EuGH lockert Verbot von IP-Adress-Speicherung

  • Allgemein
  • EuGH lockert Verbot von IP-Adress-Speicherung

    Der Europäische Gerichtshof hält dynamisch vergebene IP-Adressen unter Umständen für personenbezogene Daten. Dennoch sei das strenge Verbot der IP-Adressen-Speicherung durch Website-Betreiber mit EU Recht unvereinbar.

    Der Europäische Gerichtshof (EuGH) hält dynamisch vergebene IP-Adressen für "personenbezogene Daten" im Sinne des Datenschutzrechts – aber nur unter bestimmten Voraussetzungen. Dies teilte das oberste europäische Gericht am heutigen Mittwoch mit. Zu dem lange erwarteten Urteil in der Sache "Patrick Breyer vs. Bundesrepublik Deutschland" (Az. C 582/14) liegt bislang allerdings nur die Pressemitteilung vor. Der Volltext des Urteils dürfte im Laufe des Tages folgen.

    Dynamisch vergebene IP-Adressen seien nur dann personenbezogen, wenn der sie speichernde Website-Betreiber "über rechtliche Mittel verfügt, die es ihm erlauben, den betreffenden Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen". Im Klartext: Nur falls der Betreiber – etwa im Fall eines Angriffs auf die Website – vom vergebenden Zugangsprovider Name und Anschrift des Adressinhabers erhalten kann, sind die Adressen auch personenbezogen. Dazu bestünden "in Deutschland offenbar rechtliche Möglichkeiten", erklärte der EuGH.

    Das Gericht dürfte darauf abheben, dass Betreiber eine Strafanzeige stellen können und damit Strafverfolgungsbehörden dazu bringen, die Daten zu ermitteln. Über die Akteneinsicht in dieses Verfahren könnten sie an die Informationen gelangen. Da diese Möglichkeit jedem Betreiber grundsätzlich offensteht, könnte die EuGH-Entscheidung in der Weise ausgelegt werden, dass damit alle dynamisch vergebenen IP-Adressen darunter fallen. Dies ist aber noch unklar. Es bleibt abzuwarten, ob der Urteilsvolltext Klärung bringt.

    Deutsches Datenschutzrecht ungültig

    In seinem Urteil stellte der EuGH außerdem fest, dass Paragraf 15 Absatz 1 des deutschen Telemediengesetzes (TMG) gegen EU-Recht verstößt. Diesem Absatz zufolge dürfen Website-Betreiber IP-Adressen ihrer Besucher nur speichern, wenn sie für die Nutzung oder Abrechnung erforderlich sind. Diese in Deutschland gängige Praxis stehe der EU-Datenschutzrichtlinie aus dem Jahr 1995 entgegen.

    Die Verarbeitung personenbezogener Daten sei rechtmäßig, "wenn sie zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, erforderlich ist, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen". Diese Abwägung fehle im TMG. Konkret dürfte das heißen, dass es Website-Betreibern durchaus erlaubt sein könnte, etwa zu Systemsicherungszwecken IP-Adressen zu speichern.

    Lang schwelender Rechtsstreit

    Im konkreten Fall geht es um eine gerichtliche Auseinandersetzung des Schleswig-Holsteinischen Piraten-Abgeordneten Patrick Breyer mit der Bundesrepublik Deutschland. Dieser Rechtsstreit schwelt bereits seit 2007. Breyer möchte, dass alles Websites des Bundes aufhören, IP-Adressen der Besucher ohne Einwilligung drei Monate lang zu speichern und damit Tracking zu ermöglichen. Letztlich geht es dem Datenschützer um ein generelles Verbot von IP-Logging ohne konkrete Einwilligung.

    Die Bundesregierung argumentiert, die Speicherung sei nötig, um den sicheren Betrieb der Webserver zu ermöglichen, also gegebenenfalls Angriffe abzuwehren und Angreifer zu identifizieren. Sie insistiert, dass sie ohne Hilfe von Zugangsanbietern bei dynamisch vergebenen IP-Adressen keine Möglichkeit habe, Besucher anhand ihrer IP-Adresse zu identifizieren. Dies sei ihr ohnehin verboten. Die gespeicherten IP-Adressen seien deshalb keine personenbezogenen Daten im Sinne des Bundesdatenschutzgestzes (BDSG), sondern lediglich von Dritten personenbeziehbar.

    Möglicher Missbrauch

    Breyer genügt das nicht. Seiner Argumentation zufolge sind "nur gelöschte Surfprotokolle wirklich wirksam vor Zuordnung und Missbrauch geschützt". Die IP-Adress-Speicherung sei de facto eine dreimonatige Vorratsdatenspeicherung und ermögliche Nutzer-Tracking ohne Einwilligung. Der Bund verstoße gegen das Recht auf informationelle Selbstbestimmung der Website-Besucher sowie gegen Paragraf 12 TMG.

