Dynamische IP-Adressen sind personenbezogene Daten

EuGH, Urteil vom 19. Oktober 2016 – C-582/14

Art. 2, 7 Datenschutz-Richtlinie 95/46/EG; § 15 TMG; § 3 BDSG 

Auch gespeicherte dynamische IP-Adres­sen können für den Website­betreiber personenbezogene Daten i. S. d. Art. 2a der RL 95/46/EG dar­stellen, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, den Nutzer anhand von Zusatzinformationen bestimmen zu lassen, über die regel­mäßig dessen Internetzugangsanbieter verfügt. Die Speicherung solch personenbezogener Adressen ist zulässig, wenn der Websitebetreiber ein berechtigtes Interesse hieran hat und legitime Interessen und Grundrechte der Nutzer einer Speicherung nicht überwiegen (Art. 7f RL 95/46/EG).

(Leitsätze des Bearbeiters)

Problempunkt: 

Der Kläger rief mehrere allgemein zugängliche Websites von Einrichtungen des Bundes ab. Auf diesen stellen die genannten Einrichtungen aktuelle Informationen bereit. Um Angriffe abzuwehren und die evtl. strafrechtliche Verfolgung zu ermöglichen, legt man bei den meisten dieser Websites alle Zugriffe in Protokolldateien ab. Gespeichert werden der Name der abgerufenen Seite bzw. Datei, in Suchfelder eingegebene Begriffe, der Zeitpunkt des Abrufs, die übertragene Datenmenge, die Meldung, ob der Abruf erfolgreich war, und die IP-Adresse des zugreifenden Computers. Das Bundesministerium für Justiz und Verbraucherschutz speichert die IP-Adressen aller­ Besucher seiner Website für einen Zeitraum von 14 Tagen.
Der Kläger verlangt, dass es der Bundesrepublik Deutschland untersagt wird, die dynamischen IP-Adressen zu speichern. Der Bund speichert neben dem Zeitpunkt des Zugriffs auf die Websites auch die IP-Adresse des Nutzers. Der BGH hatte im Rahmen dieses Rechtsstreits als Revisionsinstanz zu entscheiden, ob es sich bei dynamischen IP-Adressen überhaupt um „personenbezogene Daten“ handelt, die durch die Datenschutzgesetze besonders geschützt sind. Daran anschließend stellte sich die Frage, ob eine Verarbeitung personenbezogener Daten nur zu den in § 15 Abs. 1 TMG genannten Zwecken zulässig ist, d. h. Nutzung und Abrechnung von Onlinediensten, oder auch zu anderen darüber hinausgehenden Zwecken. Diese Fragen legte der BGH dem EuGH zur Vorabentscheidung nach Art. 267 AEUV vor (BGH, Beschl. v. 28.10.2014 – VI ZR 135/13, NJW 2015, S. 368).

Entscheidung: 

