SAP SECURITY 2017
22.11.17 - 22.11.17
In Walldorf, Leonardo Hotel

Cloud Expo Europe
28.11.17 - 29.11.17
In Frankfurt

Data Centre World
28.11.17 - 29.11.17
In Frankfurt

IT-Tage 2017
11.12.17 - 14.12.17
In Frankfurt, Messe Kap Europa

Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

Der Bundesgerichtshof hat jetzt dem Europäischen Gerichtshof unter anderem die Frage zur Klärung vorgelegt, ob eine IP-Adresse als personenbezogenes Datum gilt,...

... was die Anwendung der Datenschutzvorschriften auf die Erhebung und Speicherung der IP-Adresse zur Folge hätte.

Die deutsche Rechtsprechung hat diese Frage bislang mehrheitlich bejaht und die IP-Adresse als personenbezogen angesehen. Begründet wurde dies damit, dass ein mittelbarer Personenbezug ausreiche. Zwar wäre ohne den Provider, dem diese IP-Adresse zugeordnet ist und der einem seiner Kunden damit diese IP-Adresse zum Datenaustausch im Internet zugewiesen haben muss, der Bezug zu der tatsächlich mit dieser IP-Adresse surfenden Person nicht möglich, aber grundsätzlich sei damit dennoch jede IP-Adresse einer bestimmten Person zuzuordnen. Das würde reichen.

Die andere Auffassung, zu der auch der Autor dieses Artikels gehört, lässt dies nicht ausreichen. Es gibt nämlich nur unter ganz engen Voraussetzungen mit Richtervorbehalt überhaupt die Möglichkeit, Auskunft vom Provider zu bekommen, welcher seiner Kunden zu einem bestimmten Zeitpunkt eine bestimmte IP-Adresse zugewiesen bekommen hatte. In der Regel hat der „normale“ Webseitenbetreiber, der automatisch über seinen Webserver die IP-Adressen und einige andere Informationen über die Besucher seiner Website erhält (Betriebssystem, Browser, Herkunftsland u.ä.) keinerlei Möglichkeit herauszufinden, welche Person tatsächlich hinter der IP-Adresse steckt. Das kann nach dieser – bislang noch – Mindermeinung nicht genügen, um für diesen Webseitenbetreiber die IP-Adresse als personenbezogen anzusehen mit den entsprechenden Konsequenzen aus dem Datenschutzrecht.

Konkret geht es in dem BGH-Fall darum, dass der Kläger von der beklagten Bundesrepublik Deutschland Unterlassung der Speicherung von dynamischen IP-Adressen verlangt. Bei den meisten allgemein zugänglichen Internetportalen des Bundes werden nämlich alle Zugriffe in Protokolldateien festgehalten mit dem Ziel, Angriffe abzuwehren und die strafrechtliche Verfolgung von Angreifern zu ermöglichen. Dabei werden unter anderem der Name der abgerufenen Seite, der Zeitpunkt des Abrufs und die IP-Adresse des zugreifenden Rechners über das Ende des jeweiligen Nutzungsvorgangs hinaus gespeichert.

Der Bundesgerichtshof (BGH) hat jetzt beschlossen, das Verfahren auszusetzen und dem Europäischen Gerichtshof zwei Fragen zur Auslegung der EG-Datenschutz-Richtlinie zur Vorabentscheidung vorzulegen. Aus der Begründung des BGH geht recht deutlich hervor, dass der BGH eher zu der bisherigen Mindermeinung tendiert und den Personenbezug ablehnt. Das kann aus den Vorlagefragen gut herausgelesen werden.

Diese lauten auszugsweise:

Der Unterlassungsanspruch setzt voraus, dass es sich bei den dynamischen IP-Adressen für die verantwortlichen Stellen der Beklagten, die die Adressen speichern, um „personenbezogene Daten” handelt, die von dem durch die Richtlinie harmonisierten Datenschutzrecht geschützt werden. Das könnte in den Fällen, in denen der Kläger während eines Nutzungsvorgangs seine Personalien nicht angegeben hat, fraglich sein. Denn nach den getroffenen Feststellungen lagen den verantwortlichen Stellen keine Informationen vor, die eine Identifizierung des Klägers anhand der IP-Adressen ermöglicht hätten. Auch durfte der Zugangsanbieter des Klägers den verantwortlichen Stellen keine Auskunft über die Identität des Klägers erteilen. Der Bundesgerichtshof hat dem Europäischen Gerichtshof deshalb die Frage vorgelegt, ob Art. 2 Buchstabe a der EG-Datenschutz-Richtlinie dahin auszulegen ist, dass eine IP-Adresse, die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn lediglich ein Dritter über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt.

(BGH, Urteil vom 28. Oktober 2014 – VI ZR 135/13)

Unsere Meinung

Es wäre zu begrüßen, wenn der EuGH den Personenbezug im Falle der Kenntnis lediglich eines Dritten (also des Providers) ablehnen würde. Dann nämlich könnten – was ohnehin gängige Praxis ist – IP-Adressen ohne datenschutzrechtliche Einschränkungen und ohne Hinweise in den Datenschutzbestimmungen auf der Website nach § 13 TMG erhoben und verwendet werden.

In Zeiten von Big Data muss man sich übrigens ernsthaft die Frage stellen, ob für den Schutz der Personen über die Anwendung des Datenschutzrechts auf IP-Adressen überhaupt noch ein angemessenes Bedürfnis besteht, nachdem anhand der Häufung von anfallenden Daten und Datenspuren auch ohne Herstellung einer Beziehung zwischen IP-Adresse und Namen einer natürlichen Person so viele Informationen im Wege einer Profilbildung gesammelt werden können (und tatsächlich schon werden), dass es auf die Kenntnis dieser Information gar nicht mehr ankommt.

Timo Schutt, Fachanwalt für IT-Recht

www.schutt-waetke.de

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet