[Update] Ist die dynamische IP-Adresse ein personenbezogenes Datum?

03.11.2016 - 10:01

Über diese Frage hatte der Europäische Gerichtshof (EuGH) am 19.10.2016 erneut zu entscheiden [1]. Wie sind die Logfiles, die Informationen über unser Surfverhalten im Internet erfassen datenschutzrechtlich zu beurteilen? Können sie auch über die Dauer der Verbindung hinaus gespeichert werden?

Bereits im Jahre 2011 hat der EuGH entschieden, dass auch dynamische IP-Adressen, die sich bei jeder neuen Internetverbindung ändern, für Internet-Zugangsprovider personenbezogene Daten sind, da ihnen auf diese Weise eine genaue Identifizierung des Nutzers möglich sei [2].
Nunmehr sollte er im Wege eines Vorabentscheidungsverfahrens auch dazu Stellung nehmen, ob dies auch für Online-Mediendienste (Webseiten Anbieter) gelte. Fest stand dabei Folgendes:
 

  1. Der Webseitenbetreiber kann nicht aufgrund der Kenntnis IP-Adresse allein, ohne weitere Angaben (Beispiel: Mitteilung einer Mail-Adresse) feststellen, von welchem Anschluss und durch welchen Nutzer seine Seite aufgerufen worden ist.
  2. Der Webseitenbetreiber hat, jedenfalls nach deutschem Recht auch keine Möglichkeit, sich den Namen des Anschlusses und des Nutzers durch die Zugangsprovider mitteilen zu lassen.
  3. Bei Erstattung einer Strafanzeige besteht jedoch für die Strafverfolgungsbehörden die Möglichkeit, den Namen und die Adresse des „Täters“ über die beim Zugangsanbieter gespeicherten Daten in Erfahrung zu bringen.


Daher stellte sich die Frage, ob auch in einem derartigen Fall davon auszugehen ist, dass die IP-Adresse personenbezogen ist. Hierzu hat das Gericht festgestellt, dass nach der Europäischen Datenschutzrichtlinie (Art. 2 Buchstabe a) auch solche Informationen als personenbezogene Daten anzusehen sind, wenn die Möglichkeit besteht über Zusatzinformationen Dritter die betreffende Person zu identifizieren. Nicht gefordert wurde hierbei, dass der Anbieter selbst die IP-Adresse einem Besucher der Webseite zuordnen kann. Das europäische Recht folgt also dem absoluten Begriff des Personenbezuges. Im dem vom BGH zu entscheidenden Fall wird daher von einem Personenbezug auszugehen sein.

Als problematisch hat der EuGH jedoch die Bestimmung des § 15 Abs.1 des deutschen Telemediengesetzes (TMG) angesehen. Dieser bestimmt:


„(1) Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten). Nutzungsdaten sind insbesondere

1. Merkmale zur Identifikation des Nutzers,
2. Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und
3. Angaben über die vom Nutzer in Anspruch genommenen Telemedien.“



Eine weitere Speicherung über das Ende der Verbindung hinaus wäre daher nach dieser Vorschrift nicht statthaft.

Dabei ist jedoch unberücksichtigt geblieben, dass die weitere Speicherung auch erforderlich sein kann, um die generelle Funktionsfähigkeit der Webseite zu ermöglichen. Dies könnte insbesondere bei Cyber-Attacken (z.B. Denial-of-Service-Angriffe) notwendig sein. Daher sieht der EuGH in diesem Punkt einen Widerspruch zur Bestimmung in § 7 Buchstabe f der Richtlinie. Danach darf auch eine Information ohne Zustimmung des Betroffenen verarbeitet werden, wenn sie erforderlich ist, um berechtigte Interessen des für die Datenverarbeitung Verantwortlichen zu verwirklichen, wobei eine Güterabwägung mit den Grundrechten und Grundfreiheiten der betroffenen Person vorzunehmen ist. Diese Möglichkeit ist in § 15 Abs. 1 TMG nicht vorgesehen. Durch den Verzicht auf eine verantwortliche Entscheidung des Betreibers ist die Zielvorgabe der europäischen Datenschutz-Richtlinie nicht korrekt umgesetzt worden und muss insoweit geändert werden.

Für kirchliche Dienststellen bleibt es dabei, die Erhebung von IP-Adressen in der Datenschutzerklärung aufzuführen und anzugeben, ob diese nur für die Dauer der Verbindung gespeichert wird oder auch darüber hinaus für einen bestimmten Zeitraum, der nach Meinung des Webseitenbetreibers für den generellen Schutz des Angebots erforderlich ist.

[1] EuGH Urteil vom 19.10.2016 in der Sache Breyer ./. Bundesrepublik Deutschland, Az.: C-582/14
[2] EuGH Urteil vom 24.11.2011 in der Sache Scarlet Extended, Az.: C-70/10

[Update]

Der Europäische Gerichtshof hat sein Urteil in der Rechtssache Breyer ./. BRD,. Az. C-582/14 berichtigt, da die deutsche Übersetzung Schreibfehler enthielt. Dabei wurde, trotz anderslautender Medienberichte noch einmal verdeutlicht, dass eine dynamische IP-Adresse als schützenswertes personenbezogenes Datum anzusehen ist, wenn nur die angerufenen Strafverfolger die Identität des Nutzers ermitteln können, nicht aber der Webseitenbetreiber selbst.

Nach deutschem Recht, dass es den Ermittlungsbehörden ermöglicht den Namen, die Anschrift und die Netzkennung eines Angreifers von den Internet-Zugangsprovidern im Wege der Bestandsdatenauskunft zu erhalten, müssen IP-Adressen weiterhin als personenbezogene Daten eingestuft werden.

Europäische Gerichtshof, Urteilberichtigung in der Rechtssache C-582/14 REC vom 06.12.2016

heise online, Meldung vom 12.01.2017: EuGH korrigiert Urteil zum Datenschutz von IP-Adressen