Druckversion
Freitag, 2.06.2023, 15:23 Uhr


Legal Tribune Online
Schriftgröße: abc | abc | abc
https://www.lto.de//recht/hintergruende/h/eugh-c-582-14-ip-adressen-personenbezogene-daten-verarbeitung-speicherung/
Fenster schließen
Artikel drucken
20908

EuGH zu IP-Adressen von Internet-Nutzern: Daten­schutz gilt auch für IP-Adressen

von Dr. Gero Ziegenhorn und Katharina von Heckel

19.10.2016

Datenschutz im Internet

© Sikov - Fotolia.com

Der EuGH hat am Mittwoch entschieden, dass dynamische IP-Adressen personenbezogene Daten sind. Damit dürfen Webseitenbetreiber sie nur verarbeiten, wenn sie die strengen Vorgaben des Datenschutzes einhalten. 

Anzeige

Wie der EuGH entschieden hat…

Für Unternehmen und Behörden, die eigene Webseiten betreiben, wirkt der Fall harmlos. Doch er hat es in sich: Das Bundesministerium für Justiz und Verbraucherschutz (BMJV) speichert die IP-Adressen aller Besucher seiner Webseite für einen Zeitraum von 14 Tagen. Hiergegen klagt Patrick Breyer, schleswig-holsteinischer Landtagsabgeordneter der Piratenpartei und Datenschutzaktivist, der darin eine unzulässige Überwachung von Internetnutzern sieht. Die beklagte Bundesrepublik sieht sich jedoch im Recht: Sie meint, die Speicherung der IP-Adressen sei gerechtfertigt, da hierdurch Angriffe auf die Server des BMJV bekämpft. bzw. etwaige Angreifer später strafrechtlich verfolgt werden könnten. 

In dem Verfahren hatte der Bundesgerichtshof (BGH) den Europäischen Gerichtshof (EuGH) zwei Fragen zur Auslegung des Europäischen Datenschutzrechts vorgelegt. Erstens: Haben dynamische IP-Adressen Personenbezug, stellt ihre Speicherung also eine datenschutzrechtlich relevante Verarbeitung personenbezogener Daten dar? Und zweitens: Unter welchen Voraussetzungen ist die Verarbeitung bloßer Nutzungsdaten angesichts des restriktiven deutschen Telemediengesetzes (TMG) erlaubt?

Zu diesen Fragen hat der EuGH nun sein Urteil verkündet (v. 19.10.2016, Az. C-582/14). Er kommt darin zu dem Ergebnis, dass es sich bei dynamischen IP-Adressen um personenbezogene Daten handelt. Die Regelung des § 15 TMG, der eine Verarbeitung solcher Daten nur zulässt, soweit dies technisch zum Besuch der Seite erforderlich ist, sei zu restriktiv. 

Speichern von IP-Adressen und Datenschutz

IP-Adressen sind aus der Kommunikation in Computernetzwerken und beim Versenden von Daten nicht wegzudenken. Jedes internetfähige Endgerät bekommt vom jeweils verwendeten Internetprovider eine IP-Adresse zugeteilt, um im Internet agieren zu können. Gerade im Verbraucherbereich handelt es sich dabei meist um dynamische IP-Adressen, die sich alle paar Stunden oder Tage ändern können. Beim Aufrufen einer Webseite wird diese IP-Adresse an den Server gesendet, auf dem die Webseite gehostet wird. Hierdurch weiß der Server, wohin er seinerseits die Daten der Webseite senden muss. Das ist Voraussetzung dafür, dass die Seite auf dem Rechner, Smartphone oder Tablet angezeigt werden kann. 

Die meisten Webseiten speichern Informationen ihrer Besucher (z.B. über das verwendete Endgerät, die zuvor besuchten Seiten, etwaige Fehlermeldungen und eben auch die IP-Adresse) für einen längeren Zeitraum in Protokolldateien – so auch in dem Fall, in dem der EuGH nun entschieden hat. Hätte der EuGH die IP-Adressen nicht als personenbezogene Daten eingestuft, wäre die Speicherung unproblematisch; so hingegen muss sie sich an den Maßstäben des Datenschutzrechts messen lassen.

IP-Adressen als personenbezogene Daten 

Gemäß § 3 Abs. 1 des Bundesdatenschutzgesetzes (BDSG) sind personenbezogene Daten "Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)." Eine ähnliche Regelung findet sich in Art. 2 Buchstabe a der EG-Datenschutzrichtlinie 95/46/EG, den der EuGH hier auszulegen hatte. 

