IT-Recht

BGH erlaubt bedrohten Websites die Speicherung dynamischer IP-Adressen – in Grenzen

Webseiten-Betreiber dürfen grundsätzlich dynamische IP-Adressen ihrer Webseiten-Besucher auch über den jeweiligen Nutzungsvorgang hinaus speichern. Allerdings nur, wenn eine Abwägung zwischen dem Interesse an der Speicherung der Daten und den Grundrechten bzw. -freiheiten des Nutzers dafür spricht. Das hat der BGH im Einklang mit dem EuGH entschieden. In der Frage, ob auch der Bund zum Schutz vor Cyber-Angriffen die Daten eines Piratenpolitikers speichern durfte, muss aber jetzt wieder das Landgericht Berlin entscheiden.

dynamische IP-Adressen © foto_don - Fotolia.com

dynamische IP-Adressen © foto_don – Fotolia.com

Der Bundesgerichtshof (BGH) hat am 16. Mai 2017 entschieden, dass der Bund die dynamischen IP-Adressen seiner Webseiten-Besucher unter gewissen Umständen auch über den jeweiligen Nutzungsvorgang hinaus speichern darf. Und das, obwohl eine dynamische IP-Adresse als personenbezogenes Datum grundsätzlich schützenswert ist. Denn das Interesse am Schutz vor Cyber-Angriffen kann das Interesse des Nutzers am Schutz seiner personenbezogenen Daten überwiegen(Urteil vom 15. Mai 2017, Az. VI ZR 135/13).

Das Landgericht (LG) Berlin, an das der BGH den Fall zur Entscheidung zurückverwiesen hat, muss nun eine Interessenabwägung treffen zwischen dem Interesse des Bundes an der Speicherung der Daten und den Grundrechten bzw. -freiheiten des Nutzers. Für die Interessenabwägung hat der BGH dem LG einige Anhaltspunkte mit auf den Weg gegeben.

Worum ging es in dem Fall?

Dynamische IP-Adressen sind Ziffernfolgen, die bei jeder Einwahl vernetzten Computern zugewiesen werden. Erst durch diese Zuweisung ist die Kommunikation im Internet möglich. Der Betreiber einer Webseite muss die dynamische IP-Adresse während des Nutzungsvorgangs speichern, um dem Nutzer seine Seite anzeigen zu können. Allerdings ist dies nach Verlassen der Seite nicht mehr nötig.

Bei den meisten allgemein zugänglichen Internetportalen des Bundes wird unter anderem die IP-Adresse des zugreifenden Rechners über das Ende des jeweiligen Nutzungsvorgangs hinaus gespeichert. Alle Zugriffe werden in Protokolldateien festgehalten. Das erklärte Ziel ist es, Cyber-Angriffe abzuwehren und die strafrechtliche Verfolgung von Angreifern zu ermöglichen. Daher speichert der Bund auch den Namen der abgerufenen Seite und den Zeitpunkt des Abrufs.

Auch der Kläger im hiesigen Verfahren, Patrick Breyer, Landtagsabgeordneter in Schleswig-Holstein und seit April 2016 Fraktionsvorsitzender der Piratenfraktion, rief in der Vergangenheit verschiedene solcher Internetseiten auf. Mit seiner Klage verlangt er von der beklagten Bundesrepublik Deutschland Unterlassung der Speicherung der ihm zugewiesenen dynamischen IP-Adressen über das Ende des jeweiligen Nutzungsvorgangs hinaus. Breyer will damit erreichen, dass Webseiten des Bundes nicht länger IP-Adressen der Besucher ohne deren Einwilligung drei Monate lang aufbewahren und sie damit nachverfolgbar machen.

Das Amtsgericht hatte die Klage abgewiesen. Auf die Berufung des Piratenpolitikers hin hatte das Landgericht ihm immerhin insoweit einen Unterlassungsanspruch zuerkannt als dieser die Speicherung von IP-Adressen zu den Zeitpunkten betrifft, zu denen man auf der Webseite seine Personalien angibt. Gegen dieses Urteil hatten beide Parteien daraufhin Revision zum BGH eingelegt.

Der BGH hat mit Beschluss vom 28. Oktober 2014 (VI ZR 135/13) das Verfahren ausgesetzt und dem Gerichtshof der Europäischen Union (EuGH) zwei Fragen zur Auslegung der EG-Datenschutz-Richtlinie zur Vorabentscheidung vorgelegt.

EuGH: Dynamische IP-Adressen können personenbezogene Daten sein

Der BGH wollte vom EuGH zum einen wissen, ob Artikel 2a der EG-Datenschutz-Richtlinie so auszulegen ist, dass auch schon eine IP-Adresse ein personenbezogenes Datum darstellt. Das sei in den Fällen fraglich, in denen der Webseitennutzer während seines Besuchs keine Personalien hinterlasse. Zur Erläuterung: Nur, wenn die IP-Adresse ein personenbezogenes Datum ist, darf ihre Speicherung überhaupt aufgrund des Datenschutzrechts eingeschränkt werden. Personenbezogen sind im Europarecht nur solche Daten, die Rückschlüsse auf bestimmbare Personen zulassen.

