-Adressen bei Nutzern, die lediglich surfen, in der Regel nicht für Abrechnungszwecke erforderlich sind, folgt aus der gesetzlichen Regelung, dass IP-Adressen nach dem Besuch der Webseite grundsätzlich nicht gespeichert werden dürfen. 

Die deutsche Bestimmung ist damit restriktiver als die zugrundeliegende Regelung des Art. 7 Buchstabe f der EG-Datenschutzrichtlinie. Diese enthält eine Interessenabwägung. Die Verarbeitung personenbezogener Daten ist hiernach rechtmäßig, wenn sie zur Verwirklichung des berechtigten Interesses erforderlich ist, das von dem für die Verarbeitung Verantwortlichen wahrgenommen wird, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. 

§ 15 TMG reduziert die nach der Richtlinie auf einer Interessenabwägung fußende Rechtfertigung für die Speicherung personenbezogener Daten allein auf den Fall, dass die Datenverarbeitung zur Nutzung des Telemediums technisch notwendig ist. Das ist – so der EuGH – zu restriktiv und mit der Richtlinie unvereinbar. Die deutsche Regelung in § 15 Abs. 1 i.V.m. Abs. 4 TMG muss insofern europarechtskonform ausgelegt werden. 

Konsequenzen für die Praxis

Unternehmen und Behörden müssen ihre Webseiten nun technisch durchleuchten. Häufig wissen Webseitenbetreiber nicht einmal, ob die für sie tätigen Hosting-Dienstleister IP-Adressen speichern. Datenschutzrechtlich sind jedoch die Webseitenbetreiber verantwortlich. Sie sollten daher bei ihren Dienstleistern nachhaken und diese  – auch mit Blick auf die ab 25. Mai 2018 geltende EU-Datenschutz-Grundverordnung – anweisen, IP-Adressen nicht anlasslos und unbegrenzt in Log-Dateien zu speichern. 

Im Einzelfall ist zu prüfen, ob es gewichtige Gründe für eine über den Webseitenbesuch hinausgehende Speicherung gibt.  

Eine große Relevanz hat das Urteil des EuGH zudem für die in der Praxis häufig vorkommende Auswertung und Nutzung von IP-Adressen beispielsweise zu statistischen und marketingbezogenen Zwecken. Nach dem EuGH-Urteil ist klar: Hierfür bedarf es einer datenschutzrechtlichen Erlaubnis. Da eine Einwilligung der Nutzer häufig nicht vorhanden ist, sind auch solche Datenflüsse mit erheblichen rechtlichen Risiken behaftet. 

Dr. Gero Ziegenhorn und Katharina von Heckel sind Anwälte bei Redeker Sellner Dahs und dort schwerpunktmäßig im Bereich Datenschutz tätig.

Zitiervorschlag

Dr. Gero Ziegenhorn und Katharina von Heckel, EuGH zu IP-Adressen von Internet-Nutzern: Datenschutz gilt auch für IP-Adressen . In: Legal Tribune Online, 19.10.2016 , https://www.lto.de/persistent/a_id/20908/ (abgerufen am: 20.03.2019 )

Infos zum Zitiervorschlag
Kommentare
  • 19.10.2016 20:43, Wolfgang Ksoll

    Die Pressemitteilung des EUGH hat einen ganz anderen Tenor, als hier vermittelt wird. Der Personenbezug wird nur bedingt angenommen:
    "Die dynamische Internetprotokoll-Adresse eines Nutzers stellt für den Betreiber der Website ein personenbezogenes Datum dar, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, den betreffenden Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen." Also ohne Möglichkeit, mit rechtlichen Mitteln an Zusatzinformatioen zu kommen, besteht kein Personenbezug. Das ist eine ganz andere Aussage, als hier von den Autoren vertreten.
    Darüber hinaus sagt das Urteil, dass einige Elemente des deutschen Datenschutzes schlicht rechtswidrig ist.
    Zudem macht der EUGH Gründe gelten, dass ein Logging praktisch immer legal ist:
    "Der Betreiber einer Website kann ein berechtigtes Interesse daran haben, bestimmte personenbezogene Daten der Nutzer zu speichern, um sich gegen Cyberattacken zu verteidigen"
    Cyberattacken werden fast gegen jede Website begegangen, sei es als Denial-of-Service-Attacke, Ausspionieren von Schwachstellen oder dem rechtswidrigen Versuch des unberechtigten Eindringen. Wer zum Beispiel einen WordPress-Server betreibt, wird in seinen Logfiles in wenigen Wochen viele hunderte gescheiterte Login-Versuche feststellen können. Hier ist dann zu untersuchen, ob man nur zufällig Opfer einer Attacke geworden ist, oder ob systematisch über Monate Brute-Force-Attacken des selben Angreifers gefahren werden.
    Hier sagt der EUGH, dass der Webseitenbetreiber ein Recht auf Speicherung hat, um eine Strafverfolgung nach 202a StGB zu ermöglichen. Das heißt praktisch ein Freibrief für alle Webseitenbetreiber mit Login-Facility.
    Möglicherweise ist es sinnvoll, wenn die Autoren die Pressemittleilung des EUGH noch einmal lesen:
    http://curia.europa.eu/jcms/upload/docs/application/pdf/2016-10/cp160112de.pdf

