Darf die Bundesrepublik die IP-Adressen der Nutzer ihrer Internetseiten länger speichern als der Besuch dauert? Martin Kilgus erklärt, wie der Fall eines Piraten-Politikers vom BGH beurteilt worden ist und wie es jetzt weitergeht.
Am Dienstag hat der Bundesgerichtshof (BGH) entschieden, dass dynamische IP-Adressen personenbezogene Daten sind und dass sie unter bestimmten Umständen von Website-Betreibern über den temporären Seitenabruf hinaus gespeichert werden dürfen (Urt. v. 16.05.2017, Az. VI ZR 135/13).
Dem BGH befasste sich mit der Frage, ob der Betreiber einer Website die IP-Adressen seiner Besucher länger speichern darf als diese auf der Seite verweilen.
Die Frage, die zunächst sehr technisch und abstrakt klingt, birgt Zündstoff: IP-Adressen sind die Kennungen, mit denen die Kommunikation im Internet erst ermöglicht wird. Jeder Nutzer erhält für seinen Rechner bei der Einwahl ins Internet eine solche IP-Adresse zum Surfen zugewiesen. An diese Adresse werden dann die aufgerufenen Seiten ausgeliefert. Deswegen muss der Betreiber einer Website die IP-Adresse des Nutzers erheben und speichern, um seine Seite dem Nutzer überhaupt anzeigen zu können. Technisch zwingend ist die Speicherung der Adresse allerdings nur, solange noch Daten an den Nutzer ausgeliefert werden müssen, er also aktiv auf der Internetseite verweilt.
An dieser Stelle entzündete sich der Streit, der der Entscheidung des BGH zugrunde lag. Denn die beklagte Bundesrepublik Deutschland speichert die IP-Adressen bei Besuchen auf ihren Webseiten auch noch nach Ende des Seitenbesuchs und damit länger als technisch zwingend erforderlich.
Dagegen wendete sich der schleswig-holsteinische Abgeordnete der Piratenpartei Patrick Breyer. Er sieht in der Speicherung eine unzulässige Überwachung der Website-Nutzer. Die Bundesrepublik Deutschland als Website-Betreiberin hält die Speicherung der IP-Adressen dagegen für zulässig: Sie argumentiert, nur so technische Maßnahmen ergreifen zu können, wenn ihre Internetangebote angegriffen würden, und gegebenenfalls strafrechtliche Schritte gegen die Angreifer einleiten zu können.
Wann darf überhaupt länger gespeichert werden?
Ob die IP-Adresse länger gespeichert werden darf als technisch zwingend notwendig, hängt maßgeblich davon ab, ob IP-Adressen überhaupt personenbezogene Daten sind. Denn nur wenn das der Fall ist, findet das restriktive Datenschutzrecht Anwendung.
Über den Personenbezug von dynamischen IP-Adressen in der Hand des Website-Anbieters kann man sich deshalb streiten, weil es sich aus Sicht des Website-Betreibers zunächst einmal nur um eine Nummer handelt, die aus sich heraus keinen Rückschluss auf den Nutzer zulässt. Überdies wird diese Nummer bei Internetanschlüssen von Endverbrauchern bei jeder Einwahl ins Internet oder in der Regel zumindest einmal täglich neu vergeben, die Zuordnung zu einer Person ist damit nicht dauerhaft möglich.
Nach dem europäischen Datenschutzrecht sind personenbezogene Daten jedoch auch schon Daten, die sich auf eine "bestimmbare" natürliche Person beziehen. Nur: Wann ist der Nutzer hinter der IP-Adresse bestimmbar? Nach dem absoluten Maßstab bereits dann, sobald ein beliebiger Dritter in der Lage wäre, einen Personenbezug herzustellen. Die IP-Adresse wäre dann personenbezogen.
Nach anderer Ansicht ist eine relative Betrachtung entscheidend: Danach kommt es darauf an, ob der Website-Betreiber selbst eine Verknüpfung zwischen IP-Adresse und Website-Nutzer herstellen kann.
Der BGH legte diese Frage vor einiger Zeit dem Europäischen Gerichtshof (EuGH) vor, der einen Mittelweg wählte: Danach kann eine dynamische IP-Adresse für den Website-Betreiber ein personenbezogenes Datum darstellen, wenn der Betreiber über "rechtliche Mittel" verfügt, mit deren Hilfe er die betroffene Person bestimmen bzw. bestimmen lassen kann.
BGH entscheidet und verweist zurück: . In: Legal Tribune Online, 16.05.2017 , https://www.lto.de/persistent/a_id/22943 (abgerufen am: 23.11.2024 )
Infos zum Zitiervorschlag