Die Datenschutz-Grundverordnung (DSGVO) schützt sämtliche Daten mit Personenbezug. Darunter fallen in Deutschland seit einem Urteil des Bundesgerichtshofs (BGH) vom 16. Mai 2017 auch dynamische Internetprotokoll-Adressen (IP-Adressen). Doch woraus begründet sich die Zuordnung als personenbezogenes Datum? Durch wen muss die Identifizierung möglich sein? Und gelten die Aussagen des BGH nach Inkrafttreten der DSGVO überhaupt noch?
Was ist eine IP-Adresse?
IP-Adressen sind Zahlenfolgen, die zur Identifizierung von und zur Kommunikation mit Geräten in Netzwerken dienen. Bei Einwählen in das Netzwerk wird die IP-Adresse dem Server mitgeteilt, um so die aufgerufenen Inhalte an das richtige Gerät zu senden.
Zu unterscheiden sind sogenannte statische und dynamische IP-Adressen. Die statischen IP-Adressen sind einem bestimmten Gerät dauerhaft zugewiesen. Im Gegensatz hierzu werden dynamische IP-Adressen jeweils beim Einwählen in das Netzwerk bis zur Trennung durch den Provider vergeben. Das bedeutet, dass bei jedem neuen Einwählen in das Netz eine neue IP-Adresse zugeteilt wird.
Personenbezug von IP-Adressen
Dabei stellt sich die Frage, ob IP-Adressen überhaupt Personenbezug haben. Im Detail geht es dabei um die Frage, durch wen die Identifizierung möglich ist:
- Setzt man voraus, dass die Identifizierbarkeit durch den Datenverarbeiter selbst möglich sein muss, spricht man von einem relativen Personenbezug.
- Folgt man der Theorie des absoluten Personenbezugs, ist ein Datum bereits dann als personenbezogen zu klassifizieren, wenn eine Identifizierung auch nur durch einen Dritten möglich ist.
Mehr zu dieser Problematik finden Sie in unserem Ratgeberartikel über absoluten und relativen Personenbezug von Daten.
Folgt man der absoluten Theorie, handelt es sich bei der (statischen) IP-Adresse um ein personenbezogenes Datum, da die IP-Adresse durch den Internetanbieter eindeutig einer natürlichen Person, nämlich dem Anschlussinhaber zuordenbar ist.
Problematisch ist die Bestimmbarkeit der Person unter Annahme eines absoluten Personenbezugs auch bei dynamischen IP-Adressen. Gibt man beim Surfen im Internet seinen Klarnamen an, z.B. bei Registrierung auf einem Online-Portal, ist ein Personenbezug gegeben, da die IP-Adresse den preisgegebenen personenbezogenen Daten eindeutig zugeordnet werden.
Fehlt eine Eingabe des Klarnamens oder anderer personenbezogener Daten, ist kein direkter Personenbezug herstellbar. Die Person „hinter“ der IP-Adresse ist hierbei nur durch Hinzuziehung Dritter, etwa der Provider, möglich. Eine Hinzuziehung Dritter muss dabei aber gesetzlich vorgesehen sein und darf nicht per se erfolgen.
Die gerichtlichen Entscheidungen
Der BGH hatte über den Personenbezug bei dynamischen IP-Adressen zu entscheiden und stellte die Frage hierüber zur Vorabentscheidung an den Europäischen Gerichtshof (EuGH). Daraufhin antwortete der EuGH, dass dynamische IP-Adressen personenbezogen sein können. Dies sei immer dann zu bejahen, wenn der Websitebetreiber rechtliche Mittel zur Verfügung hat, mit denen er die betroffene Person mittels Zusatzinformationen des Providers, wie etwa dem Namen der betroffenen Person, bestimmen könne. Dass sich die Zusatzinformationen bei Dritten befinden, ist dabei unproblematisch.
Der EuGH betont aber, dass die dynamische IP-Adresse erst dann ein personenbezogenes Datum sei, wenn der Websitebetreiber das Recht auch tatsächlich im konkreten Fall hat, die Zusatzinformationen anzufordern. Der Personenbezug stelle sich also immer erst im Nachhinein heraus.
Auf Grundlage dieser Entscheidung des EuGH urteilte der BGH, dass eine dynamische IP-Adresse ein personenbezogenes Datum ist, auch dann, wenn im konkreten Fall die rechtlichen Mittel für die Mitteilung über die Zusatzinformationen (noch) nicht vorliegen. Die bloße Möglichkeit, dass dem Websitebetreiber ein Recht zustehe, die Zusatzinformationen zu erhalten, reiche aus.
