Redaktion beck-aktuell

Nachrichten, Pressemitteilungen, Fachnews

becklink 2004687

EuGH: Speicherung dynamischer IP-Adressen durch Website-Betreiber kann zur Abwehr von Cyberattacken zulässig sein

Der Betreiber einer Website kann ein berechtigtes Interesse daran haben, bestimmte personenbezogene Daten der Nutzer zu speichern, um sich gegen Cyberattacken zu verteidigen. Dies hat der Europäische Gerichtshof mit Urteil vom 19.10.2016 entschieden und § 15 TMG in seiner engen Auslegung gekippt. Dynamische IP-Adressen seien für Website-Betreiber als personenbezogene Daten einzustufen, wenn sie über rechtliche Mittel verfügen, den betreffenden Nutzer mithilfe des Internetzugangsanbieters bestimmen zu lassen (Az.: C-582/14).

Piraten-Abgeordneter klagt gegen Speicherung dynamischer IP-Adressen auf Bund-Websites

Der Fraktionsvorsitzende der Piratenpartei in Schleswig-Holstein, Patrick Breyer, klagt im Ausgangsverfahren gegen die längerfristige Speicherung seiner dynamischen (also mit jeder Einwahl neu zugewiesenen) IP-Adressen auf Websites des Bundes (etwa der Ministerien). Der Bund speichert außer dem Zeitpunkt des Zugriffs auf eine Website auch die IP-Adressen der Nutzer, um sich, so seine Begründung, gegen Cyberattacken zu wappnen und eine Strafverfolgung zu ermöglichen.  

BGH: Dynamische IP-Adressen als personenbezogene Daten zu qualifizieren?

Der Bundesgerichtshof rief den EuGH im Vorabentscheidungsverfahren an und wollte wissen, ob dynamische IP-Adressen personenbezogene Daten darstellen. Anders als statische IP-Adressen erlauben dynamische IP-Adressen es nicht, anhand allgemein zugänglicher Dateien eine Verbindung zwischen einem Computer und dem vom Internetzugangsanbieter verwendeten physischen Netzanschluss herzustellen. Im Fall dynamischer IP-Adressen kann der Nutzer nur mit Hilfe des Internetzugangsanbieters identifiziert werden.

Speicherung zur Gewährleistung der Sicherheit und Funktionsfähigkeit von Websites zulässig?

Für den Fall, dass es sich bei dynamischen IP-Adressen um personenbezogene Daten handelt, wollte der BGH zudem geklärt wissen, ob § 15 TMG gegen Art. 7 lit. f der Datenschutzrichtlinie 95/46/EG verstößt. Denn der eng verstandene § 15 TMG, wonach Online-Mediendiensteanbieter personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben und verwenden dürfen, soweit dies erforderlich ist, um die konkrete Nutzung der Website zu ermöglichen und abzurechnen, lasse keine über den Websitebesuch hinausgehende Speicherung der IP-Adressen zur generellen Gewährleistung der Sicherheit und Funktionsfähigkeit von Websites zu.

EuGH: Qualifikation als personenbezogene Daten bei Zugriffsmöglichkeit auf Provider

Laut EuGH stellen dynamische IP-Adressen für den Website-Betreiber personenbezogene Daten dar, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, den Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen. In Deutschland gebe es offenbar rechtliche Möglichkeiten, die es dem Anbieter von Online-Mediendiensten erlaubten, sich insbesondere im Fall von Cyberattacken an die zuständige Behörde zu wenden, um die fraglichen Informationen vom Internetzugangsanbieter zu erlangen und anschließend die Strafverfolgung einzuleiten, so der EuGH weiter. Der Websiteanbieter verfüge somit offenbar über Mittel, die vernünftigerweise eingesetzt werden könnten, um mit Hilfe Dritter den Nutzer anhand der gespeicherten IP-Adressen bestimmen zu lassen.

Berechtigtes Interesse an Speicherung zur Gewährleistung der Funktionsfähigkeit möglich

Darüber hinaus bejaht der EuGH einen Verstoß des § 15 TMG in seiner engen Auslegung gegen EU-Recht. Die Verarbeitung personenbezogener Daten sei nach Art. 7 lit. f der Richtlinie 95/46/EG rechtmäßig, wenn sie zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem/den Dritten wahrgenommen wird, denen die Daten übermittelt werden, erforderlich ist, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Die deutsche Regelung schränke nach ihrer in der Lehre überwiegend vertretenen Auslegung die Tragweite dieses Grundsatzes ein, indem sie es ausschließe, dass der Zweck, die generelle Funktionsfähigkeit des Online-Mediums zu gewährleisten, Gegenstand einer Abwägung mit dem Interesse oder den Grundrechten und Grundfreiheiten der Nutzer sein kann. Der EuGH betont, dass der Bund ein berechtigtes Interesse daran haben könnte, die Aufrechterhaltung der Funktionsfähigkeit der von ihm allgemein zugänglich gemachten Websites über ihre konkrete Nutzung hinaus zu gewährleisten.

Weiterführende Links

Zum Thema im Internet

Die Entscheidung des EuGH finden Sie auf dessen Website.

Aus der Datenbank beck-online

Knoke, EuGH: Dynamische IP-Adressen sind personenbezogene Daten, Datenschutzvorschriften des TMG sind unionsrechtswidrig, ZD-Aktuell 2016, 05206

Specht/Müller-Riemenschneider, Dynamische IP-Adressen: Personenbezogene Daten für den Webseitenbetreiber? - Aktueller Stand der Diskussion um den Personenbezug, ZD 2014, 71

BGH, EuGH-Vorlage zur Speicherung von dynamischen IP-Adressen, BeckRS 2014, 20158

Meyerdierks, Personenbeziehbarkeit statischer IP-Adressen - Datenschutzrechtliche Einordnung der Verarbeitung durch Betreiber von Webseiten, MMR 2013, 705

Lundevall/Tranvik, Was sind personenbezogene Daten? Die Kontroverse um IP-Adressen, ZD-Aktuell 2012, 03004

Redaktion beck-aktuell, Verlag C.H.BECK, 19. Oktober 2016.