Der Betreiber einer Website kann ein berechtigtes Interesse daran haben, IP-Adressen der Nutzer zu speichern, um sich gegen Cyberattacken zu verteidigen. Mit einem Urteil vom 19. Oktober 2016 entschied der EuGH damit einen lange schwelenden Rechtsstreit – und schaffte zugleich Potential für mehr Streit.
Die datenschutzrechtliche Behandlung von IP-Adressen ist schon seit Jahren streitig. Im Mittelpunkt steht dabei die Frage, ob es sich bei dynamischen IP-Adressen um personenbezogene Daten handelt. Die Internetprovider weisen ihren Kunden für jede Verbindung mit dem Internet regelmäßig für einen begrenzten Zeitraum solche dynamischen IP-Adressen zu, die sich bei späteren Verbindungen ändern; gleichzeitig speichern sie die Information, welche IP-Adresse sie zum jeweiligen Zeitpunkt einem bestimmten Gerät zugewiesen hatten. Auch die Betreiber von Webangeboten speichern in der Regel und theoretisch für einen unbegrenzten Zeitraum, welche Seiten wann und von welcher dynamischen IP-Adresse aus aufgerufen wurden. Eine solche dynamische IP-Adresse reicht für sich allein nicht aus, damit der Diensteanbieter den Nutzer einer Internetseite identifizieren kann; dies kann er jedoch, wenn er die dynamische IP-Adresse mit anderen zusätzlichen Daten verbindet, über die der Internetprovider verfügt. Patrick Breyer, Mitglied der Piratenpartei, störte sich nun daran, dass zahlreiche öffentliche Einrichtungen beim Aufruf einer Webseite unter anderem die IP-Adressen speichern und erhob Klage gegen die Bundesrepublik Deutschland, in der er von dieser verlangte, es zu unterlassen, die IP-Adresse des zugreifenden Hostsystems zu speichern oder durch Dritte speichern zu lassen, soweit die Speicherung nicht im Störungsfall zur Wiederherstellung der Verfügbarkeit des Telemediums erforderlich ist.
Diese Klage landete vor dem Bundesgerichtshof, der sich seinerseits mit zwei Vorlagefragen an den EuGH wandte (Rechtssache C 582/14). Die erste Frage war, ob eine IP-Adresse, die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn ein Dritter über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt, so dass sie den für solche Daten vorgesehenen Schutz genießen. Der Bundesgerichtshof wollte weiter wissen, ob der Betreiber einer Website zumindest grundsätzlich die Möglichkeit haben muss, personenbezogene Daten der Nutzer zu erheben und zu verwenden, um die generelle Funktionsfähigkeit seiner Website zu gewährleisten. Der BGH wies dabei darauf hin, dass die einschlägige deutsche Regelung des § 15 Telemediengesetz von der deutschen Lehre überwiegend dahin ausgelegt werde, dass die Daten am Ende des jeweiligen Nutzungsvorgangs zu löschen seien, soweit sie nicht für Abrechnungszwecke benötigt würden.
Die erste Frage hat der EuGH mit der Maßgabe bejaht, dass eine dynamische Internetprotokoll-Adresse ein personenbezogenes Datum darstellt, wenn der Anbieter von Online-Mediendiensten über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen. Dafür reicht es bereits aus, wenn er sich im Fall von Cyberattacken an die zuständige Behörde wenden kann, um die fraglichen Informationen vom Internetzugangsanbieter zu erlangen und die Strafverfolgung einzuleiten; in Betracht kommt insbesondere ein Akteneinsichtsgesuch. Der Anbieter von Online-Mediendiensten verfügt somit über Mittel, die vernünftigerweise eingesetzt werden könnten, um mit Hilfe Dritter die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen. Es genügt also, mehrfach »über Bande« zu spielen, mit Staatsanwaltschaft, Provider und Akteneinsicht, wie es Rechtsanwalt Matthias Bergt kommentierte. Zur zweiten Frage gab der EuGH an, dass die Verarbeitung personenbezogener Daten unter anderem rechtmäßig ist, wenn sie zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, erforderlich ist, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Die deutsche Regelung schränkt nach ihrer in der Lehre überwiegend vertretenen Auslegung die Tragweite dieses Grundsatzes ein, indem sie es ausschließt, dass der Zweck, die generelle Funktionsfähigkeit des Online-Mediums zu gewährleisten, Gegenstand einer Abwägung mit dem Interesse oder den Grundrechten und Grundfreiheiten der Nutzer sein kann. Mit anderen Worten: Website-Betreibern könnte es durchaus erlaubt sein, IP-Adressen – aufgrund besonderer Umstände des Einzelfalls – beispielsweise zu Systemsicherungszwecken zu speichern.
Breyer zeigte sich enttäuscht:
Zwar konnte ich den jahrelangen Streit darüber, ob Surfprotokolle mit IP-Adressen dem Datenschutz unterliegen, für mich entscheiden. Gleichzeitig hat der Gerichtshof aber das Verbot einer massenhaften Surfprotokollierung, das im deutschen Telemediengesetz festgelegt war, gekippt. Ob das EU-Recht Anbietern eine massenhafte Aufzeichnung unseres Internet-Nutzungsverhaltens gestattet und wenn ja, wie lange, lässt der Gerichtshof offen und unentschieden.
Zudem befürchtet er neue Rechtsunsicherheit: »Die geforderte Interessensabwägung dürfte die Gerichte noch lange beschäftigen.«