Die Krux mit dem Datenschutz – EuGH urteilt zu dynamischen IP-Adressen

In einer aktuellen Entscheidung hat sich der Europäische Gerichtshof (EuGH) erneut mit dem Thema Datenschutz befasst. Konkret ging es darum, ob auch dynamische IP-Adressen, die bei jedem Internetaufruf neu vergeben werden und nur über Umwege Rückschlüsse auf Nutzer zulassen, personenbezogene Daten darstellen. Die Klärung dieser Vorfrage ist relevant für die Frage der Zulässigkeit der Speicherung solcher Daten. Lesen Sie im folgenden Beitrag, in welchen Fällen nach dem EuGH-Urteil vom 19.10.2016 (Rechtssache C-582/14) die Speicherung zulässig sein kann und welchen Aspekten der Online-Handel dennoch Beachtung schenken sollte.

1. Was ist geschehen?

Der Jurist und schleswig-holsteinische Abgeordnete der Piraten-Partei Patrick Breyer hielt die Speicherung von dynamischen IP-Adressen auf mehreren Webseiten der Bundesrepublik Deutschland vor dem Hintergrund des deutschen Datenschutzrechts für rechtswidrig und verklagte Deutschland daraufhin auf Unterlassung. Der Fall ging bis vor den Bundesgerichtshof. Relevanz erlangt der Fall aber nicht nur in Bezug auf Behörden, sondern auch im Hinblick auf Webseiten-betreibende Unternehmen allgemein, da sich der Kläger den Bund als Klagegegner nur exemplarisch ausgewählt hat. Auch Unternehmen, die dynamische IP-Adressen speichern, sind von dem Urteil betroffen. Der Bundesgerichtshof entschied den Fall zunächst nicht selbst, sondern legte dem Europäischen Gerichtshof zwei Fragen im Wege des Vorabentscheidungsverfahrens vor, da er eine Kollision zwischen einer Vorschrift des deutschen Rechts und der europäischen „Datenschutzrichtlinie“ von 1995 (95/46/EG) sah.

2. Was sind dynamische IP-Adressen und wozu werden sie u.a. gespeichert?

„Dynamische IP-Adressen“, sind Ziffernfolgen, die sich bei jeder neuen Internetverbindung, in der Regel spätestens alle 24 Stunden, ändern. Sie ermöglichen die Kommunikation mit dem Internet und werden beim Abruf einer Webseite an den Server übermittelt, auf dem die abgerufene Webseite gespeichert ist. Im Gegensatz zu „statischen IP-Adressen“ ermöglichen sie keine unmittelbare Identifizierbarkeit. Allerdings verfügt der jeweilige Internetzugangsanbieter über die zur Identifizierung erforderlichen Zusatzinformationen, selbst wenn Nutzer während eines Nutzungsvorgangs ihre Personalien nicht explizit angeben. Sind Straftaten (z.B. Hacking) zu befürchten, können sich Betreiber einer Webseite in Deutschland an zuständige Behörden wenden, um die fraglichen Informationen vom Internetzugangsanbieter zu erlangen und anschließend die Strafverfolgung einzuleiten. Nach der Argumentation des Klägers stellen dynamische IP-Adressen schon aufgrund der Bestimmbarkeit personenbezogene Daten dar.

3. Eingeschränkte Rechtfertigung der Datenspeicherung nach bisherigem deutschen Recht

Unter der Annahme, eine dynamische IP-Adresse stellt ein personenbezogenes Datum dar, ist eine Speicherung rein nach deutschem Recht bisher nur äußerst eingeschränkt – zu Nutzungs- und Abrechnungszwecken - zulässig. § 15 Abs. 4 Telemediengesetz (TMG) besagt, dass der Diensteanbieter personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben und verwenden darf, soweit dies erforderlich ist, um die konkrete Inanspruchnahme des Telemediums durch den jeweiligen Nutzer zu ermöglichen und abzurechnen, und wonach der Zweck, die generelle Funktionsfähigkeit des Telemediums zu gewährleisten, die Verwendung nicht über das Ende des jeweiligen Nutzungsvorgangs hinaus rechtfertigen kann.

