EuGH klassifiziert dynamische IP-Adressen als personenbezogene Daten
Der EuGH hat heute eine sowohl für Internetnutzer als auch Webseitenbetreiber wichtige aber auch für beide Seiten mit gemischten Gefühlen zur Kenntnis genommene Entscheidung getroffen. Das oberste europäische Gericht war zuvor vom Bundesgerichtshof im Rahmen eines Vorabentscheidungsersuchens angefragt worden. Der BGH wollte wissen, ob auch dynamische IP-Adressen personenbezogene Daten sind und ob diese im Rahmen der Nutzung aus Funktionsgründen erhobenen Daten auch nach der Nutzung noch aufbewahrt werden dürfen.
Auslöser der Anfrage des BGH beim EuGH war ein Verfahren zwischen dem Piraten-Politiker Patrick Breyer und der Bundesregierung. Breyer hatte geklagt, weil mehrere Bundeseinrichtungen bei ihren Webseiten seiner Ansicht nach von den Besuchern zu viele Daten speichern – etwa die Namen abgerufener Dateien und Seiten, in Suchfelder eingegebene Begriffe sowie den Zeitpunkt des Abrufs – und diese Daten zudem zu lange aufbewahren. In Zusammenhang mit der IP-Adresse lasse das unzulässige Rückschlüsse auf den Benutzer zu. Die Bundesregierung hat dagegen erklärt, die Speicherung sei erforderlich, um die Sicherheit der Webseiten zu gewährleisten, Und sie geht davon aus, dass zumindest eine dynamische IP-Adresse kein personenbezogenes Datum ist.
So richtig zufrieden zurücklehnen kann sich nach der Entscheidung des EuGH keine der beiden Parteien. Entgegen der Annahme der Bundesregierung zählt die dynamische IP-Adresse nämlich sehr wohl zu den personenbezogenen Daten. Voraussetzung dafür ist, dass der Betreiber der Website die Möglichkeit hat, in bestimmten Fällen – etwa nach einem davon ausgehenden Angriff – den Nutzer dieser IP-Adresse, den der Provider kennt, mit Hilfe rechtlicher Schritte zu ermitteln.
Das ist in Deutschland der Fall. Damit fällt dann aber auch eine dynamische IP-Adresse unter die Regeln, die für andere personenbezogene Daten gelten und ist vom Betreiber der Website entsprechend zu behandeln und bei ihr Speicherung entsprechend zu schützen.
Trotz dieses Teilerfolgs kann aber auch der Kläger, Piraten-Politiker Breyer, nicht ganz zufrieden sein. Im Gegenteil: Durch seine Klage hat er nun bewirkt, dass der EuGH ausdrücklich erklärt, dass eine nationale Regelung nicht zulässig ist, die die Nutzung der personenbezogenen Daten eines Besuchers durch den Websitebetreiber stärker als das Unionsrecht einschränkt.
Neue Lücke im EU-Datenschutzrecht?
Letzterem zufolge dürfen personenbezogene Daten eines Nutzers auch ohne dessen Einwilligung erheben und über den Nutzungsvorgang hinaus verwendet werden, sofern dies erforderlich ist, um die “generelle Funktionsfähigkeit der Dienste zu gewährleisten.”
Nach Ansicht von Breyer tut sich damit eine “inakzeptable Schutzlücke” im EU-Datenschutzrecht auf, die schnellstmöglich durch ein neues Gesetz geschlossen werden müsse. In einer ersten Pressemitteilung erklärt er: „Zwar konnte ich den jahrelangen Streit darüber, ob Surfprotokolle mit IP-Adressen dem Datenschutz unterliegen, für mich entscheiden. Gleichzeitig hat der Gerichtshof aber das Verbot einer massenhaften Surfprotokollierung, das im deutschen Telemediengesetz festgelegt war, gekippt.”
Breyer weist auch darauf hin, dass das Urteil neue rechtliche Unsicherheit schafft: “Ob das EU-Recht Anbietern eine massenhafte Aufzeichnung unseres Internet-Nutzungsverhaltens gestattet und wenn ja, wie lange, lässt der Gerichtshof offen und unentschieden.” Er hofft nun, im weiteren Verfahren vor dem Bundesgerichtshof oder dem Bundesverfassungsgericht ein Verbot der Surfprotokollierung erstreiten zu können kann. Hoffnung schöpft er aus dem Urteil des Bundesverfassungsgerichts zur Vorratsdatenspeicherung. Darin habe das Gericht betont, dass die Internetnutzung nicht inhaltlich festgehalten und damit rekonstruierbar bleiben dürfe.
Im Mai 2018 endet die Übergangsfrist für die neue EU-Datenschutzverordnung. Welche Neuerungen sie bringt, was passiert, wenn sich Firmen nicht daran halten und wie sich Unternehmen vorbereiten können, erfahren Sie im Special auf silicon.de.