Webseitenbesucher – und ihre IP-Adressen

Der Betreiber ein­er Web­site kann ein berechtigtes Inter­esse daran haben, die IP-Adresse sowie bes­timmte per­so­n­en­be­zo­gene Dat­en der Nutzer zu spe­ich­ern, um sich gegen Cyber­at­tack­en zu vertei­di­gen.

Webseitenbesucher – und ihre IP-Adressen

Die dynamis­che Inter­net­pro­tokoll-Adresse eines Nutzers stellt dabei für den Betreiber der Web­site nur dann ein per­so­n­en­be­zo­genes Datum dar, wenn er über rechtliche Mit­tel ver­fügt, die es ihm erlauben, den betr­e­f­fend­en Nutzer anhand der Zusatz­in­for­ma­tio­nen, über die dessen Inter­net­zu­gangsan­bi­eter ver­fügt, bes­tim­men zu lassen.

Dieser Entschei­dung des Gericht­shofs der Europäis­chen Union lag ein Fall zugrunde, in dem es um die Web­sites deutsch­er Bun­desmin­is­teri­ums ging: Herr Patrick Brey­er klagt vor deutschen Gericht­en dage­gen, dass die von ihm abgerufe­nen Web­sites von Ein­rich­tun­gen des Bun­des seine Inter­net­pro­tokoll-Adressen („IP-Adressen“) aufze­ich­nen und spe­ich­ern. Von diesen Ein­rich­tun­gen wer­den außer dem Zeit­punkt des Zugriffs auch die IP-Adressen der Nutzer aufgeze­ich­net und gespe­ichert, um sich gegen Cyber­at­tack­en zu wapp­nen und eine Strafver­fol­gung zu ermöglichen.

Im Rah­men dieses Rechtsstre­its legte der Bun­des­gericht­shof dem Gericht­shof der Europäis­chen Union ein Vor­abentschei­dungser­suchen zu der Frage vor, ob in diesem Zusam­men­hang auch „dynamis­che“ IP-Adressen für den Betreiber der Web­site per­so­n­en­be­zo­gene Dat­en darstellen, so dass sie den für solche Dat­en vorge­se­henen Schutz genießen.

IP-Adressen sind Zif­fer­n­fol­gen, die mit dem Inter­net ver­bun­de­nen Com­put­ern zugewiesen wer­den, um deren Kom­mu­nika­tion im Inter­net zu ermöglichen. Beim Abruf ein­er Web­site wird die IP-Adresse des abrufend­en Com­put­ers an den Serv­er über­mit­telt, auf dem die abgerufene Web­site gespe­ichert ist. Dies ist erforder­lich, um die abgerufe­nen Dat­en an den richti­gen Empfänger über­tra­gen zu kön­nen. Eine „dynamis­che“ IP-Adresse ist eine IP-Adresse, die sich bei jed­er neuen Inter­netverbindung ändert. Anders als sta­tis­che IP-Adressen erlauben dynamis­che IP-Adressen es nicht, anhand all­ge­mein zugänglich­er Dateien eine Verbindung zwis­chen einem Com­put­er und dem vom Inter­net­zu­gangsan­bi­eter ver­wen­de­ten physis­chen Net­zan­schluss herzustellen. Somit ver­fügt auss­chließlich der Inter­net­zu­gangsan­bi­eter von Her­rn Brey­er über die zu dessen Iden­ti­fizierung erforder­lichen Zusatz­in­for­ma­tio­nen.

Der Bun­des­gericht­shof legte dem Union­s­gericht­shof fern­er die Frage zur Vor­abentschei­dung vor, ob der Betreiber ein­er Web­site zumin­d­est grund­sät­zlich die Möglichkeit haben muss, per­so­n­en­be­zo­gene Dat­en der Nutzer zu erheben und zu ver­wen­den, um die generelle Funk­tions­fähigkeit sein­er Web­site zu gewährleis­ten. Er weist insoweit darauf hin, dass die ein­schlägige deutsche Regelung des $ 5 TMG von der deutschen Lehre über­wiegend dahin aus­gelegt werde, dass die Dat­en am Ende des jew­eili­gen Nutzungsvor­gangs zu löschen seien, soweit sie nicht für Abrech­nungszwecke benötigt wür­den.

