Veröffentlicht am Kategorien News, Politik, Praxis, Praxis - Für Betroffene, Praxis - Verarbeitende Stellen, Recht, UrteileTags , , , , , , , , , , , , , ,

Datenschutz und IP-Adressen: EuGH kippt deutsches Verbot der Surf-Protokollierung

IITR Information[IITR – 19.10.16] Dürfen Website-Betreiber IP-Adressen von Nutzern speichern, um im Falle einer Cyberattacke eine Strafverfolgung zu ermöglichen? Das Bundesinnenministerium hält die Speicherung im Falle seiner Website für legitim, das Bundesjustizministerium und die Bundesdatenschutzbeauftragte nicht. Der schleswig-holsteinische Landtagsabgeordnete Patrick Breyer (Piraten) klagte dagegen erstmals 2007. Nach einem Ritt durch die Instanzen entschied heute der Europäische Gerichtshof.

Dabei urteilte der EuGH über zwei Fragen: Zum einen hält er dynamische IP-Adressen für „personenbezogene Daten“ im Sinne des Datenschutzrechts, wenn der Website-Betreiber „über rechtliche Mittel verfügt, die es ihm erlauben, den Nutzer (anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt) [darüber] bestimmen zu lassen.“ Diese rechtlichen Möglichkeiten seien in Deutschland gegeben. Der Hamburgische Datenschutzbeauftragte Johannes Caspar begrüßt diese Entscheidung: „Das Urteil bringt Klarheit in Bezug auf den Personenbezug bezüglich der IP-Adressen.“

Zum anderen kippte der Europäische Gerichtshof die Regelung des deutschen Telemediengesetzes in § 15 Abs. 1, wonach Website-Betreiber IP-Adressen bisher nur zum Zwecke der Nutzung oder der Abrechnung speichern dürfen. Der Europäische Gerichtshof vermisst im deutschen Recht eine explizite Interessenabwägung zwischen den „berechtigten Interessen“ der Betreiber und den Grundrechten der Betroffenen. Er selbst nimmt sie nicht vor, hält sie aber für möglich. So sagt er, dass Anbieter von Online-Mediendiensten „ein berechtigtes Interesse daran haben könnten, die Aufrechterhaltung der Funktionsfähigkeit der von ihnen allgemein zugänglich gemachten Websites über ihre konkrete Nutzung hinaus zu gewährleisten“.

Eine Interessenabwägung könnte darin bestehen, dass eine Speicherung der IP-Adressen nur im Falle eines Angriffs für einige Tage erlaubt wird, also anlassbezogen. Sie könnte aber auch die Verwendung von Datenschutztechniken bei der Speicherung und Auswertung der IP-Adressen in Rechnung stellen und eine großzügigere Speicherung erlauben. Patrick Breyer sieht daher im EuGH lediglich eine „Vorentscheidung“ und hofft, dass weitere Verfahren vor dem Bundesgerichtshof oder vor dem Bundesverfassungsgericht die Surfprotokollierung noch stoppen werden. „Im Ergebnis hat der Rechtsstreit für die Website-Betreiber keine Rechtssicherheit herbeigeführt“ stellt Johannes Caspar fest.

Breyer hält den Fall für „1:1 unentschieden“: „Ein Tor ging an mich, weil anerkannt wurde, dass dynamische IP-Adressen personenbezogen sind. Das Gegentor ging an die Bundesregierung, weil die Regelung des Telemediengesetzes gekippt wurde, welche die Protokollierung von IP-Adressen zur Abwehr von Cyberattacken verbietet.“ Breyer betont, dass der EuGH selbst nicht darüber entschieden hat, wie die von ihm verlangte Interessenabwägung aussehen soll. Deshalb müsse die EU-Kommission nun eine Regelung erarbeiten.

Die erste Resonanz auf das Urteil zeigt, dass es Interpretationen in verschiedenen Nuancen zulässt: Rechtsanwalt Niko Härting beispielsweise betont in einem Tweet, dass die IP-Adresse „nicht per se personenbezogen“ sei und dass „berechtigte Interessen“ die Verarbeitung legitimieren. Der grüne Europaabgeordnete Jan Philipp Albrecht hingegen interpretiert den EuGH dahingehend, dass IP-Adressen „immer personenbezogene Daten sind, solange es Rechtsmittel gibt, die eine Verknüpfung zu einer einzelnen Person ermöglichen“. Max Schrems hingegen liest das Konzept der österreichischen Datenschutzaufsicht in dem Urteil heraus, wonach es „indirekt personenbezogene Daten“ gibt. In der Praxis wird es zunächst darauf ankommen, wie die Aufsichtsbehörden das Urteil interpretieren – wobei sie in der Vergangenheit zu unterschiedlichen Schlussfolgerungen kamen.

Weiterführende Informationen:

Autorin:
Christiane Schulzki-Haddouti

Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-1891 7360
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.