EuGH zu IP-Adressen von Internet-Nutzern: Datenschutz gilt auch für IP-Adressen
© Sikov - Fotolia.com
Der EuGH hat am Mittwoch entschieden, dass dynamische IP-Adressen personenbezogene Daten sind. Damit dürfen Webseitenbetreiber sie nur verarbeiten, wenn sie die strengen Vorgaben des Datenschutzes einhalten.
Für Unternehmen und Behörden, die eigene Webseiten betreiben, wirkt der Fall harmlos. Doch er hat es in sich: Das Bundesministerium für Justiz und Verbraucherschutz (BMJV) speichert die IP-Adressen aller Besucher seiner Webseite für einen Zeitraum von 14 Tagen. Hiergegen klagt Patrick Breyer, schleswig-holsteinischer Landtagsabgeordneter der Piratenpartei und Datenschutzaktivist, der darin eine unzulässige Überwachung von Internetnutzern sieht. Die beklagte Bundesrepublik sieht sich jedoch im Recht: Sie meint, die Speicherung der IP-Adressen sei gerechtfertigt, da hierdurch Angriffe auf die Server des BMJV bekämpft. bzw. etwaige Angreifer später strafrechtlich verfolgt werden könnten.
In dem Verfahren hatte der Bundesgerichtshof (BGH) den Europäischen Gerichtshof (EuGH) zwei Fragen zur Auslegung des Europäischen Datenschutzrechts vorgelegt. Erstens: Haben dynamische IP-Adressen Personenbezug, stellt ihre Speicherung also eine datenschutzrechtlich relevante Verarbeitung personenbezogener Daten dar? Und zweitens: Unter welchen Voraussetzungen ist die Verarbeitung bloßer Nutzungsdaten angesichts des restriktiven deutschen Telemediengesetzes (TMG) erlaubt?
Zu diesen Fragen hat der EuGH nun sein Urteil verkündet (v. 19.10.2016, Az. C-582/14). Er kommt darin zu dem Ergebnis, dass es sich bei dynamischen IP-Adressen um personenbezogene Daten handelt. Die Regelung des § 15 TMG, der eine Verarbeitung solcher Daten nur zulässt, soweit dies technisch zum Besuch der Seite erforderlich ist, sei zu restriktiv.
Speichern von IP-Adressen und Datenschutz
IP-Adressen sind aus der Kommunikation in Computernetzwerken und beim Versenden von Daten nicht wegzudenken. Jedes internetfähige Endgerät bekommt vom jeweils verwendeten Internetprovider eine IP-Adresse zugeteilt, um im Internet agieren zu können. Gerade im Verbraucherbereich handelt es sich dabei meist um dynamische IP-Adressen, die sich alle paar Stunden oder Tage ändern können. Beim Aufrufen einer Webseite wird diese IP-Adresse an den Server gesendet, auf dem die Webseite gehostet wird. Hierdurch weiß der Server, wohin er seinerseits die Daten der Webseite senden muss. Das ist Voraussetzung dafür, dass die Seite auf dem Rechner, Smartphone oder Tablet angezeigt werden kann.
Die meisten Webseiten speichern Informationen ihrer Besucher (z.B. über das verwendete Endgerät, die zuvor besuchten Seiten, etwaige Fehlermeldungen und eben auch die IP-Adresse) für einen längeren Zeitraum in Protokolldateien – so auch in dem Fall, in dem der EuGH nun entschieden hat. Hätte der EuGH die IP-Adressen nicht als personenbezogene Daten eingestuft, wäre die Speicherung unproblematisch; so hingegen muss sie sich an den Maßstäben des Datenschutzrechts messen lassen.
IP-Adressen als personenbezogene Daten
Gemäß § 3 Abs. 1 des Bundesdatenschutzgesetzes (BDSG) sind personenbezogene Daten "Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)." Eine ähnliche Regelung findet sich in Art. 2 Buchstabe a der EG-Datenschutzrichtlinie 95/46/EG, den der EuGH hier auszulegen hatte.
