IP-Adressen sind personenbezogene Daten
Der Europäische Gerichtshof (EuGH) hat in seinem Urteil zu IP-Adressen vom 19. Oktober 2016 eine Grundsatzfrage beantwortet, die umstritten war, seit das Internet Mitte der 1990er Jahre ein Massenphänomen wurde: Er sieht IP-Adressen als personenbezogene Daten an, die dem Datenschutzrecht unterfallen.
Das Problem
Das Datenschutzrecht gilt nur für Daten, die auf eine bestimmte (natürliche) Person bezogen oder beziehbar sind. Name, Anschrift, Geburtsdatum usw. einer Person sind daher personenbezogen. Gilt das aber auch für eine IP-Adresse? Einerseits ist sie eine nichtssagende Zahlenkombination, andererseits ist sie aber einem bestimmten Internetnutzer zugeordnet.
Wie eine Telefonnummer oder Postadresse dient die IP-Adresse dazu, die Kommunikation an einen bestimmten Kommunikationspartner zu adressieren. Nach dem Internet-Protokoll (IP) erhält jeder Computer, der an der Kommunikation im Internet teilnimmt, eine weltweit eindeutige IP-Adresse. Ruft der Internetnutzer z.B. eine Website auf, teilt sein Browser dem Webserver mit, an welche IP-Adresse dieser die Datenpakete schicken muss, die dann auf dem Bildschirm des Internetnutzers Text und Grafik der gewünschten Seite ergeben.
Anhand der IP-Adresse kann der Betreiber der Website erkennen, über welchen Access-Provider und aus welchem Land ein Nutzer kommt. Aber kann er den Nutzer auch als Person identifizieren, ist die IP-Adresse also auf eine bestimmte Person beziehbar? Oder ist der Nutzer trotz der bekannten IP-Adresse anonym, weil sich ohne Zusatzinformation mit der IP-Adresse als solcher nichts anfangen lässt?
Rechtlicher Ausgangspunkt
Da das deutsche Datenschutzrecht die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) umsetzt, ist die dortige Definition für das deutsche Recht maßgeblich. Nach Art. 2 der Richtlinie ist ein Datum personenbezogen, wenn der Betroffene „direkt oder indirekt identifiziert werden kann“. Im 26. Erwägungsgrund der Richtlinie heißt es dazu, hinsichtlich der Identifizierbarkeit „sollten alle Mittel berücksichtigt werden, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen.“
Daraus ergibt sich ohne Weiteres, was der EuGH bereits 2011 im Urteil in der Rechtssache „Scarlet Extended“ entschieden hat: Der Access-Provider, über den ein Nutzer ins Internet geht, und der dem Nutzer die IP-Adresse zugeteilt hat (so wie der Telefonanbieter eine Telefonnummer zuteilt oder die Post eine Postfachnummer zuteilt), kennt seinen Kunden natürlich. Für den Access-Provider ist die IP-Adresse also personenbezogen.
Für andere Akteure im Internet kommt es darauf an, ob es einen praktisch relevanten Weg gibt, an die Informationen zu gelangen, die zunächst nur der Access-Provider hat, und die von der IP-Adresse zu einer bestimmten Person führt.
Stellungnahme des EuGH
Der EuGH hält es für ausreichend, dass nach der deutschen Rechtslage ein Websitebetreiber, der eine Strafanzeige wegen einer Cyberattacke (strafbar als Datenveränderung oder Computersabotage nach §§ 303a, 303b StGB) stellt, über das Akteneinsichtsrecht aus der Strafakte ersehen kann, wen die Staatsanwaltschaft als Inhaber der IP-Adresse ermittelt hat.
Zwar hängt das von Abwägungen im Einzelfall ab, und es gibt auch keinen direkten Auskunftsanspruch des Websitebetreibers gegen den Access-Provider (anders als bei der Verletzung von Rechten des geistigen Eigentums). Jedoch ist der Weg von der IP-Adresse zur Identifikation ihres Inhabers rechtlich nicht von vornherein versperrt. Das genügt dem EuGH, um diese Möglichkeit für die Personenbeziehbarkeit berücksichtigen. Die IP-Adresse ist daher für den Websitebetreiber personenbezogen.
Konsequenzen
Die Erhebung und Weiterverarbeitung (z.B. Speicherung) von personenbezogenen Daten bedarf immer einer Rechtsgrundlage. Das bedeutet, dass für Logfiles, in denen IP-Adressen über die Dauer des Besuchs auf der Website hinaus gespeichert werden sollen, eine gesetzliche Erlaubnis erforderlich ist. In der deutschen Regelung in § 15 Telemediengesetz (TMG) ist keine solche Rechtsgrundlage enthalten.
Mit der Begründung, dass erstens die IP-Adresse personenbezogen ist und es zweitens keine Rechtsgrundlage für die dauerhafte Speicherung gibt, wollte der Kläger des Ausgangsverfahrens der Bundesrepublik Deutschland verbieten lassen, Logfiles anzulegen.
Der EuGH hat sich aber nur im ersten Punkt der Ansicht des Klägers angeschlossen. Zwar hält er IP-Adressen für personenbezogen, das strenge deutsche Datenschutzrecht verstößt nach seiner Ansicht aber gegen die Vorgaben aus der Datenschutzrichtlinie. Für eine nach der Richtlinie zulässige Datenverarbeitung durfte der deutsche Gesetzgeber nicht strengere Voraussetzungen aufstellen.
Die Richtlinie sieht vor, dass eine Datenverarbeitung zulässig ist, wenn es dafür ein berechtigtes Interesse gibt und nicht die Interessen des Betroffenen überwiegen. Ein berechtigtes Interesse ist es, Nutzer bei einer Cyberattacke nachträglich anhand der IP-Adresse identifizieren zu können. Nach § 15 TMG müsste dagegen die IP-Adresse zwingend mit dem Ende des Nutzungsvorgangs gelöscht werden. Zulässig ist eine längere Speicherung nur, wenn Daten benötigt werden, um eine kostenpflichtige Nutzung abzurechnen oder die missbräuchlich Inanspruchnahme eines kostenpflichtigen Dienstes zu bekämpfen. Logfiles lassen sich bei einer kostenlos abrufbaren Website damit nicht rechtfertigen.
Da die deutsche Regelung strenger ist, als es die europäische Datenschutzrichtlinie zulässt, ist sie europarechtswidrig. Eine europarechtswidrige Regelung des nationalen Rechts dürfen die nationalen Gerichte nicht anwenden.
Fazit
Für den Kläger des Ausgangsverfahrens bedeutet das, dass er letztlich keinen Erfolg haben wird: Der deutsche Bundesgerichtshof muss nach den Vorgaben des EuGH nun die Klage zurückweisen. Websitebetreibern kann nicht untersagt werden, Logfiles anzulegen.
Zugleich ist jetzt aber geklärt, dass IP-Adressen personenbezogen sind. Daher müssen, wenn das nicht bereits geschehen ist, Logfiles oder Webanalyse-Tools, die die IP-Adresse verarbeiten, in der Datenschutzerklärung der Website erwähnt werden. Auch muss, wie dies die europäischen Datenschutzaufsichtsbehörden schon bisher unisono fordern, beim Einsatz von Google Analytics dafür gesorgt werden, dass keine vollständigen IP-Adressen an Google übermittelt werden.
Das Urteil des EuGH ist hier abrufbar.