Ihr Kontakt
Lukas Bühlmann
In einem aktuellen Urteil setzt sich der Europäische Gerichtshof (EuGH) erstmals ausführlich mit der datenschutzrechtlichen Einordnung von IP-Adressen auseinander. Die Frage wird seit Jahren kontrovers diskutiert und ist für Online-Anbieter von zentraler Bedeutung: Sind IP-Adressen als Personendaten zu qualifizieren, so müssen rund um deren Bearbeitung die Grundsätze des Datenschutzrechtes eingehalten werden. In seinem Urteil hat der EuGH nun folgende Konkretisierung vorgenommen: Dynamische IP-Adressen eines Nutzers sind als personenbezogene Daten zu qualifizieren, wenn der Betreiber einer Website über die rechtlichen Mittel verfügt, die es ihm erlauben, den betreffenden Nutzer anhand der Zusatzinformationen durch den Internetzugangsanbieter, zu bestimmten.
Speicherung von IP-Adressen durch deutsche Bundeseinrichtungen
Herr Breyer (Kläger) rief mehrere Websites von deutschen Bundeseinrichtungen ab. Um Cyberangriffe abzuwenden und eine strafrechtliche Verfolgung der Angreifer zu ermöglichen, werden diverse Daten der Website-Besucher gespeichert, insbesondere wird die IP-Adresse des zugreifenden Computers aufbewahrt. Aus diesem Grund hat Herr Breyer Klage beim deutschen Verwaltungsgericht erhoben und beantragte, dass der Bundesrepublik Deutschland (Beklagte) zu untersagen sei, die IP-Adressen über das Ende des Zugriffs hinaus zu speichern.
Diese Klage wurde im ersten Instanzenzug abgewiesen, wogegen Herr Breyer Berufung einlegte. Nun liegt die Sache zur Entscheidung beim Bundesgerichtshof, welcher dem EuGH gewisse Auslegungsfragen zur Vorabentscheidung vorgelegt hat.
Kontroverse um datenschutzrechtliche Einordnung von IP-Adressen
IP-Adressen sind Zahlenfolgen, die einem mit dem Internet verbundenen Computer zugewiesen werden, um im Internet die Kommunikation zu ermöglichen. Dabei unterscheidet man im Allgemeinen zwischen der Zuweisung von statischen und dynamischen IP-Adressen. Eine statische IP-Adresse wird einem Nutzer dauerhaft zugeteilt, wobei sich eine dynamische IP-Adresse grundsätzlich bei jeder Internetverbindung ändert.
Seit Jahren stellt sich die Frage, ob IP-Adressen als personenbezogene Daten i.S. des Datenschutzrechts zu qualifizieren sind. In der Schweiz versteht man unter personenbezogenen Daten „alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen“. Die schweizerische Definition deckt sich auch mit der europäischen Definition von personenbezogenen Daten in Art. 2 Bst. a der Richtlinie 95/46/EG.
Eine weitgehend verbreitete Lehrmeinung vertritt die Ansicht, dass Inhaber von statischen IP-Adressen stets aus öffentlich einsehbaren Datenbanken ermittelt werden können. Aus diesem Grund werden sie weitgehend als personenbezogene Daten qualifiziert. Dabei ist jedoch zu beachten, dass diese Einschätzung zu undifferenziert ist und nicht in jedem Fall zutreffend ist (vgl. dazu BR-News vom 13. März 2014).
Im hier massgebenden Fall stellte sich jedoch die Frage der Qualifikation von dynamischen IP-Adressen, auf welche im Folgenden eingegangen wird. Bei dynamischen IP-Adressen ist die Bestimmbarkeit des Nutzers aufgrund des ständigen Wechsels der Ziffernfolge schwieriger als bei statischen IP-Adressen.
EuGH-Erwägungen betr. Qualifikation von dynamischen IP-Adressen
In seinem Urteil vom 19. Oktober 2016 (C-582/14) musste sich der EuGH daher mit der Auslegung von Art. 2 Bst. a der Richtlinie 95/46/EG auseinandersetzen. Im Vorderung stand dabei die Frage, ob dynamische IP-Adressen als personenbezogenen Daten zu qualifizieren sind, obwohl die Identifikation des jeweiligen Nutzers nur über einen Dritten (dem Internetzugangsanbieter) erfolgen kann.
