Zulässiges Speichern von dynamischen IP-Adressen
Speichern einer dynamischen IP-Adresse zur Abwehr von Cyberattacken zulässig
EuGH, Urt. v. 19.10.2016, Az.: C-582/14
Ein Website-Betreiber kann ein berechtigtes Interesse daran haben, bestimmte personenbezogene Daten zu speichern, um die generelle Funktionsfähigkeit seiner Website sicherzustellen.
Dies geht aus der Entscheidung des Europäischen Gerichtshofs vom 19.10.2016 (Az.: C-582/14) hervor.
Sachverhalt
Im zugrunde liegenden Fall rief der Kläger Websites von Einrichtungen des Bundes auf. Diese zeichneten nicht nur den Zeitpunkt des Zugriffs auf, sondern speicherten auch seine Internetprotokoll-Adressen (IP-Adressen), um sich gegen Cyberattacken zu schützen und eine Strafverfolgung möglich zu machen. Hiergegen klagte er vor den deutschen Gerichten. Der Bundesgerichtshof erbat dann eine Vorabentscheidung des Gerichtshofs der Europäischen Union zur Frage, inwieweit die dynamische IP-Adresse ein personenbezogenes Datum darstellt und entsprechenden Schutz genießt. Darüber hinaus möchte der Gerichtshof wissen, ob der Website-Anbieter grundsätzlich die Möglichkeit haben muss, personenbezogene Daten der Nutzer zu verwenden, um die generelle Funktionsfähigkeit seiner Website zu sichern.
Dynamische IP-Adressen = personenbezogene Daten?
Anders als statische IP-Adressen ändern sich dynamische IP-Adressen mit jeder neuen Internetverbindung. Das heißt, dass für die Identifizierung des Nutzers Zusatzinformationen benötigt werden, über die nur der jeweilige Internetzugangsanbieter verfügt.
Aus dem Urteil des Europäischen Gerichtshofs ist zu entnehmen, dass dynamische IP-Adressen immer dann personenbezogene Daten darstellen, wenn der Betreiber der Website über rechtliche Mittel verfügt, die es ihm erlauben den Nutzer über dessen Internetzugangsanbieter bestimmen zu lassen. Eine solche Möglichkeit besteht in Deutschland. Der Website-Anbieter kann sich gerade bei Cyberattacken an die zuständige Behörde wenden, um an die entsprechenden Zusatzinformationen des Internetzugangsanbieters zu gelangen und das Strafverfahren einzuleiten.
Unionsrecht vs. deutsches Recht
Die einschlägige Norm wurde in Deutschland von der herrschenden Lehre bisher so ausgelegt, dass der Betreiber einer Website die dynamischen IP-Adressen am Ende des jeweiligen Nutzungsvorgangs löschen muss und ausschließlich für Abrechnungszwecke, nicht aber für die generelle Funktionsfähigkeit der Website, speichern darf. Das heißt, dass die personenbezogenen Daten ohne Einwilligung des Nutzers nur gespeichert und verwendet werden durften, um die konkrete Inanspruchnahme der Dienste durch den Nutzer zu ermöglichen. Dem entgegen steht das Unionsrecht, wonach der Website-Betreiber die dynamische IP-Adresse eben doch speichern darf, wenn dies für die Gewährleistung der generellen Funktionsfähigkeit der Website notwendig ist. Dieses berechtigte Interesse des Betreibers seine Website vor Cyberattacken zu schützen gilt aber nur, wenn die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen.
Kein Kommentar