EuGH hält Speicherungsverbot bei IP-Daten für europarechtswidrig

Website-Betreiber speichern oftmals die IP-Adressen der Besucher. Das deutsche Telemediengesetz (TMG) sieht darin in vielen Fällen eine unzulässige Speicherung personenbezogener Daten. Dazu hat der Europäische Gerichtshof jetzt entschieden, dass es sich bei IP-Adressen zwar um personenbezogene Daten handele, sie u. U.  allerdings dennoch gespeichert werden dürfen, da das insoweit strikte TMG möglicherweise gegen EU-Recht verstoße.

1. Sind dynamische IP-Adressen, die sich bei jedem neuen Verbindungsaufbau ändern, personenbezogene Daten? 2. Wann dürfen sie gespeichert werden? Das sind die Kernfragen eines Rechtsstreits, der seit fast 10 Jahren tobt, und der für viele Website-Betreiber von Belang ist.

Speicherung von Internet-Adressen von Besucher auf Bundes-Websites

Es geht in diesem Fall um die Speicherung von Internet-Adressen der Besucher auf den Webseiten des Bundes. Gestritten wird zwischen dem Juristen und Abgeordneten der Piratenpartei im schleswig-holsteinischen Landtag, Patrick Breyer, und der Bundesrepublik Deutschland.

  • Bei seiner Klage berief sich Breyer darauf, dass es sich bei den dynamischen IP-Adressen, wie sie derzeit von den meisten Internet-Surfern verwendet werden, um personenbezogene Daten handele,
  • die nach dem bundesdeutschen Telemediengesetz nur während der aktuellen Verbindung gespeichert werden dürfen.
  • Eine länger andauernde Speicherung bei den Anbietern sei danach ausschließlich für Abrechnungszwecke erlaubt.

Bund sah Sicherheitsinteressen und ID-Adressen nicht personenbezogen

Die Speicherung der IP-Adressen hatte die Bundesregierung vor allem mit Sicherheitsaspekten begründet.

  • So würden diese Daten benötigt, um etwa Angriffe auf die Websites abzuwehren und Angreifer zu identifizieren. 
  • Zugleich vertrat man die Ansicht, dass diese dynamischen IP-Adressen gar keine personenbezogenen Daten seien,
  • da sie keinen direkten Rückschuss auf die jeweiligen Teilnehmer zuließen.

BGH befragte den EuGH

Der Meinung des Bundes schloss sich prinzipiell auch der BGH an, der das Verfahren jedoch aussetzte und zunächst den EuGH befragte.

  • Der EuGH entschied im Hinblick auf die Natur der IP-Adressen (= personenbezogene Daten)  jetzt zwar weitestgehend im Sinne des Klägers.
  • Die Richter sahen zugleich aber ein berechtigtes Interesse des Bundes an der Speicherung.
  • In dem strikten Verbot der Speicherung im Telemediengesetz, das solche Interessen nicht berücksichtigt, liege einen Widerspruch zu den Vorgaben der EU-Datenschutzrichtlinie.

Auch der EuGH sieht IP-Adressen als personenbezogen Daten

Die Richter am EuGH sehen genau wie der Kläger den Personenbezug der Daten, allerdings nur, sofern der Website-Betreiber über die rechtliche Möglichkeit verfügt, den Nutzer hinter der IP-Adresse ermitteln zu lassen.

In Deutschland ist Anbietern von Online-Mediendiensten der Weg eröffnet, sich insbesondere im Fall von Cyberattacken an die zuständige Behörde zu wenden, um IP-Informationen vom Internetzugangsanbieter für eine Strafverfolgung zu erhalten. Fazit: Wegen dieser Möglichkeit handelt sich bei den IP-Adressen und personenbezogene Daten.

Personenbezogene Daten aber sind nach § 15 des Telemediengesetzes (TMG) besonders geschützt,

  • sie dürfen nur zu Abrechnungszwecken gespeichert werden
  • und um die konkrete, gerade laufende Nutzung eines Onlinedienstes sicherzustellen.

EuGH sieht striktes Speicherungsverbot kritisch

Click to tweet

Es sei nicht vereinbar mit der EU-Datenschutzrichtlinie.

  • Nach der EU-Richtlinie 95/46 kann es im "berechtigten Interesse" eines Betreibers liegen,
  • "die Aufrechterhaltung der Funktionsfähigkeit" der ID-Daten
  • auch über die jeweilige Session des Nutzers hinaus zu gewährleisten.

Liegen solche berechtigten Interessen vor, dürfe ein Betreiber personenbezogene Daten erheben und verarbeiten. Dieses berechtigte Interesse hätten insbesondere die Betreiber der Websites des Bundes, also zum Beispiel die von Ministerien, es sei aber abzuwägen gegen das Interesse oder die Grundrechte der Internetnutzer. Die Grundlagen und Regelungen für eine solche Abwägung fehlen jedoch nach Ansicht des EuGH im TMG.

Ball liegt nun beim BGH

Der Fall liegt damit jetzt wieder beim BGH. Hier müssen die Richter nun klären, ob sich das Telemediengesetz so auslegen lässt, wie es vom EuGH gefordert wird.

 (EuGH, Rechtssache v. 19.10.2016, C 582/14).

Der Kläger zeigte sich über das Urteil enttäuscht. Insbesondere blieben seiner Meinung nach zahlreiche Fragen offen, etwa was die möglichen Speicherfristen angehe, und auch die Abwägung zwischen den berechtigten Interessen der Website-Betreiber und der Rechten der Nutzer sei problematisch.

Schlagworte zum Thema:  Datenschutz, EuGH, Datenschutz-Grundverordnung