Ob etwas im Sinne der Vorschrift „bestimmbar“ ist, ist seit langer Zeit umstritten. Vertreten wird etwa, dass es ausreicht, wenn ein beliebiger Dritter die Person identifizieren kann (absoluter Maßstab). Andere Stimmen meinen, es komme nur auf die Möglichkeiten und Kenntnisse der datenverarbeitenden Stelle selbst an (relativer Maßstab). 

Gerade bei dynamischen IP-Adressen kann man sich fragen, ob ein solcher Personenbezug vorliegt. Der Webseitenanbieter selbst, der datenschutzrechtlich in die Pflicht genommen werden soll, kann die Nutzer nicht identifizieren. Er weiß in aller Regel nicht, wer sich hinter welcher IP-Adresse verbirgt. Lediglich Internetzugangsanbieter wie Telekom, Vodafone und 1&1, die ihren Nutzern die dynamischen IP-Adressen zuweisen, können dies ermitteln, die Information aber nur in Ausnahmefällen weitergeben. Ist der Nutzer in solchen Fällen dennoch – auch aus Sicht des Webseitenbetreibers – "bestimmbar", wie es das Gesetz für die Annahme eines Personenbezugs voraussetzt?

Der EuGH geht nun offensichtlich einen Mittelweg: Es soll zwar nicht genügen, dass irgendjemand zur Bestimmung in der Lage wäre. Es reicht aber aus, wenn der Betreiber der Website über "rechtliche Mittel" verfügt, die ihm die Bestimmung der hinter der IP-Adresse stehenden Person grundsätzlich ermöglichen. Es kommt also nicht darauf an, ob die Zuordnung zu einer bestimmbaren Person im konkreten Fall wirklich erfolgt, sondern lediglich, ob die rechtlichen Mittel den Betreiber allgemein hierzu in die Lage versetzen. Ein grundsätzlich weites Verständnis von personenbezogenen Daten wird danach bestätigt, auch wenn man sich eine etwas klarere und nicht nur auf die Vorlagefrage bezogene Entscheidung gewünscht hätte. 

… und was das für die Praxis bedeutet

2/2: Rechtmäßigkeit des Speicherns von IP-Adressen

Weil nach dem Urteil des EuGH IP-Adressen personenbezogene Daten sind, gilt das datenschutzrechtliche Verbot mit Erlaubnisvorbehalt. IP-Adressen dürfen nur erhoben und verwendet werden, wenn es hierfür eine gesetzliche Erlaubnis oder eine Einwilligung des Betroffenen gibt. 

Maßgeblich ist § 15 Abs. 1 TMG. Der Webseitenbetreiber darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Nutzungsdaten darf er gem. § 15 Abs. 4 Satz 1 TMG über das Ende des Nutzungsvorgangs hinaus verwenden, soweit sie für Zwecke der Abrechnung mit dem Nutzer erforderlich sind. 

Da IP-Adressen bei Nutzern, die lediglich surfen, in der Regel nicht für Abrechnungszwecke erforderlich sind, folgt aus der gesetzlichen Regelung, dass IP-Adressen nach dem Besuch der Webseite grundsätzlich nicht gespeichert werden dürfen. 

Die deutsche Bestimmung ist damit restriktiver als die zugrundeliegende Regelung des Art. 7 Buchstabe f der EG-Datenschutzrichtlinie. Diese enthält eine Interessenabwägung. Die Verarbeitung personenbezogener Daten ist hiernach rechtmäßig, wenn sie zur Verwirklichung des berechtigten Interesses erforderlich ist, das von dem für die Verarbeitung Verantwortlichen wahrgenommen wird, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. 

§ 15 TMG reduziert die nach der Richtlinie auf einer Interessenabwägung fußende Rechtfertigung für die Speicherung personenbezogener Daten allein auf den Fall, dass die Datenverarbeitung zur Nutzung des Telemediums technisch notwendig ist. Das ist – so der EuGH – zu restriktiv und mit der Richtlinie unvereinbar. Die deutsche Regelung in § 15 Abs. 1 i.V.m. Abs. 4 TMG muss insofern europarechtskonform ausgelegt werden. 

Konsequenzen für die Praxis

Unternehmen und Behörden müssen ihre Webseiten nun technisch durchleuchten. Häufig wissen Webseitenbetreiber nicht einmal, ob die für sie tätigen Hosting-Dienstleister IP-Adressen speichern. Datenschutzrechtlich sind jedoch die Webseitenbetreiber verantwortlich. Sie sollten daher bei ihren Dienstleistern nachhaken und diese  – auch mit Blick auf die ab 25. Mai 2018 geltende EU-Datenschutz-Grundverordnung – anweisen, IP-Adressen nicht anlasslos und unbegrenzt in Log-Dateien zu speichern. 

Im Einzelfall ist zu prüfen, ob es gewichtige Gründe für eine über den Webseitenbesuch hinausgehende Speicherung gibt.  