Die IP-Adresse darf daher ohne Einwilligung des Betroffenen nur dann über den Nutzungsvorgang hinweg gespeichert werden, soweit dies erforderlich ist, um die generelle Funktionsfähigkeit der Dienste zu gewährleisten. Um festzustellen, ob die Speicherung erforderlich ist, muss eine Abwägung zwischen den Interessen des Onlinedienste-Anbieters und den Grundrechten und -freiheiten des jeweils Betroffenen vorgenommen werden.
“Exkurs – Zusammenfassung der Urteile”
Für juristisch Interessierte wird im Folgenden genauer auf die rechtlichen Aspekte der Entscheidungen eingegangen. Dabei wird jedoch nur die Einordnung der IP-Adresse als personenbezogenes Datum dargestellt, auf die Ausführungen zur Auslegung und Anwendbarkeit des § 15 Abs. 1 TMG (in der damals geltenden Fassung) wird hier verzichtet. Erläuterungen und Besonderheiten hierzu können den jeweiligen Urteilstexten entnommen werden.
Sachverhalt
Der Kläger begehrte die Verurteilung der Beklagten, es zu unterlassen, die IP-Adresse des Klägers über das Ende eines Nutzungsvorgangs hinweg zu speichern oder durch Dritte speichern zu lassen, soweit die Speicherung im Störfall zur Wiederherstellung der Verfügbarkeit des Telemediums erforderlich ist. Mehrere Einrichtungen der Beklagten betrieben zur Bereitstellung von Informationen allgemein zugängliche Portale im Internet. Um Cyber-Angriffe abzuwehren, die Angreifer strafrechtlich verfolgen zu können sowie als Abschreckung für Cyber-Kriminalität speichert eine Vielzahl der Portale neben dem Namen der aufgerufenen Seite oder Datei, gesuchten Begriffen, Dauer des Abrufs der Seite und der übertragenen Datenmenge auch die IP-Adresse. Für ein Internetportal erwirkte der Kläger bereits einen Unterlassungstitel.
Das angerufene Amtsgericht wies die Klage ab, in der Berufungsinstanz wurde dieses Urteil teilweise abgeändert. Das Berufungsgericht verurteilte die Beklagte zur Unterlassung der Speicherung der IP-Adressen des Klägers über den Nutzungsvorgang hinweg, sofern der Kläger während des Nutzungsvorgangs seine Personalien angibt und soweit die Speicherung im Störfall zur Wiederherstellung der Verfügbarkeit des Telemediums erforderlich ist. Gegen dieses Urteil wurde Revision eingelegt. Der BGH legte im Rahmen dessen dem EuGH unter anderem die Frage zur Einordnung der IP-Adressen unter Art. 2 lit. a) der Richtlinie 95/46/EG zur Vorabentscheidung vor und setzte das Verfahren aus.
EuGH
Mit Urteil vom 19 Oktober 2016 (Az.: C-582/14) antwortete der EuGH auf die Frage, ob Art. 2 lit. a) der Richtlinie 95/46/EG dahingehend auszulegen sei, dass IP-Adressen, die ein Dienstanbieter im Zusammenhang mit einem Zugriff auf seiner Internetseite speichert, für diesen ein personenbezogenes Datum darstellt, wenn ein Dritter über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt. Gemäß EuGH stellen IP-Adressen dann personenbezogene Daten dar, wenn der Websitebetreiber über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen. Begründet wird diese Ansicht damit, dass Art. 2 a der Richtlinie 95/46/EG neben der direkten Identifizierung auch die indirekte Identifizierung zur Bestimmbarkeit einer Person heranziehe, was andeute, dass die Information für sich nicht die endgültige Identifizierung der Person ermöglichen müsse. Daneben verweist Erwägungsgrund 26 der Richtlinie 95/46/EG, dass zur Bestimmbarkeit einer Person alle Mittel zu berücksichtigen seien, die vernünftigerweise entweder von dem Verantwortlichen oder einem Dritten eingesetzt werden können, um die betreffende Person zu bestimmen. Diese Formulierung deute darauf hin, dass die Mittel zur endgültigen Identifizierung einer Person auch in den Händen Dritter liegen könne und nicht bereits von Beginn an bei dem Verantwortlichen zusammenfallen müssen. Ob solche rechtlichen Mittel tatsächlich vom nationalen Gesetzgeber zur Verfügung gestellt werden, sei von den nationalen Gerichten zu bewerten.