    Zuletzt hatte das Landgericht (LG) Berlin in der Sache Anfang 2013 als Berufungsinstanz entschieden. Demnach ist die Speicherung nur untersagt, falls der Website-Betreiber selbst von den IP-Adressen auf die Besucher schließen kann (Az. 57 S 87/08). Solange der Nutzer also keine "Personalien, auch in Form einer die Personalien ausweisenden E-Mail-Anschrift" angebe, sei die Speicherung zulässig. Sowohl Breyer als auch die Bundesregierung haben gegen dieses Urteil Revision eingelegt, sodass sich nun der Bundesgerichtshof (BGH) mit der Frage befasst.

    EuGH befragt

    Im Oktober 2014 hat der BGH per Beschluss den EuGH um Klärung gebeten, inwieweit IP-Adressen nach europäischem Datenschutzrecht personenbezogen sind. Außerdem möchte das oberste deutsche Gericht wissen, ob die europäische Datenschutzrichtlinie im Einklang mit dem deutschen Datenschutzrecht steht, wonach eine Speicherung von IP-Adressen über den Nutzungszeitraum der Website hinaus zu Systemsicherungszecken nicht zulässig ist.

    Im Mai hatte dazu bereits der Generalanwalt Manuel Campos Sánchez-Bordona für den Europäischen Gerichtshof (EuGH) Stellung bezogen. Er hält es für erforderlich, Daten auch bereits dann zu schützen, wenn ein Dritter in der Lage wäre, den Bezug der Daten zu einer Person herzustellen. Es sei aber nicht jedes Wissen eines hypothetischen, unbekannten und unerreichbaren Dritten relevant. Aber zu beachten sei eben doch zumindest das Wissen auch solcher Akteure, die "vernünftigerweise durchführbar oder praktikabel" die Zusatzinformationen zum Personenzug liefern könnten.

    [Update 19.10.16, 14:00 Uhr]

    Der EuGH hat das Urteil nunmehr veröffentlicht. Darin bestätigt das Gericht, dass es nur von einem "relativen" Personenbezug von dynamisch vergebenen IP-Adressen ausgeht. Website-Betreiber haben demnach lediglich unter Zurhilfenahme von Zugangs-Providern die Möglichkeit, ihre Nutzer anhand der IP-Adressen zu bestimmen.

    Der BGH habe in seiner Vorlageentscheidung zwar darauf hingewiesen, dass das deutsche Recht es Zugangsanbietern nicht erlaube, dem Website-Betreiber die zur Identifizierung der betreffenden Person erforderlichen Zusatzinformationen "direkt zu übermitteln". Doch gebe es demnach offenbar für Website-Betreiber rechtliche Möglichkeiten, die es ihm erlauben, sich insbesondere im Fall von Cyberattacken an die zuständige Behörde zu wenden, um die fraglichen Informationen vom Internetzugangsanbieter zu erlangen und die Strafverfolgung einzuleiten. Ob dies so sei, habe der BGH noch zu prüfen.

    Breyer enttäucht
    In einer ersten Stellungnahme räumt der Kläger Patrick Breyer ein, seine Ziele verfehlt zu haben: "Zwar konnte ich den jahrelangen Streit darüber, ob Surfprotokolle mit IP-Adressen dem Datenschutz unterliegen, für mich entscheiden. Gleichzeitig hat der Gerichtshof aber das Verbot einer massenhaften Surfprotokollierung, das im deutschen Telemediengesetz festgelegt war, gekippt. Ob das EU-Recht Anbietern eine massenhafte Aufzeichnung unseres Internet-Nutzungsverhaltens gestattet und wenn ja, wie lange, lässt der Gerichtshof offen und unentschieden."

    Breyer befürchtet nun neue Rechtsunsicherheiten: "Die geforderte Interessensabwägung dürfte die Gerichte noch lange beschäftigen." Er betont, dass seiner Ansicht nach die Speicherung von IP-Adressen zum sicheren Betrieb einer Websites nich nötig sei – anders als vom Bund behauptet. Ein Gerichtsgutachten belege das. "Internet-Systeme durch Nutzerüberwachung schützen zu wollen wäre so sinnlos wie über eine offene Lagerhalle eine Videokamera zu hängen", sagte Breyer.


    Quelle: EuGH lockert Verbot von IP-Adress-Speicherung | heise online

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Y1E3C9Ax ()

  • BGH bestätigt: Dynamische IP-Adressen sind personenbezogene Daten

    Nach einem Urteil des Bundesgerichtshofs vom heutigen Dienstag sind dynamisch vergebene IP-Adressen personenbezogen. Unter Umständen dürfen sie dennoch von Website-Betreibern gespeichert werden.

