post_thumbnail

BGH zur Speicherung dynamischer IP-Adressen

Der Bundesgerichtshof hat unter Berücksichtigung der Rechtsprechung des Europäischen Gerichtshofs (EuGH) entschieden, dass dynamische IP-Adressen, die beim Aufruf einer Webseite gespeichert werden, personenbezogene Daten sind. Die Speicherung der IP-Adresse über das Nutzungsende hinaus könne jedoch bei Gefahr von Cyberattacken zur Gewährleistung der Funktionsfähigkeit der Webseite zulässig sein. Das Interesse des Webseitenbetreibers an der Speicherung müsse dabei gegen die Grundrechte der Nutzer abgewogen werden.

Maßgeblich für diese BGH-Entscheidung war das am 19.10.2016 ergangene Urteil des Europäischen Gerichtshofs womit dieser das Vorabentscheidungsersuchen des Bundesgerichtshofs beantwortete. Ausführliche Informationen diesbezüglich finden Sie unter: https://awpr.de/news/die-entscheidung-des-eugh-zur-frage-des-personenbezugs-von-ip-adressen/

Sachverhalt

Ausgangspunkt des Verfahrens vor dem Bundesgerichtshof war eine Klage des Herrn Patrick Breyer gegen die Bundesrepublik Deutschland. Der Kläger rügte, dass die von ihm aufgerufenen Webseiten von Einrichtungen des Bundes seine IP-Adressen aufzeichnen und speichern. Tatsächlich werden bei vielen Internetseiten des Bundes Zugriffe in Protokolldateien festgehalten, um Cyberattacken abwehren zu können und eine strafrechtliche Verfolgung zu ermöglichen. Dabei werden der Name der aufgerufenen Seite, die IP-Adresse des Nutzers sowie der Zeitpunkt des Aufrufs auch über das Nutzungsende (Schließen der aufgerufenen Webseite) hinaus gespeichert. Das Klagebegehren richtete sich auf Unterlassung der Speicherung über das Nutzungsende hinaus.

Entscheidung

Der Bundesgerichtshof setzte das Verfahren aus und rief den Europäischen Gerichtshof im Wege eines Vorabentscheidungsverfahrens zur Klärung der Frage, ob dynamische IP-Adressen personenbezogene Daten sind, an. Der EuGH stellte fest, dass IP-Adressen personenbezogene Daten sind, wenn der verantwortlichen Stelle ein „rechtliches Mittel“ zu Verfügung steht, den Inhaber der IP-Adresse zu ermitteln.

IP-Adresse ist personenbezogenes Datum
Der Bundesgerichtshof entschied nun unter Beachtung dieser EuGH-Rechtsprechung, dass das Tatbestandsmerkmal „personenbezogene Daten“ aus § 12 Abs. 1 und 2 Telemediengesetz (TMG) in Verbindung mit § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) richtlinienkonform auszulegen sei. Eine dynamische IP-Adresse, die von Webseitenbetreibern beim Zugriff eines Besuchers auf die Webseite gespeichert werde, stelle daher für die Betreiber ein personenbezogenes Datum dar.

Zulässigkeit der Speicherung
Die Speicherung der IP-Adresse richte sich nach den Voraussetzungen des § 15 Abs. 1 TMG. Danach darf der Betreiber einer Webseite personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten).
Diese Regelung sei richtlinienkonform nach Art. 7 lit. f der Richtlinie 95/46/EG dahingehend auszulegen, dass eine Speicherung durch Webseitenbetreiber nur dann ohne Einwilligung des Seitenbesuchers auch über das Nutzungsende hinaus zulässig sei, wenn die Erhebung und Verwendung der IP-Adresse erforderlich sei, um die grundsätzliche Funktionsfähigkeit der Webseite zu gewährleisten. An dieser Stelle sei das Interesse an der Speicherung und Verwendung mit dem Interesse und den Grundrechten der Nutzer der Webseite abzuwägen.

Diese Abwägung könne im streitgegenständlichen Verfahren zwischen dem Kläger und der beklagten Bundesrepublik Deutschland nicht abschließend durchgeführt werden. Hintergrund dessen sei, dass das Berufungsgericht in der vorigen Instanz keine hinreichenden Feststellungen dazu getroffen hat, ob die Speicherung in diesem Fall erforderlich war, um die generelle Funktionsfähigkeit der Webseite zu gewährleisten.

Aus diesen Gründen verwies der BGH die Sache zurück an das Berufungsgericht. Dieses hat die erforderlichen Feststellungen hinsichtlich des Ausmaßes der Angriffsgefahr zu treffen und sodann die nach der EuGH-Rechtsprechung erforderliche Interessenabwägung zwischen dem Interesse der Beklagten an der Aufrechterhaltung der Funktionsfähigkeit der Webseiten und dem Interesse oder den Grundrechten des Klägers vorzunehmen. Diesbezüglich fügte der Bundesgerichtshof an, dass dabei die Aspekte der Strafverfolgung und Generalprävention zu berücksichtigen seien.

BGH, 16.05.2017, VI ZR 135/15

Bei diesen oder ähnlichen Fragen zu Datenschutz- und Datensicherheit stehen wir gern zur Verfügung.