BGH:

Zulässigkeit der Speicherung von IP-Adressen

In welchem Umfang und zu welchem Zweck dürfen Webseitenbetreiber IP-Adressen von Nutzern speichern? Der Bundesgerichtshof hat sich zur Speicherung von IP-Adressen geäußert.

Speicherung von IP-Adressen, Datenschutz
Rob Kints / Shutterstock.com – We are Anonymous

Der Piraten-Politiker Patrick Breyer verklagte die Bundesrepublik Deutschland auf Unterlassung wegen der Speicherung dynamischer IP-Adressen. Dies wurden bei einer Vielzahl von Internetangeboten des Bundes, die Herr Breyer aufgerufen hatte, protokolliert. Der Pirat Breyer will mit seiner Klage erreichen, dass die ihm zugewiesene IP-Adresse nach Beendigung der Nutzung der betreffenden Webseiten nicht gespeichert wird.

Die beklagte Bundesrepublik Deutschland verweist auf die Erforderlichkeit der Speicherung zur Abwehr von Angriffen und Ermöglichung strafrechtlicher Verfolgung.

Hintergrund sind die gesetzlichen Regelungen, wonach personenbezogene Daten nur gespeichert werden dürfen, wenn dies gesetzlich erlaubt ist oder der Betroffene einwilligt. Die relevante Regelung erlaubt eine Speicherung personenbezogener Daten um die Inanspruchnahme von Internetangeboten zu ermöglichen und abzurechnen.

Dynamische IP-Adresse und Datenschutz

Eine der zentralen Fragen war, ob eine dynamische IP-Adresse ein personenbezogenes Datum ist oder nicht. Denn der Webseitenbetreiber kann regelmäßig mit der dynamischen IP-Adresse keine Person identifizieren. Dies kann üblicherweise nur der Anbieter des Internetanschlusses des Nutzers. Der BGH hatte diese Frage in dem Verfahren dem EuGH vorgelegt. Dieser hatte entschieden, dass eine IP-Adresse trotzdem ein personenbezogenes Datum sein kann (vgl. EuGH – C-582/14).

Entscheidung des BGH zur Speicherung von IP-Adressen

Mit Urteil vom 16.05.2017 – Az. VI ZR 135/13 hob der BGH die Vorentscheidungen auf Verwies das Verfahren zurück an die Vorinstanz.

Nachdem es sich – laut EuGH – bei der dynamischen IP-Adresse um ein personenbezogenes Datum handele, bedürfe es einer gesetzlichen Erlaubnis. Dabei seien die deutschen Regelungen unter Berücksichtigung der europäischen Regelungen auszulegen, so dass ein Webseitenbetreiber personenbezogene Daten eines Nutzers ohne dessen Einwilligung auch dann über das Ende eines Nutzungsvorgangs hinaus erheben und verwenden darf, wenn die Erhebung und Verwendung erforderlich sind, um die generelle Funktionsfähigkeit der Dienste zu gewährleisten.

Hierbei müssten allerdings die betroffenen Grundrechte des Nutzers und die Interessen des Webseitenbetreibers gegeneinander abgewogen werden. Dabei seien Dinge, wie das Gefahrenpotential und der „Angriffsdruck“ für eine Webseite zu berücksichtigen. Da hierzu aber von den Vorinstanzen keine Feststellungen vorlägen, müsste dies nun vorab geklärt werden.

Fazit

Das Urteil des BGH dürfte eine Abwägung im Einzelfall erforderlich machen, deren Ausgang für die meisten Webseitenbetreiber nicht vorhersehbar ist. Denn was ist schon ein ausreichendes  Gefahrenpotential oder ein „Angriffsdruck“? Letztlich ist jede Webseite ja solchen Gefahren ausgesetzt, gleichwohl wird man mit der Argumentation des BGH gerade nicht für jede Webseite eine solche Ausnahme beanspruchen können. Denn sonst wäre die Abwägung ja überflüssig.

Webseitenbetreiber werden sich wohl darauf einstellen müssen, auch dynamische IP-Adressen nach Beendigung der Nutzung zu löschen oder anonymisieren, es sei denn, sie sind noch zu Abrechnungszwecken erforderlich.

 

Artikel als PDF speichern

Clemens Pfitzer

Rechtsanwalt . Partner
Fachanwalt für:
Gewerblicher Rechtsschutz
IT-Recht
+49 711 41019072

Rechtsgebiete zu dieser News