/ Security / BGH-Urteil: Datenschutz gilt auch für dynamische IP-Adressen

BGH-Urteil: Datenschutz gilt auch für dynamische IP-Adressen

110151-88978-i_rc.jpg
Moritz Rosenfeld on May 17, 2017 - 7:54 am in Security

Der Bundesgerichtshof (BGH) hält die Speicherung von dynamischen IP-Adressen durch Webseiten-Betreiber nur in Ausnahmefällen für erlaubt. Unter Berufung auf eine Vorlagen-Entscheidung des Europäischen Gerichtshofs (EuGH) vom vergangenen Oktober stellten die Karlsruher Richter am Dienstag fest, dass die dynamische IP-Adresse eines Nutzers, der eine Internetseite aufruft, “für den Anbieter ein (geschütztes) personenbezogenes Datum” darstellt.

Eine Speicherung über den Nutzungsvorgang sei nur erlaubt, “um die generelle Funktionsfähigkeit der Dienste zu gewährleisten”. Dabei bedürfe es allerdings einer Abwägung zwischen den Interessen der Webseitenanbieter sowie den Grundrechten und -freiheiten der Nutzer, heißt es in der Pressemitteilung.

EuGH-Entscheidung falsch ausgelegt?

Im konkreten Fall wollte der schleswig-holsteinische Piratenpolitiker Patrick Breyer verhindern, dass Bundesministerien oder andere Behörden monatelang seine IP-Adresse speicherten, nachdem er deren Webseiten besucht hatte. Dabei ging es vor allem um die Frage, ob es sich bei IP-Adressen um personenbezogene Daten handelt. In Deutschland ist es als Webseitenbetreiber nicht ohne Weiteres möglich, die tatsächlichen Nutzer hinter einer IP-Adresse zu ermitteln und damit einen Personenbezug herzustellen.

Der EuGH hatte den Personenbezug von IP-Adressen jedoch davon abhängig gemacht, ob der Webseitenanbieter “über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen”. Nach Ansicht des IT-Fachanwalts Thomas Stadler ist das bei Webseitenbetreibern in Deutschland grundsätzlich nicht der Fall, sodass der BGH die Entscheidung des EuGH nicht korrekt ausgelegt haben könnte.

Landgericht soll neu entscheiden

Auf Basis der bislang vorliegenden Pressemitteilung hat der BGH jedoch dynamischen IP-Adressen grundsätzlich einen Personenbezug zugesprochen. Eine Entscheidung, ob die Ministerien im konkreten Fall diese Daten speichern dürfen, traf das Gericht jedoch nicht.

Damit muss sich nun wieder das Landgericht Berlin beschäftigen. In ihrem ersten Urteil hatten die Berliner Richter die Auffassung vertreten, dass es sich bei dynamischen IP-Adressen nicht um ein personenbezogenes Datum handelt, wenn der Nutzer nicht gleichzeitig über ein Webformular seinen Namen eingibt. Die Möglichkeit, dass ein Provider dem Webseitenanbieter illegal Daten zur Verfügung stellt, könne “kein Grund sein, Daten, die für sich genommen keinen Personenbezug haben, unter den Schutz des Datenschutzrechtes zu stellen”.

Regierung muss Gefahrenpotenzial darlegen

Diese Einschätzung gilt nun nicht mehr. Nun muss das Landgericht entscheiden, ob solche IP-Adressen gespeichert werden dürfen, um die Funktionsfähigkeit der Webseite sicherzustellen. Zwar sieht das Telemediengesetz (TMG) diese Möglichkeit bislang nicht vor, doch nach Ansicht des EuGH kann dieser Zweck eine Speicherung der Daten in bestimmten Fällen rechtfertigen.

Dem BGH-Urteil zufolge muss die Bundesregierung in der neuen Verhandlung nun darlegen, “wie hoch das Gefahrenpotential” bei den Diensten ist, die die Adressen speichern. Erst dann könne das Gericht “zwischen dem Interesse der Beklagten an der Aufrechterhaltung der Funktionsfähigkeit ihrer Online-Mediendienste und dem Interesse oder den Grundrechten und -freiheiten des Klägers” abwägen. Dabei seien auch die Gesichtspunkte der Generalprävention und der Strafverfolgung “gebührend zu berücksichtigen”.

Breyer zeigte sich in seiner Stellungnahme zufrieden damit, dass das Landgericht nun im konkreten Fall eine Abwägung zwischen den Interessen der Webseitenbetreiber und Nutzer treffen soll. Allerdings bedauerte er, dass der BGH auf Basis eines gerichtlichen Sachverständigengutachtens eine Surfprotokollierung aus Sicherheitsgründen nicht generell für überflüssig erklärte. “Im Zeitalter internationaler Netzwerke auf IT-Sicherheit durch Abschreckung (‘Generalprävention’) oder Strafverfolgung zu setzen, ist illusorisch und entbehrt jeder gesetzlichen Grundlage”, sagte Breyer. Ein effektiver Schutz vor Angriffen sei alleine durch technische Absicherung der Systeme möglich.

Read more on: Source

Comments are disabled