+49 (0) 221 - 290270-40
info@datenschutzrechtsanwaelte.de

Datenschutz gilt auch für IP-Adressen

Mit Urteil vom 19.10.2016 (Az. C-582/14) hat der EuGH entschieden, dass auch dynamische IP-Adressen personenbezogene Daten sind und damit von den Webseitenbetreibern nur verarbeitet werden dürfen, wenn sie den Anforderungen des Datenschutzes gerecht werden.

Vorausgegangen war folgender Sachverhalt:

Das Bundesministerium für Justiz und Verbraucherschutz (BMJV) speichert die IP-Adressen aller Besucher seiner Webseite für einen Zeitraum von 14 Tagen. Gegen diese Handhabung klagte der schleswig-holsteinische Landtagsabgeordnete der Piratenpartei und Datenschutzaktivist Patrick Breyer, der darin eine unzulässige Überwachung von Internetnutzern sah.

Die beklagte Bundesrepublik entgegnete, dass die Speicherung der IP-Adressen gerechtfertigt sei, da dadurch Angriffe auf die Server des BMJV bekämpft bzw. etwaige Angreifer strafrechtlich verfolgt werden könnten.

Im Rahmen des gerichtlichen Verfahrens machte der BGH von seiner ihm zustehenden Möglichkeit Gebrauch, den Sachverhalt betreffende Rechtsfragen dem EuGH zur Klärung vorzulegen. Der EuGH hatte daher zu entscheiden, ob dynamische IP-Adressen Personenbezug haben und ihre Speicherung damit eine datenschutzrechtlich relevante Verarbeitung personenbezogener Daten darstellt. Daher musste der EuGH sich auch mit der Frage befassen, unter welchen Voraussetzungen die Verarbeitung bloßer Nutzungsdaten angesichts des restriktiven deutschen Telemediengesetzes (TMG) erlaubt ist.

In seinem Urteil kam der EuGH zu dem Ergebnis, dass es sich bei dynamischen IP-Adressen um personenbezogene Daten nach dem BDSG handelt. Im Hinblick auf das strenge deutsche TMG stellte der EuGH fest, dass die Regelung des § 15 TMG, die eine Verarbeitung solcher Daten nur zulässt, soweit dies technisch zum Besuch der Seite erforderlich ist,  zu restriktiv sei.

Nach § 3 Abs. 1 des Bundesdatenschutzgesetzes (BDSG) sind personenbezogene Daten „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.“ Eine ähnliche Regelung findet sich in Art. 2 a der EG-Datenschutzrichtlinie 95/46/EG, den der EuGH hier auszulegen hatte.

Schon seit geraumer Zeit umstritten ist die Frage, wann etwas im Sinne der Vorschrift „bestimmbar“ ist. Hierbei wird etwa vertreten, dass es ausreicht, wenn ein beliebiger Dritter die Person identifizieren kann (absoluter Maßstab). Andere vertreten die Meinung, es komme nur auf die Möglichkeiten und Kenntnisse der datenverarbeitenden Stelle selbst an (relativer Maßstab).

Nach Ansicht des EuGH solle es zwar nicht genügen, dass irgendjemand zur Bestimmung in der Lage wäre. Es reiche aber aus, wenn der Betreiber der Webseite über „rechtliche Mittel“ verfüge, die ihm die Bestimmung der hinter der IP-Adresse stehenden Person grundsätzlich ermöglichen.

Danach kommt es also nicht darauf an, ob die Zuordnung zu einer bestimmbaren Person im konkreten Fall wirklich erfolgt, sondern nur, ob die rechtlichen Mittel den Betreiber hierzu allgemein in die Lage versetzen. Der absolute Maßstab ist also das Kriterium.

Die Qualifizierung der dynamischen IP-Adressen als personenbezogene Daten durch den EuGH hat zur Folge, dass das datenschutzrechtliche Verbot mit Erlaubnisvorbehalt gilt. Danach können IP-Adressen nur erhoben und verwendet werden, wenn es eine gesetzliche Erlaubnis oder eine Einwilligung des Betroffenen gibt.

Hierfür maßgebend ist § 15 Abs. 1 TMG. Der Webseitenbetreiber darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Nutzungsdaten darf er gem. § 15 Abs. 4 Satz 1 TMG über das Ende des Nutzungsvorgangs hinaus verwenden, soweit sie für Zwecke der Abrechnung mit dem Nutzer erforderlich sind.

Aus dem Umstand, dass in der Regel IP-Adressen bei Nutzern, die lediglich surfen, nicht für Abrechnungszwecke erforderlich sind, folgt, dass die IP-Adressen nach dem Besuch der Webseite grundsätzlich nicht gespeichert werden dürfen.

Damit ist die deutsche Regelung restriktiver als die zugrundeliegende Regelung des Art. 7 Buchstabe f der EG-Datenschutzrichtlinie, die im Gegensatz eine Interessenabwägung enthält, wonach die Verarbeitung personenbezogener Daten rechtmäßig ist, wenn sie zur Verwirklichung des berechtigten Interesses erforderlich ist, das von dem für die Verarbeitung Verantwortlichen wahrgenommen wird, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Nach Ansicht des EuGH ist diese nationale Regelung des § 15 TMG auch unter Anwendung des o.g. absoluten Maßstabes zu restriktiv und muss insofern europarechtskonform ausgelegt werden.

Das Urteil des EuGH hat zur Folge, dass Unternehmen und Behörden nun überprüfen müssen, ob sie die IP-Adressen der Webseitenbesucher speichern und wenn ja, ob es im Einzelfall gewichtige Gründe für eine über den Webseitenbesuch hinausgehende Speicherung gibt.

Weitere Relevanz hat das Urteil auch für die in der Praxis oftmals vorkommende Auswertung und Nutzung von IP-Adressen, z.B. zu statistischen und marketingbezogenen Zwecken. Nachdem Urteil bedarf es hierzu nun einer datenschutzrechtlichen Erlaubnis des jeweiligen IP-Adressen-Inhabers.

 

Das Datenschutzrecht und auch das Internetrecht gehören zu den Schwerpunkten unserer anwaltlichen Tätigkeit. Wir beraten Sie gerne.

© Laura Heel, Stefan Müller-Römer, Okt. 2016, Alle Rechte vorbehalten

Zurück

© 2022 Müller-Römer Rechtsanwälte