Categories: PolitikRecht

EuGH klassifiziert dynamische IP-Adressen als personenbezogene Daten

Der EuGH hat heute eine sowohl für Internetnutzer als auch Webseitenbetreiber wichtige aber auch für beide Seiten mit gemischten Gefühlen zur Kenntnis genommene Entscheidung getroffen. Das oberste europäische Gericht war zuvor vom Bundesgerichtshof im Rahmen eines Vorabentscheidungsersuchens angefragt worden. Der BGH wollte wissen, ob auch dynamische IP-Adressen personenbezogene Daten sind und ob diese im Rahmen der Nutzung aus Funktionsgründen erhobenen Daten auch nach der Nutzung noch aufbewahrt werden dürfen.

Auslöser der Anfrage des BGH beim EuGH war ein Verfahren zwischen dem Piraten-Politiker Patrick Breyer und der Bundesregierung. Breyer hatte geklagt, weil mehrere Bundeseinrichtungen bei ihren Webseiten seiner Ansicht nach von den Besuchern zu viele Daten speichern – etwa die Namen abgerufener Dateien und Seiten, in Suchfelder eingegebene Begriffe sowie den Zeitpunkt des Abrufs – und diese Daten zudem zu lange aufbewahren. In Zusammenhang mit der IP-Adresse lasse das unzulässige Rückschlüsse auf den Benutzer zu. Die Bundesregierung hat dagegen erklärt, die Speicherung sei erforderlich, um die Sicherheit der Webseiten zu gewährleisten, Und sie geht davon aus, dass zumindest eine dynamische IP-Adresse kein personenbezogenes Datum ist.

Das Eingangsgebäude des Gerichtshofs der Europäischen Union auf dem Kirchberg in Luxemburg (Bild: Europaparlament)

So richtig zufrieden zurücklehnen kann sich nach der Entscheidung des EuGH keine der beiden Parteien. Entgegen der Annahme der Bundesregierung zählt die dynamische IP-Adresse nämlich sehr wohl zu den personenbezogenen Daten. Voraussetzung dafür ist, dass der Betreiber der Website die Möglichkeit hat, in bestimmten Fällen – etwa nach einem davon ausgehenden Angriff – den Nutzer dieser IP-Adresse, den der Provider kennt, mit Hilfe rechtlicher Schritte zu ermitteln.

Das ist in Deutschland der Fall. Damit fällt dann aber auch eine dynamische IP-Adresse unter die Regeln, die für andere personenbezogene Daten gelten und ist vom Betreiber der Website entsprechend zu behandeln und bei ihr Speicherung entsprechend zu schützen.

Trotz dieses Teilerfolgs kann aber auch der Kläger, Piraten-Politiker Breyer, nicht ganz zufrieden sein. Im Gegenteil: Durch seine Klage hat er nun bewirkt, dass der EuGH ausdrücklich erklärt, dass eine nationale Regelung nicht zulässig ist, die die Nutzung der personenbezogenen Daten eines Besuchers durch den Websitebetreiber stärker als das Unionsrecht einschränkt.

Neue Lücke im EU-Datenschutzrecht?

Letzterem zufolge dürfen personenbezogene Daten eines Nutzers auch ohne dessen Einwilligung erheben und über den Nutzungsvorgang hinaus verwendet werden, sofern dies erforderlich ist, um die “generelle Funktionsfähigkeit der Dienste zu gewährleisten.”

Nach Ansicht von Breyer tut sich damit eine “inakzeptable Schutzlücke” im EU-Datenschutzrecht auf, die schnellstmöglich durch ein neues Gesetz geschlossen werden müsse. In einer ersten Pressemitteilung erklärt er: „Zwar konnte ich den jahrelangen Streit darüber, ob Surfprotokolle mit IP-Adressen dem Datenschutz unterliegen, für mich entscheiden. Gleichzeitig hat der Gerichtshof aber das Verbot einer massenhaften Surfprotokollierung, das im deutschen Telemediengesetz festgelegt war, gekippt.”

Breyer weist auch darauf hin, dass das Urteil neue rechtliche Unsicherheit schafft: “Ob das EU-Recht Anbietern eine massenhafte Aufzeichnung unseres Internet-Nutzungsverhaltens gestattet und wenn ja, wie lange, lässt der Gerichtshof offen und unentschieden.” Er hofft nun, im weiteren Verfahren vor dem Bundesgerichtshof oder dem Bundesverfassungsgericht ein Verbot der Surfprotokollierung erstreiten zu können kann. Hoffnung schöpft er aus dem Urteil des Bundesverfassungsgerichts zur Vorratsdatenspeicherung. Darin habe das Gericht betont, dass die Internetnutzung nicht inhaltlich festgehalten und damit rekonstruierbar bleiben dürfe.

Tipp der Redaktion

EU-Datenschutzgrundverordnung (DSGVO)

Im Mai 2018 endet die Übergangsfrist für die neue EU-Datenschutzverordnung. Welche Neuerungen sie bringt, was passiert, wenn sich Firmen nicht daran halten und wie sich Unternehmen vorbereiten können, erfahren Sie im Special auf silicon.de.

Redaktion

Recent Posts

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

12 Stunden ago

SoftwareOne: Cloud-Technologie wird sich von Grund auf verändern

Cloud-Trends 2025: Zahlreiche neue Technologien erweitern die Grenzen von Cloud Computing.

12 Stunden ago

KI-basierte Herz-Kreislauf-Vorsorge entlastet Herzspezialisten​

Noah Labs wollen Kardiologie-Praxen und Krankenhäuser in Deutschland durch KI-gestütztes Telemonitoring von Patienten entlasten.

12 Stunden ago

IBM sieht Nachhaltigkeit als KI-Treiber

Neun von zehn deutschen Managern erwarten, dass der Einsatz von KI auf ihre Nachhaltigkeitsziele einzahlen…

17 Stunden ago

Wie KI das Rechnungsmanagement optimiert

Intergermania Transport automatisiert die Belegerfassung mit KI und profitiert von 95 Prozent Zeitersparnis.

1 Tag ago

Zukunft der europäischen Cybersicherheit ist automatisiert

Cyberattacken finden in allen Branchen statt, und Geschwindigkeit und Häufigkeit der Angriffe werden weiter zunehmen,…

1 Tag ago