LTO.de - Legal Tribune Online - Aktuelles aus Recht und Justiz
 

EuGH zu IP-Adressen: Harte Zeiten für Daten­sammler

Die Frage, ob die IP-Adresse zu den personenbezogenen Daten des Internetnutzers gehört, ist seit langem umstritten. Während Datenschützer darauf beharrten, verneinten deutsche Gerichte dies bis zuletzt. Ob nun eine Randziffer des EuGH das Ende des Online-Marketings einläutet, klären Thomas Weimann und Daniel Nagel.

Der Zwist zwischen Online-Marketing und Datenschutzrecht wird in der EU derzeit eigentlich vor allem von der so genannten Cookie-Richtlinie (2009/136/EG) bestimmt. Diese erlaubt nur dann eine beschränkungsfreie Verwendung von Cookies, wenn sie "unverzichtbar sind, um die Nutzung eines […] Dienstes zu ermöglichen". In allen anderen Fällen ist über deren Verwendung umfassend zu informieren und eine vorherige Einwilligung des Nutzers einzuholen. Deutschland hat die Richtlinie noch nicht in nationales Recht umgesetzt, obwohl die Umsetzungsfrist bereits im Mai 2011 abgelaufen ist. Die nicht rechtzeitige Umsetzung einer Richtlinie kann allerdings ihre unmittelbare Geltung zur Folge haben.

Peter Hustinx, der Europäische Datenschutzbeauftragte, und Peter Fleischer, oberster Datenschützer bei Google, lieferten sich kürzlich bei einer internationalen Datenschutzkonferenz in Paris deshalb einen Schlagabtausch über die Zulässigkeit der Verwendung von Cookies. Hustinx legte dar, dass der Nutzer bereits bei der Sammlung allgemeiner Informationen umfassend aufgeklärt werden müsse. Außerdem müsse die Möglichkeit bestehen, sich gegen die Erhebung der Daten zu wehren. Fleischer hingegen versuchte die Bedeutung der Richtlinie herunterzuspielen.

Einen guten Tipp für Webseitenbetreiber hatte Fleischer dennoch parat: Diese sollten sich im Einzelnen gut überlegen, welche Funktion die integrierten Cookies erfüllen. Nach seiner Ansicht wird die Mehrzahl der Cookies nicht benötigt und ist nur deswegen Bestandteil einer Homepage, da ihr Skript auch von wenig begabten Programmierern beherrscht wird.

Nach EuGH sind auch IP-Adressen personenbezogene Daten

Nicht gefallen dürfte Fleischer, dass sich nun auch der Europäische Gerichtshof (EuGH) in eine Diskussion eingemischt hat, die weitreichende Folgen für Analysetools und Onlinemarketing haben könnte. Im September 2011 hatte Google noch erreicht, dass auch deutsche Datenschützer einer abgeschwächten Form von Google Analytics eine datenschutzkonforme Anwendungsmöglichkeit bescheinigten. Nun gießt der EuGH neues Öl ins Feuer:

Am 24. November hatte der EuGH über den Fall Scarlet Extended zu befinden. Eigentlich ging es hierbei vor allem darum, ob ein Internet Service Provider gegenüber Rechteinhabern verpflichtet ist, den Austausch von urheberrechtlich geschützten Werken über Peer-to-Peer Netzwerke zu verhindern. Dies hat der EuGH abgelehnt, weil er damit die gebotene Neutralität von Internet Service Providern in Gefahr sieht. Vor allem sei aber die Privatsphäre der Nutzer bedroht, da "eine präventive Überwachung [durch den Provider] eine aktive Beobachtung sämtlicher elektronischen Kommunikationen im Netz des betreffenden Providers erfordere und mithin jede zu übermittelnde Information und jeden dieses Netz nutzenden Kunden erfasse."

Die eigentliche Überraschung versteckt sich aber in einer eher unscheinbaren Randziffer. Darin stellte der EuGH recht unvermittelt fest, dass die Einrichtung eines solchen Filtersystems auch ebenfalls die Sammlung von IP-Adressen einschließt. Diese seien personenbezogene Daten, "da sie die genaue Identifizierung der Nutzer ermöglichen."

Im Gegensatz dazu hatte noch das Oberlandesgericht (OLG) Hamburg (Beschl. v. 03.11.2010, Az. 5 W 126/10) ausdrücklich erklärt, dass bei "IP-Adressen ein Personenbezug mit normalen Mitteln ohne weitere Zusatzinformationen nicht hergestellt werden kann." Umso bedauerlicher ist, dass der EuGH keine weiteren Erklärungen folgen lässt, sondern einfach nur etwas feststellt, wogegen, zumindest in Bezug auf IPv4, auch gute Argumente sprechen.

