Entscheidung: Unterliegt IP-Adresse Datenschutz?
Eine Frage, die uns IT-Rechtler schon lange beschäftigt: Ist die IP-Adresse ein personenbezogenes Datum? Für den Außenstehenden mag die Frage banal und unwichtig klingen, aber sie ist für den Datenschutz von sehr großer Bedeutung.
Was ist der Hintergrund? Nun, das Datenschutzrecht gilt nur für Daten, die auf eine natürliche Person beziehbar sind, also nur für personenbezogene Daten. Ist die IP-Adresse also kein personenbezogenes Datum, dann darf ich sie erheben, speichern, nutzen etc. ohne jede Einschränkung. Ist sei aber ein personenbezogen Datum, dann brauche ich entweder eine ausdrückliche Einwilligung des Inhabers der IP-Adresse oder aber eine gesetzliche Erlaubnis dazu die IP-Adresse überhaupt nur zu erheben. Da aber bekanntlich jeder Webserver beim Besuch einer Website die IP-Adresse erhebt wäre das dann ggf. eine rechtswidrige Praxis.
Bei der statischen IP-Adresse ist das klar: Da sie fest zugewiesen ist, ist sie personenbezogen. Die Frage stellt sich also nur bei der dynamischen IP-Adresse. Aber diese betrifft eben den „normalen“! Internetnutzer. Sie ist dynamisch, weil sie eben nicht einem bestimmten Anschluss fest zugewiesen ist, sondern weil sie immer wieder neu vergeben wird.
Herr Patrick Breyer hat die Bundesrepublik Deutschland auf Unterlassung der Speicherung seiner IP-Adresse verklagt, soweit die Speicherung nicht im Störungsfall zur Wiederherstellung der Verfügbarkeit des Telemediums erforderlich ist. Seine dynamische IP-Adresse wurde nämlich von einer Website bzw. einem Webserver des Bundes erhoben und gespeichert. Er ist der Auffassung, dass das rechtswidrig ist. Der Rechtsstreit ging bis zum Bundesgerichtshof. Der wiederum hat die Frage dem Europäischen Gerichtshof (EuGH) zur Entscheidung vorgelegt, da die entscheidenden Rechtsvorschriften aus dem EU-Recht stammen. Der EuGH verkündet jetzt am 19.10.2016 seine Entscheidung (EuGH, Rechtssache C 582/14, Patrick Breyer gegen Bundesrepublik Deutschland).
Die Bundesrepublik wiederum sagt, dass sie die IP-Adressen speichert, um Angriffe abzuwehren und die strafrechtliche Verfolgung von Angreifern zu ermöglichen. Daher werden auch über das Ende des jeweiligen Nutzungsvorgangs hinaus der Name der abgerufenen Datei bzw. Seite, in Suchfelder eingegebene Begriffe, der Zeitpunkt des Abrufs, die übertragene Datenmenge, die Feststellung des erfolgreichen Abrufs und die IP-Adresse des zugreifenden Rechners gespeichert.
Die Klage von Herrn Breyer wurde im ersten Rechtszug abgewiesen. Seine Berufung hatte teilweise Erfolg, und die Bundesrepublik Deutschland wurde verurteilt, eine Speicherung über das Ende des jeweiligen Nutzungsvorgangs hinaus zu unterlassen.
Wir wird der EuGH jetzt entscheiden? Die Schlussanträge des Generalanwalts Sánchez-Bordona geben eventuell Aufschluss darüber. Der EuGH folgt nämlich meist diesen Schlussanträgen.
Was hat der Generalanwalt gesagt? Er sagt, dass eine dynamische IP-Adresse, über die ein Nutzer die Internetseite eines Telemedienanbieters aufgerufen hat, für Letzteren ein „personenbezogenes Datum“ darstellt, soweit ein Internetzugangsanbieter über weitere zusätzlichen Daten verfügt, die in Verbindung mit der dynamischen IP-Adresse die Identifizierung des Nutzers ermöglichen. Und weiter, dass der Zweck, die Funktionsfähigkeit des Telemediums zu gewährleisten, grundsätzlich als ein berechtigtes Interesse anzusehen ist, dessen Verwirklichung die Verarbeitung dieses personenbezogenen Datums rechtfertigt, sofern ihm Vorrang gegenüber dem Interesse oder den Grundrechten der betroffenen Person zuerkannt worden ist.
Und was bedeutet das? Nun, es bedeutet, dass sich der Generalanwalt der so genannten absoluten Meinung anschließt, die sagt, dass eine IP-Adresse immer personenbezogen ist und zwar auch für jemanden, der nicht – wie der Zugangsprovider, also bspw. die Deutsche Telekom oder Vodafone – über die zusätzlichen Daten des dahinter stehenden Nutzers verfügt. Also: Die IP-Adresse ist demnach immer ein personenbezogenes Datum.
Er sagt aber gleichzeitig, dass im Rahmen einer Interessenabwägung auch entschieden werden kann, dass zum Zwecke der Gewährleistung der Funktionsfähigkeit der Website die IP-Adresse berechtigterweise verarbeitet werden darf. Dann dürfte also die IP-Adresse zumindest zu diesem Zweck (aber eben auch nur zu diesem) erhoben und verarbeitet werden, müsste dann aber auch wieder gelöscht werden, wohl innerhalb der in Deutschland für die Zugangsprovider geltenden 7 Tage.