Eine große Relevanz hat das Urteil des EuGH zudem für die in der Praxis häufig vorkommende Auswertung und Nutzung von IP-Adressen beispielsweise zu statistischen und marketingbezogenen Zwecken. Nach dem EuGH-Urteil ist klar: Hierfür bedarf es einer datenschutzrechtlichen Erlaubnis. Da eine Einwilligung der Nutzer häufig nicht vorhanden ist, sind auch solche Datenflüsse mit erheblichen rechtlichen Risiken behaftet. 

Dr. Gero Ziegenhorn und Katharina von Heckel sind Anwälte bei Redeker Sellner Dahs und dort schwerpunktmäßig im Bereich Datenschutz tätig.

  • Drucken
  • Senden
  • Zitieren
Zitiervorschlag

Dr. Gero Ziegenhorn und Katharina von Heckel, EuGH zu IP-Adressen von Internet-Nutzern: Datenschutz gilt auch für IP-Adressen . In: Legal Tribune Online, 19.10.2016 , https://www.lto.de/persistent/a_id/20908/ (abgerufen am: 04.06.2023 )

Infos zum Zitiervorschlag
  • Mehr zum Thema
    • Datenschutz
    • Bundesjustizministerium
    • Internet
    • IT-Sicherheit
    • Persönlichkeitsrecht
  • Gerichte
    • Europäischer Gerichtshof (EuGH)
23.05.2023
Recht auf Vergessenwerden

BGH zur Auslistung von Google-Suchergebnis:

Wer ver­gessen werden will, muss Fehler nach­weisen

Das Netz vergisst gemeinhin nichts. Für Betroffene kann das mitunter unangenehm werden. Doch sie haben die Möglichkeit, gegen unliebsame Veröffentlichungen vorzugehen. Wie das geht, hat nun der BGH entschieden.

Artikel lesen
16.05.2023
Persönlichkeitsrecht

BGH betont öffentliches Interesse im Cum-Ex-Streit:

Süd­deut­sche Zei­tung durfte aus Olea­rius-Tage­buch zitieren

Die Süddeutsche Zeitung durfte im Zusammenhang mit dem Cum-Ex-Skandal wörtlich aus dem Tagebuch eines Bankers zitieren. Der Bundesgerichtshof betont das überragende öffentliche Interesse in dem Fall.

Artikel lesen
03.06.2023
Polizei

Filmen von polizeilichen Maßnahmen:

Gebot der Waf­fen­g­leich­heit

Ist das Filmen von Polizeieinsätzen zum Zweck der Dokumentation strafbar? Nein, meint Daniel Zühlke. Und statt dagegen vorzugehen, sollte die Polizei eher durch transparentes Handeln verlorenes Vertrauen wiederherstellen.

Artikel lesen
02.06.2023
Drogen

Niederländische Gerichtsentscheidung:

Ver­haf­tete Star-Anwältin Weski wieder frei

Eine der bekanntesten Strafverteidigerinnen der Niederlande wird aus der Haft entlassen. Sie soll in einem Drogenmafia-Prozess Nachrichten in und aus einem Hochsicherheitsgefängnis geschleust haben. Weski schweigt erst einmal.

Artikel lesen
01.06.2023
Justiz

Gericht zu rechtsextremem Referendar:

Wenn Ver­fas­sungs­feinde zu Juristen aus­ge­bildet werden

In Sachsen darf ein Rechtsextremer ins Referendariat, obwohl das Land dagegen Gesetze verschärft hat. Der Verfassungsgerichtshof hat den Weg frei gemacht, ein VG folgt zähneknirschend. Warum scheint die Justiz so hilflos?

Artikel lesen
01.06.2023
Drogen

Resümee zum Candylove-Verfahren:

Dreh­schluss – Der Pro­zess ist im Kasten

Vor kurzem fand das große Finale des Candylove-Prozesses statt. Vier Verurteilungen, ein Freispruch und bereits eingelegte Revisionen stehen an dessen Ende. LTO begleitete das gesamte Verfahren – ein Resümee.

Artikel lesen
Veranstaltungen
Health & Law: Künstliche Intelligenz im Gesundheitswesen

12.06.2023, Berlin

Out & About - Ein Event mit unserem LGBTQ+-Netzwerk in Berlin

29.06.2023, Berlin

DRAFTING INTERNATIONAL CONTRACTS – ONE-DAY CRASH COURSE

27.06.2023

Masterclass with Prof. Dr. Christine Eckert: Win-Win-Situation.

12.06.2023

mach-mIT 2023 | Agilität in depth

13.06.2023, Köln

Alle Veranstaltungen
Copyright © Wolters Kluwer Deutschland GmbH