EuGH: Speicherung von IP-Adressen kann erlaubt sein
Ein großes Streitthema unter Datenschützern ist die Speicherung von IP-Nummern durch Seitenbetreiber. Einige sind der vertretbaren Auffassung, dass es sich bei der dynamisch vergebenen IP-Nummer um kein personenbezogenes Datum sondern um eine datenschutzrechtlich neutrale, technische Adresse handelt. Nur für den Access-Provider des Nutzers stellt die IP-Nummer ein personenbezogenes Datum dar, weil nur er die Ip-Nummer einer natürlichen Person zuordnen kann. Die Gegenmeinung ist der Ansicht, dass diese Verknüpfung -sei es auch nur mit richterlichem Beschluss- eben mit verhältnismäßig geringem Aufwand zusammengeführt werden können und daher die IP-Nummer keine ausreichende Anonymisierung darstellt.
Wenn man der herrschenden Meinung der Aufsichtsbehörden folgt, dann benötigt jeder Webseitenbetreiber für die Speicherung der IP-Nummer eine Erlaubnis aus dem BDSG (ab 2018 DSGV) oder aber die Einwilligung der Besucher der Webseite. Denn dann wäre die Speicherung der IP-Nummer die Speicherung eines personenbezogenen Datums und es gilt das Totalverbot mit Erlaubnisvorbehalt des BDSG. Über die Frage, ob im Einzelfall das Interesse des Seitenbetreibers überwiegen kann, und er auch ohne Erlaubnis oder Einwilligung die IP-Nummer speichern kann, hat nun der EuGH (Rechtssache C-582/14) auf eine Vorlage des BGH entschieden.
Der deutsche BGH wollte wissen, ob in diesem Zusammenhang auch „dynamische“ IP-Adressen für den Betreiber der Website personenbezogene Daten darstellen, so dass sie den für solche Daten vorgesehenen Schutz des BDSG genießen. Eine „dynamische“ IP-Adresse ist eine IP-Adresse, die sich bei jeder neuen Internetverbindung ändert und daher nicht anhand allgemein zugänglicher Dateien eine Verbindung zwischen einem Computer und dem vom Internetzugangsanbieter gezogen werden kann.
Hierzu entschied nun der EuGH zunächst, dass eine dynamische IP-Adresse, die von einem „Anbieter von Online-Mediendiensten“ (d. h. vom Betreiber einer Website, hier den Einrichtungen des Bundes) beim Zugriff auf seine allgemein zugängliche Website gespeichert wird, für den Betreiber ein personenbezogenes Datum darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, den Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen. In Deutschland gibt es rechtliche Möglichkeiten gibt, die es dem Anbieter von Webseiten-Inhalten erlauben, sich insbesondere im Fall von Cyberattacken an die zuständige Behörde zu wenden, um die fraglichen Informationen vom Internetzugangsanbieter zu erlangen und anschließend die Strafverfolgung einzuleiten.
Nach Ansicht des EuGH widerspricht eine Auslegung des BDSG, nach der ein Anbieter von Online-Mediendiensten personenbezogene Daten eines
Nutzers dieser Dienste ohne dessen Einwilligung nur erheben und verwenden darf, soweit ihre Erhebung und ihre Verwendung für die konkrete Inanspruchnahme der Dienste und deren Abrechnung erforderlich sind, geltendem EU-Recht. Vielmehr ist die Verarbeitung personenbezogener Daten nach dem Unionsrecht u.a. bereits dann rechtmäßig, wenn sie zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von Dritten wahrgenommen wird, denen die Daten übermittelt werden, erforderlich ist, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.
Die deutsche Regelung schränkt nach ihrer in der Lehre überwiegend vertretenen Auslegung die Tragweite dieses Grundsatzes ein, indem sie es ausschließt, dass der Zweck, die generelle Funktionsfähigkeit des Online-Mediums zu gewährleisten, Gegenstand einer Abwägung mit dem Interesse oder den Grundrechten und Grundfreiheiten der Nutzer sein kann. Der EuGH hebt in diesem Zusammenhang hervor, dass die Einrichtungen des Bundes, die Online-Mediendienste anbieten, ein berechtigtes Interesse daran haben könnten, die Aufrechterhaltung der Funktionsfähigkeit der von ihnen allgemein zugänglich gemachten Websites über ihre konkrete Nutzung hinaus zu gewährleisten.
In Zukunft wird es also darauf ankommen, dass man im Einzelfall für die eigene Webseite das Interesse formuliert und mit dem vermuteten Interesse des Webseitenbesuchers abwägt. Das Ergebnis dieser Abwägung ist zu dokumentieren. Das Interesse, die IP-Daten für Werbezwecke mit anderen Informationen (Coockies) zusammen zu führen und nutzerbezogene Werbung schalten zu können, wird aber wohl regelmäßig nicht gegenüber dem vermuteten Interesse des Nutzers auf Anonymität überwiegen. Hier bleibt die Erlaubnis durch Einwilligung das einzige Mittel für eine rechtskonforme Umsetzung.