Dynamische IP-Adressen unterliegen grundsätzlich dem Datenschutzrecht (Foto: weerapat1003/Fotolia.com)
Datenschutz von IP-Adressen
EuGH: Speicherung dynamischer IP-Adressen zur Abwehr von Cyberattacken kann zulässig sein
ESV-Redaktion Recht
24.10.2016
Nach einem Urteil des Gerichtshofs der Europäischen Union (EuGH) vom 19.10.2016 kann die Speicherung von dynamischen IP-Adressen unter bestimmten Voraussetzungen erlaubt sein. In Betracht kommt dies, wenn die Speicherung notwendig ist, um sich gegen Cyberattacken zu wappnen.
Laut dem Sachverhalt, der der Entscheidung zu Grunde liegt, klagte der deutsche Piratenpolitiker Patrick Breyer dagegen, dass die von ihm besuchten Websites des Bundes seine IP-Adressen speichern, um sich gegen Cyberattacken zu wappnen. Der Kläger spricht insoweit von einer massenhaften Surfprotokollierung.
Speicherung personenbezogener Daten kann bei berechtigtem Interesse des Seitenbetreibers erlaubt sein
Diese in Deutschland gängige Praxis stehe Art. 7 Buchstabe F der EU-Datenschutzrichtlinie 95/46 entgegen, so der EuGH weiter. Nach dieser Richtlinie ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn der Webseitenbetreiber ein berechtigtes Interesse dran hat und das Nutzerinteresse nicht überwiegt.
Sicherungszweck kann berechtigtes Interesse sein
Auch der Zweck, die generelle Funktionsfähigkeit des Online-Mediums zu sichern, könne ein solches berechtigtes Interesse sein, das mit den Belangen der Nutzer abgewogen werden müsse. Daraus folgt, dass auch das Sicherungsinteresse ein Grund sein kann, der in die mit in die Abwägung mit einzubeziehen wäre.
Eine solche Abwägung fehlt im TMG, so die Richter aus Luxemburg.
Auch interessant:
Bestimmung der Bestimmbarkeit – zur Qualifikation von IP-Adressen im Schweizer Datenschutzrecht, Lukas von Bühlmann und Michael Schüepp, erschienen in der Fachzeitschrift Ping Ausgabe 02/2014
(ESV/bp)
| Was sind Dynamische IP-Adressen? |
| Internetprotokoll-Adressen, kurz IP-Adressen, sind Ziffernfolgen, die der Internetprovider dem Computer seines Nutzers zuweist, um diesem die Kommunikation im Internet zu ermöglichen. Ruft der Nutzer eine Website auf, wird dessen IP-Adresse an den Seitenbetreiber übermittelt. Statische und dynamische IP-Adressen: Während die statische Adresse dem Nutzer dauerhaft zugewiesen wird, vergibt der Internetprovider dynamische IP-Adressen nur für die Dauer der Internet-Sitzung. Ist die Sitzung beendet, kann die Adresse an andere Nutzer vergeben werden. Geht der Nutzer erneut ins Internet, weist ihm sein Provider eine neue Adresse zu. |
Bundesgerichtshof ruft den EuGH an
Vor diesem Hintergrund hatte der Bundesgerichtshof (BGH) die Richter aus Luxemburg angerufen und dabei zwei Fragen aufgeworfen:- Sind dynamische IP-Adressen personenbezogene Daten?
- Kann der Webseitenbetreiber zumindest grundsätzlich, personenbezogene Daten der Nutzer erheben und verwenden, um die generelle Funktionsfähigkeit seiner Seite zu sichern?
EuGH: Dynamische IP-Adressen sind personenbezogene Daten
Der EuGH ist der Ansicht, dass dynamische IP-Adressen unter bestimmten Voraussetzungen personenbezogene Daten sein können:- Das gelte zum Beispiel dann, wenn der Webseitenbetreiber die rechtlichen Mittel hat, den Nutzer über dessen Provider zu identifizieren. Zwar könne sich der Webseitenbetreiber im Fall von Cyberattacken nicht über § 15 Absatz 1 TMG unmittelbar an den Provider des Nutzers wenden.
- Dennoch, so der EuGH weiter, gebe es in Deutschland „offenbar rechtliche Möglichkeiten”, wonach sich der Seitenbetreiber im Fall von Cyberattacken an die zuständige Behörde wenden kann, um die betreffenden Informationen vom Provider zu erlangen und die Strafverfolgung einzuleiten.
| Aktuelle Meldungen |
| Hier bleiben Sie immer aktuell im Bereich Recht. |
§ 15 I TMG verstößt gegen Unionsrecht
Der EuGH meint nämlich auch, dass § 15 Absatz 1 TMG gegen EU-Recht verstößt. So dürfen Webseitenbetreiber nach dieser Norm die IP-Adressen ihrer Besucher nur speichern, wenn sie für die Nutzung oder Abrechnung erforderlich sind.Speicherung personenbezogener Daten kann bei berechtigtem Interesse des Seitenbetreibers erlaubt sein
Diese in Deutschland gängige Praxis stehe Art. 7 Buchstabe F der EU-Datenschutzrichtlinie 95/46 entgegen, so der EuGH weiter. Nach dieser Richtlinie ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn der Webseitenbetreiber ein berechtigtes Interesse dran hat und das Nutzerinteresse nicht überwiegt.
Sicherungszweck kann berechtigtes Interesse sein
Auch der Zweck, die generelle Funktionsfähigkeit des Online-Mediums zu sichern, könne ein solches berechtigtes Interesse sein, das mit den Belangen der Nutzer abgewogen werden müsse. Daraus folgt, dass auch das Sicherungsinteresse ein Grund sein kann, der in die mit in die Abwägung mit einzubeziehen wäre.
Eine solche Abwägung fehlt im TMG, so die Richter aus Luxemburg.
Wie geht es weiter?
Der BGH hat das TMG nun die Vorgaben des EuGH auszulegen und auf den konkreten Einzelfall anzuwenden:- Das heißt, die Richter aus Karlsruhe haben nun das Sicherungsinteresse des Bundes an der Funktionsfähigkeit seiner Webseiten gegen die datenschutzrechtlichen Interessen des Klägers abzuwägen.
- Dabei wird vor allem die Frage eine Rolle spielen, inwieweit Surfprotokolle zum sicheren Betrieb einer Webseite notwendig sind.
Auch interessant:
Bestimmung der Bestimmbarkeit – zur Qualifikation von IP-Adressen im Schweizer Datenschutzrecht, Lukas von Bühlmann und Michael Schüepp, erschienen in der Fachzeitschrift Ping Ausgabe 02/2014
| Weiterführende Literatur |
| Das Loseblattwerk Telekommunikations- und Multimediarecht, herausgegeben von Prof. Dr. Gerrit Manssen, Universität Regensburg, ist ein ergänzbarer Kommentar zum Telekommunikationsgesetz, Telemediengesetz, Signaturgesetz, Jugendmedienschutz-Staatsvertrag und zu europäischen Vorschriften. Das Werk fasst alle wichtigen Vorschriften kompakt zusammen. Dennoch bietet es stets den nötigen Tiefgang und trägt dazu bei, Haftungsrisiken zu minimieren. |
(ESV/bp)
Programmbereich: Wirtschaftsrecht