Der EuGH führte aus, dass es sich bei IP-Adressen nur um Informationen über eine „bestimmbare“ natürliche Person handeln kann. Für die Einstufung als personenbezogene Daten ist jedoch nicht erforderlich, dass alle Informationen zur Identifikation der betreffenden Person sich in den Händen einer Person befinden. Es stellt sich die Frage, ob die dynamische IP-Adresse verknüpft mit der Zusatzinformation des Internetzugangsanbieters, ein Mittel darstellt, das vernünftigerweise eingesetzt wird um die Identifikation einer Person vorzunehmen. Nach deutschem Recht gibt es eine «rechtliche Möglichkeit» als Anbieter der Website an die fraglichen Informationen vom Internetzugangsanbieter zu gelangen; dies insbesondere im Zusammenhang von Cyberattacken, um eine Strafverfolgung einzuleiten. Somit verfügt der Anbieter über Mittel die vernünftigerweise eingesetzt werden, um die betreffende Person anhand der IP-Adresse bestimmen zu lassen. In diesem Sinne werden dynamische IP-Adressen als Personendaten i.S. der Richtlinie angesehen.
Situation in der Schweiz
Einen ähnlichen Fall hatte das schweizerische Bundesgericht im Jahr 2010 zu beurteilen. Logistep sammelte in sog. Peer-to-Peer-Datentauschnetzen IP-Adressen der Downloader von urheberrechtlich geschützten Werken und übergab diese Daten den jeweiligen Rechtsinhabern. Der Rechtsinhaber leitete danach Strafanzeige gegen Unbekannt ein, um sich die Identitätsdaten anhand des Akteneinsichtsrechts zu besorgen.
Dabei hielt das Bundesgericht im Wesentlichen fest, dass die gesammelten dynamischen IP-Adressen im konkreten Fall als Personendaten im Sinne des Datenschutzgesetzes (DSG) einzustufen sind, weil die Bestimmbarkeit der betroffenen Personen anhand der Strafanzeigen möglich ist. Die Ausführungen des Bundesgerichts und des EuGH sind insofern weitgehend deckungsgleich. Jedoch lässt sowohl das Bundesgericht, wie auch der EuGH die Frage offen, ob dynamische IP-Adressen auch als personenbezogene Daten qualifiziert werden können, wenn keine rechtliche Möglichkeit besteht, die Identität anhand eines Dritten zu ermitteln (zu weitergehenden Ausführungen vgl. BR-News vom 5. Dezember 2010 betr. Logistep-Urteil).
Auswirkungen des Urteils auf Deutschland
Die Gerichte in Deutschland setzen sich bereits seit einigen Jahren mit der Frage der Qualifikation von dynamischen IP-Adressen auseinander (vgl. beispielsweise BR-News vom 3. September 2010 betr. Urteil Landgericht Berlin). Im erwähnten Fall ging es aber um die Vereinbarkeit von § 15 Telemediengesetz (TMG) mit Art. 7 Bst. f der Richtlinie 95/46/EG. Nach §15 TMG dürfen personenbezogene Daten nur zu Abrechnungszwecken bzw. zur Sicherstellung der konkreten laufenden Nutzung des Onlinedienstes, gespeichert werden, da sie besonders geschützt sind.
Nach dem EuGH haben aber Betreiber einer Webseite ein berechtigtes Interesse zur Aufrechterhaltung der Funktionsfähigkeit ihres Dienstes und damit einhergehend zur Abspeicherung der Daten des Nutzers über die allfällige Session hinaus. Dabei ist eine Interessenabwägung des Website-Betreibers an der Speicherung der Daten und der Grundrechte der Internetnutzer vorzunehmen. §15 TMG sieht keine solche Interessenabwägung vor und ist somit nicht mit dem Unionsrecht vereinbar. Damit erklärt der EuGH implizit, dass es aus Sicherheitsgründen gerechtfertigt sein kann, Personendaten zu speichern. Dabei muss offen gelassen werden, ob die Speicherung der dynamischen IP-Adressen der Nutzer überhaupt geeignet ist, Cyberattacken zu vereiteln.
Weitere Informationen:
- Pressemitteilung Nr. 112/16 des EuGH vom 19. Oktober 2016
- Urteil des EuGH i.S C-582/14 vom 19. Oktober 2016
- Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr
- BR-News vom 5. Dezember 2010 betr. Logistep-Urteil
- BR-News vom 3. September 2010 betr. Urteil Landgericht Berlin
- BR-News vom 13. März 2014 betr. Qualifikation von IP-Adressen im Schweizer Datenschutzrecht
- BR-News vom 4. November 2014 betr. Vorabentscheidung des EuGH
