Der Europäische Gerichtshof hat heute über die Zulässigkeit des Speicherns von IP-Adressen entschieden. Die Richter kommen zu dem Ergebnis, dass auch dynamische IP-Adressen zwar grundsätzlich als personenbezogene Daten anzusehen sind, eine Speicherung zum Zwecke der Sicherung der Funktionsweise der Webseite aber zulässig ist. Eine sofortige Löschung von IP-Adressen nach Beendigung des Nutzungsvorgangs ist damit nicht erforderlich. Das Urteil ist von erheblicher Bedeutung für die digitale Wirtschaft und den Handlungsmöglichkeiten von Webseitenbetreibern zum Schutz vor Hacker-Angriffen.

Hintergrund

Hintergrund des Rechtsstreits war die Frage, ob Internetdiensteanbieter (Webseitenbetreiber) IP-Adressen von Nutzern erheben und in Log-Files speichern dürfen, etwa um Angriffe auf die Webseite nachverfolgen oder abwehren zu können. Der Nutzer hatte sich gerichtlich gegen die Erhebung und Speicherung von Nutzerdaten auf Webseiten des Bundes gewehrt. Bei Besuch dieser Webseiten wird die IP-Adresse zusammen mit dem Zeitpunkt des Zugriffs nicht nur während des Nutzungsvorgangs sondern auch darüber hinaus in einem Log-File protokolliert und gespeichert.  

Diese Praxis hält der Kläger vor dem Hintergrund der Regelung des § 15 Abs.1 TMG für rechtswidrig, weil diese eine einwilligungslose Erhebung und Speicherung personenbezogener Daten ausschließlich für Abrechnungszwecke erlaubt. Der BGH hatte den EuGH angerufen um endgültig zu klären, ob IP-Adressen für erhebende Webseitenbetreiber tatsächlich ein personenbezogenes Datum darstellen und ob IP-Adressen nicht auch länger und für andere Zwecke gespeichert werden dürfen.

Vorlagefragen des BGH

Folgende Fragen wurden dem EuGH zur Entscheidung vorgelegt:

1. Ist Art. 2 Buchstabe a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Abl. EG 1995, L 281/31) Datenschutz-Richtlinie - dahin auszulegen, dass eine Internetprotokoll-Adresse (IP-Adresse), die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn ein Dritter (hier: Zugangsanbieter) über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt?

2. Steht Art. 7 Buchstabe f der Datenschutz-Richtlinie einer Vorschrift des nationalen Rechts entgegen, wonach der Diensteanbieter personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben und verwenden darf, soweit dies erforderlich ist, um die konkrete Inanspruchnahme des Telemediums durch den jeweiligen Nutzer zu ermöglichen und abzurechnen, und wonach der Zweck, die generelle Funktionsfähigkeit des Telemediums zu gewährleisten, die Verwendung nicht über das Ende des jeweiligen Nutzungsvorgangs hinaus rechtfertigen kann?

Schlussanträge des Generalanwalts

Bereits am 12.05.2016 hatte der zuständige Generalanwalt Campos Sánchez-Bordona seine Schlussanträge in dieser Sache vorgelegt. In seinem Gutachten kommt der Generalanwalt zu dem Ergebnis, dass Art. 2 Buchst. a der Richtlinie 95/46 dahin auszulegen ist, dass eine IP-Adresse, die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen ein personenbezogenes Datum darstellt, soweit ein Internetzugangsanbieter über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt.

Hinsichtlich der Speicherung der IP-Adresse ist der Generalanwalt der Ansicht, dass der Zweck, die Funktionsfähigkeit des Telemediums zu gewährleisten, grundsätzlich als ein berechtigtes Interesse anzusehen ist, dessen Verwirklichung die Verarbeitung dieses personenbezogenen Datums rechtfertigt, sofern ihm Vorrang gegenüber dem Interesse oder den Grundrechten der betroffenen Person zuerkannt worden ist. Die im deutschen § 15 Abs. 1 TMG enthaltenden Beschränkungen hält er für zu eng und damit für unvereinbar mit europäischem Datenschutzrecht.

Entscheidung des EuGH

Mit seinem heutigen Urteil antwortet der Gerichtshof zunächst, dass eine dynamische IP-Adresse, die von einem „Anbieter von Online-Mediendiensten“ (d. h. vom Betreiber einer Website, hier den Einrichtungen des Bundes) beim Zugriff auf seine allgemein zugängliche Website gespeichert wird, für den Betreiber ein personenbezogenes Datum darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, den Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen.

Die Einschränkung der Nutzung ausschließlich zu Abrechnungszwecken in § 15 Abs. 1 TMG hält der EuGH dagegen für zu restriktiv. Die Verarbeitung personenbezogener Daten ist nach dem Unionsrecht u. a. rechtmäßig, wenn sie zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, erforderlich ist, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Webseitenbetreiber haben ein berechtigtes Interesse daran die Aufrechterhaltung der Funktionsfähigkeit über ihre konkrete Nutzung hinaus zu gewährleisten. Dieser Zweck, die generelle Funktionsfähigkeit des Online-Mediums zu gewährleisten, kann daher Gegenstand einer Abwägung mit dem Interesse oder den Grundrechten und Grundfreiheiten der Nutzer sein.

Fazit:

Der EuGH hat die Beantwortung der Frage zum Personenbezog dynamischer IP-Adressen einmal mehr von dem zur Verfügung stehenden Zusatzwissen abhängig gemacht. Dies ist dahingehend zu verstehen, dass ein in jedem Falle absolutes Verständnis dieses Begriffs nicht gegeben ist, wenngleich die angelegten Hürden eher niedrig angesetzt sind.Wichtig für Webseitenbetreiber ist nun, dass sie die in ihren Log-Files protokollierten Zugriffdaten zum Zwecke der Gefahrenabwehr speichern dürfen. Der EuGH gibt dieser Praxis damit eine Grundlage. Hier ist nun der deutsche Gesetzgeber gefordert, die entsprechende Regelung im TMG anzupassen.

Die ausführlichen Entscheidungsgründe werden in den nächsten Tagen veröffentlicht. Die Pressemitteilung des EuGH vom heutigen Tage können Sie hier abrufen.