EuGH zu IP-Adressen von Internet-Nutzern: Daten­schutz gilt auch für IP-Adressen

Für Unternehmen und Behörden, die eigene Webseiten betreiben, wirkt der Fall harmlos. Doch er hat es in sich: Das Bundesministerium für Justiz und Verbraucherschutz (BMJV) speichert die IP-Adressen aller Besucher seiner Webseite für einen Zeitraum von 14 Tagen. Hiergegen klagt Patrick Breyer, schleswig-holsteinischer Landtagsabgeordneter der Piratenpartei und Datenschutzaktivist, der darin eine unzulässige Überwachung von Internetnutzern sieht. Die beklagte Bundesrepublik sieht sich jedoch im Recht: Sie meint, die Speicherung der IP-Adressen sei gerechtfertigt, da hierdurch Angriffe auf die Server des BMJV bekämpft. bzw. etwaige Angreifer später strafrechtlich verfolgt werden könnten. 

In dem Verfahren hatte der Bundesgerichtshof (BGH) den Europäischen Gerichtshof (EuGH) zwei Fragen zur Auslegung des Europäischen Datenschutzrechts vorgelegt. Erstens: Haben dynamische IP-Adressen Personenbezug, stellt ihre Speicherung also eine datenschutzrechtlich relevante Verarbeitung personenbezogener Daten dar? Und zweitens: Unter welchen Voraussetzungen ist die Verarbeitung bloßer Nutzungsdaten angesichts des restriktiven deutschen Telemediengesetzes (TMG) erlaubt?

Zu diesen Fragen hat der EuGH nun sein Urteil verkündet (v. 19.10.2016, Az. C-582/14). Er kommt darin zu dem Ergebnis, dass es sich bei dynamischen IP-Adressen um personenbezogene Daten handelt. Die Regelung des § 15 TMG, der eine Verarbeitung solcher Daten nur zulässt, soweit dies technisch zum Besuch der Seite erforderlich ist, sei zu restriktiv. 

IP-Adressen sind aus der Kommunikation in Computernetzwerken und beim Versenden von Daten nicht wegzudenken. Jedes internetfähige Endgerät bekommt vom jeweils verwendeten Internetprovider eine IP-Adresse zugeteilt, um im Internet agieren zu können. Gerade im Verbraucherbereich handelt es sich dabei meist um dynamische IP-Adressen, die sich alle paar Stunden oder Tage ändern können. Beim Aufrufen einer Webseite wird diese IP-Adresse an den Server gesendet, auf dem die Webseite gehostet wird. Hierdurch weiß der Server, wohin er seinerseits die Daten der Webseite senden muss. Das ist Voraussetzung dafür, dass die Seite auf dem Rechner, Smartphone oder Tablet angezeigt werden kann. 

Die meisten Webseiten speichern Informationen ihrer Besucher (z.B. über das verwendete Endgerät, die zuvor besuchten Seiten, etwaige Fehlermeldungen und eben auch die IP-Adresse) für einen längeren Zeitraum in Protokolldateien – so auch in dem Fall, in dem der EuGH nun entschieden hat. Hätte der EuGH die IP-Adressen nicht als personenbezogene Daten eingestuft, wäre die Speicherung unproblematisch; so hingegen muss sie sich an den Maßstäben des Datenschutzrechts messen lassen.

Gemäß § 3 Abs. 1 des Bundesdatenschutzgesetzes (BDSG) sind personenbezogene Daten "Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)." Eine ähnliche Regelung findet sich in Art. 2 Buchstabe a der EG-Datenschutzrichtlinie 95/46/EG, den der EuGH hier auszulegen hatte. 

Ob etwas im Sinne der Vorschrift „bestimmbar“ ist, ist seit langer Zeit umstritten. Vertreten wird etwa, dass es ausreicht, wenn ein beliebiger Dritter die Person identifizieren kann (absoluter Maßstab). Andere Stimmen meinen, es komme nur auf die Möglichkeiten und Kenntnisse der datenverarbeitenden Stelle selbst an (relativer Maßstab). 

Gerade bei dynamischen IP-Adressen kann man sich fragen, ob ein solcher Personenbezug vorliegt. Der Webseitenanbieter selbst, der datenschutzrechtlich in die Pflicht genommen werden soll, kann die Nutzer nicht identifizieren. Er weiß in aller Regel nicht, wer sich hinter welcher IP-Adresse verbirgt. Lediglich Internetzugangsanbieter wie Telekom, Vodafone und 1&1, die ihren Nutzern die dynamischen IP-Adressen zuweisen, können dies ermitteln, die Information aber nur in Ausnahmefällen weitergeben. Ist der Nutzer in solchen Fällen dennoch – auch aus Sicht des Webseitenbetreibers – "bestimmbar", wie es das Gesetz für die Annahme eines Personenbezugs voraussetzt?

Der EuGH geht nun offensichtlich einen Mittelweg: Es soll zwar nicht genügen, dass irgendjemand zur Bestimmung in der Lage wäre. Es reicht aber aus, wenn der Betreiber der Website über "rechtliche Mittel" verfügt, die ihm die Bestimmung der hinter der IP-Adresse stehenden Person grundsätzlich ermöglichen. Es kommt also nicht darauf an, ob die Zuordnung zu einer bestimmbaren Person im konkreten Fall wirklich erfolgt, sondern lediglich, ob die rechtlichen Mittel den Betreiber allgemein hierzu in die Lage versetzen. Ein grundsätzlich weites Verständnis von personenbezogenen Daten wird danach bestätigt, auch wenn man sich eine etwas klarere und nicht nur auf die Vorlagefrage bezogene Entscheidung gewünscht hätte.