Es steht zu erwarten, dass der EuGH genau das entscheiden wird. Wie sagt der Kaiser? Schaun mer mal…
Timo Schutt
Rechtsanwalt
Fachanwalt für IT-Recht
Was ist der Hintergrund? Nun, das Datenschutzrecht gilt nur für Daten, die auf eine natürliche Person beziehbar sind, also nur für personenbezogene Daten. Ist die IP-Adresse also kein personenbezogenes Datum, dann darf ich sie erheben, speichern, nutzen etc. ohne jede Einschränkung. Ist sei aber ein personenbezogen Datum, dann brauche ich entweder eine ausdrückliche Einwilligung des Inhabers der IP-Adresse oder aber eine gesetzliche Erlaubnis dazu die IP-Adresse überhaupt nur zu erheben. Da aber bekanntlich jeder Webserver beim Besuch einer Website die IP-Adresse erhebt wäre das dann ggf. eine rechtswidrige Praxis.
Bei der statischen IP-Adresse ist das klar: Da sie fest zugewiesen ist, ist sie personenbezogen. Die Frage stellt sich also nur bei der dynamischen IP-Adresse. Aber diese betrifft eben den „normalen“! Internetnutzer. Sie ist dynamisch, weil sie eben nicht einem bestimmten Anschluss fest zugewiesen ist, sondern weil sie immer wieder neu vergeben wird.
Herr Patrick Breyer hat die Bundesrepublik Deutschland auf Unterlassung der Speicherung seiner IP-Adresse verklagt, soweit die Speicherung nicht im Störungsfall zur Wiederherstellung der Verfügbarkeit des Telemediums erforderlich ist. Seine dynamische IP-Adresse wurde nämlich von einer Website bzw. einem Webserver des Bundes erhoben und gespeichert. Er ist der Auffassung, dass das rechtswidrig ist. Der Rechtsstreit ging bis zum Bundesgerichtshof. Der wiederum hat die Frage dem Europäischen Gerichtshof (EuGH) zur Entscheidung vorgelegt, da die entscheidenden Rechtsvorschriften aus dem EU-Recht stammen. Der EuGH verkündet jetzt am 19.10.2016 seine Entscheidung (EuGH, Rechtssache C 582/14, Patrick Breyer gegen Bundesrepublik Deutschland).
Die Bundesrepublik wiederum sagt, dass sie die IP-Adressen speichert, um Angriffe abzuwehren und die strafrechtliche Verfolgung von Angreifern zu ermöglichen. Daher werden auch über das Ende des jeweiligen Nutzungsvorgangs hinaus der Name der abgerufenen Datei bzw. Seite, in Suchfelder eingegebene Begriffe, der Zeitpunkt des Abrufs, die übertragene Datenmenge, die Feststellung des erfolgreichen Abrufs und die IP-Adresse des zugreifenden Rechners gespeichert.
Die Klage von Herrn Breyer wurde im ersten Rechtszug abgewiesen. Seine Berufung hatte teilweise Erfolg, und die Bundesrepublik Deutschland wurde verurteilt, eine Speicherung über das Ende des jeweiligen Nutzungsvorgangs hinaus zu unterlassen.
Wir wird der EuGH jetzt entscheiden? Die Schlussanträge des Generalanwalts Sánchez-Bordona geben eventuell Aufschluss darüber. Der EuGH folgt nämlich meist diesen Schlussanträgen.
Was hat der Generalanwalt gesagt? Er sagt, dass eine dynamische IP-Adresse, über die ein Nutzer die Internetseite eines Telemedienanbieters aufgerufen hat, für Letzteren ein „personenbezogenes Datum“ darstellt, soweit ein Internetzugangsanbieter über weitere zusätzlichen Daten verfügt, die in Verbindung mit der dynamischen IP-Adresse die Identifizierung des Nutzers ermöglichen. Und weiter, dass der Zweck, die Funktionsfähigkeit des Telemediums zu gewährleisten, grundsätzlich als ein berechtigtes Interesse anzusehen ist, dessen Verwirklichung die Verarbeitung dieses personenbezogenen Datums rechtfertigt, sofern ihm Vorrang gegenüber dem Interesse oder den Grundrechten der betroffenen Person zuerkannt worden ist.
Und was bedeutet das? Nun, es bedeutet, dass sich der Generalanwalt der so genannten absoluten Meinung anschließt, die sagt, dass eine IP-Adresse immer personenbezogen ist und zwar auch für jemanden, der nicht – wie der Zugangsprovider, also bspw. die Deutsche Telekom oder Vodafone – über die zusätzlichen Daten des dahinter stehenden Nutzers verfügt. Also: Die IP-Adresse ist demnach immer ein personenbezogenes Datum.
Er sagt aber gleichzeitig, dass im Rahmen einer Interessenabwägung auch entschieden werden kann, dass zum Zwecke der Gewährleistung der Funktionsfähigkeit der Website die IP-Adresse berechtigterweise verarbeitet werden darf. Dann dürfte also die IP-Adresse zumindest zu diesem Zweck (aber eben auch nur zu diesem) erhoben und verarbeitet werden, müsste dann aber auch wieder gelöscht werden, wohl innerhalb der in Deutschland für die Zugangsprovider geltenden 7 Tage.
Es steht zu erwarten, dass der EuGH genau das entscheiden wird. Wie sagt der Kaiser? Schaun mer mal…
Timo Schutt
Rechtsanwalt
Fachanwalt für IT-Recht