BGH überlässt Entscheidung zur Speicherung dynamischer IP-Adressen dem EuGH

Ob die Speicherung dynamischer IP-Adressen zur Abwehr von Angriffen und strafrechtlichen Verfolgung auf den meisten allgemein zugänglichen Portalen des Bundes rechtens ist, bleibt vorerst ungeklärt. Der Bundesgerichtshof hat ein laufendes Verfahren gegen die Bundesrepublik Deutschland nun ausgesetzt und zwei Fragen zur Auslegung der EG-Datenschutz-Richtlinie dem Europäischen Gerichtshof in Luxemburg zur Vorabentscheidung vorgelegt (Az. VI ZR 135/13).

Von Besuchern der staatlichen Websites werden unter anderem der Name der abgerufenen Seite, der Zeitpunkt des Abrufs und die IP-Adresse des zugreifenden Rechners aufgezeichnet und gespeichert. Der Kläger verlangt, dass ihm zugewiesene IP-Adressen nach dem Ende des jeweiligen Nutzungsvorgangs gelöscht werden. Das Amtsgericht Berlin Tiergarten hatte die Klage am 13. August 2008 komplett abgewiesen (Aktenzeichen 2 C 6/08). Im Berufungsverfahren stimmte das Landgericht Berlin am 31. Januar 2013 dem Unterlassungsanspruch dann jedoch zu (Aktenzeichen 57 S 87/08). Es untersagte die Speicherungen von IP-Adressen in Verbindung mit dem Zeitpunkt der Nutzung – vorausgesetzt, dabei wurden die Personalien eingegeben. Mit diesem Urteil war keine der Streitparteien einverstanden, weshalb beide dagegen Revision einlegten.

Knackpunkt des Streits ist, ob dynamische IP-Adressen als personenbezogene Daten zu werten sind oder nicht. Als solche wären sie von der EU-Richtlinie zum Datenschutzrecht geschützt. In Fällen, in denen Nutzer während des Besuchs einer Website keine Personalien angegeben haben, ist sich der BGH nun aber nicht sicher, ob das der Fall ist: „Denn nach den getroffenen Feststellungen lagen den verantwortlichen Stellen keine Informationen vor, die eine Identifizierung des Klägers anhand der IP-Adressen ermöglicht hätten. Auch durfte der Zugangsanbieter des Klägers den verantwortlichen Stellen keine Auskunft über die Identität des Klägers erteilen“, begründet der Bundesgerichtshof seine Zweifel.

Die nun dem EuGH vorgelegte erste Frage lautet daher: Stellt eine IP-Adresse schon dann ein personenbezogenes Datum dar, wenn lediglich ein Dritter über das zur Identifizierung der dahinterstehenden Person erforderliche Zusatzwissen verfügt. Ist die IP-Adresse des Nutzers ein personenbezogenes Datum, dann darf sie – da keine Einwilligung des Nutzers eingeholt wird – nicht ohne gesetzliche Erlaubnis gespeichert werden.

Das Argument, die Speicherung der IP-Adressen sei erforderlich, um Sicherheit und Funktionsfähigkeit des Angebots zu gewährleisten, hat den BGH nicht gänzlich überzeugt. Er geht eher davon aus, dass die Datenerhebung und -verwendung nur erlaubt ist, um die Nutzung zu ermöglichen – die anschließende Speicherung aber nicht mehr. Eine Ausnahme wäre, wenn sie für eine spätere Abrechnung benötigt würden – was bei den staatlichen Webseiten aber natürlich nicht der Fall ist.

Die zweite Frage des BGH an den EuGH lautet daher, ob sich Paragraf 15 Absatz 1 des deutschen Telemediengesetzes mit der EG-Datenschutz-Richtlinie verträgt. Dem deutschen Gesetz zufolge darf der Diensteanbieter personenbezogene Daten ohne Einwilligung des Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die konkrete Inanspruchnahme des Dienstes durch die jeweilige Person zu ermöglichen und abzurechnen. Der von den Bundesbehörden ins Feld geführte Zweck, die generelle Funktionsfähigkeit zu gewährleisten, würde demnach die Speicherung über das Ende der Nutzung hinaus nicht rechtfertigen.

Derzeit verhandeln EU-Parlament und Ministerrat über eine neue EU-Datenschutzverordnung. Diese sieht nicht nur härtere Strafen bei Verstößen vor, sondern soll auch für einen besseren Schutz der Privatsphäre sorgen. Die aktuell noch geletenden Datenschutzregeln stammen aus dem Jahr 1995 und sollen daher nun ebenso abgelöst werden wie die individuellen nationalen Bestimmungen der EU-Mitgliedsstaaten. Im Gegensatz zur gegenwärtigen Datenschutzrichtlinie sind einzelne Mitgliedsstaaten dann jedoch nicht mehr in der Lage, in ihrer nationalen Gesetzgebung höhere Datenschutzstandards festzusetzen. Dies war vor allem in Deutschland, aber auch in Großbritannien, auf Kritik gestoßen.

[mit Material von Peter Marwan, ITespresso.de]

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago