EuGH zu IP-Adressen von Internet-Nutzern: Daten­schutz gilt auch für IP-Adressen

Wie der EuGH entschieden hat…

Für Unternehmen und Behörden, die eigene Webseiten betreiben, wirkt der Fall harmlos. Doch er hat es in sich: Das Bundesministerium für Justiz und Verbraucherschutz (BMJV) speichert die IP-Adressen aller Besucher seiner Webseite für einen Zeitraum von 14 Tagen. Hiergegen klagt Patrick Breyer, schleswig-holsteinischer Landtagsabgeordneter der Piratenpartei und Datenschutzaktivist, der darin eine unzulässige Überwachung von Internetnutzern sieht. Die beklagte Bundesrepublik sieht sich jedoch im Recht: Sie meint, die Speicherung der IP-Adressen sei gerechtfertigt, da hierdurch Angriffe auf die Server des BMJV bekämpft. bzw. etwaige Angreifer später strafrechtlich verfolgt werden könnten. 

In dem Verfahren hatte der Bundesgerichtshof (BGH) den Europäischen Gerichtshof (EuGH) zwei Fragen zur Auslegung des Europäischen Datenschutzrechts vorgelegt. Erstens: Haben dynamische IP-Adressen Personenbezug, stellt ihre Speicherung also eine datenschutzrechtlich relevante Verarbeitung personenbezogener Daten dar? Und zweitens: Unter welchen Voraussetzungen ist die Verarbeitung bloßer Nutzungsdaten angesichts des restriktiven deutschen Telemediengesetzes (TMG) erlaubt?

Zu diesen Fragen hat der EuGH nun sein Urteil verkündet (v. 19.10.2016, Az. C-582/14). Er kommt darin zu dem Ergebnis, dass es sich bei dynamischen IP-Adressen um personenbezogene Daten handelt. Die Regelung des § 15 TMG, der eine Verarbeitung solcher Daten nur zulässt, soweit dies technisch zum Besuch der Seite erforderlich ist, sei zu restriktiv. 

IP-Adressen sind aus der Kommunikation in Computernetzwerken und beim Versenden von Daten nicht wegzudenken. Jedes internetfähige Endgerät bekommt vom jeweils verwendeten Internetprovider eine IP-Adresse zugeteilt, um im Internet agieren zu können. Gerade im Verbraucherbereich handelt es sich dabei meist um dynamische IP-Adressen, die sich alle paar Stunden oder Tage ändern können. Beim Aufrufen einer Webseite wird diese IP-Adresse an den Server gesendet, auf dem die Webseite gehostet wird. Hierdurch weiß der Server, wohin er seinerseits die Daten der Webseite senden muss. Das ist Voraussetzung dafür, dass die Seite auf dem Rechner, Smartphone oder Tablet angezeigt werden kann. 

Die meisten Webseiten speichern Informationen ihrer Besucher (z.B. über das verwendete Endgerät, die zuvor besuchten Seiten, etwaige Fehlermeldungen und eben auch die IP-Adresse) für einen längeren Zeitraum in Protokolldateien – so auch in dem Fall, in dem der EuGH nun entschieden hat. Hätte der EuGH die IP-Adressen nicht als personenbezogene Daten eingestuft, wäre die Speicherung unproblematisch; so hingegen muss sie sich an den Maßstäben des Datenschutzrechts messen lassen.

Gemäß § 3 Abs. 1 des Bundesdatenschutzgesetzes (BDSG) sind personenbezogene Daten "Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)." Eine ähnliche Regelung findet sich in Art. 2 Buchstabe a der EG-Datenschutzrichtlinie 95/46/EG, den der EuGH hier auszulegen hatte. 

Ob etwas im Sinne der Vorschrift „bestimmbar“ ist, ist seit langer Zeit umstritten. Vertreten wird etwa, dass es ausreicht, wenn ein beliebiger Dritter die Person identifizieren kann (absoluter Maßstab). Andere Stimmen meinen, es komme nur auf die Möglichkeiten und Kenntnisse der datenverarbeitenden Stelle selbst an (relativer Maßstab). 

Gerade bei dynamischen IP-Adressen kann man sich fragen, ob ein solcher Personenbezug vorliegt. Der Webseitenanbieter selbst, der datenschutzrechtlich in die Pflicht genommen werden soll, kann die Nutzer nicht identifizieren. Er weiß in aller Regel nicht, wer sich hinter welcher IP-Adresse verbirgt. Lediglich Internetzugangsanbieter wie Telekom, Vodafone und 1&1, die ihren Nutzern die dynamischen IP-Adressen zuweisen, können dies ermitteln, die Information aber nur in Ausnahmefällen weitergeben. Ist der Nutzer in solchen Fällen dennoch – auch aus Sicht des Webseitenbetreibers – "bestimmbar", wie es das Gesetz für die Annahme eines Personenbezugs voraussetzt?

Der EuGH geht nun offensichtlich einen Mittelweg: Es soll zwar nicht genügen, dass irgendjemand zur Bestimmung in der Lage wäre. Es reicht aber aus, wenn der Betreiber der Website über "rechtliche Mittel" verfügt, die ihm die Bestimmung der hinter der IP-Adresse stehenden Person grundsätzlich ermöglichen. Es kommt also nicht darauf an, ob die Zuordnung zu einer bestimmbaren Person im konkreten Fall wirklich erfolgt, sondern lediglich, ob die rechtlichen Mittel den Betreiber allgemein hierzu in die Lage versetzen. Ein grundsätzlich weites Verständnis von personenbezogenen Daten wird danach bestätigt, auch wenn man sich eine etwas klarere und nicht nur auf die Vorlagefrage bezogene Entscheidung gewünscht hätte. 

… und was das für die Praxis bedeutet

2/2: Rechtmäßigkeit des Speicherns von IP-Adressen

Weil nach dem Urteil des EuGH IP-Adressen personenbezogene Daten sind, gilt das datenschutzrechtliche Verbot mit Erlaubnisvorbehalt. IP-Adressen dürfen nur erhoben und verwendet werden, wenn es hierfür eine gesetzliche Erlaubnis oder eine Einwilligung des Betroffenen gibt. 

Maßgeblich ist § 15 Abs. 1 TMG. Der Webseitenbetreiber darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Nutzungsdaten darf er gem. § 15 Abs. 4 Satz 1 TMG über das Ende des Nutzungsvorgangs hinaus verwenden, soweit sie für Zwecke der Abrechnung mit dem Nutzer erforderlich sind. 

Da IP-Adressen bei Nutzern, die lediglich surfen, in der Regel nicht für Abrechnungszwecke erforderlich sind, folgt aus der gesetzlichen Regelung, dass IP-Adressen nach dem Besuch der Webseite grundsätzlich nicht gespeichert werden dürfen. 

Die deutsche Bestimmung ist damit restriktiver als die zugrundeliegende Regelung des Art. 7 Buchstabe f der EG-Datenschutzrichtlinie. Diese enthält eine Interessenabwägung. Die Verarbeitung personenbezogener Daten ist hiernach rechtmäßig, wenn sie zur Verwirklichung des berechtigten Interesses erforderlich ist, das von dem für die Verarbeitung Verantwortlichen wahrgenommen wird, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. 

§ 15 TMG reduziert die nach der Richtlinie auf einer Interessenabwägung fußende Rechtfertigung für die Speicherung personenbezogener Daten allein auf den Fall, dass die Datenverarbeitung zur Nutzung des Telemediums technisch notwendig ist. Das ist – so der EuGH – zu restriktiv und mit der Richtlinie unvereinbar. Die deutsche Regelung in § 15 Abs. 1 i.V.m. Abs. 4 TMG muss insofern europarechtskonform ausgelegt werden. 

Unternehmen und Behörden müssen ihre Webseiten nun technisch durchleuchten. Häufig wissen Webseitenbetreiber nicht einmal, ob die für sie tätigen Hosting-Dienstleister IP-Adressen speichern. Datenschutzrechtlich sind jedoch die Webseitenbetreiber verantwortlich. Sie sollten daher bei ihren Dienstleistern nachhaken und diese  – auch mit Blick auf die ab 25. Mai 2018 geltende EU-Datenschutz-Grundverordnung – anweisen, IP-Adressen nicht anlasslos und unbegrenzt in Log-Dateien zu speichern. 

Im Einzelfall ist zu prüfen, ob es gewichtige Gründe für eine über den Webseitenbesuch hinausgehende Speicherung gibt.  

Eine große Relevanz hat das Urteil des EuGH zudem für die in der Praxis häufig vorkommende Auswertung und Nutzung von IP-Adressen beispielsweise zu statistischen und marketingbezogenen Zwecken. Nach dem EuGH-Urteil ist klar: Hierfür bedarf es einer datenschutzrechtlichen Erlaubnis. Da eine Einwilligung der Nutzer häufig nicht vorhanden ist, sind auch solche Datenflüsse mit erheblichen rechtlichen Risiken behaftet. 

Dr. Gero Ziegenhorn und Katharina von Heckel sind Anwälte bei Redeker Sellner Dahs und dort schwerpunktmäßig im Bereich Datenschutz tätig.