    • 20.10.2016 16:50, Duderstadt

      Der Tenor des EuGH ist genau dieser, welchen die Autoren hier wiedergeben! In der veröffentlichten Pressemitteilung des EuGH wird ganz klar aufgeführt, dass Speicherungen von dynamischen und auch statischen IP-Adressen, nur insoweit zulässig sind, wenn ein ernsthafter Verdacht einer Straftat vorliegt, hinsichtlich dessen bin ich vollkommen auf Ihrer Seite.

      Ihren Ausführungen nach, Herr Sksoll, müssten allerdings jegliche Webseitenbesucher unter Generalverdacht einer vollführten Straftat gestellt werden, um somit eine Speicherung der IP-Adressen rechtfertigen zu können. Es müsste also allen tatsächlichen Usern unterstellt werden, dass sie als unbefugte agieren. Meiner Meinung nach wäre diese Ansicht eine nicht vertretbare und somit auch nicht im Sinne des EuGH. Vielmehr fasse ich den Wortlaut insoweit auf, als dass genau dieser vorig genannte Problempunkt, nämlich die willkürliche Speicherung der IP-Adressen, durch das Urteil des EuGH, aufgelöst werden soll. Dass also schlichtweg, ohne hinzureichenden Verdacht, keine IP-Adressen in Form von Logdateien abgespeichert werden dürfen.

    • 20.10.2016 17:36, Wolfgang Ksoll

      Lieber Herr Duderstedt,
      Ein Beispiel aus einem Logfile: anon-x-x-x-x.ip.invalid - - [16/Oct/2016:08:34:49 +0200] "GET /wp-login.php?action=register HTTP/1.1" 302 - ... "Opera/9.80 (Windows NT 6.2; Win64; x64) Presto/2.12.388 Version/12.17"
      alleine in den letzten vier Wochen sind auf meinem Webserver ca 280 gescheiterte Loginversuche passiert. Diese sind versuchte Straftaten nach §202a StGB. Für mich sind diese Daten erst mal nicht personenbezogen, aber wenn ich Strafanzeige erstatte, kann der Staatsanwalt möglicherweise einen Personenbezug herstellen.
      EUGH dazu:
      "Der Gerichtshof führt hierzu aus dass es in Deutschland offenbar rechtliche Möglichkeiten gibt, die es dem Anbieter von Online -
      Mediendiensten erlauben, sich insbesondere im Fall von
      Cyberattacken an die zuständige Behörde zu wenden, um die
      fraglichen Informationen vom Internetzugangsanbieter zu erlangen und
      anschließend die Strafverfolgung einzuleiten"
      In der Überschrift der Pressemitteilung führt der EUGH aus: "Der Betreiber einer Website kann ein berechtigtes Interesse daran haben, bestimmte
      personenbezogene Daten der Nutzer zu speichern, um sich gegen Cyberattacken zu verteidigen"
      Um festzustellen, ob eine Cyberattacke vorliegt, muss man zunächst alle Zugriffe loggen, um sie dann auszuwerten: Das obige Beispiel zeigt den Versucht eines unerlaubten Ausspähens von Daten, die gegen unberechtigten Zugriff besonders gesichert sind. Andere Cyberattacken, die auf Denial-of-Service-Attacken zielen, sehen anders aus, können aber ggf. über eine oder mehrere schnell Requests emittierende IP-Adresse erfolgen. Um diese gezielt blocken zu könne, was in dem Beispiel einer gehosteten WordPress-Instanz nur durch den Hoster geht, muss auch erst geloggt werden. Der EUGH hat nun das Loggen als solches erlaubt und darüber hinaus auch die Speicherung von personenbezogenen (oder personenbeziehbaren) Daten, wenn es der Strafverfolgung wie in den beiden Beispielen dienst. Dadurch ist praktisch jedes Loggen erlaubt worden, da sich jeder Anbieter auf die Bekämpfung von Cyberattacken zurückziehen kann. Lassen Sie sich das einfach von einem IT-Sicherheitsexperten erklären. Mit dem Abwehren von Cyberattacken ist alles das zu Ende, was vorher über Datenschutz bei IP-Adressen in Deutschland (zum Teil rechtswidrig, wie der EUGH meint) erzählt wurde.

