Gratis
20. Januar 2017 - Europäischer Gerichtshof

Urteil: Dynamische IP-Adressen sind personenbeziehbar

Drucken

Der Umbruch des Datenschutzes im Bereich Telemedien beginnt – nämlich mit der Grundsatzentscheidung des Europäischen Gerichtshofs zur IP-Adresse sowie zur Frage, ob das Telemediengesetz mit europäischem Recht in Einklang steht. Welche Folgen hat das für die Praxis?

EuGH urteilt zu Personenbezug von IP-Adressen Das berechtigte Interesse des Dienste-anbieters ist künftig zu berücksichtigen, auch wenn das TMG dies nicht vorsieht (Bild: Vaniatos / iStock / Thinkstock)

Der Europäische Gerichtshof (EuGH) hat mit seiner Entscheidung vom 19. Oktober 2016 (C-582/14) gleich zwei grundlegende Rechtsfragen geklärt:

  • Bei der ersten Frage musste der EuGH entscheiden, ob es sich bei der dynamischen IP-Adresse um ein personenbezogenes Datum handelt.
  • Gegenstand der zweiten Vorlagefrage war das Telemediengesetz (TMG). Der EuGH sollte klären, ob das TMG mit der Datenschutz-Richtlinie (Richtlinie 95/46/EG) vereinbar ist.

Personenbezug der IP-Adresse bisher umstritten

Seit jeher streiten sich die Datenschützer über die Frage, wann eine Information ein personenbezogenes Datum ist. Bei der dynamischen IP-Adresse war der Streit besonders brisant.

Denn handelt es sich bei der IP-Adresse um kein personenbezogenes Datum, wäre das Datenschutzrecht überhaupt nicht anwendbar. Und Diensteanbieter könnten mit der IP-Adresse nach Belieben umgehen.

Vor diesem Hintergrund wurde heftig diskutiert:

  • Für die Vertreter der objektiven bzw. absoluten Theorie liegt ein personenbezogenes Datum vor, wenn irgendein Dritter über genügend Informationen verfügt, um eine Person zu bestimmen. Nicht maßgeblich ist, ob der Verantwortliche selbst in der Lage ist, die Information einer Person zuzuordnen, oder wie groß der Aufwand dafür ist. Für die Praxis hieße das, dass nahezu jede Einzelinformation bei Verknüpfung ein personenbezogenes Datum wäre.
  • Die Anhänger der relativen Theorie sind weniger streng. Für sie ist allein von Bedeutung, ob die verantwortliche Stelle selbst über die Kenntnis verfügt. Eigenes Zusatzwissen oder das Wissen Dritter wird nur dann berücksichtigt, wenn es vernünftigerweise in Betracht kommt.

EuGH: IP-Adresse ist personenbezogen – unter bestimmten Voraussetzungen

Der Diensteanbieter kann in den meisten Fällen die IP-Adresse nicht selbst einer Person zuordnen. Das sah auch der Europäische Gerichtshof so.

Das Gericht stellte klar, dass die dynamische IP-Adresse keine Information ist, die sich auf eine „bestimmte Person“ bezieht. Es ergebe sich aus der IP-Adresse nicht unmittelbar die Identität einer Person, so der EuGH. Das leuchtet ein: Aus der IP-Adresse „195.200.71.141“ kann der Diensteanbieter nicht auf „Max Mustermann“ schließen.

Nach Ansicht des EuGH handelt es sich aber um eine Information über eine „bestimmbare Person“, wenn der Diensteanbieter über Zusatzwissen des Internet-Providers verfügt.

Indirekte Identifizierung reicht aus

Eine indirekte Identifizierung ist also ausreichend. Das leitet der EuGH aus der Datenschutz-Richtlinie ab. Dort heißt es, dass alle Mittel berücksichtigt werden sollen, die vernünftigerweise zur Identifizierung einer Person eingesetzt werden könnten. Der EuGH spricht sich damit klar für den relativen Personenbezug aus.

Der Diensteanbieter muss also nicht zwingend allein über die Informationen zur Identifizierung verfügen. Er kann auch auf das Wissen Dritter zurückgreifen. Die entscheidende Frage ist also, ob dem Diensteanbieter das Wissen des Internet-Providers zuzurechnen ist.

