IP-Adressen sind personenbezogene Daten Entscheidung des EuGH schafft endgültig Klarheit

Der Europäische Gerichtshof hat entschieden, dass dynamische IP-Adressen als personenbezogene Daten anzusehen sind und deshalb dem Anwendungsbereich des Bundesdatenschutzgesetzes und anderer datenschutzrechtlicher Regelungen unterliegen (EuGH Urteil vom 19.10.2016, Az.: C-582/14). Dass dem so ist, war eigentlich schon lange klar. Jetzt gibt es endlich die passende Gerichtsentscheidung.

Was ist eine IP-Adresse?

Jedem interfähigen Endgerät wird vom jeweils genutzten Provider eine IP-Adresse zugeordnet. Beim Aufrufen einer Webseite wird diese an den Server gesendet, auf dem die Webseite gehostet (bereitgehalten) wird. Dies ist notwendig, damit wiederum der Server weiß, an welches Endgerät er die abgerufenen Daten senden muss.

Gerade im Verbraucherbereich gibt es häufig sogenannte dynamische IP-Adressen. Dass heißt, dass ein Endgerät nicht dauerhaft die gleiche Adresse hat, sondern sich diese im Abstand einiger Stunden regelmäßig ändert.

Was sind personenbezogene Daten?

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§ 3 Abs. 1 BDSG). Gestritten wurde und wird darüber, ob es bezüglich der Bestimmbarkeit nur darauf ankommt, ob ein Dritter die Person hinter den Daten ermitteln kann (absoluter Maßstab), oder ob es entscheidend ist, dass die datenverarbeitende verantwortliche Stelle die Person identifizieren kann (relativer Maßstab).

Gerade in Bezug auf dynamische IP-Adressen ist diese Frage nicht unberechtigt, da der Betreiber einer Webseite nicht bestimmen kann, wer hinter der sich ständig ändernden IP-Adresse steckt. Dies können nur die jeweiligen Provider.

Bundesjustizministerium wird verklagt

Hintergrund der Entscheidung des Europäischen Gerichtshofs war die Klage eines Piraten-Politikers gegen das Bundesministerium für Justiz und Verbraucherschutz. Dieses speicherte die IP-Adressen der Besucher seiner Webseiten für einen Zeitraum von 14 Tagen und begründete dies damit, die Speicherung sei zur strafrechtlichen Verfolgung von Hackern nach Angriffen auf die Webseite notwendig. Der Piraten-Politiker sah darin jedoch eine unzulässige Überwachung von Internetnutzern.

Die Speicherung der IP-Adresse findet nicht nur beim Justizministerium statt, sondern ist auch bei den meisten anderen Webseiten üblich. Personenbezogene Daten dürfen jedoch gem. § 4 Abs. 1 BDSG nur erhoben, verarbeitet und genutzt werden, soweit das Bundesdatenschutzgesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat (Verbot mit Erlaubnisvorbehalt).

Da eine schriftliche (§ 4a Abs. 1 BDSG) oder elektronische (§ 13 Abs. 2 TMG) Einwilligung des Betroffenen in der Regel nicht vorliegen wird, müsste es also eine entsprechende gesetzliche Erlaubnisnorm geben. In Betracht kommt hier § 15 TMG. Hiernach dürfen Diensteanbieter personenbezogene Daten eines Nutzers erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen.

EuGH geht Mittelweg

Der Europäische Gerichtshof hat zunächst entschieden, dass ein personenbezogenes Datum auch dann vorliegt, wenn die verantwortliche Stelle die betroffene Person zwar nicht selbst bestimmen kann, aber rechtliche Mittel hat, um dies zu tun. Die IP-Adresse ist also ein personenbezogenes Datum im Sinne des Bundesdatenschutzgesetzes.

Gem. § 15 Abs. 4 Satz 1 TMG dürfen Nutzungsdaten über das Ende des Nutzungsvorgangs hinaus nur verwendet werden, soweit sie für Zwecke der Abrechnung mit dem Nutzer erforderlich sind. Dies ist bei IP-Adressen auf öffentlichen Webseiten jedoch nicht der Fall, weshalb die Speicherung über einen Zeitraum von 2 Wochen nicht mehr von § 15 TMG gedeckt wäre.

Die Richter in Luxemburger stellten jedoch fest, dass § 15 TMG zu restriktiv gefasst ist.

Art. 7 Buchstabe f der EG-Datenschutzrichtlinie lässt an dieser Stelle nämlich eine Interessenabwägung zu und ist damit weiter gefasst als die deutsche Vorschrift. Diese ist daher nach Ansicht des Gerichts mit der Datenschutzrichtlinie nicht vereinbar und muss europarechtskonform ausgelegt werden mit dem Ergebnis, dass die IP-Adresse durchaus länger gespeichert werden darf. Es bedarf hierfür jedoch eines legitimen Zwecks, die Speicherung muss zur Erreichung dieses Zwecks erforderlich sein und die Interessenabwägung darf nicht zu Gunsten der Betroffenen ausgehen.

Folgen für die Praxis

Die IP-Adresse wird schon lange als personenbezogenes Datum behandelt, weshalb sich hier nicht allzu viel ändern dürfte. Webseitenbetreiber sollten sich jedoch darüber im Klaren sein, dass die Speicherung von IP-Adressen nicht ohne Grund erlaubt ist. Hier muss vielmehr stets eine Zweckbestimmung und eine Interessenabwägung vorgenommen werden.

Beratung anfordern

Wir beraten Sie gerne - persönlich und individuell

+49 (0)6232 100119-44