BGH
Unter Zugrundelegung dieser Entscheidung urteilte der BGH mit seiner Entscheidung vom 16. Mai 2017 (Az.: VI ZR 135/13), dass zum einen den Websitebetreibern Mittel zur Identifizierung der Personen anhand der IP-Adresse zur Verfügung stünden. Ein rechtliches Mittel sei hier insbesondere durch § 100j Abs. 2 und 1 StPO, § 113 TKG gegeben. Danach haben die zur Strafverfolgung zuständigen Behörden ein Auskunftsrecht gegenüber den Providern. Ein solches Recht stehe auch den Behörden zur Prävention von Straftaten, den Verfassungsschutzbehörden, dem Militärischen Abschirmdienst und dem Bundesnachrichtendienst zur Abwehr von Gefahren für die öffentliche Sicherheit und Ordnung zu. Durch das Auskunftsrecht können die Informationen zusammengeführt und die Nutzer anhand ihrer IP-Adresse identifiziert werden.
Zum anderen legt der BGH in seiner Entscheidung dar, dass unter einer richtlinienkonformen Auslegung des § 12 Abs. 1 und 2 TMG in Verbindung mit § 3 Abs. 1 BDSG (in der damals geltenden Fassung) eine dynamische IP-Adresse für Anbieter von allgemein zugänglichen Online-Mediendiensten grundsätzlich ein personenbezogenes Datum vorliegt, auch wenn die Zusatzinformationen noch nicht eingeholt wurden.
Geltung im Rahmen der DSGVO
Die Entscheidungen des EuGH und des BGH fielen noch vor Inkrafttreten der DSGVO. Dass die dynamische IP-Adresse als ein personenbezogenes Datum anzusehen ist, aber bleibt. Im Erwägungsgrund 30 DSGVO werden IP-Adressen nunmehr sogar genannt. Allerdings nur mit dem Hinweis, dass sie in Kombination mit eindeutigen Kennungen und anderen Informationen zur Identifikation der Person dienen können. Die DSGVO sieht also einen Personenbezug bei IP-Adressen nicht grundsätzlich vor, sondern nur, wenn Zusatzinformationen vorliegen.
Unklar ist aber noch, ob der Personenbezug einer IP-Adresse tatsächlich erst dann vorliegt, wenn die Zusatzinformationen des Providers konkret zur Verfügung stehen, oder ob dies bereits ab Speicherung der IP-Adresse der Fall ist und allein die Möglichkeit zum Erhalt von Zusatzinformationen besteht. Unter Berücksichtigung der BGH-Entscheidung ist der letztere Fall vorzuziehen. Dafür spricht auch folgendes: Geht man davon aus, dass IP-Adressen erst personenbezogen werden, wenn die Zusatzinformationen dem Websitebetreiber tatsächlich vorliegen, könnte die jeweilige IP-Adresse unbegrenzt gespeichert werden, bis die Entscheidung getroffen wird, dass auf die Zusatzinformationen zurückgegriffen werden soll. Daneben definiert Art. 4 Nr. 1 DSGVO den Begriff der personenbezogenen Daten sehr weit und bezieht alle Daten mit ein, durch die eine Person identifizierbar wird. Hierunter kann auch die IP-Adresse gefasst werden. Diese Punkte zusammen lassen daher einen Personenbezug bei IP-Adressen von Anfang an zu.
Fazit: Das Speichern von IP-Adressen bedarf einer Rechtsgrundlage nach DSGVO
Auch nach Inkrafttreten der DSGVO sind auf Basis der Aussagen des BGH– zumindest bei Verarbeitungen personenbezogener Daten in Deutschland – dynamische IP-Adressen immer als personenbezogene Daten einzuordnen und es ist entsprechend mit diesen umzugehen. Darauf deutet auch die Aufnahme der IP-Adresse in den Erwägungsgrund 30 DSGVO hin.
Das bedeutet, eine Speicherung oder Verarbeitung der IP-Adresse über den Nutzungsvorgang hinaus benötigt immer eine rechtliche Grundlage des Art. 6 DSGVO. Als Rechtsgrundlage kommt hier wohl nach Art. 6 Abs. 1 lit. f) DSGVO das berechtigte Interesse in Frage. Dabei ist eine Abwägung der Interessen der Beteiligten vorzunehmen. In diese Abwägung sollte immer die Rechtslage des jeweiligen Mitgliedstaates, in welchem die IP-Adresse verarbeitet werden soll, einfließen. Insbesondere gilt es zu klären, ob Vorratsdatenspeicherung gesetzlich erlaubt ist bzw. welche gesetzlichen Löschfristen den Providern auferlegt werden. Ein berechtigtes Interesse an einer Speicherung der IP-Adresse über einen geringen Zeitraum hinweg kann sich zum Beispiel für den Fall einer möglichen Cyber-Attacke und eine entsprechende Strafverfolgung ergeben. Nur durch Speicherung der IP-Adresse kann mithilfe der Zusatzinformationen des Providers die Person identifiziert und angezeigt werden. Dabei ist aber eine kurze Zeitspanne von wenigen Wochen zur Speicherung vorzusehen.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!