EuGH: Website-Betreiber dürfen IP-Adresse der Besucher speichern

Urteil

Dynamische IP-Adressen sind für den Betreiber einer Website personenbezogene Daten und unterliegen damit dem Datenschutzrecht. Der Betreiber einer Website darf diese zur Verteidigung gegen Cyber-Attacken speichern. Dies urteilte heute der Europäische Gerichtshof (EuGH).

Die Vorlage des BGH

Dem EuGH wurden vom Bundesgerichtshof (BGH) im Wege eines Vorabentscheidungsersuchens die Frage vorgelegt, ob dynamische IP-Adressen für den Betreiber der Website personenbezogene Daten darstellen und diese daher den für solche Daten vorgesehenen Schutz genießen. Ferner wollte der BGH wissen, ob der Betreiber einer Website grundsätzlich die Möglichkeit haben muss, zur Gewährleistung der Funktionsfähigkeit der Website personenbezogene Daten der Besucher zu erheben und zu verwenden.

Die Entscheidungen des EuGH

Der EuGH entschied, dass die dynamische IP-Adresse des Besuchers, welche vom Betreiber einer Website im Zusammenhang mit dem Zugriff und der Nutzung des Seite gespeichert wird, für diesen eine personenbezogenes Datum stellt, sofern dieser die rechtliche Möglichkeit habe, den Besucher anhand weiterer Zusatzinformationen, über welcher der Provider des Nutzers verfügt, zu bestimmen.

In Deutschland bestehe insbesondere im Fall von Cyber-Attacken die Möglichkeit, sich an die zuständige Behörde zu wenden, um in einem zweiten Schritt vom Internetprovider die erforderlichen Informationen für eine anschließende Strafverfolgung zu erhalten.

Auswirkungen auf das TMG

Die Entscheidung des EuGH hat auch Auswirkungen auf das deutsche Telemediengesetz (TMG). Derzeit müssen solche Daten nach herrschender Meinung am Ende des Nutzungsvorgangs gelöscht werden (§ 15 TMG). Davon kann abgewichen werden, wenn diese für Abrechnungszwecke benötigt würden.

Dies widerspräche aber nach Auffassung des Gerichts dem Unionsrecht (Richtlinie 95/46/EG). Die Verarbeitung personenbezogener Daten ist danach u.a. rechtmäßig,

„wenn sie zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, erforderlich ist, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person, die gemäß Artikel 1 Absatz 1 geschützt sind, überwiegen (Artikel 7f).“

Es müsse eine Interessensabwägung möglich sein zwischen dem „berechtigten Interesse“ des Betreibers einer Website und den Grundrechten der Nutzer. Ein solches berechtigtes Interesse könnte nach Auffassung des EuGH vorliegen, wenn der Betreiber die dynamischen IP-Adressen der Nutzer vorhalten wolle, um Cyber-Attacken abzuwehren. Dieser Grundsatz werde von der deutschen Regelung im TMG eingeschränkt, da der Zweck der Aufrechterhaltung der Funktionsfähigkeit des Website danach nicht Gegenstand einer solcher erforderlichen Abwägung sein kann.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

7 Kommentare zu diesem Beitrag

    • Die deutsche Umsetzung ist in seiner engen Auslegung restriktiver als der zugrundliegende Art. 7 lit. f der Richtlinie 95/46/EG, welche eine Interessensabwägung enthält. Nach § 15 TMG genügt die Verwirklichung des berechtigten Interesses und die damit einhergehende Interessenabwägung grundsätzlich nicht mit der Folge, dass diese Regelung mit der Richtlinie nicht vereinbar ist und § 15 Abs. 1 i.V.m. Abs. 4 TMG insofern europarechtskonform ausgelegt werden müssen.

  1. Gute Frage, ich sehe das aber nicht so. Es ist m.E. eine Frage des „wie“. Wenn der Website Betreiber die IP-Adressen so speichert, dass Missbrauch ausgeschlossen ist, und sie ausschließlich zur Abwehr von Attacken bzw. deren Verfolgung eingesetzt werden, und dies im Verfahrensverzeichnis dokumentiert und auch so gelebt wird, sehe ich kein Problem.

  2. Es wird spannend zu beobachten, was Gerichte und Aufsichtsbehörden über die Aufrechterhaltung der Website hinaus unter ein überwiegendes berechtigtes Interesse des Website-Betreibers fallen lassen. Direktwerbung, wie es ein Datenschutz-Kollege in seinem Blog andeutet?

  3. Ich betreibe einen privaten (Web- und E-Mail-)Server, auf dem ein Programm namens „fail2ban“ läuft, welches bei zu vielen fehlgeschlagenen Zugriffen über diverse Protokolle die IP-Adressen des „Angreifers“ temporär in der Firewall „speichert“, um weitere gesendete Datenpakete des Angreifers direkt zu verwerfen.

    Dabei kann technisch natürlich nicht unterschieden werden, ob es sich um eine dynamische oder statische IP-Adresse handelt – aber Angriff ist Angriff.

    Inwieweit muss ich dies in meiner Datenschutzerklärung dokumentieren bzw. ist dies stand heute mit der DSGVO überhaupt noch legitim? Und falls hoffentlich ja, wie lange darf ich präventiv so eine IP-Adresse in meiner Firewall vorhalten?

    • Auch nach Anwendbarkeit der DSGVO dürfen Sie Vorkehrungen zur Gewährleistung der Funktionsfähigkeit Ihres Servers treffen und eine Firewall einsetzen. Eine effektive Aussteuerung von Angriffen wird ohne Erfassung der IP-Adresse (unabhängig davon, ob statisch oder dynamisch) kaum möglich sein. Insofern besteht grds. ein berechtigtes Interesse i.S.d. Art. 6 Abs. 1 lit. f) DSGVO. Je nach Bereich sind Anbieter sogar verpflichtet technische und organisatorische Maßnahmen zu treffen, um die Netz- und Informationssicherheit zu gewährleisten (vgl. bspw. Erwägungsgrund 49)

      Die Tatsache, dass beim Verbindungsaufbau zum Server die IP-Adresse verarbeitet wird, ist an sich eine Selbstverständlichkeit. Dennoch sollten Sie darüber in Ihrer Datenschutzerklärung hinweisen. In diesem Zusammenhang können Sie auch darauf aufmerksam machen, dass Sie technische Maßnahmen ergriffen haben, um die Funktionsfähigkeit Ihres Servers zu gewährleisten und die IP-Adresse für einen Zeitraum X Tagen speichern.

      Dabei erscheint eine Speicherdauer von etwa 3 – 7 Tagen als vertretbar.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.