Ob etwas im Sinne der Vorschrift „bestimmbar“ ist, ist seit langer Zeit umstritten. Vertreten wird etwa, dass es ausreicht, wenn ein beliebiger Dritter die Person identifizieren kann (absoluter Maßstab). Andere Stimmen meinen, es komme nur auf die Möglichkeiten und Kenntnisse der datenverarbeitenden Stelle selbst an (relativer Maßstab).
Gerade bei dynamischen IP-Adressen kann man sich fragen, ob ein solcher Personenbezug vorliegt. Der Webseitenanbieter selbst, der datenschutzrechtlich in die Pflicht genommen werden soll, kann die Nutzer nicht identifizieren. Er weiß in aller Regel nicht, wer sich hinter welcher IP-Adresse verbirgt. Lediglich Internetzugangsanbieter wie Telekom, Vodafone und 1&1, die ihren Nutzern die dynamischen IP-Adressen zuweisen, können dies ermitteln, die Information aber nur in Ausnahmefällen weitergeben. Ist der Nutzer in solchen Fällen dennoch – auch aus Sicht des Webseitenbetreibers – "bestimmbar", wie es das Gesetz für die Annahme eines Personenbezugs voraussetzt?
Der EuGH geht nun offensichtlich einen Mittelweg: Es soll zwar nicht genügen, dass irgendjemand zur Bestimmung in der Lage wäre. Es reicht aber aus, wenn der Betreiber der Website über "rechtliche Mittel" verfügt, die ihm die Bestimmung der hinter der IP-Adresse stehenden Person grundsätzlich ermöglichen. Es kommt also nicht darauf an, ob die Zuordnung zu einer bestimmbaren Person im konkreten Fall wirklich erfolgt, sondern lediglich, ob die rechtlichen Mittel den Betreiber allgemein hierzu in die Lage versetzen. Ein grundsätzlich weites Verständnis von personenbezogenen Daten wird danach bestätigt, auch wenn man sich eine etwas klarere und nicht nur auf die Vorlagefrage bezogene Entscheidung gewünscht hätte.
2/2: Rechtmäßigkeit des Speicherns von IP-Adressen
Weil nach dem Urteil des EuGH IP-Adressen personenbezogene Daten sind, gilt das datenschutzrechtliche Verbot mit Erlaubnisvorbehalt. IP-Adressen dürfen nur erhoben und verwendet werden, wenn es hierfür eine gesetzliche Erlaubnis oder eine Einwilligung des Betroffenen gibt.
Maßgeblich ist § 15 Abs. 1 TMG. Der Webseitenbetreiber darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Nutzungsdaten darf er gem. § 15 Abs. 4 Satz 1 TMG über das Ende des Nutzungsvorgangs hinaus verwenden, soweit sie für Zwecke der Abrechnung mit dem Nutzer erforderlich sind.
Da IP-Adressen bei Nutzern, die lediglich surfen, in der Regel nicht für Abrechnungszwecke erforderlich sind, folgt aus der gesetzlichen Regelung, dass IP-Adressen nach dem Besuch der Webseite grundsätzlich nicht gespeichert werden dürfen.
Die deutsche Bestimmung ist damit restriktiver als die zugrundeliegende Regelung des Art. 7 Buchstabe f der EG-Datenschutzrichtlinie. Diese enthält eine Interessenabwägung. Die Verarbeitung personenbezogener Daten ist hiernach rechtmäßig, wenn sie zur Verwirklichung des berechtigten Interesses erforderlich ist, das von dem für die Verarbeitung Verantwortlichen wahrgenommen wird, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.
§ 15 TMG reduziert die nach der Richtlinie auf einer Interessenabwägung fußende Rechtfertigung für die Speicherung personenbezogener Daten allein auf den Fall, dass die Datenverarbeitung zur Nutzung des Telemediums technisch notwendig ist. Das ist – so der EuGH – zu restriktiv und mit der Richtlinie unvereinbar. Die deutsche Regelung in § 15 Abs. 1 i.V.m. Abs. 4 TMG muss insofern europarechtskonform ausgelegt werden.