      .

  • 20.10.2016 16:56, Peter Nitsch

    Der Klage gegen das BMJV auf Unterlassung der IP-Nummernspeicherung für länger als 14 Tage im Zusammenhang mit der Nutzung des Internetportals "http://www.bmj.bund.de" wurde vom Amtsgericht Berlin-Mitte am 27.03.2007 mit Urteil 5 C 314/06 stattgegeben und das BMJV zur Unterlassung verurteilt. Dieser Prozess ist rechtskräftig abgeschlossen.

    Die zivilrechtliche Unterlassungsklage vom 3. Januar 2008, die Anlass zu der Vorlagefrage an den EuGH gab, erhob der Kläger anschließend vor dem Amtsgericht Tiergarten gegen den Bund (2 C 6/08), vertreten durch das BMI, im Hinblick auf alle übrigen Internetportale des Bundes. Dieses Verfahren ging die Instanzen hoch (Landgericht 57 S 87/08, BGH VI ZR 135/13) und schließlich zum EuGH.

    Das BMI verteidigte den Bund gegen jede zeitliche Einschränkung der Speicherung von IP-Nummern als Webseiten-/Portalbetreiber mit dem Hinweis, dass für Inhalteanbieter die IP-Nummer zugreifender Internetnutzer kein personenbezogenes Datum ist, weil diese nur sehen können, dass eine IP-Nummer aus dem Nummernkontingent eines bestimmten Internetzugangsanbieters stammt (z.B. Telekom, 1 & 1, Vodafone). Welcher Vertragskunde des jeweiligen Zugangsanbieters im fraglichen Zeitpunkt die IP-Nummer verwendete kann nur der Zugangsanbieter sagen. Mithin ist für den Inhalteanbieter der bei ihm unter einer bestimmten IP-Nummer zu einer bestimmten Zeit negativ aufgefallene Internetnutzer ohne das Zusatzwissen des Internetzugangsanbieters, der allein seinen Vertragskunden identifizieren kann, nicht festzustellen und damit die IP-Nummer kein personenbezogenes Datum (lehnt man die absolute Theorie ab und folgt der relativen). Dann können IP-Nummern vom Inhalteanbieter beliebig lange protokolliert und gespeichert werden, weil sie nur Daten, aber eben keine personenbezogenen oder personenbeziehbaren sind.

    Der EuGH hält sie nun dann für personenbezogene Daten, wenn ein geschädigter Inhalteanbieter über den Weg des § 101 Urheberrechtsgesetz den Zugangsanbieter per einstweiliger Verfügung zur Offenlegung der Identität seines Vertragskunden zwingen kann. Um diesen danach zwecks Strafverfolgung anzuzeigenoder auf Schadensersatz zu verklagen.

  • 21.10.2016 09:13, Peter Nitsch

    Lustig ist, dass die Überschrift des Artikels "Datenschutz gilt auch für IP-Adressen" den eigentlichen Sinngehalt des EuGH Urteils in sein Gegenteil verkehrt. Der EuGH sagt in Wirklichkeit, IP-Adressen sind nur dann personenbezogene Daten, wenn ein deutscher Inhalteanbieter (= Webseiten-, Portal- oder Serverbetreiber) einen innerdeutschen Rechtsanspruch gegen einen in Deutschland sitzenden Internetzugangsanbieter nach $ 101 Urheberrechtsgesetz hat, dass dieser ihm den Vertragskunden, der im fraglichen Zeitpunkt seine IP-Nummer nutzte, identifiziert. Und selbst bei diesen wenigen IP-Nummern ist die Speicherung, wenn nicht nach $ 15 TMG, so doch nach vorrangigem EU-Recht zulässig, da der Investitionsschutz des Inhalteanbieters vorrangig sein kann (= sein wird).

