Sind dynamische IP-Adressen personenbezogene Daten? Diese Frage beschäftigt Webseiten-Betreiber und Datenschützer schon seit langem. Von der Antwort auf diese Frage hängt nämlich ab, ob datenschutzrechtliche Bestimmungen zu beachten sind. Sofern Webseiten-Betreiber IP-Adressen nicht nur zum Abruf der Webseite speichern, war es umstritten, ob dabei die Anforderungen des Datenschutzrechts zu beachten sind. Der Europäische Gerichtshof hat nun etwas Licht ins Dunkel gebracht.
Speicherung von IP-Adressen rechtmäßig
Jeder Webseiten-Betreiber verarbeitet dynamische IP-Adressen von Nutzern, wenn diese auf der Webseite surfen. Teilweise werden die IP-Adressen zusätzlich genutzt, beispielsweise zur statistischen Auswertung. Dabei müssen datenschutzrechtliche Bestimmungen eingehalten werden, wie nun der Europäische Gerichtshof (EuGH) entschieden hat. Das Telemediengesetz (TMG) ist diesbezüglich aber zu streng gestaltet.
EuGH: Dynamische IP-Adresse ist personenbezogenes Datum
Der EuGH hat nun entschieden, dass der Personenbezug zumindest dann besteht, wenn es dem Webseiten-Betreiber mit rechtlichen Mitteln möglich ist, den Nutzer der IP-Adresse zu identifizieren. Da dies nach deutschem Recht in bestimmten Fällen und unter engen Voraussetzungen möglich ist, liege ein Personenbezug vor. Denn mithilfe der Zusatzinformationen des Anbieters des Internetzugangs lässt sich herausfinden, von welchem Internetzugang aus eine IP-Adresse zu einer bestimmten Zeit genutzt wurde.
Europarechtswidrigkeit des deutschen Telemediengesetzes
Endete das Urteil an dieser Stelle, wäre die Speicherung der IP-Adresse unzulässig, da § 15 TMG vorsieht, dass dies nur zur Inanspruchnahme des Dienstes und zur Abrechnung rechtmäßig ist. Allerdings verstößt § 15 TMG nach Ansicht des EuGH gegen die europäische Datenschutzrichtlinie. In seiner aktuellen Ausgestaltung lasse das TMG nicht ausreichend Raum für weitere berechtigte Interessen der Webseiten-Betreiber. § 15 TMG ist demnach zu eng formuliert und muss europarechtskonform ausgelegt werden. Auch andere als die in § 15 TMG genannten Gründe können die Speicherung legitimieren, wenn dies eine Interessenabwägung ergibt. So verlangt es ab 2018 auch Artikel 6 Abs. 1 Buchst. f) der Datenschutzgrundverordnung.
War die Speicherung im EuGH-Verfahren zulässig?
Ob die Speicherung im konkreten Fall zulässig war, wird der Bundesgerichtshof (BGH) beantworten müssen, der dem EuGH die datenschutzrechtlichen Fragen zur Auslegung vorgelegt hatte. Denn über den zugrundeliegenden Rechtsstreit entscheidet der EuGH selbst nicht.
Im Verfahren vor dem BGH streiten Patrick Breyer, ein Politiker der Piraten-Partei, und die Bundesrepublik Deutschland darüber, ob die Speicherung der IP-Adresse bei Aufruf einer Webseite der Bundesregierung zulässig ist. Die beklagte Bundesrepublik rechtfertigt die Speicherung damit, dass sie auf diese Weise Cyberattacken begegnen kann. Dass dies ein zulässiger Rechtfertigungsgrund ist, liegt angesichts des EuGH-Urteils nicht fern.
Können Webseiten-Betreiber IP-Adressen nun grenzenlos speichern?
Nein. IP-Adressen dürfen nur gespeichert werden, wenn der jeweilige Webseiten-Betreiber ein berechtigtes Interesse daran hat und eine Abwägung der Interessen des Nutzers und des Webseiten-Betreibers ergibt, dass das Interesse des Webseiten-Betreibers überwiegt. Es muss folglich bei jeder Speicherung eine auf den Einzelfall gerichtete Interessenabwägung erfolgen. Es ist bislang aber noch weitgehend ungeklärt, welche Interessen von den Gerichten als berechtigt angesehen werden. Diese Rechtsunsicherheit wird erst nach und nach durch Entscheidungen der Gerichte verringert werden können.
Handlungsempfehlungen
Die rechtswidrige Speicherung von IP-Adressen kann Geldbußen und Abmahnungen nach sich ziehen. Webseiten-Betreiber sollten deshalb eine datenschutzrechtliche Überprüfung daraufhin vornehmen, zu welchen Zwecken IP-Adressen gespeichert werden. Dabei müssen auch Dienstleister befragt werden, wenn diese die Speicherungsvorgänge übernommen haben. Denn die Webseiten-Betreiber bleiben auch bei der Übertragung auf Dritte datenschutzrechtlich verantwortlich. Die Speichereinstellungen sollten dann sicherstellen, dass IP-Adressen nur für bestimmte Zwecke gespeichert und bei Wegfall des Zwecks gelöscht werden. Ob ein Zweck die Speicherung erlaubt, muss im jeweiligen Einzelfall beurteilt werden, am besten mithilfe unserer Datenschutzexperten.
Dr. Malte Kröger