BGH fragt wegen Speicherung dynamischer IP-Adressen beim EuGH nach
Der Bundesgerichtshof hat im Rechtsstreit um die Speicherung dynamischer IP-Adressen beschlossen, dem Europäischen Gerichtshof zwei Fragen zur Auslegung der EG-Datenschutz-Richtlinie zur Vorabentscheidung vorzulegen. Der Kläger verlangt von der Bundesrepublik Deutschland, keine dynamischen IP-Adressen mehr zu speichern. Derzeit werden die bei den meisten allgemein zugänglichen Internetportalen des Bundes in Protokolldateien festgehalten. Dies wird damit begründet, dass diese Informationen benötigt werden, um Angriffe abzuwehren und die strafrechtliche Verfolgung von Angreifern zu ermöglichen.
Von Besuchern der staatlichen Website werden unter anderem der Name der abgerufenen Seite, der Zeitpunkt des Abrufs und die IP-Adresse des zugreifenden Rechners aufgezeichnet und gespeichert. Der Kläger verlangt, dass ihm zugewiesene IP-Adressen nach dem Ende des jeweiligen Nutzungsvorgangs gelöscht werden. Das Amtsgericht Berlin Tiergarten hatte die Klage am 13. August 2008 komplett abgewiesen (Aktenzeichen 2 C 6/08). Im Berufungsverfahren hat das Landgericht Berlin am 31. Januar 2013 dem Unterlassungsanspruch dann jedoch zugestimmt (Aktenzeichen 57 S 87/08). Es untersagte die Speicherungen von IP-Adressen in Verbindung mit dem Zeitpunkt der Nutzung – vorausgesetzt, dabei wurden die Personalien eingegeben. Mit diesem Urteil war keine der beiden Parteien einverstanden, beide legten dagegen Revision ein.
Knackpunkt des Streits ist, ob dynamische IP-Adressen als personenbezogene Daten zu werten sind. Als solche wären sie von der EU-Richtlinie zum Datenschutzrecht geschützt. In Fällen, in denen Nutzer während des Besuchs einer Website keine Personalien angegeben haben, ist sich der BGH nun aber nicht sicher, ob das der Fall ist: „Denn nach den getroffenen Feststellungen lagen den verantwortlichen Stellen keine Informationen vor, die eine Identifizierung des Klägers anhand der IP-Adressen ermöglicht hätten. Auch durfte der Zugangsanbieter des Klägers den verantwortlichen Stellen keine Auskunft über die Identität des Klägers erteilen“, begründet der Bundesgerichtshof seine Zweifel.
Die nun dem EuGH vorgelegt erste Frage ist daher: Ist eine IP-Adresse schon dann ein personenbezogenes Datum, wenn lediglich ein Dritter über das zur Identifizierung der dahinterstehenden Person erforderliche Zusatzwissen verfügt. Ist die IP-Adresse des Nutzers ein personenbezogenes Datum, dann darf sie – da keine Einwilligung des Nutzers eingeholt wird – nicht ohne gesetzliche Erlaubnis gespeichert werden
Das Argument, die Speicherung der IP-Adressen sei erforderlich, um Sicherheit und Funktionsfähigkeit des Angebots zu gewährleisten, hat den BGH nicht ganz überzeigt. Er geht eher davon aus, dass die Datenerhebung und -verwendung nur erlaubt ist, um die Nutzung zu ermöglichen – die anschließende Speicherung aber nicht mehr. Eine Ausnahme wäre, wenn sie für eine spätere Abrechnung benötigt werden – was bei den staatlichen Webseiten ja aber nicht der Fall ist.
Die zweite Frage des BGH an den EuGH ist daher, ob sich Paragraf 15 Absatz 1 des deutschen Telemediengesetzes mit der EG-Datenschutz-Richtlinie verträgt. Dem deutschen Gesetz zufolge darf der Diensteanbieter personenbezogene Daten ohne Einwilligung des Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die konkrete Inanspruchnahme des Dienstes durch die jeweilige Person zu ermöglichen und abzurechnen. Der von den Bundesbehörden ins Feld geführte Zweck, die generelle Funktionsfähigkeit zu gewährleisten, würde demnach die Speicherung über das Ende der Nutzung hinaus nicht rechtfertigen.
Derzeit verhandeln EU-Parlament und Ministerrat über eine neue EU-Datenschutzverordnung. Diese sieht nicht nur härtere Strafen bei Verstößen vor, sondern soll auch für einen besseren Schutz der Privatsphäre sorgen. Die aktuell noch geletenden Datenschutzregeln stammen aus dem Jahr 1995 und sollen daher nun ebenso abgelöst werden wie die individuellen nationalen Bestimmungen der EU-Mitgliedsstaaten. Im Gegensatz zur gegenwärtigen Datenschutzrichtlinie sind einzelne Mitgliedsstaaten dann jedoch nicht mehr in der Lage, in ihrer nationalen Gesetzgebung höhere Datenschutzstandards festzusetzen. Dies war vor allem in Deutschland, aber auch in Großbritannien, auf Kritik gestoßen.