Am kommenden Donnerstag wird der EuGH darüber verhandeln, ob Anbieter von Internetportalen IP-Adressen anlasslos speichern dürfen. Die zentrale Frage liegt bei der Einordnung und Behandlung von IP-Adressen.
Der Inhalt im Überblick
Klage gegen Speicherung von IP-Adressen
Patrick Breyer, Jurist und Landtagsabgeordneter der Piraten-Partei in Schleswig-Holstein, hatte gegen die Bundesregierung Klage erhoben. Er prangert an, dass Anbieter von Internetportalen flächendeckend auf Vorrat speicherten, wer was im Internet liest, schreibt oder sucht, obwohl Internetnutzer ein Recht auf anonyme und nicht nachverfolgbare Internetnutzung haben sollten.
Die Bundesregierung vertritt die Ansicht, dass die beim Surfen übermittelte Nutzerkennung (IP-Adresse) kein personenbezogenes Datum sei und daher nicht dem Datenschutzrecht unterliege. Die EU-Kommission dagegen ist der Auffassung, dass die IP-Adresse nicht auf Vorrat gespeichert werden dürfe.
Nachdem das Verfahren 2008 vor dem Amtsgericht Berlin-Tiergarten begonnen hatte, legte nun der BGH dem EuGH (Rs. C-582/14) zwei Fragen zur Klärung vor:
- Sind dynamische IP-Adressen in der Hand eines Webseiten-Betreibers auch dann personenbezogene Daten, wenn der Webseiten-Betreiber über keinerlei weitere Informationen verfügt?
- Wie ist § 15 Abs. 1 TMG unter Beachtung europäischen Rechts in Bezug auf die Speicherung der IP-Adressen der Webseiten-Besucher auszulegen?
IP-Adressen werden in Computernetzen wie dem Internet verwendet, um den Datenverkehr zu ordnen und den einzelnen Datenpaketen Ziel- und Absenderadresse mit auf den Weg zu geben. Vereinfacht gesagt, erhält der Betreiber mit der IP-Adresse als Absenderadresse alle notwendigen Informationen, um bei dem Aufruf einer Webseite alle für die Darstellung der Webseite erforderlichen Daten an den Nutzer übertragen zu können.
Personenbezogenheit von IP-Adressen
Bei der Beurteilung eines möglichen Personenbezugs ist entscheidend, ob die dahinter stehende Person bestimmbar ist oder nicht (§3 Abs. 1 BDSG). Im Hinblick auf IP-Adressen werden zwei Meinungen vertreten, die bei dieser Frage zu unterschiedlichen Ergebnissen kommen.
Eine Theorie vertritt den „objektiven“ Begriff der Personenbeziehbarkeit. Hierbei reicht es aus, dass eine theoretische Möglichkeit besteht, einen Personenbezug herzustellen. Es ist dabei nicht unbedingt notwendig, dass z.B. der Webseitenbetreiber selbst diese Möglichkeit nutzen kann. Auch die Möglichkeiten eines Dritten (z.B. ISP) reichen aus, damit die Daten für den Webseitenbetreiber Personenbezug haben.
Die Theorie des „relativen“ Personenbezugs hingegen prüft die Personenbeziehbarkeit anhand der Verhältnisse der jeweiligen verarbeitenden Stelle, z.B. des Webseitenbetreibers. Kenntnisse und Fähigkeiten von Dritten sind hierbei nicht relevant, so dass reine IP-Adressen in diesem Fall für den Webseitenbetreiber keinen Personenbezug aufweisen.
Mehr IT-Sicherheit durch Speicherung der IP-Adressen?
Ein Sachverständiger hat zu der Frage Stellung bezogen, ob die Speicherung von IP-Adressen der Sicherheit in IT-Systemen diene. Die Speicherung der IP-Adressen dient nicht der Herstellung des allgemeinen Standes der Technik. Zwar gibt es Standards und Empfehlungen, die sich für die Speicherung von IP-Adressen aussprechen. Dagegen fordern andere Standards und Empfehlungen die Speicherung von IP-Adressen nicht oder halten die unverschlüsselte Speicherung von IP-Adressen gar unvertretbar.
Weder zur Angriffserkennung noch zur Angriffsabwehr ist die Speicherung zwingend erforderlich, sie ist bestenfalls nützlich. Viele Verfahren sind in der Lage, Angriffe zu erkennen und abzuwehren, ohne dass die IP-Adresse gespeichert würde. Ein IT-System, das sich für seine Sicherheit auf die Speicherung von IP-Adressen verlässt, ist generell als unsicher anzusehen.
Meines Erachtens sind die IP-Adressen personenbezogen. Wir dürfen nicht nur die dynamisch vergebenen IP-Adressen der ISP betrachten, es gibt auch Inhaber von festen IP-Adressen (z. B. größere Unternehmen).
IP Adressen sollte nicht personenbezogen sein… Im Internet der Dinge wird ja alles mögliche eine IP Adresse haben. Hinter einer Socke verbirgt sich nun mal keine Person!
„Unabhängig von der Vorlagefrage hat der BGH allerdings kürzlich erst fast beiläufig klargestellt, dass es sich bei IP-Adressen um…“
Diese Aussage ist völlig aus dem Kontext gerissen. Bei den Urteilen geht es um Access-Provider und die Rechtfertigung der Datenverarbeitung nach dem TKG. Dass die IP-Adresse des Nutzers eines Access-Providers für diesen Provider personenbezogen ist, ist eine Selbstverständlichkeit. Die Passage im BGH-Urteil ist zugegebenermaßen vor dem Hintergrund des Streits um IP-Adressen etwas ungeschickt formuliert, hat aber mit dem hier diskutierten (und gerade beim EuGH anhängigen) Streit nichts zu tun. Außerdem hat der BGH den Personenbezug nicht beiläufig im Alleingang festgestellt, sondern verweist auf den EuGH, der diese Feststellung (noch viel beiläufiger) selbst schon für Access-Provider getroffen hat (und sich dabei auch hätte klarer ausdrücken können). Schade eigentlich für einen Datenschutz-Blog…
Vielen Dank für Ihren Hinweis. Wir haben den missverständlichen Teil des Textes entfernt.
diese ip 95.223.188.156 hat versucht auf mein google konto zu zugreifen. seit Monaten werde ich opfer von hacker Angriffen. kein schimmer warum ich. werde Anzeige erstatten. ich hoffe das bringt was. monatelang nur Verdacht gehabt aber diese ip 95.223.188.156 ist der Beweis das man mir nachstellt. wenn einer einen tip hat was zu tun ist Bitte melden. es geht nicht um den hack sondern das ich sogar uberfallen worden bin. ich habe den Verdacht das man mich angepasst hat, aber beweisen kann ich das nicht.