Der EuGH beantwortete die Frage mit Urteil vom 19. Oktober 2016 (C-582/14) dahingehend, dass dynamische IP-Adressen personenbezogene Daten sein können und dann dem Datenschutzrecht unterliegen. Nämlich dann, wenn ein Webseitenbetreiber über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen.

EuGH lockert deutschen Datenschutz im Sinne der IT-Sicherheit

Zum anderen stellte der BGH die Frage, unter welchen Voraussetzungen die Verarbeitung bloßer Nutzungsdaten angesichts des restriktiven deutschen Telemediengesetzes (TMG) erlaubt ist. Als personenbezogenes Datum dürfen IP-Adressen nur unter den strengen Voraussetzungen des § 15 Abs. 1 TMG über den Nutzungsvorgang hinaus gespeichert werden – nämlich, wenn es zu Abrechnungszwecken erforderlich ist.

Diese konkrete Regelung erklärte der EuGH für zu eng und daher mit der europäischen Datenschutzrichtlinie unvereinbar. Denn die Verarbeitung personenbezogener Daten könne unter anderem dann rechtmäßig sein, wenn die berechtigten Interessen des Webseiten-Betreibers die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Daher müsse nach dieser Richtlinie eine entsprechende Interessenabwägung möglich sein. Dem EuGH zufolge kann so ein berechtigtes Interesse vorliegen, wenn Seitenbetreiber dynamische IP-Adressen ihrer Nutzer vorhalten wollen, um Cyber-Attacken abzuwehren.

Was der BGH entschieden hat…

Der BGH hat nun entschieden, dass die Revisionen der beiden Parteien Erfolg haben. Das Urteil des Landgerichts (LG) Berlin wurde aufgehoben. Die Richter der Berufungsinstanz müssen sich nun erneut mit der Angelegenheit befassen.

Zunächst entschieden die BGH-Richter, dass die dynamische IP-Adresse für den Bund ein personenbezogenes Datum ist. Denn dem Bund stehen rechtliche Mittel zur Verfügung, um den IP-Adressnutzer zu identifizieren – im Falle eines Angriffs kann der Bund mithilfe der Staatsanwaltschaft die Nutzer hinter der IP-Adresse identifizieren.

Außerdem hat der BGH entschieden, dass die Vorschrift des TMG, die vom EuGH als zu eng angesehen wurde, nun richtlinienkonform und im Einklang mit der EuGH-Rechtsprechung auszulegen sei. Ein Anbieter von Online-Mediendiensten dürfe danach personenbezogene Daten eines Nutzers dieser Dienste ohne dessen Einwilligung auch über das Ende eines Nutzungsvorgangs hinaus erheben und verwenden. Allerdings nur, soweit ihre Erhebung und ihre Verwendung erforderlich sind, um die generelle Funktionsfähigkeit der Dienste zu gewährleisten. Dabei bedürfe es allerdings einer Abwägung mit dem Interesse und den Grundrechten und -freiheiten der Nutzer.

…und was er nicht entschieden hat

Die Frage, ob die Speicherung im konkreten Fall rechtmäßig war, konnte der BGH hingegen nicht entscheiden. Denn das Landgericht habe damals keine hinreichenden Feststellungen dazu getroffen, ob die Speicherung der IP-Adressen erforderlich ist, um die (generelle) Funktionsfähigkeit der jeweils in Anspruch genommenen Dienste zu gewährleisten. Außerdem fehlten Feststellungen dazu, wie hoch das Gefahrenpotential bei den übrigen Online-Mediendiensten des Bundes ist, die der klagende Politiker in Anspruch nehmen will. Das Landgericht muss, nachdem es den Fall noch einmal aufgerollt hat, anschließend eine Abwägung zwischen den Interessen von Webseitenbetreibern auf der einen und den Grundrechten von Betroffenen vornehmen.

Dabei hat der BGH den Richtern allerdings einige Anhaltspunkte für die Abwägung mit auf den Weg gegeben. So müsse auf Seiten des Bundes das Gefahrenpotenzial und der „Angriffsdruck“ berücksichtigt werden. Außerdem seien Gesichtspunkte der Generalprävention und der Strafverfolgung zu berücksichtigen.

Der Kläger Breyer jedenfalls hält eine Speicherung zum Schutz der Webseite für unverhältnismäßig. Es reiche aus, wenn eine IP-Adressen-Speicherung erst im Falle eines Cyberangriffs begonnen werde. Wir werden an dieser Stelle berichten.

ahe/Pressemitteilung des BGH

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (4 Bewertungen, Durchschnitt: 4,00 von 5)

RSSKommentare (1)

Kommentar schreiben

  1. Michael Stöckel sagt:

    Hallo,

    wenn dynamische IP-Adressen laut EuGH personenbezogene Daten sind – Wie ist dieser Umstand mit den „Ermittlungen“ der Rechteinhaber in Filesharing-Fällen in Einklang zu bringen !!??

    Ist die Nutzung dieser IP-Adressen durch das „Recht“ der Rechteinhaber Urheberrechtsverletzungen zu verfolgen, damit gedeckt !!??

Kommentar schreiben

Mit dem Absenden des Kommentars erklären Sie sich mit den Datenschutzbestimmungen einverstanden.