Der europäische Gerichtshof (EuGH) hat vor wenigen Tagen eine bedeutende Entscheidung hinsichtlich „ IP-Adressen Datenschutz “ getroffen. Jedes Gerät innerhalb eines Computernetzwerkes benötigt eine IP-Adresse, wobei die Kurzform IP für Internet Protocol, zu deutsch Internet Protokoll steht. Die IP-Adresse ist notwendig, damit jedes Gerät eindeutig identifizierbar ist und Daten versendet sowie empfangen werden können. Die Frage, ob IP-Adressen personenbezogene Daten sind, beschäftigt Datenschutzbeauftragte und Datenschützer schon seit Jahren. Nun hat der EuGH eine Entscheidung getroffen.
„ IP-Adressen Datenschutz “ – Die Entscheidung des EuGHs
Die IP-Adresse ist mit einer Wohnanschrift vergleichbar. Wird eine Bestellung im Internet durchgeführt, benötigt der Online-Shop die Lieferanschrift, damit der Postbote die Ware abliefern kann. Ähnlich verhält es sich mit der IP-Adresse, die es ermöglicht, dass Daten vom Versender an den korrekten Empfänger übermittelt werden können.
Ist die Rede von IP-Adressen, so darf zwischen statischen und dynamischen IP-Adressen unterschieden werden. Bei der sogenannten dynamischen IP-Adresse handelt es sich um eine Internetprotokoll-Adresse, die sich anders als die statische IP-Adresse, regelmäßig ändert. Wählt man sich ins Internet ein, bekommt man vom Provider, z. B. der Telekom oder durch 1&1, eine IP-Adresse zugewiesen.
Trennt man die Internetverbindung und wählt sich erneut ein, so erhält man eine neue IP-Adresse, wodurch die Privatsphäre etwas höher ist als bei einer statischen IP-Adresse.
Bei der Frage, ob es sich bei IP-Adressen, um personenbezogene Daten handelt, herrschte bisher Uneinigkeit, insbesondere wenn es um dynamische IP-Adressen ging. Der Rechtsstreit zwischen dem Abgeordneten der Piratenpartei, Patrick Breyer, und der Bundesrepublik Deutschland, der seit fast zehn Jahren andauert, verdeutlicht die Unklarheit bzw. Uneinigkeit hinsichtlich der Klassifizierung von IP-Adressen.
Patrick Breyer hatte 2007 die Bundesrepublik Deutschland verklagt, weil die Bundesministerien IP-Adressen der Webseiten-Besucher speicherten. Die Frage, ob die Bundesministerium Protokolldateien, wie unter anderem die IP-Adresse der Besucher und den Zeitpunkt des Aufrufs, speichern dürfen, beschäftigte zunächst die deutschen Instanzen bis der Rechtsstreit vor dem Europäischen Gerichtshof landete.
„ IP-Adressen Datenschutz “ – Handelt es sich bei dynamischen IP-Adressen um personenbezogene Daten?
Der Europäische Gerichtshof hat hinsichtlich „IP-Adressen Datenschutz“ entschieden, dass es sich bei der sogenannten dynamischen IP-Adresse unter gewissen Voraussetzungen um ein personenbezogenes Datum handelt. In der Pressemitteilung Nr. 112/16 des Europäischen Gerichtshofs vom 19. Oktober 2016 zur Rechtssache C-582/14 heißt es: „Die dynamische Internetprotokoll-Adresse eines Nutzers stellt für den Betreiber der Website ein personenbezogenes Datum dar, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, den betreffenden Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zulassen.“
Zwar kann zunächst nur der Provider in Erfahrung bringen, wer hinter der dynamischen IP-Adresse steckt, allerdings können Webseiten-Betreiber für die Strafverfolgung, zum Beispiel bei Cyberattacken oder bei Urheberrechtsverletzungen, Informationen zu den IP-Adressen in Erfahrung bringen. Aus diesem Grund sollten dynamische IP-Adressen als personenbezogene Daten angesehen werden.
„ IP-Adressen Datenschutz “ – Dürfen die Daten vom Betreiber einer Webseite gespeichert werden?
Aufgrund der Entscheidung, dass es sich bei IP-Adressen um personenbezogene Daten handelt, sollten Webseiten-Betreiber das Telemediengesetz (TMG), insbesondere § 15 TMG berücksichtigen. Im Sinne von § 15 TMG ist eine Erhebung und Verarbeitung von personenbezogenen Daten des Betroffenen nur für Abrechnungszwecke erlaubt. Die Erhebung der IP-Adressen dürfte – für andere Zwecke als für die Abrechnung – nur erfolgen, wenn informierte Einwilligungen der Betroffenen eingeholt werden.
Der EuGH sieht dies allerdings an. Laut dem Urteil des europäischen Gerichtshofs vom 19.10.2016 in der Rechtssache C-582/14 steht das Verbot, die IP-Adressen zu einem anderen Zweck als der Abrechnung zu erheben, der EU-Richtlinie entgegen. Im Sinne von Art. 7 Buchst. f der Richtlinie 95/46/EG (EU-Richtlinie) dürfen personenbezogene Daten verarbeitet werden, wenn die Verarbeitung „zur Verwirklichung des berechtigten Interesses“ notwendig ist und die Grundrechte der Betroffenen nicht überwiegen.
Laut dem EuGH liegt im Fall der Bundesministerien ein „berechtigtes Interesse“ vor, da sie die IP-Adresse zum Schutz gegen Cyberangriffe und somit zur Aufrechterhaltung der Webseiten erheben und verarbeiten.
Fazit
Das Urteil des europäischen Gerichtshofes widerspricht teilweise dem deutschen Datenschutzrecht bzw. der überwiegenden Auslegungen der deutschen Lehre, da eine Erhebung und Verarbeitung der IP-Adressen bei „berechtigtem Interesse“ erlaubt werden soll, wobei – anderes als im deutschen Datenschutzrecht – ein berechtigtes Interesse bei der generellen Funktionsfähigkeit der Webseite vorliegen könnte. Des Weiteren heißt es in der Pressemitteilung Nr. 112/16 des EuGH, dass das deutsche Datenschutzrecht dadurch die Tragweite der EU-Richtlinie einschränkt.
Die Entscheidung zum Thema „IP-Adressen Datenschutz“, respektive zum Umgang mit personenbezogenen Daten, könnte vor allem in Hinblick auf die EU-Datenschutzgrundverordnung (EU-DSGVO) interessant sein. Die EU-DSGVO ist am am 25.05.2016 in Kraft getreten und ist nach einer zweijährigen Übergangsfrist ab dem 25.05.2018 in Kraft anwendbar. Das Ziel ist es den Datenschutz in der EU zu vereinheitlichen, allerdings sieht auch die EU-DSGVO in Art. 6 Buchst. f die Verarbeitung bei „berechtigten Interessen“ vor. Es bleibt zunächst abzuwarten, inwieweit das deutsche Datenschutzrecht diesbezüglich angepasst wird.