Zur Speicherung dynamischer IP-Adressen - Generator-Datenschutzerklärung.de

Der Bundesgerichtshof entschied am 16.05.2017, dass eine dynamische IP-Adresse ein personenbezogenes Datum darstelle. Dieses Datum könne der Anbieter von Online-Mediendiensten ausnahmsweise auch ohne Einwilligung des Nutzers speichern, soweit dies für die Gewährleistung der generellen Funktionsfähigkeit der Dienste erforderlich sei.

Dürfen dynamische IP-Adressen über die Nutzung hinaus gespeichert werden?

Der Kläger ging gegen die Bundesrepublik Deutschland wegen der Speicherung von dynamischen IP-Adressen vor. Diese wurden bei einer Vielzahl allgemein zugänglicher Internetportale des Bundes in Protokolldateien festgehalten, um Cyber-Angriffe abzuwehren und die Strafverfolgung zu ermöglichen. Darin wurden u.a. der Name der abgerufenen Datei bzw. Seite, der Zeitpunkt des Abrufs und die IP-Adresse des zugreifenden Rechners auch nach Ende des jeweiligen Nutzungsvorgangs hinaus gespeichert. Der Kläger forderte ein Unterlassen der Speicherung. Die Vorinstanzen wiesen die Klage (teilweise) ab, weswegen der Rechtsstreit schließlich vor dem Bundesgerichtshof landete. Dieser setzte das Verfahren aus und legte dem EuGH zwei Auslegungsfragen zur europäischen Datenschutzrichtlinie vor. Diese Fragen beantwortete der EuGH mit Urteil vom 19.10.2016 (Az. C-582/14). Auf dieser Grundlage entschied nunmehr der BGH im Rahmen der Revision.

Betroffene muss bestimmbar sein

Der Bundesgerichtshof entschied, dass Rechtsgrundlage § 12 Abs. 1 TMG sei. Maßgebliche Definition für personenbezogene Daten sei auch für das TMG die Definition aus § 3 Abs. 1 BDSG. Danach seien personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffene). Die Bestimmbarkeit des Betroffenen setze voraus, dass grundsätzlich die Möglichkeit besteht, dessen Identität festzustellen.

Bestimmbarkeit auch bei indirekt identifizierbaren Personen

Nicht nur eine direkt identifizierbare, sondern auch eine indirekt identifizierbare Person könne grundsätzlich als bestimmbar angesehen werden, so das Gericht. Für die Einstufung einer Information als personenbezogenes Datum sei es nicht erforderlich, dass sie für sich genommen die Identifizierung der betreffenden Person ermögliche. Vielmehr seien alle Mittel zu berücksichtigen, die vernünftigerweise zur Bestimmung eingesetzt werden können. Dass über die erforderlichen Zusatzinformationen zur Identifizierung nicht der Mediendienst selbst, sondern der Internetzugangsanbieter des Nutzers verfüge, schließe nicht aus, dass die gespeicherte dynamische IP-Adresse für ihn ein personenbezogenes Datum darstellt. Die Möglichkeit, eine dynamische IP-Adresse mit den Zusatzinformationen des Internetzugangsanbieters zu verknüpfen, stelle jedenfalls ein solches vernünftige Mittel dar.

Dynamische IP-Adresse ist personenbezogenes Datum

Der BGH legte das Tatbestandsmerkmal „personenbezogene Daten“ richtlinienkonform aus. Eine dynamische IP-Adresse stelle ein personenbezogenes Datum dar. Denn die Beklagte verfüge über rechtliche Mittel, die vernünftigerweise eingesetzt werden können, um durch die zuständige Behörde und den Internetzugangsanbieter die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen. Die Beklagte könne im Falle einer bereits eingetretenen Schädigung Strafanzeige bei den Strafverfolgungsbehörden erstatten; im Falle einer drohenden Schädigung könne sie die zur Gefahrenabwehr zuständige Behörde einschalten. Zu diesem Zweck könne die zuständige Behörde vom Internetzugangsanbietern bei Vorliegen bestimmter Voraussetzungen Auskunft verlangen. Entsprechendes gelte auch für die bei Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung zuständigen Behörden, die Verfassungsschutzbehörden des Bundes und der Länder, den Militärischen Abschirmdienst und den Bundesnachrichtendienst. Die für die Auskunft erforderlichen Daten seien auch per IP-Adresse bestimmbar. Durch Zusammenführung der gewonnenen Informationen könnte der jeweilige Nutzer bestimmt werden.

Gewährleistung der generellen Funktionsfähigkeit

Der BGH befand, das Berufungsgericht habe nicht abschließend gewürdigt, ob ein Erlaubnistatbestand im Sinne von § 15 Abs. 1 TMG eingreife. Grundsätzlich dürfe die Speicherung der IP-Adresse über das Ende eines Nutzungsvorganges nur erfolgen, um die generelle Funktionsfähigkeit der Dienste zu gewährleisten. Dafür sei aber eine Abwägung mit dem Interesse und den Grundrechten und –freiheiten der Nutzer erforderlich. Die Beklagte habe nach eigener Angabe bei einer Vielzahl ihrer betriebenen Portale aufgrund fehlenden „Angriffsdrucks“ darauf verzichtet, die IP-Adressen der Nutzer zu speichern. Es fehlten zudem Feststellungen dazu, wie hoch das Gefahrenpotential bei den übrigen Online-Mediendiensten des Bundes sei. Erst wenn entsprechende Feststellungen dazu getroffen seien, könne die nach dem Urteil des Europäischen Gerichtshofs gebotene Abwägung zwischen dem Interesse der Beklagten an der Aufrechterhaltung der Funktionsfähigkeit ihrer Online-Mediendienste und den Grundrechten und -freiheiten des Klägers vorgenommen werden. Dabei seien auch Gesichtspunkte der Generalprävention und der Strafverfolgung gebührend zu berücksichtigen.

Eingriff in das allgemeine Persönlichkeitsrecht eher unwahrscheinlich

Der BGH war jedoch der Ansicht, dass der mit der Speicherung der Nutzerdaten über das Ende des Nutzungsvorgangs hinaus verbundene Eingriff in das allgemeine Persönlichkeitsrecht eher gering ausfallen dürfte. Denn die Stellen, die die IP-Adressen des Klägers speichern, hätten den Kläger nicht ohne Weiteres identifizieren können. Diesen Stellen lägen keine Informationen vor, die dies ermöglicht hätten. Anders als bei statistischen IP-Adressen lasse sich die Zuordnung dynamischer IP-Adressen zu bestimmten Anschlüssen keiner allgemein zugänglichen Datei entnehmen. Der Zugangsanbieter des Klägers habe den verantwortlichen Stellen keine Auskunft über dessen Identität erteilen dürfen. Denn dafür fehle es an einer gesetzlichen Grundlage. Die Befugnisse zur Feststellung der Identität sei an engen Voraussetzungen gebunden. Nur bei deren Vorliegen trete das Interesse des Nutzers an Wahrung seiner Anonymität zurück.

Bundesgerichtshof, Urteil vom 16.05.2017, Az. VI ZR 135/13