Nach einer aktuellen Entscheidung des Europäischen Gerichtshofs (EuGH) stellen "dynamische IP-Adressen" ein personenbezogenes Datum dar. Die jahrelang geführte Diskussion über die Anwendbarkeit des (deutschen) Datenschutzrechts auf dynamische IP-Adressen ist damit beendet.
Foto: Olivier Le Moal - shutterstock.com
Worum ging es in dem Verfahren?
Der Fall wirkt zunächst wenig einschüchternd. Er dürfte in seiner Tragweite aber erhebliche Auswirkungen auf das Marktverhalten vieler Webseitenbetreiber haben. Denn die Speicherung von IP-Adressen ist vielerorts Standardprozedere beim Webseitenbesuch von Internetnutzern. So haben auch viele Webseiten von Einrichtungen des Bundes die IP-Adressen ihrer Besucher bislang ausnahmslos gespeichert. Die öffentliche Hand rechtfertigt das mit Anforderungen an die IT-Sicherheit ihrer IT-Systeme. Die Speicherung der IP-Adressen sei zur Abwehr von Angriffen auf die Server der Behörden, insbesondere einer potenziellen strafrechtlichen Verfolgung von Hackern, erforderlich. "Falsch", sagt Patrick Breyer, schleswig-holsteinischer Landtagsabgeordneter der Piratenpartei. Er sieht in der Speicherung der IP-Adressen eine "unzulässige Überwachung" der Internetnutzer und klagte gegen die Behördenpraxis.
Nachdem das Verfahren zunächst bis zum Bundesgerichtshof (BGH) gelangte, legte dieser dem EuGH zwei Fragen zur Auslegung des Europäischem Datenschutzrechts vor. Der BGH wollte vom EuGH wissen, ob
eine dynamische IP-Adresse ein personenbezogenes Datum darstellt und damit den strengen Vorgaben an eine datenschutzkonforme Verarbeitung unterliegt und
inwieweit eine Verarbeitung von IP-Adressen unter dieser Prämisse nach den Vorgaben des deutschen Telemediengesetzes (TMG) zulässig ist.
Mit seinem Urteil vom 19. Oktober 2016 (Az. C-582/14) hat der EuGH klargestellt, dass es sich bei dynamischen IP-Adressen um personenbezogene Daten handelt. Der somit einschlägige § 15 TMG, der eine Verarbeitung personenbezogener Daten durch einen Webseitenbetreiber nur unter strengen Vorgaben zulässt, sei allerdings zu restriktiv.
Unter Auslegung des europäischen Datenschutzrechts müsse eine Speicherung von dynamischen IP-Adressen durch einen Webseitenbetreiber auch zulässig sein, wenn dies aufgrund eines berechtigten Interesses des Webseitenbetreibers erforderlich sei. Das kann beispielsweise bei der Abwehr von Cyberattacken der Fall sein. Eine solche Möglichkeit sieht § 15 TMG bislang aber nicht vor.
- Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten. - "Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen. - "Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher). - Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden. - Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können. - Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen. - Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben. - Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden. - Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben. - Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes. - Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen. - Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen. - Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)
IP-Adressen und der Datenschutz: Wo liegt das Problem?
Internetnutzer hinterlassen Spuren. Beim Surfen wird die Internetprotokoll-Adresse (kurz: IP-Adresse) des benutzten PCs, Tablets oder Smartphones an den Server des Webseitenbetreibers übermittelt, dessen Webseite aufgerufen wird. Viele Webseitenbetreiber beziehungsweise Hostingdienstleister, bei denen die Webseite betrieben wird, speichern die IP-Adresse in den zugrundeliegenden Protokolldaten. Dabei handelt es sich meist um dynamische IP-Adressen. Das sind IP-Adressen, die vom jeweiligen IT-Provider nur für einen beschränkten Zeitraum einem bestimmten Gerät zugeordnet werden. Das ermöglicht IT-Provider mehr Flexibilität in der Vergabe von IP-Adressen an seine Kunden.
Lange Zeit war umstritten, ob solche dynamischen IP-Adressen personenbezogene Daten im Sinne von § 3 Absatz 1 Bundesdatenschutzgesetz (BDSG) darstellen und damit unter das strenge (deutsche) Datenschutzregime fallen. Personenbezogene Daten sind "Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person". Über die Frage, wann eine Person aufgrund eines bestimmten Datums "bestimmbar" ist, herrschte zwischen Datenschutzaufsichtsbehörden und Unternehmen Uneinigkeit.
Für dynamische IP-Adressen war dies in besonderem Maße streitbar. Denn Webseitenbetreiber können die hinter dynamischen IP-Adressen stehenden Nutzer in aller Regel nicht selbst identifizieren. Dazu sind weitere Informationen der Internetzugangsprovider, wie beispielsweise der Telekom, erforderlich.
Der EuGH hat nun abschließend entschieden, dass es sich bei dynamischen IP-Adressen dennoch um personenbezogene Daten handelt. Dazu hat er sich eingehender mit der Frage auseinandergesetzt, welche Möglichkeiten Webseitenbetreiber haben, um eine dynamische IP-Adresse einer bestimmten Person zuzuordnen - es sich also um ein "bestimmbares" Datum handelt. Nach dem EuGH solle hierfür ausreichen, wenn ein Webseitenbetreiber über "rechtliche Mittel" verfüge, die vernünftigerweise eingesetzt werden könnten, um mit Hilfe Dritter die betreffende Person hinter der dynamischen IP-Adresse bestimmen zu lassen. Das sei in Deutschland laut EuGH möglich. Denn es bestehe die rechtliche Möglichkeit des Webseitenbetreibers, insbesondere im Fall von Cyberattacken, sich an die zuständigen Behörden zu wenden, um die fraglichen Informationen vom Internetzugangsprovider zu erlangen - beispielsweise um eine Strafverfolgung einzuleiten).