    Der Bundesgerichtshof (BGH) hält dynamische IP-Adressen von Website-Besuchern für datenschutzrechtlich geschützte personenbezogene Daten. Dies stellt das höchste deutsche Gericht in einem heute gesprochenen Urteil klar. Es folgt damit einem im Oktober 2016 ergangenen Urteil des Europäischen Gerichtshofs (EuGH) in derselben Sache.

    In dem Fall geht es um eine gerichtliche Auseinandersetzung des Piraten-Politikers Patrick Breyer gegen die Bundesrepublik Deutschland. Breyer möchte, dass die Websites des Bundes aufhören, IP-Adressen der Besucher ohne Einwilligung drei Monate lang zu speichern und damit Tracking zu ermöglichen. Letztlich geht es dem Datenschützer um ein generelles Verbot von IP-Logging ohne konkrete Einwilligung.

    Die Bundesregierung argumentiert, die Speicherung sei nötig, um den sicheren Betrieb der Webserver zu ermöglichen, also gegebenenfalls Angriffe abzuwehren und Angreifer zu identifizieren. Sie insistiert, dass sie ohne Hilfe von Zugangsanbietern bei dynamisch vergebenen IP-Adressen keine Möglichkeit habe, Besucher anhand ihrer IP-Adresse zu identifizieren.

    Abwägung erforderlich
    Nachdem das Landgericht (LG) Berlin Anfang 2013 als Berufungsinstanz die Speicherung nur untersagt hatte, falls der Website-Betreiber selbst von den IP-Adressen auf die Besucher schließen kann, hatten sowohl Breyer als auch die Bundesregierung Revision am BGH eingelegt. Dieser bat den EuGH um Klärung einiger Rechtsfragen.

    Der BGH beruft sich in seinem heutigen Urteil auf den EuGH und bestätigt Breyer, dass eine dynamische IP-Adresse "als personenbezogenes Datum nur unter den Voraussetzungen des Paragrafen 15 Abs. 1 Telemediengesetz (TMG) gespeichert werden" dürfen. Der EuGH habe bestätigt, dass die Speicherung nur europarechtskonform sei, wenn sie erfolgt, "um die generelle Funktionsfähigkeit der Dienste zu gewährleisten" – also beispielsweise, um Angriffe effektiv abzuwehren. Dabei bedürfe es allerdings "einer Abwägung mit dem Interesse und den Grundrechten und -freiheiten der Nutzer".

    "Keine hinreichenden Feststellungen"
    An dieser Stelle kommt das LG Berlin als Berufungsgericht ins Spiel: Der BGH erläutert in seinem Urteil, er habe diese notwendige Abwägung "im Streitfall auf der Grundlage der vom Berufungsgericht getroffenen Feststellungen nicht abschließend" vornehmen können, weil das LG Berlin "keine hinreichenden Feststellungen dazu getroffen" habe, ob die Speicherung der IP-Adressen des Klägers über das Ende eines Nutzungsvorgangs hinaus erforderlich ist, um die generelle Funktionsfähigkeit der jeweils in Anspruch genommenen Dienste zu gewährleisten.

    Diese Kritik ist wohl als Aufforderung zur gründlichen Nacharbeit zu verstehen. Dem BGH – der selbst keine Feststellungen treffen darf – fehlt eine Einschätzung des Gefahrenpotenzials von Angriffen: "Dabei werden auch die Gesichtspunkte der Generalprävention und der Strafverfolgung gebührend zu berücksichtigen sein", stellte der BGH in einer Pressemitteilung klar. Die Begründung liegt noch nicht im Volltext vor. Der Fall muss nun am LG Berlin neu verhandelt werden. (Az. VI ZR 135/13).

    Kläger zufrieden
    In einer ersten Stellungnahme zeigte sich Kläger Breyer zufrieden: "Ich freue mich, dass der Bundesgerichtshof die Erforderlichkeit der verdachtslosen und flächendeckenden Protokollierung unseres Surfverhaltens hinterfragt und dass er die Betreiberwünsche gegen die Grundrechte der Internetnutzer auf Informations- und Meinungsfreiheit abwägen will."

    Er verstehe allerdings nicht, "warum die bisherigen Erkenntnisse für eine endgültige Entscheidung nicht ausgereicht haben sollen" Ein Sachverständigengutachten habe bereits ergeben, "dass – unabhängig vom 'Angriffsdruck' – für die Absicherung von IT-Systemen eine Vielzahl von anderen, wesentlich effektiveren Mitteln und Methoden existieren."


    Quelle: BGH bestätigt: Dynamische IP-Adressen sind personenbezogene Daten | heise online