Der Europäische Gerichtshof hält dynamisch vergebene IP-Adressen unter Umständen für personenbezogene Daten. Dennoch sei das strenge Verbot der IP-Adressen-Speicherung durch Website-Betreiber mit EU Recht unvereinbar.

Der Europäische Gerichtshof (EuGH) hält dynamisch vergebene IP-Adressen für "personenbezogene Daten" im Sinne des Datenschutzrechts – aber nur unter bestimmten Voraussetzungen. Dies teilte das oberste europäische Gericht am heutigen Mittwoch mit. Zu dem lange erwarteten Urteil in der Sache "Patrick Breyer vs. Bundesrepublik Deutschland" (Az. C 582/14) liegt bislang allerdings nur die Pressemitteilung vor. Der Volltext des Urteils dürfte im Laufe des Tages folgen.

Dynamisch vergebene IP-Adressen seien nur dann personenbezogen, wenn der sie speichernde Website-Betreiber "über rechtliche Mittel verfügt, die es ihm erlauben, den betreffenden Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen". Im Klartext: Nur falls der Betreiber – etwa im Fall eines Angriffs auf die Website – vom vergebenden Zugangsprovider Name und Anschrift des Adressinhabers erhalten kann, sind die Adressen auch personenbezogen. Dazu bestünden "in Deutschland offenbar rechtliche Möglichkeiten", erklärte der EuGH.

Das Gericht dürfte darauf abheben, dass Betreiber eine Strafanzeige stellen können und damit Strafverfolgungsbehörden dazu bringen, die Daten zu ermitteln. Über die Akteneinsicht in dieses Verfahren könnten sie an die Informationen gelangen. Da diese Möglichkeit jedem Betreiber grundsätzlich offensteht, könnte die EuGH-Entscheidung in der Weise ausgelegt werden, dass damit alle dynamisch vergebenen IP-Adressen darunter fallen. Dies ist aber noch unklar. Es bleibt abzuwarten, ob der Urteilsvolltext Klärung bringt.

Deutsches Datenschutzrecht ungültig

In seinem Urteil stellte der EuGH außerdem fest, dass Paragraf 15 Absatz 1 des deutschen Telemediengesetzes (TMG) gegen EU-Recht verstößt. Diesem Absatz zufolge dürfen Website-Betreiber IP-Adressen ihrer Besucher nur speichern, wenn sie für die Nutzung oder Abrechnung erforderlich sind. Diese in Deutschland gängige Praxis stehe der EU-Datenschutzrichtlinie aus dem Jahr 1995 entgegen.

Die Verarbeitung personenbezogener Daten sei rechtmäßig, "wenn sie zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, erforderlich ist, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen". Diese Abwägung fehle im TMG. Konkret dürfte das heißen, dass es Website-Betreibern durchaus erlaubt sein könnte, etwa zu Systemsicherungszwecken IP-Adressen zu speichern.

Lang schwelender Rechtsstreit

Im konkreten Fall geht es um eine gerichtliche Auseinandersetzung des Schleswig-Holsteinischen Piraten-Abgeordneten Patrick Breyer mit der Bundesrepublik Deutschland. Dieser Rechtsstreit schwelt bereits seit 2007. Breyer möchte, dass alles Websites des Bundes aufhören, IP-Adressen der Besucher ohne Einwilligung drei Monate lang zu speichern und damit Tracking zu ermöglichen. Letztlich geht es dem Datenschützer um ein generelles Verbot von IP-Logging ohne konkrete Einwilligung.

Die Bundesregierung argumentiert, die Speicherung sei nötig, um den sicheren Betrieb der Webserver zu ermöglichen, also gegebenenfalls Angriffe abzuwehren und Angreifer zu identifizieren. Sie insistiert, dass sie ohne Hilfe von Zugangsanbietern bei dynamisch vergebenen IP-Adressen keine Möglichkeit habe, Besucher anhand ihrer IP-Adresse zu identifizieren. Dies sei ihr ohnehin verboten. Die gespeicherten IP-Adressen seien deshalb keine personenbezogenen Daten im Sinne des Bundesdatenschutzgestzes (BDSG), sondern lediglich von Dritten personenbeziehbar.

Möglicher Missbrauch

Breyer genügt das nicht. Seiner Argumentation zufolge sind "nur gelöschte Surfprotokolle wirklich wirksam vor Zuordnung und Missbrauch geschützt". Die IP-Adress-Speicherung sei de facto eine dreimonatige Vorratsdatenspeicherung und ermögliche Nutzer-Tracking ohne Einwilligung. Der Bund verstoße gegen das Recht auf informationelle Selbstbestimmung der Website-Besucher sowie gegen Paragraf 12 TMG.

Zuletzt hatte das Landgericht (LG) Berlin in der Sache Anfang 2013 als Berufungsinstanz entschieden. Demnach ist die Speicherung nur untersagt, falls der Website-Betreiber selbst von den IP-Adressen auf die Besucher schließen kann (Az. 57 S 87/08). Solange der Nutzer also keine "Personalien, auch in Form einer die Personalien ausweisenden E-Mail-Anschrift" angebe, sei die Speicherung zulässig. Sowohl Breyer als auch die Bundesregierung haben gegen dieses Urteil Revision eingelegt, sodass sich nun der Bundesgerichtshof (BGH) mit der Frage befasst.

EuGH befragt

Im Oktober 2014 hat der BGH per Beschluss den EuGH um Klärung gebeten, inwieweit IP-Adressen nach europäischem Datenschutzrecht personenbezogen sind. Außerdem möchte das oberste deutsche Gericht wissen, ob die europäische Datenschutzrichtlinie im Einklang mit dem deutschen Datenschutzrecht steht, wonach eine Speicherung von IP-Adressen über den Nutzungszeitraum der Website hinaus zu Systemsicherungszecken nicht zulässig ist.

Im Mai hatte dazu bereits der Generalanwalt Manuel Campos Sánchez-Bordona für den Europäischen Gerichtshof (EuGH) Stellung bezogen. Er hält es für erforderlich, Daten auch bereits dann zu schützen, wenn ein Dritter in der Lage wäre, den Bezug der Daten zu einer Person herzustellen. Es sei aber nicht jedes Wissen eines hypothetischen, unbekannten und unerreichbaren Dritten relevant. Aber zu beachten sei eben doch zumindest das Wissen auch solcher Akteure, die "vernünftigerweise durchführbar oder praktikabel" die Zusatzinformationen zum Personenzug liefern könnten. (hob)