18.05.2017 | Personenbezogene Daten

Dynamische IP-Adressen können zum Schutz vor Hackern gespeichert werden

Um sich gegen Hackerangriffe wehren zu können, muss das Speichern dynamischer IP-Adressen möglich sein
Bild: Haufe Online Redaktion

Cyberattacken, wie erst kürzlich die WannaCry-Attacke zeigte, nehmen in ihrer Häufigkeit und ihrem Ausmaß zu. Der BGH hat nun wie der EuGH nach einem langjährigen Verfahren entschieden, dass die dynamischen IP-Adressen der Webseiten-Besucher gespeichert werden dürfen, wenn diese dazu dienen sollen, Hackerangriffe effektiv abwehren zu können.

Website-Betreiber speichern oftmals die IP-Adressen der Besucher. Das deutsche Telemediengesetz (TMG) sah darin in vielen Fällen eine unzulässige Speicherung personenbezogener Daten.

Personenbezogene Daten sind nach § 15 des Telemediengesetzes (TMG) besonders geschützt,

  • sie dürfen nur zu Abrechnungszwecken gespeichert werden
  • und um die konkrete, gerade laufende Nutzung eines Onlinedienstes sicherzustellen.

Doch bei der Abwehr immer massiver werdende Cyberangriffe (aktuell: WannaCry) wollten Website-Inhaber nicht darauf verzichten: Das führte zu langjährigen rechtliche Auseinandersetzungen unter Beteiligung vieler Gerichte.

Piratenpolitiker klagte gegen Speicherung auf Webseiten des Bundes

Der Politiker der Piraten-Partei, Patrick Breyer, hatte bereits im Jahr 2008 die Unterlassungsklage gegen die Bundesrepublik Deutschland eingereicht, mit welcher er die 3-monatige Speicherung seiner IP-Adresse nach Aufruf der Webseiten des Bundes verhindern wollte.

Was genau ist eine IP-Adresse?

Mit seiner IP-Adresse hinterlässt der Besucher einer Webseite einen sog. digitalen Fußabdruck, mit welchem der Webseitenbetreiber unter bestimmten Voraussetzungen auf den konkreten Nutzer schließen kann.

Der Kläger sah in der langen Speicherung seiner IP-Adresse sein Persönlichkeitsrecht verletzt. Die Bundesregierung argumentierte,

  • dass sie bei den dynamischen IP-Adressen, welche sich immer wieder ändert, keine Möglichkeit habe, die Besucher ihrer Webseite ohne die Hilfe des Internetanbieters identifizieren zu können.
  • Eine Identifizierung wäre ansonsten nur dann möglich, wenn der Besucher während des Nutzungsvorgangs zusätzlich, beispielsweise in einer Registrierungsmaske, persönliche Daten angebe.
  • Persönlichkeitsrechte der Webseitenbesucher verletzt?

Nachdem das Amtsgericht die Klage abgewiesen hatte, gab das Berufungsgericht der Klage insoweit statt, dass eine Speicherung unzulässig sei, wenn diese in Verbindung mit dem Zeitpunkt des jeweiligen Nutzungsvorgangs erfolgt und der Webseitenbesucher während eines Nutzungsvorgangs seine Personalien angibt.

BGH hatte Europäischen Gerichtshof befragt

Der BGH hatte das Verfahren 2014 ausgesetzt und dem Europäischen Gerichtshof zwei Fragen zur Auslegung der EG-Datenschutz-Richtlinie zur Vorabentscheidung vorgelegt, die dieser mit seinem Urteil vom 19.10.2016 (C-582/14) beantwortete:

  • Zum Einen seien dynamische IP-Adressen als personenbezogene Daten anzusehen, wenn der Anbieter die rechtliche Möglichkeit hat, anhand von Zusatzinformation den Nutzer bestimmen zu lassen.
  • Zum Anderen sei eine Speicherung nur dann richtlinienkonform, wenn diese erforderlich sei, um "um die generelle Funktionsfähigkeit der Dienste zu gewährleisten".

Speicherung zulässig zur Gewährleistung der generellen Funktionsfähigkeit

Unter Berücksichtigung des Urteils des EuGH führten die Karlsruher Richter nun aus,

  • dass die dynamischen IP-Adressen als personenbezogene Daten nur unter den Voraussetzungen des § 15 Abs.1 TMG gespeichert werden dürften
  • und diese Vorschrift europarechtskonform auszulegen sei.

Was ist nun in Sachen Speicherung dynamische IP-Adressen erlaubt?

Nach der Entscheidung des BGH

  • darf ein Anbieter von Online-Mediendiensten personenbezogene Daten eines Nutzers ohne dessen Einwilligung auch über das Ende eines Nutzungsvorgangs hinaus nur erheben und verwenden,
  • soweit ihre Erhebung und ihre Verwendung erforderlich sind,
  • um die generelle Funktionsfähigkeit der Dienste, unter anderem die Abwehr von Hackerangriffen, zu gewährleisten.

Sicherheitsinteresse mit den Grundrechten der Nutzer abgewägen

Bei der Frage der Speicherung der IP-Daten müssen das Sicherheitsinteresse der Website mit den Grundrechten und -freiheiten der Nutzer abgewogen werden.

Da das Berufungsgericht hierzu und zu dem Gefährdungspotential keine abschließenden Feststellungen getroffen hatte, wurde die Sache an das LG Berlin zurückverwiesen. Im Rahmen der Abwägung müssten dabei auch die Gesichtspunkte der Generalprävention und der Strafverfolgung gebührend zu berücksichtigen sein, so das Karlsruher Gericht.

(BGH, Urteil v. 16.05.2017, VI ZR 135/13).

Weiter News zum Thema:

EuGH hält striktes IP-Daten-Speicherungsverbot für europarechtswidrig

IP-Adressen Beurteilung durch EuGH

Verfassungsbeschwerde gegen Bestandsdatenauskunft

Hintergrund:

Click to tweet

Es sei nicht vereinbar mit der EU-Datenschutzrichtlinie.

  • Nach der EU-Richtlinie 95/46 kann es im "berechtigten Interesse" eines Betreibers liegen,
  • "die Aufrechterhaltung der Funktionsfähigkeit" der ID-Daten
  • auch über die jeweilige Session des Nutzers hinaus zu gewährleisten.

Schlagworte zum Thema:  Datenschutz, Webanalyse, IP-Adresse, Nutzung personenbezogener Daten

Aktuell
Meistgelesen