Ist die IP-Adresse ein personenbezogenes Datum?

Der Kieler Piratenpartei-Politiker Patrik Breyer (http://bit.ly/1wfdqoM) hatte die Bundesrepublik Deutschland wegen sogenannter “Surfprotokollierung” verklagt. Konkret verlangt er die Unterlassung der Speicherung der dynamischen IP-Adressen bei Besuchen von Webseiten, die von der Bundesrepublik betrieben werden (beispielsweis bmi.bund.de oder bundestag.de) und zwar über das Ende des jeweiligen Nutzungsvorgangs hinaus. Die Frage, ob diese Art der „Surfprotokollierung“ mit der EG-Datenschutz-Richtlinie im Einklang steht, hat der Bundesgerichtshof (BGH) am 28.10.2014 per Beschluss (VI ZR 135/13) dem Europäischen Gerichtshof (EuGH) zur Vorabentscheidung vorgelegt.
Die Bundesregierung verfolgt die Internetnutzung auf ihren Webseiten nicht-anonymisiert nach, wobei Klicks und Eingaben des Nutzers entsprechend identifizierbar auf Vorrat ohne Einschränkung gespeichert werden: der Name der abgerufenen Seite, der Zeitpunkt des Abrufs und die IP-Adresse des zugreifenden Computers. Dies diene dazu, Angriffe auf die jeweilige Website abzuwehren und letztlich auch die strafrechtliche Verfolgung solcher Angreifer zu ermöglichen.
Zu klären hat der EuGH daher jetzt, ob es sich insbesondere bei den dynamischen IP-Adressen die in diesem Zusammenhang gespeichert werden, um „personenbezogene Daten“ handelt. Dies ist nämlich für den geltend gemachten Unterlassungsanspruch Voraussetzung. Nur personenbezogene Daten sind von dem durch die Richtlinie harmonisierten Datenschutzrecht geschützt. Ein Personenbezug liegt immer dann vor, wenn die Daten eindeutig einer bestimmten natürlichen Person zugeordnet sind oder diese Zuordnung zumindest mittelbar erfolgen kann. Insofern ist es auch fraglich ist der Fall, ob ein solcher Bezug auch dann gegeben ist, wenn der Webseitenbesucher während eines Nutzungsvorgangs seine Personalien nicht angegeben hat. Dies traf hier nach den getroffenen Feststellungen des BGH jedenfalls zu. Demnach lagen den verantwortlichen Stellen gerade keine Informationen vor, die eine Identifizierung von Herrn Breyer anhand der IP-Adressen ermöglicht hätten. Letztlich war es auch seinem Zugangsanbieter untersagt, den verantwortlichen Stellen Auskunft über seine Identität zu erteilen. Folglich ist nun zu klären, ob eine IP-Adresse auch dann einen Personenbezug aufweist, wenn allein ein Dritter die notwendige Identifizierung der betroffenen Person durchführen kann, da er allein über das hierfür erforderliche Zusatzwissen verfügt.
Sofern der EuGH einen Personenbezug bejahen sollte, dürften gemäß § 12 Absatz 1 Telemediengesetz (TMG) die IP-Adressen des Webseitenbesuchers nicht ohne eine gesetzliche Erlaubnis gespeichert werden, wenn eine Einwilligung des Nutzers fehlt. Dabei bezweifelt der BGH, das die Speicherung der IP-Adressen zur Gewährleistung und Aufrechterhaltung der Sicherheit und Funktionsfähigkeit ihrer Telemedien, also der jeweiligen Website erforderlich ist und damit den Anforderungen von § 15 Absatz 1 TMG genügen würde. Jedoch könnte die EG-Datenschutz-Richtlinie gemäß Artikel 7 f eine weitergehende Auslegung gebieten. Daher soll der EuGH auch dazu Stellung nehmen, ob diese Vorschrift der nationalen Regelung des § 15 Abs. 1 TMG entgegensteht. Artikel 7 f EG-Datenschutz-Richtlinie lässt die Verarbeitung personenbezogener Daten zur Verwirklichung eines berechtigten Interesses zu, solange nicht das Interesse der betroffenen Person oder deren Grundrechte überwiegen.
Fazit: Es ist zu hoffen, dass der EuGH abschließend beantwortet, ob IP-Adressen personenbezogen sind und dem Datenschutzrecht unterfallen, wenn sie von einem Website-Anbieter gespeichert werden und keine Einzelfallentscheidung treffen wird.
Bildnachweis: beermedia.de – Fotolia