BGH stuft IP-Adresse als personenbezogenes Datum ein

Mit Urteil vom 16. Mai 2017 hat der Bundesgerichtshof nun abschließend zur Frage der Personenbezogenheit dynamischer IP-Adressen entschieden. Nach Ansicht der Bundesrichter stellt eine dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Internetseite, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, für den Anbieter immer ein (geschütztes) personenbezogenes Datum dar.

Entscheidung des EuGH als Grundlage

Grundlage für diese Entscheidung bildet das am 19.10.2016 vom EuGH in dieser Frage ergangene Urteil in gleicher Sache. Damals hatte der EuGH entschieden, dass eine dynamische IP-Adresse, die von einem „Anbieter von Online-Mediendiensten“ (d. h. vom Betreiber einer Website) beim Zugriff auf seine allgemein zugängliche Website gespeichert wird, für den Betreiber ein personenbezogenes Datum darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, den Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen. Damit hatte der EuGH hat die Beantwortung der Frage zum Personenbezog dynamischer IP-Adressen einmal mehr von dem zur Verfügung stehenden Zusatzwissen abhängig gemacht, nämlich ob der Webseitenanbieter "über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen".

Auf Antrag hatte der EuGH im Dezember 2016 dann allerdings klargestellt, dass der Personenbezug schon dadurch gegeben sei, dass sich der Anbieter an Strafverfolgungsbehörden wenden könne, die die Identität des Anschlussinhabers kurzfristig über eine Bestandsdatenauskunft ermitteln könnten. Es reiche aus, dass Strafverfolger die IP-Adresse zuordnen können. Mit dieser Klarstellung dürfte vom relativen Verständnis der Personenbezogenheit dynamischer IP-Adressen nichts mehr übrig sein.

Hintergrund des Streits

Hintergrund des Rechtsstreits war die Frage, ob Internetdiensteanbieter (Webseitenbetreiber) IP-Adressen von Nutzern erheben und in Log-Files speichern dürfen, etwa um Angriffe auf die Webseite nachverfolgen oder abwehren zu können. Der Nutzer hatte sich gerichtlich gegen die Erhebung und Speicherung von Nutzerdaten auf Webseiten des Bundes gewehrt. Bei Besuch dieser Webseiten wird die IP-Adresse zusammen mit dem Zeitpunkt des Zugriffs nicht nur während des Nutzungsvorgangs sondern auch darüber hinaus in einem Log-File protokolliert und gespeichert. 

Diese Praxis hielt der Kläger vor dem Hintergrund der Regelung des § 15 Abs.1 TMG für rechtswidrig, weil diese eine einwilligungslose Erhebung und Speicherung personenbezogener Daten ausschließlich für Abrechnungszwecke erlaubt. Der BGH hatte den EuGH angerufen um endgültig zu klären, ob IP-Adressen für erhebende Webseitenbetreiber tatsächlich ein personenbezogenes Datum darstellen und ob IP-Adressen nicht auch länger und für andere Zwecke gespeichert werden dürfen. Dies hatte der EuGH bejaht.

Folgen für die Praxis

Der BGH hat auf Grundlage des– berichtigten  - EuGH-Urteils nun keine Zweifel mehr an der jederzeitigen Personenbezogenheit von IP-Adressen. Unmittelbare Folge dieser Klarstellung ist nun, dass sämtliche Online-Datenverarbeitungen unter Einschluss von IP-Adressen nicht mehr ohne Einwilligung oder anderweitige gesetzliche Erlaubnis möglich sind. Dies betrifft auch die Speicherung dieser Adressen, welche dann nur noch in absoluten Ausnahmefällen erlaubt sein soll.

Anbieter von Online-Mediendiensten dürfen personenbezogene Daten eines Nutzers dieser Dienste ohne dessen Einwilligung nur dann auch über das Ende eines Nutzungsvorgangs hinaus erheben und verwenden, soweit ihre Erhebung und ihre Verwendung erforderlich sind, um die generelle Funktionsfähigkeit der Dienste zu gewährleisten. Etwa bei der Abwehr von Attacken.

Den Nachweis, dass dies notwendig ist, muss der Anbieter erbringen. Webseitenbetreiber sollten gegebenenfalls ihren Hosting-Anbieter kontaktierien um zu erfahren, welche Daten zu welchen Zwecken gelogged werden. Mit Blick auf Webseitenanalyse-Dienste gilt nach wie vor, dass die IP-Adresse entsprechend zu anonymisieren ist. Zum Thema rechtssichere Webanalyse hat der BVDW ein entsprechendes Whitepaper veröffentlicht.