Die Entscheidung des EuGH zur Frage des Personenbezugs von IP-Adressen
Der Europäische Gerichtshof hat in einem Urteil vom 19.10.2016 die umstrittene Frage, ob dynamische IP-Adressen personenbezogene Daten sind, beantwortet. Danach sind IP-Adressen personenbezogene Daten, wenn der verantwortlichen Stelle ein „rechtliches Mittel“ zu Verfügung steht, den Inhaber der IP-Adresse zu ermitteln.
Ferner hat der EuGH entschieden, dass IP-Adressen gespeichert werden dürfen, wenn ein berechtigtes Interesse, beispielsweise die Abwehr von Cyberattacken, an der Erhebung besteht.
Ausgangspunkt des Verfahrens war eine Klage des Herrn Patrick Breyer gegen die Bundesrepublik Deutschland. Der Kläger rügte, dass die von ihm aufgerufenen Webseiten von Einrichtungen des Bundes seine IP-Adressen aufzeichnen und speichern. Die IP-Adresse und auch der Zeitpunkt des Zugriffs würden gespeichert, um sich gegen eventuelle Cyberattacken zu wappnen und eine Strafverfolgung in diesen Fällen zu ermöglichen.
Im Wege eines Vorabentscheidungsersuchens legte der Bundesgerichtshof dem Europäischen Gerichtshof die Frage vor, ob dynamische IP-Adressen für den Betreiber der Webseite personenbezogene Daten darstellen. Dynamisch ist eine Internetprotokoll-Adresse, wenn sie sich bei jeder neuen Internetverbindung ändert. Im Gegensatz zu statischen IP-Adressen (diese ändern sich nicht) kann bei dynamischen IP-Adressen anhand allgemein zugänglicher Daten keine Verbindung zwischen einem Computer und dem vom Internetzugangsanbieter verwendeten physischen Netzanschluss hergestellt werden. Dies bedeutet, dass ausschließlich der Internetzugangsanbieter über die zur Identifizierung des zugreifenden Rechners erforderlichen Informationen verfügt.
Darüber hinaus legte der Bundesgerichtshof die Frage vor, ob der Betreiber einer Webseite grundsätzlich die Möglichkeit haben muss, personenbezogene Daten der Nutzer zu erheben und zu verwenden, um die generelle Funktionsfähigkeit der Webseite zu gewährleisten. In Deutschland wurde der einschlägige § 15 des Telemediengesetzes (TMG) bisher dahingehend ausgelegt, dass die Daten am Ende eines Nutzungsvorgangs zu löschen seien. Dies gelte nur dann nicht, wenn die Daten für Abrechnungszwecke benötigt würden.
Nach Auffassung des EuGH stellt die dynamische Internetprotokoll-Adresse eines Nutzers für den Betreiber einer Webseite zunächst ein personenbezogenes Datum dar, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, den betreffenden Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen. In Deutschland gebe es offenbar rechtliche Möglichkeiten, sich insbesondere bei Cyberattacken an die zuständige Behörde zu wenden, um die benötigten Informationen vom Internetzugangsanbieter zu erlangen und eine Strafverfolgung einzuleiten.
Der Gerichtshof stellte ferner fest, dass der Betreiber einer Webseite ein berechtigtes Interesse daran haben könnte, bestimmte personenbezogene Daten der Nutzer zu speichern, um sich gegen Cyberattacken verteidigen zu können. Konkret sei die Verarbeitung personenbezogener Daten nach dem Unionsrecht dann rechtmäßig, wenn sie zur Verwirklichung des berechtigten Interesses des für die Verarbeitung Verantwortlichen erforderlich sei, sofern nicht das Interesse oder die Grundrechte oder Grundfreiheiten der betroffenen Person im Rahmen einer anzustellenden Interessenabwägung überwiegen würden.
Die deutsche Regelung schränke die Tragweite dieses Grundsatzes ein, da sie es ausschließe, zwischen dem Zweck, die generelle Funktionsfähigkeit der Webseite aufrecht zu erhalten, und dem Interesse oder den Grundrechten oder Grundfreiheiten der Nutzer, abzuwägen.
Vorliegend könnten die Einrichtungen des Bundes ein berechtigtes Interesse daran haben, die Funktionsfähigkeit der von ihnen zugänglich gemachten Webseiten über ihre konkrete Nutzung hinaus zu gewährleisten.
Bei weiteren Fragen zu Datenschutz und Datensicherheit stehen wir Ihnen gerne zur Verfügung.