Der EuGH hatte bereits am 24.11.2011 (C-70/10 „Scarlet Extended“, MMR 2012, S. 174) festgestellt, dass es sich bei IP-Adressen um geschützte personenbezogene Daten handelt, da diese die genaue Identifizierung der Nutzer ermöglichen, jedenfalls wenn die Sammlung und Identifizierung der IP-Adressen der Internetnutzer von den Internetzugangsanbietern vorgenommen wird.
Vorliegend speichert die BRD IP-Adressen der Nutzer einer von ihr allgemein zugänglich gemachten Website, ohne über die zur Identifizierung dieser Nutzer erforderlichen Zusatzinformationen zu verfügen. Zudem handelt es sich um „dynamische“ IP-Adressen, d. h. vorüber­gehende Adressen, die bei jeder Internetverbindung zugewiesen und bei späteren Verbindungen ersetzt werden, und keine „statischen“ IP-Adressen, die unveränderlich sind und die dauer­hafte Identifizierung des an das Netz angeschlossenen Geräts ermöglichen. Der EuGH stellt in seiner­ aktuellen Entscheidung fest, dass eine dynamische IP-Adresse unstreitig keine Information darstellt, die sich auf eine „bestimmte natürliche Person“ bezieht, da sich aus ihr unmittelbar weder die Identität der natürlichen Person ergibt, der der Computer gehört, noch die Identität einer anderen Person, die diesen Computer benutzen könnte. Wenn der Anbieter von Online-Mediendiensten bzw. Websitebetreiber jedoch über Mittel verfügt, die vernünftigerweise eingesetzt werden könnten, um mit Hilfe Dritter, und zwar der zuständigen Behörde und dem Internetzugangsanbieter, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen, handelt es sich um Information über eine „bestimmbare natürliche Person“ i. S. d. Art. 2a RL 95/46/EG. Denn dann ist die Person indirekt – nämlich mit Hilfe Dritter – identifizierbar, was genügt. Es ist nicht erforderlich, dass sich alle zur Identifizierung der betreffenden Person erforderlichen Informationen in den Händen einer einzigen Person befinden.
Die Speicherung der folglich personenbezogenen­ dynamischen IP-Adressen ist nach dem EuGH zulässig, wenn der Websitebetreiber ein berechtigtes Interesse hieran hat und legitime Interessen­ und Grundrechte der Nutzer einer Speicherung nicht überwiegen (Art. 7f RL 95/46/EG). Art. 7 RL 95/46/EG sieht eine erschöpfende und abschließende Liste der Fälle vor, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann und die Mitgliedstaaten dürfen weder neue Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung personenbezogener Daten neben diesem Artikel einführen­ noch zusätzliche Bedingungen stellen, die die Tragweite eines der sechs darin vorgesehenen Grundsätze verändern würden (EuGH v. 24.11.2011 – C-468/10, C-469/10 „ASNEF“, NZA 2011, S. 1409). Websitebetreiber können durchaus ein überwiegendes Interesse an einer über den Nutzungszeitraum hinausgehenden Speicherung der IP-Adresse haben. Der EuGH verlangt stets eine Abwägung im Einzelfall. § 15 Abs. 1 TMG reduziert die nach der Richtlinie auf einer Interes­senabwägung fußende Rechtfertigung für die Speicherung personenbezogener Daten allein auf den Fall, dass die Datenverarbeitung zur Nutzung und Abrechnung des Telemediums technisch notwendig ist. Das ist nach dem EuGH zu restriktiv und mit der Richtlinie unvereinbar.

Konsequenzen: 

Der EuGH hat die rechtlich kontroverse und praktisch sehr bedeutsame Frage in Bezug auf dynamische IP-Adressen geklärt. Diese sind personenbezogene Daten i. S. d. § 3 Abs. 1 BDSG bzw. Art. 2a RL 95/46/EG, da der Websitebetreiber jedenfalls mit Hilfe Dritter – z. B. Internetzugangsanbieter, die ihren Nutzern die dynamischen IP-Adressen zuweisen oder Strafverfolgungsbehörden – den Nutzer bzw. Seitenbesucher identifizierbar machen kann. Es reicht aus, wenn der Websitebetreiber über „rechtliche Mittel“ verfügt, die ihm die Bestimmung der hinter der IP-Adresse stehenden Person grundsätzlich ermöglichen. Es kommt also nicht darauf an, ob die Zuordnung zu einer bestimmbaren Person im konkreten Fall wirklich erfolgt, sondern lediglich, ob die rechtlichen Mittel den Betreiber allgemein hierzu in die Lage versetzen. Dies bedeutet de facto ein weites Verständnis von personenbezogenen Daten. 
Weil nach dem Urteil des EuGH IP-Adressen personenbezogene Daten sind, gilt das datenschutzrechtliche Verbot mit Erlaubnisvorbehalt. IP-Adressen dürfen nur erhoben und verwendet werden, wenn es hierfür eine gesetzliche Erlaubnis (z. B. § 15 Abs. 1 TMG, Art. 7f RL 95/46/EG) oder eine Einwilligung des Betroffenen gibt (§ 4a BDSG; Art. 7a RL 95/46/EG).

Praxistipp: 

Internetzugangsanbietern nachfragen und diese – auch mit Blick auf die ab 25.5.2018 geltende EU-DSGVO – anweisen, IP-Adressen nicht anlasslos und unbegrenzt in Log-Dateien zu speichern. Relevant ist dies auch für die in der Praxis­ häufig vorkommende Auswertung und Nutzung von IP-Adressen zu statistischen und marketingbezogenen Zwecken. Nach dem EuGH-Urteil bedarf es hierfür einer datenschutzrechtlichen Erlaubnis. Da eine Einwilligung der Nutzer­ häufig nicht vorhanden ist, sind solche Datenflüsse mit erheblichen rechtlichen Risiken behaftet. Mit der EU-DSGVO werden die Sanktionen zudem verschärft.

RA Volker Stück, Aschaffenburg

AuA 2/18