Dynamische IP-Adressen: EuGH stellt deutsches Datenschutzrecht in Frage

Download PDF
(c) BBH

(c) BBH

Fallen „dynamische“ IP-Adressen, die sich bei jeder neuen Internetverbindung ändern und daher nicht ohne weiteres einem bestimmten Nutzer zuordenbar sind, unter den Datenschutz? Über diese Frage herrscht unter deutschen Gerichten seit langem Unklarheit. Jetzt hat der Europäische Gerichtshof (EuGH) ein klärendes Wort gesprochen (Az. C-582/14, Urt. v. 19.10.2016): Dynamische IP-Adressen können danach personenbezogene Daten und somit datenschutzrelevant sein, wenn der Betreiber der Website „über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen“. Im Klartext: IP-Adressen sind für Website-Betreiber personenbezogene Daten, wenn Nutzer von Online-Diensten unter Zuhilfenahme des jeweiligen Zugangsproviders identifiziert werden können. In der Bundesrepublik gebe es entsprechende Möglichkeiten, „sich insbesondere im Fall von Cyberattacken an die zuständige Behörde zu wenden, um die fraglichen Informationen vom Internetzugangsanbieter zu erlangen und anschließend die Strafverfolgung einzuleiten“. Zudem sei das generelle Verbot der Speicherung von IP-Adressen in § 15 TMG mit Art. 7 lit. f Datenschutzrichtlinie (RL 95/46/EG) nicht vereinbar; dieser lasse eine Speicherung bei einem berechtigten Interesse des Website-Betreibers – auch ohne Einwilligung – zu.

Im konkreten Fall wendete sich der Richter und schleswig-holsteinische Piratenpartei-Abgeordnete Patrik Breyer dagegen, dass von ihm aufgerufene Websites von Einrichtungen des Bundes seine IP-Adresse über den Zeitpunkt des Zugriffs hinaus speichern. Dies geschieht, um sich gegen Cyberattacken zu wappnen und eine Strafverfolgung zu ermöglichen. Nach Auffassung des Klägers besteht keine Rechtsgrundlage für eine weitergehende Speicherung seiner IP-Adresse. Nach § 15 TMG dürften personenbezogene Daten eines Nutzers nur zu Abrechnungszwecken gespeichert werden und um die konkrete, gerade laufende Nutzung des betroffenen Webdienstes sicherzustellen.

Mit dem Urteil setzt der EuGH einerseits ein wichtiges Zeichen für den Datenschutz in einer zunehmend digitalisierten Welt. Andererseits erweitert er – jedenfalls im Onlinebereich – die im deutschen Datenschutzrecht vorhandenen Möglichkeiten, personenbezogene Daten auch ohne Einwilligung der betroffenen Nutzer zu speichern. Das Urteil ist zu begrüßen, soweit damit letztinstanzlich klargestellt wird, dass auch dynamische IP-Adressen personenbezogene Daten sein können, wenn der Betreiber der Website den Nutzer seines Online-Dienstes unter Zuhilfenahme von Zusatzinformationen identifizieren kann. Es ist hingegen höchst bedenklich, soweit der EuGH Datenverarbeitungen nach dem Unionsrecht – anders als im deutschen Datenschutzrecht – im Rahmen einer Interessenabwägung stets für rechtmäßig hält, wenn diese durch ein berechtigtes Interesse des Verantwortlichen gedeckt sind und die Rechte der betroffenen Person nicht überwiegen.

Nimmt man den EuGH beim Wort, dann sind zahlreiche Rechtsgrundlagen des (deutschen) Datenschutzrechts unionsrechtswidrig, weil sie keine Interessenabwägung vorsehen (z.B. die Regelungen zur Zusammenarbeit mit Auskunfteien in §§ 28a/b BDSG). Da Art. 7 lit. f der Datenschutzrichtlinie im Wesentlichen der neuen Regelung in Art. 6 Abs. 1 lit. f Datenschutz-Grundverordnung (EU-DSGVO/VO (EU) 2016/679) entspricht, dürften die Aussagen des EuGH auch nach 2018 relevant bleiben.

Der Gesetzgeber ist nun umso mehr gefordert, bei der Anpassung der deutschen Datenschutzvorgaben auch die Rechtsprechung des EuGH zu berücksichtigen. Pauschale gesetzliche Verarbeitungsgrundlagen ohne Interessenabwägung im Einzelfall dürften zukünftig kaum noch möglich sein. Dies könnte neben dem aufgrund der EU-DSGVO ohnehin anzupassenden Bundesdatenschutzgesetz (BDSG) in der Energiewirtschaft auch die Datenschutzregeln in den §§ 49 ff. MsbG betreffen.

Energieversorger sind vor dem Hintergrund des Urteils – wie andere Website-Betreiber – aufgerufen, die Rechtskonformität ihrer Online-Dienste in Bezug auf die Verarbeitung von IP-Adressen der Nutzer zu überprüfen und die auf ihrer Website veröffentlichten Datenschutzerklärungen gegebenenfalls anzupassen. Im Zuge der Anpassung der deutschen Datenschutzregeln an die neuen Vorgaben bis 2018 darf man zudem gespannt sein, ob der Gesetzgeber auch die Vorgaben zum Datenschutz im Messstellenbetriebsgesetz (MsbG) noch einmal neu gestaltet.

Ansprechpartner: Dr. Jost Eder/Jan-Hendrik vom Wege/Alexander Bartsch