    Mithin können Hardwarebetreiber und Inhalteanbieter schrankenlos und unbegrenzt die IP-Nummern via Internet zugreifender Internetnutzer protokollieren um den Weiterbetrieb ihrer Internetangebote zu sichern. Denn entweder sind die IP-Nummern, wie ganz überwiegend der Fall, nicht personenbezogen und nicht personenbeziehbar (z.B. IP-Nummern aus dem Ausland, wo einem kein $ 101 UrhG weiterhelfen kann) oder die Speicherung via $ 101 UrhG für einen bestimmten Nutzungszeitpunkt personenbeziehbar zu machender IP-Nummern ist nach europäischem Recht erlaubt, das eine Gesetzesgrundlage statt des zu engen $ 15 TMG hergibt. Mithin ist jedem Hardwarebetreiber und Inhalteanbieter zu raten, wie bisher alles in Logfiles zu protokollieren (einschliesslich der IP-Nummern), was er zu brauchen glaubt um seine Betriebssicherheit sicherzustellen. Denn es gibt keinen Datenschutz an IP-Nummern.

Mitreden? Schreiben Sie uns an leserbrief@lto.de

Diesen Artikel können Sie nicht online kommentieren. Die Kommentarfunktion, die ursprünglich dem offenen fachlichen und gesellschaftlichen Diskurs diente, wurde unter dem Deckmantel der Meinungsfreiheit zunehmend missbraucht, um Hass zu verbreiten. Schweren Herzens haben wir uns daher entschlossen, von unserem Hausrecht Gebrauch zu machen.

Stattdessen freuen wir uns über Ihren Leserbrief zu diesem Artikel – natürlich per Mail – an leserbrief@lto.de. Eine Auswahl der Leserbriefe wird in regelmäßigen Abständen veröffentlicht. Bitte beachten Sie dazu unsere Leserbrief-Richtlinien.

Fehler entdeckt? Geben Sie uns Bescheid.

TopJOBS
Datenschutz
Rechts­an­wäl­te (m/w/d) im Be­reich Ge­werb­li­cher Rechts­schutz, IT-Recht, Da­ten­schutz­recht und Com­mer­cial

SZA Schilling, Zutt & Anschütz, Mann­heim

Wirt­schafts­ju­rist/Di­p­lom­ju­rist (m/w/d) IT-Recht & Da­ten­schutz­recht

Luther Rechtsanwaltsgesellschaft mbH, Frank­furt/M.

As­so­cia­te (m/w/d) für den Be­reich Tech­no­lo­gie­recht (IT-Recht und Da­ta Pri­va­cy & Se­cu­ri­ty)

DLA Piper UK LLP, Köln

Rechts­an­wäl­te (m/w/d) Da­ten­schutz

Noerr LLP, Mün­chen

As­so­cia­te (m/w/d) im Be­reich Da­ta Pri­va­cy & Se­cu­ri­ty

DLA Piper UK LLP, Ham­burg

Rechts­an­walt (m/w/d) im Be­reich Di­gi­ta­li­sie­rung­s­pro­jek­te / IT / Com­mer­cial

Görg, Frank­furt/M.

Rechts­an­walt (m/w/d) IT-/Da­ten­schutz­recht

Kurz Pfitzer Wolf & Partner, Stutt­gart

IT/DA­TEN­SCHUTZ/IN­TEL­LEC­TUAL PRO­PER­TY

KNPZ Rechtsanwälte, Ham­burg

Rechts­an­walt (m/w/d) im Be­reich IP/IT/Da­ten­schutz

GSK Stockmann, Ber­lin

Neueste Stellenangebote
CON­SUL­TANT / PRO­JEKT­LEI­TER (m/w/d)
IT/DA­TEN­SCHUTZ/IN­TEL­LEC­TUAL PRO­PER­TY
Rechts­an­wäl­te (m/w/d) im Be­reich Ge­werb­li­cher Rechts­schutz, IT-Recht, Da­ten­schutz­recht und Com­mer­cial
Rechts­an­wäl­te (m/w/d) Da­ten­schutz
Wirt­schafts­ju­rist/Di­p­lom­ju­rist (m/w/d) IT-Recht & Da­ten­schutz­recht
Rechts­an­walt (m/w/d) im Be­reich Di­gi­ta­li­sie­rung­s­pro­jek­te / IT / Com­mer­cial
As­so­cia­te (m/w/d) im Be­reich Da­ta Pri­va­cy & Se­cu­ri­ty