Schlagwort: Dynamische IP-Adressen

Dynamische IP-Adressen stellen personenbezogene Daten dar

17. Mai 2017

In seinem Urteil vom 16.05.2017 (Az. VI ZR 135/13) hat sich der Bundesgerichtshof (BGH) unter anderem mit den Fragen befasst, ob eine dynamische IP-Adresse ein personenbezogenes Datum darstellt und ob ein Webseitenbetreiber die IP-Adressen der Nutzer länger speichern darf als diese tatsächlich auf der Seite verweilen.

Anlass für dieses BGH-Urteil war, dass das Bundesministerium für Justiz und Verbraucherschutz die IP-Adressen aller Besucher seiner Webseite für eine Zeitspanne von 14 Tagen speicherte. In dieser Speicherung sah ein schleswig-holsteinischer Abgeordneter der Piratenpartei eine unzulässige Überwachung der Internetnutzer und erhob Klage gegen die Bundesrepublik als Betreiberin der Webseite. Die Bundesregierung argumentierte, dass die Speicherung nötig sei, um den sicheren Betrieb der Webseiten zu ermöglichen. Nur so könne man gegebenenfalls Hackerangriffe abwehren und die Angreifer identifizieren um strafrechtliche Schritte einleiten zu können.

Maßgeblich für die Entscheidung war die Frage, ob auch dynamische IP-Adressen personenbezogene Daten darstellen. Um im Internet agieren zu können, bekommt jedes internetfähige Endgerät vom jeweiligen Internetprovider eine eigene IP-Adresse zugewiesen. Bei diesen IP-Adressen unterscheidet man zwischen statischen und dynamischen Adressen. Im Gegensatz zu statischen IP-Adressen können sich dynamische IP-Adressen alle paar Stunden oder Tage ändern. Der Webseitenbetreiber selbst kann die Nutzer einer solchen dynamischen IP-Adresse in aller Regel nicht identifizieren. Lediglich die Internetprovider (bspw. Telekom oder Vodafon) sind hierzu in der Lage, da sie dem Nutzer die dynamische IP-Adresse zuweisen. Wenn dynamische IP-Adressen nicht als personenbezogene Daten anzusehen sind, ist eine Speicherung grundsätzlich als zulässig anzusehen. Sofern man sie jedoch als personenbezogene Daten qualifiziert, ist eine Speicherung nur nach den Maßgaben des Datenschutzrechts zulässig.

Nach § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) sind personenbezogene Daten „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).“ Ähnlich wird dies auch in der EG-Datenschutzrichtlinie 95/46/EG definiert. Gerade bei dynamischen IP-Adressen drängt sich die Frage auf, ob auch diese eine hinreichende Bestimmbarkeit im Sinne der oben genannten Norm aufweisen. Diese Frage hat der BGH vor einiger Zeit dem Europäischen Gerichtshof (EuGH) zur Entscheidung vorgelegt. Der EuGH hat dargelegt, dass eine dynamische IP-Adresse dann ein personenbezogenes Datum darstellt, wenn es dem Webseitenbetreiber möglich ist, mit Hilfe rechtlicher Mittel die betroffene Person hinter der dynamischen IP-Adresse zu bestimmen oder bestimmen zu lassen. In seinem Urteil folgte der BGH dieser Leitlinie und stellte fest, dass dynamische IP-Adressen für die Bundesrepublik als Webseitenbetreiber ein personenbezogenes Datum darstellen, da mit Hilfe der Strafverfolgungsbehörden der Nutzer identifiziert werden könne.

Zur Frage der Speicherung einer dynamischen IP-Adresse als personenbezogenes Datum über das Ende des Nutzungsvorgangs hinaus führte der BGH weiter aus, dass eine solche Speicherung durch den Webseitenbetreiber ohne Einwilligung des Nutzers nur unter den Voraussetzungen des § 15 Abs. 1 Telemediengesetz (TMG) zulässig sei. Diese Norm sei europarechtskonform dahingehend auszulegen, dass die Erhebung und Verwendung erforderlich sein müsse, um die generelle Funktionsfähigkeit des Dienstes zu gewährleisten. Im vorliegenden Fall konnte der BGH kein abschließendes Urteil dazu treffen, ob die Speicherung der IP-Adresse des Nutzers über das Ende des Nutzungsvorgangs hinaus durch das Bundesministerium für Justiz und Verbraucherschutz erforderlich war, um die generelle Funktionsfähigkeit des Dienstes zu gewährleisten. Bei der Frage der Erforderlichkeit sollen aber in einer Abwägung insbesondere das Gefahrenpotential und der „Angriffsdruck“ zu berücksichtigen sein. In einem nächsten Schritt sollen dann das Interesse an der Aufrechterhaltung und der Funktionsfähigkeit des Online-Mediendienstes mit den jeweiligen Grundrechten und Grundfreiheiten des Nutzers der Seite abgewogen und in Einklang gebracht werden.

