EuGH erlaubt Speicherung von IP-Adressen auf Webservern

Website-Betreiber speichern oftmals die IP-Adressen der Besucher. Datenschützer sehen darin eine unzulässige Speicherung personenbezogener Daten. Dazu hat der EuGH jetzt entschieden, dass es sich bei IP-Adressen zwar um personenbezogene Daten handele, diese unter Umständen dennoch gespeichert werden dürfen. Zumindest eine strenge Auslegung des Telemediengesetzes (TMG) verstoße gegen EU-Recht. Nun muss der BGH erneut entscheiden.

Click to tweet
  • Das ist eine Kernfrage eines Rechtsstreits,
  • der seit fast 10 Jahren tobt. 
  • Es geht dabei um die regelmäßige Speicherung
  • von nicht statischen Internet-Adressen der Besucher auf den Webseiten des Bundes.

Nach der kürzlich gefallenen EuGH-Entscheidung dürfte diese Speicherung wohl erst einmal weiter erlaubt sein, letztlich entscheiden muss darüber aber nun noch der BGH.

Strenges TMG verbietet Speicherung außerhalb von Abrechnungszwecken

Der Rechtsstreit besteht zwischen dem Abgeordneten der Piratenpartei im schleswig-holsteinischen Landtag, Patrick Breyer (Jurist), und der Bundesrepublik Deutschland.

  • In seiner Klage berief sich Breyer darauf, dass es sich bei den dynamischen IP-Adressen, wie sie derzeit von den meisten Internet-Surfern verwendet werden, um personenbezogene Daten handele,
  • die nach dem bundesdeutschen Telemediengesetz nur während der aktuellen Verbindung gespeichert werden dürfen.
  • Eine länger andauernde Speicherung bei den Anbietern sei danach ausschließlich für Abrechnungszwecke erlaubt.

EuGH sieht deutsche IP-Adressen als personenbezogen Daten

Die Richter am EuGH sehen genau wie der Kläger den Personenbezug der Daten,  sofern der Website-Betreiber über die rechtliche Möglichkeit verfügt, den Nutzer hinter der IP-Adresse ermitteln zu lassen.

In Deutschland gebe es die Möglichkeit für  Anbieter von Online-Mediendiensten, sich insbesondere im Fall von Cyberattacken an die zuständige Behörde zu wenden, um die fraglichen Informationen vom Internetzugangsanbieter zu erlangen und anschließend die Strafverfolgung einzuleiten. Fazit: Es handelt sich bei den IP-Adressen und personenbezogene Daten.

EuGH sieht striktes TMG-Speicherungsverbot kritisch

Personenbezogene Daten aber sind nach § 15 des Telemediengesetzes (TMG) besonders geschützt, und dürfen nur zu Abrechnungszwecken gespeichert werden und um die konkrete, gerade laufende Nutzung eines Onlinedienstes sicherzustellen.

Der EuGH hält allerdings das strikte Verbot zur Speicherung der dynamischen IP-Adressen für andere Zwecke außer der Abrechnung für europarechtswidrig:

  • Es sei nicht vereinbar mit der EU-Datenschutzrichtlinie.
  • Nach der EU-Richtlinie 95/46 kann es im "berechtigten Interesse" eines Betreibers liegen, "die Aufrechterhaltung der Funktionsfähigkeit" auch über die jeweilige Session des Nutzers hinaus zu gewährleisten.
  • Zu diesem Zweck dürfe ein Betreiber personenbezogene Daten erheben und verarbeiten.
  • Dieses berechtigte Interesse hätten insbesondere die Betreiber der Websites des Bundes, also zum Beispiel die von Ministerien,
  • es sei allerdings abzuwägen gegen das Interesse oder die Grundrechte der Internetnutzer.

Die Vorgaben und das Einräumen der Möglichkeit einer solchen Abwägung fehle jedoch im TMG.

Website-Betreiber muss berechtigtes Interesse an Speicherung haben

Die Speicherung der IP-Adressen hatte die Bundesregierung vor allem mit Sicherheitsaspekten begründet. So würden diese Daten benötigt, um etwa Angriffe auf die Websites abzuwehren und Angreifer zu identifizieren.

  • Zugleich vertrat man allerdings die Ansicht, dass diese dynamischen IP-Adressen gar keine personenbezogenen Daten seien, da sie keinen direkten Rückschuss auf die jeweiligen Teilnehmer zuließen.
  • Dieser Meinung schloss sich prinzipiell auch der BGH an, der das Verfahren jedoch aussetzte und zunächst den EuGH befragte.

Der Fall liegt damit jetzt wieder beim BGH. Hier müssen die Richter nun klären, ob sich das Telemediengesetz so auslegen lässt, wie es vom EuGH gefordert wird.

( EuGH, Rechtssache v. 19.10.2016, C 582/14).

Der Kläger Patrick Breyer zeigte sich über das Urteil enttäuscht. Insbesondere blieben seiner Meinung nach zahlreiche Fragen offen, etwa was die möglichen Speicherfristen angehe und auch die Abwägung zwischen den berechtigten Interessen der Website-Betreiber und der Rechten der Nutzer sei weiter problematisch.

Schlagworte zum Thema:  Datenschutz-Grundverordnung, Datenschutz, EuGH