Dynamische IP-Adressen stellen personenbezogene Daten dar

17. Mai 2017

In seinem Urteil vom 16.05.2017 (Az. VI ZR 135/13) hat sich der Bundesgerichtshof (BGH) unter anderem mit den Fragen befasst, ob eine dynamische IP-Adresse ein personenbezogenes Datum darstellt und ob ein Webseitenbetreiber die IP-Adressen der Nutzer länger speichern darf als diese tatsächlich auf der Seite verweilen.

Anlass für dieses BGH-Urteil war, dass das Bundesministerium für Justiz und Verbraucherschutz die IP-Adressen aller Besucher seiner Webseite für eine Zeitspanne von 14 Tagen speicherte. In dieser Speicherung sah ein schleswig-holsteinischer Abgeordneter der Piratenpartei eine unzulässige Überwachung der Internetnutzer und erhob Klage gegen die Bundesrepublik als Betreiberin der Webseite. Die Bundesregierung argumentierte, dass die Speicherung nötig sei, um den sicheren Betrieb der Webseiten zu ermöglichen. Nur so könne man gegebenenfalls Hackerangriffe abwehren und die Angreifer identifizieren um strafrechtliche Schritte einleiten zu können.

Maßgeblich für die Entscheidung war die Frage, ob auch dynamische IP-Adressen personenbezogene Daten darstellen. Um im Internet agieren zu können, bekommt jedes internetfähige Endgerät vom jeweiligen Internetprovider eine eigene IP-Adresse zugewiesen. Bei diesen IP-Adressen unterscheidet man zwischen statischen und dynamischen Adressen. Im Gegensatz zu statischen IP-Adressen können sich dynamische IP-Adressen alle paar Stunden oder Tage ändern. Der Webseitenbetreiber selbst kann die Nutzer einer solchen dynamischen IP-Adresse in aller Regel nicht identifizieren. Lediglich die Internetprovider (bspw. Telekom oder Vodafon) sind hierzu in der Lage, da sie dem Nutzer die dynamische IP-Adresse zuweisen. Wenn dynamische IP-Adressen nicht als personenbezogene Daten anzusehen sind, ist eine Speicherung grundsätzlich als zulässig anzusehen. Sofern man sie jedoch als personenbezogene Daten qualifiziert, ist eine Speicherung nur nach den Maßgaben des Datenschutzrechts zulässig.

Nach § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) sind personenbezogene Daten „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).“ Ähnlich wird dies auch in der EG-Datenschutzrichtlinie 95/46/EG definiert. Gerade bei dynamischen IP-Adressen drängt sich die Frage auf, ob auch diese eine hinreichende Bestimmbarkeit im Sinne der oben genannten Norm aufweisen. Diese Frage hat der BGH vor einiger Zeit dem Europäischen Gerichtshof (EuGH) zur Entscheidung vorgelegt. Der EuGH hat dargelegt, dass eine dynamische IP-Adresse dann ein personenbezogenes Datum darstellt, wenn es dem Webseitenbetreiber möglich ist, mit Hilfe rechtlicher Mittel die betroffene Person hinter der dynamischen IP-Adresse zu bestimmen oder bestimmen zu lassen. In seinem Urteil folgte der BGH dieser Leitlinie und stellte fest, dass dynamische IP-Adressen für die Bundesrepublik als Webseitenbetreiber ein personenbezogenes Datum darstellen, da mit Hilfe der Strafverfolgungsbehörden der Nutzer identifiziert werden könne.

Zur Frage der Speicherung einer dynamischen IP-Adresse als personenbezogenes Datum über das Ende des Nutzungsvorgangs hinaus führte der BGH weiter aus, dass eine solche Speicherung durch den Webseitenbetreiber ohne Einwilligung des Nutzers nur unter den Voraussetzungen des § 15 Abs. 1 Telemediengesetz (TMG) zulässig sei. Diese Norm sei europarechtskonform dahingehend auszulegen, dass die Erhebung und Verwendung erforderlich sein müsse, um die generelle Funktionsfähigkeit des Dienstes zu gewährleisten. Im vorliegenden Fall konnte der BGH kein abschließendes Urteil dazu treffen, ob die Speicherung der IP-Adresse des Nutzers über das Ende des Nutzungsvorgangs hinaus durch das Bundesministerium für Justiz und Verbraucherschutz erforderlich war, um die generelle Funktionsfähigkeit des Dienstes zu gewährleisten. Bei der Frage der Erforderlichkeit sollen aber in einer Abwägung insbesondere das Gefahrenpotential und der „Angriffsdruck“ zu berücksichtigen sein. In einem nächsten Schritt sollen dann das Interesse an der Aufrechterhaltung und der Funktionsfähigkeit des Online-Mediendienstes mit den jeweiligen Grundrechten und Grundfreiheiten des Nutzers der Seite abgewogen und in Einklang gebracht werden.