Die genannte EuGH Entscheidung hat bislang hinsichtlich dieser Aussage in Randziffer 51 des Urteils noch wenig Beachtung gefunden. Es bleibt abzuwarten, ob in Bezug auf die Sammlung von IP-Adressen damit ab sofort eine ebenso strenge Handhabung wie bei Cookies gilt. Eine Analyse von Homepagedaten durch die Erhebung von IP-Adressen wäre dann an vergleichbare Voraussetzungen geknüpft. Zulässig wäre sie nur mit vorheriger Einwilligung des Nutzers oder wenn technisch sichergestellt ist, dass nicht die vollständige IP-Adresse abgespeichert wird.

Das Ende des Online-Marketing zu verkünden bleibt zwar immer noch Pessimisten vorbehalten; die vorweihnachtliche warme Kleidung sollten Datensammler aber am besten gleich anbehalten: Für das Frühjahr wird das neue Datenschutzkonzept der Kommission erwartet.

Der Autor Dr. Thomas Weimann ist Fachanwalt für Informationstechnologierecht und Partner bei BRP Renaud und Partner am Standort Stuttgart.

Der Autor Daniel Nagel ist Rechtsanwalt bei BRP Renaud und Partner am Standort Stuttgart.

Beide beschäftigen sich schwerpunktmäßig mit IT-Recht, Datenschutzrecht, AGB-Gestaltung und internationalem Recht und sind Verfasser diverser Veröffentlichungen auf diesen Gebieten

 

Mehr auf LTO.de:

EuGH zum Urheberrechtsschutz: Provider müssen nicht auf ihre Kosten filtern und sperren

IPv6 und Datenschutz: Personalisiertes Surfen mit Gefahren für die Privatsphäre

Datenschutz bei Google Analytics: Kritik an digitalen Fährtenlesern

Zitiervorschlag

Thomas Weimann und Daniel Nagel, EuGH zu IP-Adressen: Harte Zeiten für Datensammler . In: Legal Tribune Online, 13.12.2011 , https://www.lto.de/persistent/a_id/5093/ (abgerufen am: 22.05.2019 )

Infos zum Zitiervorschlag
Kommentare
  • 13.12.2011 21:16, Wolfgang Ksoll

    Die Behauptung des EUGH vom 24.11.2011, dass man mittels einer IP-Adresse den Nutzer genau identifizieren könne, ist grob unsachlich und dieser Unsinn wird sich in der Rechtssprechung nicht halten. IP-Adressen sind in der Regel personenbezogen in Bezug auf den Anschlussinhaber und nicht auf den Nutzer. Im Straßenverkehr kann man auch nicht den Fahrer anhand des KfZ-Kennzeichnens genau identifizieren sondern nur den Halter. Es ist hochnotpeinlich, dass der EUGH solch einen Unsinn verbreitet. Wenn die sachlichen Umstände interessieren, kann das bei mir im Blog nachlesen:
    http://wk-blog.wolfgang-ksoll.de/2011/11/30/sind-ip-adressen-personenbezogen/

  • 14.12.2011 12:40, Jan Spittka

    Meines Erachtens kann man aus der EUGH- Entscheidung nicht herleiten, dass (dynamische) IP-Adressen immer personenbezogene Daten sind.

    Die bislang in der wissenschaftlichen Diskussion vorherrschende Meinung geht von der Relativität des Personenbezugs aus. D.h., es besteht Personenbezug für jeden, der eine IP-Adresse einer natürlichen Person zuordnen kann.

    Dies ist jedoch bei Access-Providern - wie in der vorliegenden Entscheidung Scarlet Extended - der Fall. Access-Provider vergeben die dynamischen IP-Adressen an ihre Nutzer und wissen daher genau, wer von ihnen wann welche IP-Adresse zugewiesen bekommen hat.

    In dieser Konstellation war damit auch schon vor dem EUGH-Urteil klar, dass IP-Adressen Personenbezug haben. Im Ergebnis also nichts Neues. Und, ob man anhand der Ausführungen den Schluss auf einen objektive Bestimmbarkeit des Personenbezuges jenseits der vorliegenden Konstellation ziehen kann, halte ich für eher gewagt.

    Ob IP-Adressen für Webseiten- und Trackingtoolbetreiber Personenbezug haben, ist also weiterhin anhand des Einzelfalles zu bestimmen.

    Beste Grüße
    JS

  • 17.03.2014 17:07, <a target="_blank" href="http://www.seosweet.de" >www.seosweet.de</a>

    www.seosweet.de verlinkt auf diesen Artikel mit folgendem Linktext: <br /><a target="_blank" href="http://www.seosweet.de/blog/2011/12/18/analysetools-und-die-eu-cookie-richtlinie/">IP-Adressen als personenbezogene Daten anzusehen</a>

Mitreden? Schreiben Sie uns an leserbrief@lto.de

Eine Auswahl der Leserbriefe wird in regelmäßigen Abständen veröffentlicht. Bitte beachten Sie dazu unsere Leserbrief-Richtlinien.