Sind dynamische IP-Adressen personenbezogene Daten?

Beitrag von ft

Bundesgerichtshof

Der deutsche Bundesgerichtshof in Karlsruhe hat gestützt auf ein früheres Urteil des Europäischen Gerichtshofes bestimmt, dass es sich bei dynamischen IP-Adressen um personenbezogene Daten handeln kann.

Beim Abruf einer Webseite erkennt der Betreiber einer Homepage von welchem Computer seine Seite aufgerufen wurde. Die Adresse des anfragenden Computers wird jeweils an den Seitenbetreiber weiter geleitet. Dieser kann die Adressen der Abrufer speichern, wodurch Rückschlüsse auf deren Surf-Verhalten am entsprechenden Gerät gezogen werden könnten.

Am 19. Oktober 2016 hat der Europäische Gerichtshof bereits entschieden (C-582/14), dass dynamisch vergebene IP-Adressen unter bestimmten Voraussetzungen als personenbezogene Daten gelten können. Dies sei immer dann der Fall, wenn der Seitenanbieter über rechtliche Mittel verfüge, die es ihm erlauben, den betreffenden Nutzer bestimmen zu lassen.

Der Bundesgerichtshof, d.h. das oberste deutsche Gericht auf dem Gebiet der ordentlichen Gerichtsbarkeit, hat nun aber die europäische Vorgabe dahingehend ausgelegt, dass

"ein Anbieter von Online-Mediendiensten personenbezogene Daten eines Nutzers dieser Dienste ohne dessen Einwilligung auch über das Ende eines Nutzungsvorgangs hinaus dann erheben und verwenden darf, soweit ihre Erhebung und ihre Verwendung erforderlich sind, um die generelle Funktionsfähigkeit der Dienste zu gewährleisten. Dabei bedürfe es allerdings einer Abwägung mit dem Interesse und den Grundrechten und -freiheiten der Nutzer (Urteil vom 16. Mai 2017 - VI ZR 135/13)."

Das neue Urteil liess es leider offen, wie hoch im konkreten Fall das Gefahrenpotential sein müsse, damit die Adressen gespeichert werden dürften. Es wurde nicht darüber entschieden, wie die Güterabwägung zwischen der Sicherheit am Seitenbetrieb und und dem Persönlichkeitsrecht des Seitenabrufers ausfallen könnte. Dennoch wurde aber bereits der Hinweis angebracht, dass dabei auch die Gesichtspunkte der Generalprävention und der Strafverfolgung gebührend zu berücksichtigen seien. Dies zeigt, in welche Richtung das Gericht zukünftig entscheiden könnte (d.h. gegen den Datenschutz).

Im Ergebnis folgt daraus, dass nun in Deutschland mindestens die Bereitschaft besteht, dass die Speicherung von dynamischen IP-Adressen datenschutzrechtlich problematisch sein könnte. Der gleichzeitige Hinweis auf die Interessen der Strafverfolgung ist jedoch zu einseitig: Strafrechtlich sollte nicht einzig auf die IP-Adresse und somit auf den Inhaber des Netzanschlusses abgestellt werden, sondern sichergestellt werden, wer eine strafbare Handlung direkt begangen hat.

Die Frage, ob es sich bei IP-Adressen um Personendaten handelt, welche nicht bearbeitet werden dürfen, ist also weiterhin unklar.

(Stand: 22.05.2017)