Mit seinem jet­zt verkün­de­ten Urteil antwortete der Gericht­shof der Europäis­chen Union zunächst, dass eine dynamis­che IP-Adresse, die von einem „Anbi­eter von Online-Medi­en­di­en­sten“ – d. h. vom Betreiber ein­er Web­site, hier den Ein­rich­tun­gen des Bun­des – beim Zugriff auf seine all­ge­mein zugängliche Web­site gespe­ichert wird, für den Betreiber ein per­so­n­en­be­zo­genes Datum im Sinne der Richtlin­ie 95/46/EG des Europäis­chen Par­la­ments und des Rates vom 24. Okto­ber 1995 zum Schutz natür­lich­er Per­so­n­en bei der Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en und zum freien Daten­verkehr darstellt, wenn er über rechtliche Mit­tel ver­fügt, die es ihm erlauben, den Nutzer anhand der Zusatz­in­for­ma­tio­nen, über die dessen Inter­net­zu­gangsan­bi­eter ver­fügt, bes­tim­men zu lassen.

Der Union­s­gericht­shof ging für den vor­liegen­den Fall, in dem die fraglichen Web­sites von Ein­rich­tun­gen des Bun­des betrieben wer­den, zunächst davon aus, dass diese Ein­rich­tun­gen, ungeachtet ihres Sta­tus als Behör­den, als Einzelne han­deln. Sodann stellte er fest, dass es in Deutsch­land offen­bar rechtliche Möglichkeit­en gibt, die es dem Anbi­eter von Online-Medi­en­di­en­sten erlauben, sich ins­beson­dere im Fall von Cyber­at­tack­en an die zuständi­ge Behörde zu wen­den, um die fraglichen Infor­ma­tio­nen vom Inter­net­zu­gangsan­bi­eter zu erlan­gen und anschließend die Strafver­fol­gung einzuleit­en.

Sodann entsch­ied der Union­s­gericht­shof, das das Union­srecht – namentlich die Richtlin­ie 95/46 – ein­er Regelung eines Mit­glied­staats ent­ge­gen­ste­ht, nach der ein Anbi­eter von Online-Medi­en­di­en­sten per­so­n­en­be­zo­gene Dat­en eines Nutzers dieser Dien­ste ohne dessen Ein­willi­gung nur erheben und ver­wen­den darf, soweit ihre Erhe­bung und ihre Ver­wen­dung erforder­lich sind, um die konkrete Inanspruch­nahme der Dien­ste durch den betr­e­f­fend­en Nutzer zu ermöglichen und abzurech­nen, ohne dass der Zweck, die generelle Funk­tions­fähigkeit der Dien­ste zu gewährleis­ten, die Ver­wen­dung der Dat­en über das Ende eines Nutzungsvor­gangs hin­aus recht­fer­ti­gen kann.

Die Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en ist nach dem Union­srecht u. a. recht­mäßig, wenn sie zur Ver­wirk­lichung des berechtigten Inter­ess­es, das von dem für die Ver­ar­beitung Ver­ant­wortlichen oder von dem bzw. den Drit­ten wahrgenom­men wird, denen die Dat­en über­mit­telt wer­den, erforder­lich ist, sofern nicht das Inter­esse oder die Grun­drechte und Grund­frei­heit­en der betrof­fe­nen Per­son über­wiegen.

Die deutsche Regelung schränkt nach ihrer in der Lehre über­wiegend vertrete­nen Ausle­gung die Trag­weite dieses Grund­satzes ein, indem sie es auss­chließt, dass der Zweck, die generelle Funk­tions­fähigkeit des Online-Medi­ums zu gewährleis­ten, Gegen­stand ein­er Abwä­gung mit dem Inter­esse oder den Grun­drecht­en und Grund­frei­heit­en der Nutzer sein kann.

Der Gericht­shof der Europäis­chen Union hebt in diesem Zusam­men­hang her­vor, dass die Ein­rich­tun­gen des Bun­des, die Online-Medi­en­di­en­ste anbi­eten, ein berechtigtes Inter­esse daran haben kön­nten, die Aufrechter­hal­tung der Funk­tions­fähigkeit der von ihnen all­ge­mein zugänglich gemacht­en Web­sites über ihre konkrete Nutzung hin­aus zu gewährleis­ten.

Gericht­shof der Europäis­chen Union, Urteil vom 19. Okto­ber 2016 – C ‑582/14

Webseitenbesucher – und ihre IP-Adressen