Konsequenzen für die Praxis
Unternehmen und Behörden müssen ihre Webseiten nun technisch durchleuchten. Häufig wissen Webseitenbetreiber nicht einmal, ob die für sie tätigen Hosting-Dienstleister IP-Adressen speichern. Datenschutzrechtlich sind jedoch die Webseitenbetreiber verantwortlich. Sie sollten daher bei ihren Dienstleistern nachhaken und diese – auch mit Blick auf die ab 25. Mai 2018 geltende EU-Datenschutz-Grundverordnung – anweisen, IP-Adressen nicht anlasslos und unbegrenzt in Log-Dateien zu speichern.
Im Einzelfall ist zu prüfen, ob es gewichtige Gründe für eine über den Webseitenbesuch hinausgehende Speicherung gibt.
Eine große Relevanz hat das Urteil des EuGH zudem für die in der Praxis häufig vorkommende Auswertung und Nutzung von IP-Adressen beispielsweise zu statistischen und marketingbezogenen Zwecken. Nach dem EuGH-Urteil ist klar: Hierfür bedarf es einer datenschutzrechtlichen Erlaubnis. Da eine Einwilligung der Nutzer häufig nicht vorhanden ist, sind auch solche Datenflüsse mit erheblichen rechtlichen Risiken behaftet.
Dr. Gero Ziegenhorn und Katharina von Heckel sind Anwälte bei Redeker Sellner Dahs und dort schwerpunktmäßig im Bereich Datenschutz tätig.
Die Pressemitteilung des EUGH hat einen ganz anderen Tenor, als hier vermittelt wird. Der Personenbezug wird nur bedingt angenommen:
Wolfgang Ksoll"Die dynamische Internetprotokoll-Adresse eines Nutzers stellt für den Betreiber der Website ein personenbezogenes Datum dar, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, den betreffenden Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen." Also ohne Möglichkeit, mit rechtlichen Mitteln an Zusatzinformatioen zu kommen, besteht kein Personenbezug. Das ist eine ganz andere Aussage, als hier von den Autoren vertreten.
Darüber hinaus sagt das Urteil, dass einige Elemente des deutschen Datenschutzes schlicht rechtswidrig ist.
Zudem macht der EUGH Gründe gelten, dass ein Logging praktisch immer legal ist:
"Der Betreiber einer Website kann ein berechtigtes Interesse daran haben, bestimmte personenbezogene Daten der Nutzer zu speichern, um sich gegen Cyberattacken zu verteidigen"
Cyberattacken werden fast gegen jede Website begegangen, sei es als Denial-of-Service-Attacke, Ausspionieren von Schwachstellen oder dem rechtswidrigen Versuch des unberechtigten Eindringen. Wer zum Beispiel einen WordPress-Server betreibt, wird in seinen Logfiles in wenigen Wochen viele hunderte gescheiterte Login-Versuche feststellen können. Hier ist dann zu untersuchen, ob man nur zufällig Opfer einer Attacke geworden ist, oder ob systematisch über Monate Brute-Force-Attacken des selben Angreifers gefahren werden.
Hier sagt der EUGH, dass der Webseitenbetreiber ein Recht auf Speicherung hat, um eine Strafverfolgung nach 202a StGB zu ermöglichen. Das heißt praktisch ein Freibrief für alle Webseitenbetreiber mit Login-Facility.
Möglicherweise ist es sinnvoll, wenn die Autoren die Pressemittleilung des EUGH noch einmal lesen:
http://curia.europa.eu/jcms/upload/docs/application/pdf/2016-10/cp160112de.pdf
Der Tenor des EuGH ist genau dieser, welchen die Autoren hier wiedergeben! In der veröffentlichten Pressemitteilung des EuGH wird ganz klar aufgeführt, dass Speicherungen von dynamischen und auch statischen IP-Adressen, nur insoweit zulässig sind, wenn ein ernsthafter Verdacht einer Straftat vorliegt, hinsichtlich dessen bin ich vollkommen auf Ihrer Seite.