Zusatzwissen nicht immer zu berücksichtigen

Bekannt ist, dass der Diensteanbieter keinen generellen Anspruch gegenüber dem Internet-Anbieter hat, den Namen des Nutzers einer bestimmten IP-Adresse zu erfahren.

Allerdings gibt es Fälle, in denen der Diensteanbieter Auskunft verlangen kann. Das gilt z.B. bei Filesharing-Fällen oder bei Cyber-Angriffen – hier führt der Weg über die Ermittlungsbehörden. Sie können bei Verdacht einer Straftat an den Telekommunikations-anbieter herantreten und die Zusatzinformationen anfordern.

Allein in diesen Fällen verfügt der Diensteanbieter über vernünftige Mittel, um eine Person anhand von Zusatzwissen zu identifizieren.

In der Praxis sieht es anders aus

Der EuGH entschied einen Fall, in dem ausschließlich die IP-Adresse gespeichert wurde. Weitere Daten, z.B. die E-Mail-Adresse, wurden nicht verarbeitet. Das entspricht aber nicht der Regel. Der klassische Internetnutzer

  • loggt sich in sein Kundenkonto ein,
  • meldet sich für einen Newsletter mit seiner E-Mail-Adresse an oder
  • gibt seine Kontaktdaten beim Absenden einer Bestellung an.

In diesen Fällen hat der Webseitenbetreiber mehr Informationen als nur die IP-Adresse, sodass er selbst den Personenbezug herstellen kann. Auf die Frage, ob das Zusatzwissen des Dritten zu berücksichtigen ist, kommt es gar nicht mehr an. IP-Adressen sind damit in solchen Konstellationen eindeutig personenbezogene Daten.

Telemediengesetz nicht mit Datenschutz-Richtlinie vereinbar

Die zweite Vorlagefrage betrifft das Verhältnis zwischen Datenschutz-Richtlinie und nationalem Recht, hier dem Telemediengesetz. Das TMG kennt, anders als die Richtlinie, keine Interessenabwägung in den Erlaubnistatbeständen § 14 und § 15 TMG.

Die Erhebung und Verarbeitung von personenbezogenen Daten ist hiernach nur zulässig, soweit es für das Vertragsverhältnis oder die Diensterbringung erforderlich ist. Ein Rückgriff auf die §§ 28 ff. Bundesdatenschutzgesetz (BDSG) war nicht möglich.

Der EuGH hatte nun zu klären, ob eine nationale Vorschrift, die das berechtige Interesse des Diensteanbieters nicht berücksichtigt, mit der Richtlinie vereinbar ist.

Der EuGH stellte klar, dass dies eindeutig im Widerspruch zur Richtlinie steht. Die Richtlinie entfaltet „vollharmonisierende“ Wirkung. Das heißt im Klartext, dass nationale Regelungen die Datenverarbeitung weder einschränken noch erweitern dürfen, es sei denn, die Richtlinie bestimmt dies.

Ab sofort richtlinienkonforme Auslegung durch Aufsichtsbehörden

Dieser Mangel des TMG lässt sich nur beheben, indem künftig eine Interessenabwägung ähnlich dem § 28 BDSG „hineingelesen“ wird. Die Erhebung und Verarbeitung der IP-Adresse sowie anderer Nutzungsdaten ist also auch dann zulässig, wenn der Diensteanbieter ein berechtigtes Interesse daran hat, z.B. um die Sicherheit und Funktionsfähigkeit des Dienstes zu gewährleisten.

Pauschaler Hinweis auf IT-Sicherheit reicht nicht!

Dieser Grundsatz klingt auf den ersten Blick wie eine Erlaubnis zur Vorratsdatenspeicherung. Aber Achtung! Die Aufsichtsbehörden werden künftig ganz genau hinsehen, wenn der Verantwortliche die Verarbeitung von Nutzungsdaten auf Sicherheitszwecke stützt.

Liegt kein plausibles IT-Sicherheitskonzept vor oder speichert der Verantwortliche Log-Dateien, ohne die Absicht zu haben, sie jemals auszuwerten, liegt kein berechtigtes Interesse vor. Eine Speicherung der IP-Adresse wäre dann unzulässig.

Kristin Benedikt
Kristin Benedikt ist Referatsleiterin für die Themen Internet, Telemedien und Apps beim Bayerischen Landesamt für Datenschutzaufsicht.