EuGH-Urteil zu IP-Adressen

Webseitenbetreiber sind in der Pflicht

25.10.2016
Von    und Christoph Maiworm
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.

Was heißt das nun für die Speicherung von IP-Adressen?

Da der EuGH dynamische IP-Adressen als personenbezogene Daten einordnet, dürfen diese nur noch erhoben und verarbeitet werden, wenn das Gesetz dies eindeutig vorsieht (sogenannter Rechtfertigungsgrund) oder der Internetnutzer hierin eindeutig eingewilligt hat. Das bestimmt § 4 Absatz 1 BDSG. Juristen sprechen vom sogenannten "Verbot mit Erlaubnisvorbehalt".

In diesem Zusammenhang entscheidend ist § 15 TMG. Die Speicherung der dynamischen IP-Adresse von Internetnutzern ist danach - zusammengefasst - nur zulässig, wenn dies für die Nutzung der Webseite oder zu Zwecken der Abrechnung erforderlich ist. Dann wäre die Speicherung von dynamischen IP-Adressen aber per se unzulässig. Denn bei den meisten Webseiten dürfte diese weder für die Nutzung der Webseite noch für Abrechnungszwecken erforderlich sein.

Der EuGH hat entschieden, dass dieses Ausnahmeverhältnis zu restriktiv ist. Denn die für das TMG maßgebliche Regelung der übergeordneten Europäischen Datenschutzrichtlinie 95/46 (konkret: Art. 7 Buchstabe f) sieht einen weitergehenden Spielraum für die Speicherung von IP-Adressen vor. Danach ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie zur Verwirklichung des berechtigten Interesses erforderlich ist, das von dem für die Verarbeitung Verantwortlichen oder von dem beziehungsweise dem Dritten wahrgenommen wird, denen die Daten übermittelt werden - sofern nicht das Interesse oder die Grundfreiheiten der betroffenen Person überwiegen. Ein berechtigtes Interesse kann dann auch die "Aufrechterhaltung der Funktionsfähigkeit" der Webseite -beispielsweise gegen Cyberattacken - sein.

Da § 15 TMG eine solche Abwägung nicht vorsieht, sondern die Speicherung von personenbezogenen Daten, wie der dynamischen IP-Adressen, auf technische Notwendigkeiten reduziert, ist die bestehende Regelung nach der Entscheidung des EuGH mit der Europäischen Datenschutzrichtlinie 95/46 nicht vereinbar. Die Bestimmung ist europarechtskonform auszulegen.

Wie geht es weiter?

Das EuGH-Urteil trifft generalistische Aussagen zum Umgang mit dynamischen IP-Adressen. Da es sich um ein Urteil in einem Vorabentscheidungsersuchen handelt, wird das Verfahren nun an den BGH zurückverwiesen. Dieser muss zeitnah unter Berücksichtigung der dargestellten Entscheidungsgründe des EuGH im Einzelfall entscheiden.

Nach den Entscheidungsgründen des EuGH ist aber schon klar: Behörden und Unternehmen werden gehalten sein, ihre Webseiten genau auf die Speicherung von (dynamischen) IP-Adressen hin zu untersuchen und unter Umständen die bestehende Praxis umzustellen. Denn die Speicherung von IP-Adressen wird trotz europarechtskonformer Auslegung von § 15 TMG ohne konkreten und berechtigten Anlass nicht (mehr) möglich sein. Kritisch zu hinterfragen ist auch der Einsatz von Trackingtools. Häufig werden hier nämlich IP-Adressen ohne Einwilligung (und ein berechtigtes Interesse) gespeichert und zu Marketingzwecken verwendet. Das kann nach dem Urteil des EuGH mit gesteigerten Risiken verbunden sein.