Ihren Ausführungen nach, Herr Sksoll, müssten allerdings jegliche Webseitenbesucher unter Generalverdacht einer vollführten Straftat gestellt werden, um somit eine Speicherung der IP-Adressen rechtfertigen zu können. Es müsste also allen tatsächlichen Usern unterstellt werden, dass sie als unbefugte agieren. Meiner Meinung nach wäre diese Ansicht eine nicht vertretbare und somit auch nicht im Sinne des EuGH. Vielmehr fasse ich den Wortlaut insoweit auf, als dass genau dieser vorig genannte Problempunkt, nämlich die willkürliche Speicherung der IP-Adressen, durch das Urteil des EuGH, aufgelöst werden soll. Dass also schlichtweg, ohne hinzureichenden Verdacht, keine IP-Adressen in Form von Logdateien abgespeichert werden dürfen.
Lieber Herr Duderstedt,
Ein Beispiel aus einem Logfile: anon-x-x-x-x.ip.invalid - - [16/Oct/2016:08:34:49 +0200] "GET /wp-login.php?action=register HTTP/1.1" 302 - ... "Opera/9.80 (Windows NT 6.2; Win64; x64) Presto/2.12.388 Version/12.17"
alleine in den letzten vier Wochen sind auf meinem Webserver ca 280 gescheiterte Loginversuche passiert. Diese sind versuchte Straftaten nach §202a StGB. Für mich sind diese Daten erst mal nicht personenbezogen, aber wenn ich Strafanzeige erstatte, kann der Staatsanwalt möglicherweise einen Personenbezug herstellen.
EUGH dazu:
"Der Gerichtshof führt hierzu aus dass es in Deutschland offenbar rechtliche Möglichkeiten gibt, die es dem Anbieter von Online -
Mediendiensten erlauben, sich insbesondere im Fall von
Cyberattacken an die zuständige Behörde zu wenden, um die
fraglichen Informationen vom Internetzugangsanbieter zu erlangen und
anschließend die Strafverfolgung einzuleiten"
In der Überschrift der Pressemitteilung führt der EUGH aus: "Der Betreiber einer Website kann ein berechtigtes Interesse daran haben, bestimmte
personenbezogene Daten der Nutzer zu speichern, um sich gegen Cyberattacken zu verteidigen"
Um festzustellen, ob eine Cyberattacke vorliegt, muss man zunächst alle Zugriffe loggen, um sie dann auszuwerten: Das obige Beispiel zeigt den Versucht eines unerlaubten Ausspähens von Daten, die gegen unberechtigten Zugriff besonders gesichert sind. Andere Cyberattacken, die auf Denial-of-Service-Attacken zielen, sehen anders aus, können aber ggf. über eine oder mehrere schnell Requests emittierende IP-Adresse erfolgen. Um diese gezielt blocken zu könne, was in dem Beispiel einer gehosteten WordPress-Instanz nur durch den Hoster geht, muss auch erst geloggt werden. Der EUGH hat nun das Loggen als solches erlaubt und darüber hinaus auch die Speicherung von personenbezogenen (oder personenbeziehbaren) Daten, wenn es der Strafverfolgung wie in den beiden Beispielen dienst. Dadurch ist praktisch jedes Loggen erlaubt worden, da sich jeder Anbieter auf die Bekämpfung von Cyberattacken zurückziehen kann. Lassen Sie sich das einfach von einem IT-Sicherheitsexperten erklären. Mit dem Abwehren von Cyberattacken ist alles das zu Ende, was vorher über Datenschutz bei IP-Adressen in Deutschland (zum Teil rechtswidrig, wie der EUGH meint) erzählt wurde.
.
Der Klage gegen das BMJV auf Unterlassung der IP-Nummernspeicherung für länger als 14 Tage im Zusammenhang mit der Nutzung des Internetportals "http://www.bmj.bund.de" wurde vom Amtsgericht Berlin-Mitte am 27.03.2007 mit Urteil 5 C 314/06 stattgegeben und das BMJV zur Unterlassung verurteilt. Dieser Prozess ist rechtskräftig abgeschlossen.
