Categories: PolitikRecht

EuGH klassifiziert dynamische IP-Adressen als personenbezogene Daten

Der EuGH hat heute eine sowohl für Internetnutzer als auch Webseitenbetreiber wichtige aber auch für beide Seiten mit gemischten Gefühlen zur Kenntnis genommene Entscheidung getroffen. Das oberste europäische Gericht war zuvor vom Bundesgerichtshof im Rahmen eines Vorabentscheidungsersuchens angefragt worden. Der BGH wollte wissen, ob auch dynamische IP-Adressen personenbezogene Daten sind und ob diese im Rahmen der Nutzung aus Funktionsgründen erhobenen Daten auch nach der Nutzung noch aufbewahrt werden dürfen.

Auslöser der Anfrage des BGH beim EuGH war ein Verfahren zwischen dem Piraten-Politiker Patrick Breyer und der Bundesregierung. Breyer hatte geklagt, weil mehrere Bundeseinrichtungen bei ihren Webseiten seiner Ansicht nach von den Besuchern zu viele Daten speichern – etwa die Namen abgerufener Dateien und Seiten, in Suchfelder eingegebene Begriffe sowie den Zeitpunkt des Abrufs – und diese Daten zudem zu lange aufbewahren. In Zusammenhang mit der IP-Adresse lasse das unzulässige Rückschlüsse auf den Benutzer zu. Die Bundesregierung hat dagegen erklärt, die Speicherung sei erforderlich, um die Sicherheit der Webseiten zu gewährleisten, Und sie geht davon aus, dass zumindest eine dynamische IP-Adresse kein personenbezogenes Datum ist.

Das Eingangsgebäude des Gerichtshofs der Europäischen Union auf dem Kirchberg in Luxemburg (Bild: Europaparlament)

So richtig zufrieden zurücklehnen kann sich nach der Entscheidung des EuGH keine der beiden Parteien. Entgegen der Annahme der Bundesregierung zählt die dynamische IP-Adresse nämlich sehr wohl zu den personenbezogenen Daten. Voraussetzung dafür ist, dass der Betreiber der Website die Möglichkeit hat, in bestimmten Fällen – etwa nach einem davon ausgehenden Angriff – den Nutzer dieser IP-Adresse, den der Provider kennt, mit Hilfe rechtlicher Schritte zu ermitteln.

Das ist in Deutschland der Fall. Damit fällt dann aber auch eine dynamische IP-Adresse unter die Regeln, die für andere personenbezogene Daten gelten und ist vom Betreiber der Website entsprechend zu behandeln und bei ihr Speicherung entsprechend zu schützen.

Trotz dieses Teilerfolgs kann aber auch der Kläger, Piraten-Politiker Breyer, nicht ganz zufrieden sein. Im Gegenteil: Durch seine Klage hat er nun bewirkt, dass der EuGH ausdrücklich erklärt, dass eine nationale Regelung nicht zulässig ist, die die Nutzung der personenbezogenen Daten eines Besuchers durch den Websitebetreiber stärker als das Unionsrecht einschränkt.

Neue Lücke im EU-Datenschutzrecht?

Letzterem zufolge dürfen personenbezogene Daten eines Nutzers auch ohne dessen Einwilligung erheben und über den Nutzungsvorgang hinaus verwendet werden, sofern dies erforderlich ist, um die “generelle Funktionsfähigkeit der Dienste zu gewährleisten.”

Nach Ansicht von Breyer tut sich damit eine “inakzeptable Schutzlücke” im EU-Datenschutzrecht auf, die schnellstmöglich durch ein neues Gesetz geschlossen werden müsse. In einer ersten Pressemitteilung erklärt er: „Zwar konnte ich den jahrelangen Streit darüber, ob Surfprotokolle mit IP-Adressen dem Datenschutz unterliegen, für mich entscheiden. Gleichzeitig hat der Gerichtshof aber das Verbot einer massenhaften Surfprotokollierung, das im deutschen Telemediengesetz festgelegt war, gekippt.”

Breyer weist auch darauf hin, dass das Urteil neue rechtliche Unsicherheit schafft: “Ob das EU-Recht Anbietern eine massenhafte Aufzeichnung unseres Internet-Nutzungsverhaltens gestattet und wenn ja, wie lange, lässt der Gerichtshof offen und unentschieden.” Er hofft nun, im weiteren Verfahren vor dem Bundesgerichtshof oder dem Bundesverfassungsgericht ein Verbot der Surfprotokollierung erstreiten zu können kann. Hoffnung schöpft er aus dem Urteil des Bundesverfassungsgerichts zur Vorratsdatenspeicherung. Darin habe das Gericht betont, dass die Internetnutzung nicht inhaltlich festgehalten und damit rekonstruierbar bleiben dürfe.

Tipp der Redaktion

EU-Datenschutzgrundverordnung (DSGVO)

Im Mai 2018 endet die Übergangsfrist für die neue EU-Datenschutzverordnung. Welche Neuerungen sie bringt, was passiert, wenn sich Firmen nicht daran halten und wie sich Unternehmen vorbereiten können, erfahren Sie im Special auf silicon.de.

Redaktion

Recent Posts

IT 2025: IT-Führungskräfte erwarten massiven KI-Ruck

Einsatz von KI-Lösungen wirbelt auch in deutschen Unternehmen die Liste der Top-Technologieanbieter durcheinander.

2 Tagen ago

Sofortzahlungen im Wandel: Sicherheit und KI als treibende Kräfte

Echtzeitüberweisungen erfüllen die Erwartungen der Nutzer an Geschwindigkeit, sind jedoch anfällig für spezifische Sicherheits- und…

3 Tagen ago

Blockaden und Risiken bei APM-Projekten vermeiden

Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.

4 Tagen ago

BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespannt

Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.

5 Tagen ago

KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…

5 Tagen ago

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

6 Tagen ago