Darf der Staat speichern, unter welchen IP-Adressen Nutzer auf seine Webseiten zugreifen? Darf er, sagt der Europäische Gerichtshof – und wertet IP-Adressen zugleich zu personenbezogenen Daten auf.
Wer eine Webseite des Bundes besucht, dessen IP-Adresse wird in einer Protokolldatei gespeichert. Damit sollen Cyberangriffe abgewehrt und Hacker strafrechtlich verfolgt werden können, argumentiert die Bundesregierung. Patrick Breyer sieht das anders. Der Jurist und Landtagsabgeordnete der Piraten in Schleswig-Holstein fürchtet, Nutzer könnten sich allein durch den Besuch bestimmter Webseiten verdächtig machen, und hat geklagt. Nach mehreren Verfahren hat nun der Europäische Gerichtshof dazu ein Grundsatzurteil gefällt.
Um den Datenverkehr im Internet zu organisieren, werden für alle im Netz befindlichen Geräte so genannte IP-Adressen vergeben. In den meisten Fällen sind diese dynamisch, ändern sich also regelmäßig. Das bedeutet, dass zur eindeutigen Identifizierung eines Anschlusses die Information nötig ist, wann welcher Anschluss welche IP-Adresse genutzt hat. Diese Informationen liegen bei den Internet Service Providern vor, als den Unternehmen, die den Internetanschluss bereitstellen.
Auch IPs sind personenbezogene Daten
Der EuGH stellt in seinem Urteil fest, dass es sich bei diesen dynamischen IP-Adressen um personenbezogene Daten handeln kann. Zwar kann der Betreiber einer Webseite anhand der IP-Adresse eines Nutzers nicht direkt dessen Identität feststellen. Jedoch gibt es „für den Anbieter von Online-Mediendiensten rechtliche Möglichkeiten, die es ihm erlauben, sich insbesondere im Fall von Cyberattacken an die zuständige Behörde zu wenden, um die fraglichen Informationen vom Internetzugangsanbieter zu erlangen und die Strafverfolgung einzuleiten“, wie die Luxemburger Richter in ihrem Urteil feststellen. Damit sind Webseitenbetreiber auch bei der Verarbeitung von IP-Adressen an das Datenschutzrecht gebunden – es sei denn, sie haben keinerlei Möglichkeit, die zur Identifizierung notwendigen Informationen der Zugangsanbieter zu erhalten. Der EuGH beantwortet damit eine seit langem umstrittene Frage.
Unter welchen Umständen personenbezogene Daten verarbeitet werden dürfen, regel die EU-Datenschutzrichtlinie (95/46/EG). Dort heißt es in Artikel 7:
„Die Mitgliedstaaten sehen vor, daß die Verarbeitung personenbezogener Daten lediglich erfolgen darf, wenn eine der folgenden Voraussetzungen erfuellt ist:
a) Die betroffene Person hat ohne jeden Zweifel ihre Einwilligung gegeben;
b) die Verarbeitung ist erforderlich für die Erfuellung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person erfolgen;
c) die Verarbeitung ist für die Erfuellung einer rechtlichen Verpflichtung erforderlich, der der für die Verarbeitung Verantwortliche unterliegt;
d) die Verarbeitung ist erforderlich für die Wahrung lebenswichtiger Interessen der betroffenen Person;
e) die Verarbeitung ist erforderlich für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt und dem für die Verarbeitung Verantwortlichen oder dem Dritten, dem die Daten übermittelt werden, übertragen wurde;
f) die Verarbeitung ist erforderlich zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person, die gemäß Artikel 1 Absatz 1 geschützt sind, überwiesen.“
Telemediengesetz verstößt gegen EU-Recht
Entscheidend ist hier nun Buchstabe f, der die Verarbeitung bei einem berechtigten Interesse gestattet. Nach dem deutschen Telemediengesetz wäre eine Speicherung personenbezogener Daten in diesem Fall nur erlaubt, wenn dies dazu dient, einen Dienst zur Verfügung zu stellen und abzurechnen. Länger dürften IP-Adressen nicht gespeichert werden. Der EuGH sieht das anders und stellt so fest, dass das Telemediengesetz hier nicht mit EU-Recht vereinbar ist, denn:
„Die Einrichtungen des Bundes, die Online-Mediendienste anbieten, könnten aber auch ein berechtigtes Interesse daran haben, die Aufrechterhaltung der Funktionsfähigkeit der von ihnen allgemein zugänglich gemachten Websites über ihre konkrete Nutzung hinaus zu gewährleisten.“
Heißt: Der Schutz vor Cyberangriffen kann also solch ein berechtigtes Interesse begründen. In diesem Fall müsse dann zwischen diesem Interesse und den Grundrechten der Nutzer abgewogen werden.
Der grüne Europaabgeordnete und Datenschutz-Experte Jan-Philipp Albrecht ist mit dem Urteil zufrieden:
„Natürlich ist diese Nutzung der Nutzerdaten zur Abwehr von Cyberattacken eine Freigabe der Nutzung von personenbezogenen Daten. Aber auf der anderen Seite steht eben auch, dass das denjenigen, der die Daten erhebt, überhaupt nicht vom Datenschutz entledigt – sondern lediglich feststellt, dass in diesem Fall eine Ausnahme zum Einwilligungsgebot besteht. Das heißt trotzdem, dass man eben immer die Grundsätze des Datenschutzes und natürlich auch alle anderen Rechte der Individuen beachten muss. Und dazu gehört eben auch, dass ich Auskunft geben muss, dass ich sie löschen muss, dass immer wieder überprüft werden muss, ob sie wirklich noch notwendig sind.“
Datenschutz-Aktivist und Kläger Patrick Breyer hingegen fürchtet in einem Statement zum Urteil zunehmende Überwachung der Internet-Nutzer:
„Die EU schützt Internetnutzer nicht vor einer massenhaften Aufzeichnung ihres Internet-Nutzungsverhaltens und verbietet sogar nationale Gesetze dagegen. Damit werden Internetanbieter uns im Netz weiterhin auf Schritt und Tritt verfolgen und Informationen über unsere privaten Interessen und Vorlieben sammeln und weitergeben. Die EU muss diese inakzeptable Schutzlücke in ihrem Datenschutzrecht schnellstmöglich durch ein neues Gesetz schließen!“