Peter NitschDie zivilrechtliche Unterlassungsklage vom 3. Januar 2008, die Anlass zu der Vorlagefrage an den EuGH gab, erhob der Kläger anschließend vor dem Amtsgericht Tiergarten gegen den Bund (2 C 6/08), vertreten durch das BMI, im Hinblick auf alle übrigen Internetportale des Bundes. Dieses Verfahren ging die Instanzen hoch (Landgericht 57 S 87/08, BGH VI ZR 135/13) und schließlich zum EuGH.
Das BMI verteidigte den Bund gegen jede zeitliche Einschränkung der Speicherung von IP-Nummern als Webseiten-/Portalbetreiber mit dem Hinweis, dass für Inhalteanbieter die IP-Nummer zugreifender Internetnutzer kein personenbezogenes Datum ist, weil diese nur sehen können, dass eine IP-Nummer aus dem Nummernkontingent eines bestimmten Internetzugangsanbieters stammt (z.B. Telekom, 1 & 1, Vodafone). Welcher Vertragskunde des jeweiligen Zugangsanbieters im fraglichen Zeitpunkt die IP-Nummer verwendete kann nur der Zugangsanbieter sagen. Mithin ist für den Inhalteanbieter der bei ihm unter einer bestimmten IP-Nummer zu einer bestimmten Zeit negativ aufgefallene Internetnutzer ohne das Zusatzwissen des Internetzugangsanbieters, der allein seinen Vertragskunden identifizieren kann, nicht festzustellen und damit die IP-Nummer kein personenbezogenes Datum (lehnt man die absolute Theorie ab und folgt der relativen). Dann können IP-Nummern vom Inhalteanbieter beliebig lange protokolliert und gespeichert werden, weil sie nur Daten, aber eben keine personenbezogenen oder personenbeziehbaren sind.
Der EuGH hält sie nun dann für personenbezogene Daten, wenn ein geschädigter Inhalteanbieter über den Weg des § 101 Urheberrechtsgesetz den Zugangsanbieter per einstweiliger Verfügung zur Offenlegung der Identität seines Vertragskunden zwingen kann. Um diesen danach zwecks Strafverfolgung anzuzeigenoder auf Schadensersatz zu verklagen.
Lustig ist, dass die Überschrift des Artikels "Datenschutz gilt auch für IP-Adressen" den eigentlichen Sinngehalt des EuGH Urteils in sein Gegenteil verkehrt. Der EuGH sagt in Wirklichkeit, IP-Adressen sind nur dann personenbezogene Daten, wenn ein deutscher Inhalteanbieter (= Webseiten-, Portal- oder Serverbetreiber) einen innerdeutschen Rechtsanspruch gegen einen in Deutschland sitzenden Internetzugangsanbieter nach $ 101 Urheberrechtsgesetz hat, dass dieser ihm den Vertragskunden, der im fraglichen Zeitpunkt seine IP-Nummer nutzte, identifiziert. Und selbst bei diesen wenigen IP-Nummern ist die Speicherung, wenn nicht nach $ 15 TMG, so doch nach vorrangigem EU-Recht zulässig, da der Investitionsschutz des Inhalteanbieters vorrangig sein kann (= sein wird).
Peter NitschMithin können Hardwarebetreiber und Inhalteanbieter schrankenlos und unbegrenzt die IP-Nummern via Internet zugreifender Internetnutzer protokollieren um den Weiterbetrieb ihrer Internetangebote zu sichern. Denn entweder sind die IP-Nummern, wie ganz überwiegend der Fall, nicht personenbezogen und nicht personenbeziehbar (z.B. IP-Nummern aus dem Ausland, wo einem kein $ 101 UrhG weiterhelfen kann) oder die Speicherung via $ 101 UrhG für einen bestimmten Nutzungszeitpunkt personenbeziehbar zu machender IP-Nummern ist nach europäischem Recht erlaubt, das eine Gesetzesgrundlage statt des zu engen $ 15 TMG hergibt. Mithin ist jedem Hardwarebetreiber und Inhalteanbieter zu raten, wie bisher alles in Logfiles zu protokollieren (einschliesslich der IP-Nummern), was er zu brauchen glaubt um seine Betriebssicherheit sicherzustellen. Denn es gibt keinen Datenschutz an IP-Nummern.