Anzeige

Anzeige

VERANSTALTUNGEN

DIGITAL FUTUREcongress
14.02.19 - 14.02.19
In Frankfurt, Congress Center Messe

SAMS 2019
25.02.19 - 26.02.19
In Berlin

INTERNET WORLD EXPO
12.03.19 - 13.03.19
In Messe München

secIT 2019 by Heise
13.03.19 - 14.03.19
In Hannover

IAM CONNECT 2019
18.03.19 - 20.03.19
In Berlin, Hotel Marriott am Potsdamer Platz

Anzeige

Anzeige

Timo SchuttDer Europäische Gerichtshof (EuGH) hat im Kern geurteilt, dass die IP-Adresse grundsätzlich ein personenbezogenes Datum ist, was wiederum beutet, dass sie vollumfänglich dem Datenschutzrecht unterliegt (EuGH, Urteil vom 19.10.2016). Ein Kommentar von Timo Schutt, Fachanwalt für IT-Recht, Schutt-Waetke Rechtsanwälte.

Das Gericht hat aber doch wesentlich konkreter differenziert, als es nach den Schlussanträgen des Generalanwaltes (siehe meinen genannten Artikel) zu erwarten gewesen wäre, so dass die Einschränkungen dieses Grundsatzes doch sehr beachtlich sind.

Eine dynamische IP-Adresse, die von einem „Anbieter von Online-Mediendiensten“ (d.h. bspw. vom Betreiber der Website) beim Zugriff auf seine allgemein zugängliche Website gespeichert wird, stellt für den Betreiber nach dem Urteil nämlich dann ein personenbezogenes Datum dar, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, den Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen. Diese rechtlichen Mittel können bspw. Auskunftsansprüche gegenüber dem Provider sein. Bestehen solche rechtlichen Mittel nicht, dann soll kein Personenbezug bestehen.

Gleichzeitig hat das Gericht entschieden, dass eine Regelung, nach der ein Anbieter von Online-Mediendiensten personenbezogene Daten eines Nutzers dieser Dienste ohne dessen Einwilligung nur erheben und verwenden darf, soweit ihre Erhebung und ihre Verwendung erforderlich sind, um die konkrete Inanspruchnahme der Dienste durch den betreffenden Nutzer zu ermöglichen und abzurechnen, ohne dass der Zweck, die generelle Funktionsfähigkeit der Dienste zu gewährleisten, die Verwendung der Daten über das Ende eines Nutzungsvorgangs hinaus rechtfertigen kann, gegen das Europarecht verstößt. Damit kann die deutsche Regelung, die eben genau das vorsieht, so nicht bestehen bleiben, sondern muss im Lichte dieser Entscheidung ausgelegt und angewendet werden.

Die Verarbeitung personenbezogener Daten ist nämlich nach dem europäischen Recht unter anderem dann rechtmäßig, wenn sie zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, erforderlich ist, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Die deutsche Regelung schränke die Tragweite dieses Grundsatzes ein, indem sie es ausschließt, dass der Zweck, die generelle Funktionsfähigkeit des Online-Mediums zu gewährleisten, Gegenstand einer Abwägung mit dem Interesse oder den Grundrechten und Grundfreiheiten der Nutzer sein kann.

Der EuGH hebt in diesem Zusammenhang hervor, dass die Einrichtungen des Bundes, die Online-Mediendienste anbieten, ein berechtigtes Interesse daran haben könnten, die Aufrechterhaltung der Funktionsfähigkeit der von ihnen allgemein zugänglich gemachten Websites über ihre konkrete Nutzung hinaus zu gewährleisten.

Damit hat sich der EuGH also nicht der absoluten Meinung angeschlossen, dass die IP-Adresse immer personenbezogen ist, sondern er differenziert. Hat derjenige, der die IP-Adresse erhebt, rechtlich die Möglichkeit die Zusatzinfos vom Provider zu bekommen, wer dahinter steht, dann ist das für ihn ein personenbezogenes Datum, sonst nicht. Und auch dann, wenn es für ihn ein personenbezogenes Datum ist, darf es die Adresse erheben und speichern, wenn und solange die Sicherheit und Funktionsfähigkeit seines Webservices im Verhältnis zu dem berechtigten Interesse des Betroffenen „Inhabers“ der IP-Adresse überwiegt.

Alle, die über ihre Webpräsenz IP-Adressen erheben und speichern, sollten unbedingt die Grundsätze des EuGH zum Anlass nehmen, um zu prüfen, ob die Kriterien für die zulässige Erhebung der IP-Adresse vorliegen und hier ggf. nachbessern bzw. unter Umständen auf die Erhebung der IP-Adresse verzichten, wenn diese nicht erforderlich ist, um die Funktionsfähigkeit der Webpräsenz zu sichern.

Vor allem dürfte die Speichern der IP-Adressen nur temporär zulässig sein, evtl. müssen sie, wie auch von den Zugangs-Providern gehandhabt, nach 7 Tagen gelöscht werden.

www.schutt-waetke.de 

 

GRID LIST
Tb W190 H80 Crop Int 7281cf7b7caeee4715bdfdec93c51c33

Sicherheitsrisiken bei vernetzten Industrieanlagen aufgedeckt

Ein neuer Forschungsbericht deckt gravierende Sicherheitslücken bei industriellen…
E-Commerce Concept

Mehrheit meint: Von digitalen Plattformen profitieren alle

Digitale Plattformen bringen verschiedene Anbieter, Partner und Kunden auf den…
KI

Europäischer KI-Markt verfünffacht sich binnen fünf Jahren

Der europäische Markt für Künstliche Intelligenz wird von rund drei Milliarden Euro in…
Tb W190 H80 Crop Int 6ee29c9b1f9ec8ed328ffa97b2fd514e

Bitkom-Branche schafft 40.000 zusätzliche Jobs

Die Digitalisierung stellt in Deutschland alle Zeichen auf Wachstum. In der…
Cyber Attack

Anstieg File-basierter Angriffe

Sicherheitssoftware-Anbieter Bromium hat in seinen neuen „Threat Findings“ aktuelle…
Cyber Crime

Jeder zweite Internetnutzer von Cyberkriminalität betroffen

Datendiebstahl, Identitätsklau, Beleidigung oder Betrug: Kriminelle finden zunehmend…
Smarte News aus der IT-Welt