4. Wie entschied der EuGH den Rechtsstreit?

Der EuGH stellte zunächst fest, dass auch dynamische IP-Adressen personenbezogene Daten darstellen, da Personen indirekt identifizierbar seien. Speicherung und Nutzung solcher Daten sind damit also grundsätzlich heikel. Der EuGH ordnet die deutsche Regelung nach § 15 TMG gegenüber der sog. Datenschutz-Richtlinie allerdings als zu restriktiv ein. Eine europarechtskonforme Auslegung von § 15 Abs. 4 in Verbindung mit Abs. 1 TMG ergebe daher, dass eine Speicherung auch aus anderen Gründen als zu Abrechnungszwecken zulässig sein kann. Die Abwehr von Cyber-Attacken kann dem EuGH zufolge ein berechtigtes Interesse an der Speicherung darstellen. Gleichwohl stellt dies noch keinen „Freibrief“ dar, da auch nach der Datenschutzrichtlinie Grundrechte und Grundfreiheiten der betroffenen Person überwiegen können. Ebenso wenig ermöglicht das Urteil eine anlasslose Speicherung.

5. Was bedeutet das Urteil für den Online-Handel?

Auch wenn der EuGH zunächst einmal einen weiteren Rechtfertigungsgrund (Speichern zur Abwehr von Cyber-Angriffen und nicht nur zu Abrechnungszwecken) im Rahmen von § 15 Abs. 4 TMG anerkennt, sollten Webseiten-Betreiber keineswegs „die Hände in den Schoß legen“, sondern überprüfen bzw. überprüfen lassen, ob das Speichern von dynamischen IP-Adressen auch im Einzelfall rechtens ist. Geschieht die Speicherung – abgesehen von der ohnehin zulässigen Speicherung zu Abrechnungszwecken einer vergangenen Nutzung - nicht aus reinen (zukünftigen) kommerziellen Interessen, sondern etwa zur Abwehr von Cyber-Angriffen, so kann dies zulässig sein.

Allerdings kann ein Berufen auf die Abwehrfunktion der Speicherung wiederum vor dem Hintergrund des § 13 Abs. 7 TMG problematisch sein und schlimmstenfalls zu Abmahnungen von Mitbewerbern oder Bußgeldern führen. Denn die Norm wurde 2015 neu geschaffen und verpflichtet geschäftsmäßige Anbieter von Telemedien dazu, durch technische Maßnahmen sicherzustellen, dass Cybergefahren abgewehrt werden. Offenbaren sich also im Rahmen der Berufung auf die Zulässigkeit des Speicherns zur Abwehr von Internetkriminalität Schutzlücken, befinden sich Händler möglicherweise in dem Dilemma, dass ein Verstoß gegen den einen oder den anderen datenschutzrechtlichen Schutzgedanken vorliegen kann.

6. Fazit

Dem EuGH zufolge ist es für die Anwendbarkeit des Datenschutzrechts ausreichend, dass hinter dynamischen IP-Adressen zwar nicht unmittelbar bestimmte, aber bestimmbare Personen stehen. Dies bedeutet, dass auch dynamische IP-Adressen personenbezogene Daten darstellen und somit sensibel sind. Eine permanente, anlasslose Speicherung bleibt damit weiterhin nicht erlaubt.

Gleichwohl kann eine Speicherung über Abrechnungszwecke hinaus unter bestimmten Voraussetzungen zulässig sein.

Ungeklärt ist allerdings, ob und inwiefern die nach dem EuGH an sich zulässige Speicherung dynamischer IP-Adressen zu Zwecken der Internetkriminalitätsbekämpfung beispielsweise mit den IT-Sicherheits-Pflichten aus § 13 Abs. 7 TMG kollidieren kann. Pauschale Erleichterungen bringt das Urteil also nicht mit sich, da jedenfalls stets eine Interessenabwägung zwischen Speicher- und Löschinteresse zu erfolgen hat. Neben der sich zudem möglicherweise ergebenden Notwendigkeit, Datenschutzerklärungen auf ihre Vollständigkeit hin zu überprüfen, können mit dem Urteil auch weitere Pflichten für den Online-Handel einher gehen.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.