EuGH: IP-Adressen sind personenbezogene Daten und unterliegen damit dem Datenschutzrecht, aber…

20. Oktober 2016

…dürfen dennoch unter Umständen vom Bund gespeichert werden, um sich gegen Cyberattacken zu verteidigen. Dies verkündete der EuGH in seinem Urteil vom gestrigen Tage.

Der Kieler Piraten-Abgeordnete Patrick Breyer hatte gegen die Bundesrepublik Deutschland geklagt, weil die von ihm abgerufenen Webseiten von Einrichtungen des Bundes seine Internet-Protokolladressen (IP-Adressen) aufzeichnen und speichern. Dies habe eine einschüchterne Wirkung und behindere das unbeschwerte anonyme Surfen im Internet, so Breyer laut der Nachrichten-Webseite tagesschau.de.

Damit jedoch nicht genug – auch aus datenschutzrechtlichen Gründen sei das Aufzeichnen und Speichern der IP-Adressen als nicht zulässig anzusehen. Breyer beruft sich dabei auf das Telemediengesetz, wonach „personenbezogene Daten“ nur während der laufenden Verbindung gespeichert werden dürfen, nicht jedoch danach – es sei denn, sie werden noch zu Abrechnungszwecken benötigt. Aber sind IP-Adressen überhaupt personenbezogene Daten im Sinne des Telemedien- und Bundesdatenschutzgesetzes? Breyer behauptet „ja“, der Bund – wie soll es auch anders sein – hingegen „nein“: IP-Adressen seien schließlich dynamisch und würden bei jeder Einwahl ins Internet neu vergeben werden.

Die Luxemburger Richter urteilten nun, dass dynamische IP-Adressen eines Nutzers für den Betreiber der Webseite ein personenbezogenes Datum darstellen können, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, den betreffenden Nutzer anhand der Zusatzinformationen, bestimmen zu lassen. Allerdings könne die Speicherung unter Umständen dennoch zulässig sein, wenn der Webseitenbetreiber ein berechtigtes Interesse habe. Die deutsche gesetzliche regelung schränke die Tragweite dieses Grundsatzes zu sehr ein, wenn es die Speicherung von „personenbezogenen Daten“ nur während der Internetverbindung oder während der Abrechung zulasse. Insbesondere müsse deutlicher zwischen dem berechtigten Interesse der Webseitenbetreiber und den Grundrechten und Grundfreiheiten des Nutzers abgewogen werden. Der EuGH sieht in Bezug auf den Bund dahingehend ein berechtigtes Interesse an der Speicherung der IP-Adresse, dass nur dadurch die Aufrechterhaltung der Funktionsfähigkeit der von ihm betriebenen Webseiten über die konkrete Nutzung hinaus gewährleistet werden könne.

Generalanwalt beim EuGH: Dynamische IP-Adressen sind personenbezogene Daten

13. Mai 2016

In Kürze wird der Europäische Gerichtshof (EuGH) über eine Vorlagefrage des Bundesgerichtshofs entscheiden. Dabei geht es u. a. um die Frage, ob dynamische IP-Adressen als personenbezogene Daten anzusehen sind und in Folge dem Schutz des Bundesdatenschutzgesetzes unterliegen. Dies ist in juristischen Fachkreisen ein seit Jahren umstrittenes Thema. Am gestrigen Tag hat der Generalanwalt beim EuGH Manuel Campos Sánchez-Bordoma seine Schlussanträge vorgestellt. Er schlägt dem EuGH im Hinblick auf die Einordnung dynamischer IP-Adressen vor, auch diese als personenbezogenes Datum zu klassifizieren.

Gemäß Art. 2 Buchst. a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sei eine dynamische IP-Adresse, über die ein Nutzer die Internetseite eines Telemedienanbieters aufgerufen hat, für Letzteren ein „personenbezogenes Datum“, soweit ein Internetzugangsanbieter über weitere zusätzlichen Daten verfügt, die in Verbindung mit der dynamischen IP-Adresse die Identifizierung des Nutzers ermöglichen.

Es bleibt abzuwarten, ob der EuGH den Vorschlägen des Generalanwalts Folge leisten wird. In der Regel ist dies der Fall.