EuGH: IP-Adressen sind personenbezogene Daten
Der Europäische Gerichtshof hat in einer jüngst veröffentlichten Entscheidung eine der umstrittensten Fragen des Datenschutzrechts nunmehr höchstrichterlich beantwortet: das Gericht hat bestätigt, dass die IP-Adresse zu den personenbezogenen Daten gehört.
Zankapfel IP-Adresse: rechtliche Einordnung
Eine IP-Adresse ist eine Adresse, die in Computernetzen, die – wie z. B. dem Internet – angeschlossenen Endgeräten (Computer, Smartphone usw.) zugewiesen wird. Mittels dieser „Hausnummer“ können Daten zwischen den beteiligten Geräten übermittelt werden.
Zwischen Behörden und Gerichten sowie Diensteanbietern und rechtswissenschaftlichen und technischen Fachleuten war umstritten, ob eine solche Adresse zu den personenbezogenen Daten gehört. Personenbezogene Daten sind gemäß § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) Informationen, die einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Stein des Anstoßes und Kern der rechtlichen Auseinandersetzung war die Frage, was eine „bestimmbare“ natürliche Person ist. Denn die Information, welchem Netzteilnehmer zu welcher Zeit eine bestimmte IP-Adresse zugewiesen war, liegt in der Regel nur dem Zugangsprovider vor. Der Betreiber einer Internetseite hat in der Regel nicht die Möglichkeit, auf die Daten des Providers zu zugreifen. Für ihn ist die Person also nicht bestimmbar. Für die Aufsichtsbehörden war dieser Umstand nicht relevant. „Bestimmbar“ im Sinne des Gesetzes bedeutet nach Ansicht der Aufsichtsbehörden, dass es rein faktisch möglich ist, eine solche Zuordnung vorzunehmen, und zwar unabhängig von tatsächlich gegebenen Zugriffsmöglichkeiten. Diese Ansicht lag auch einem viel beachteten Beschluss des so genannten Düsseldorfer Kreises (ein informelles Gremium der Aufsichtsbehörden für den Datenschutz im Bereich Telemedien) aus dem November 2009 zu Grunde. Nach diesem Beschluss wurden Anforderungen an die Rechtmäßigkeit von Webanalyse-Werkzeugen (wie beispielsweise „Google Analytics“) aufgestellt, die sich an der Einordnung von IP-Adressen als personenbezogene Daten orientierten (wir berichteten). Das sahen freilich verschiedene Online-Anbieter anders. Der Datenschutzbeauftragte der für den Vertrieb der Google-Dienste in Deutschland zuständigen Google Germany GmbH wandte sich beispielsweise bereits vor längerer Zeit vehement gegen die Einordnung von IP-Adressen als personenbezogen (Meyerdierks: „Sind IP-Adressen personenbezogene Daten?“ in der Zeitschrift MMR 2009, S. 8).
EugH: IP-Adresse ist personenbezogen
Der europäische Gerichtshof hatte nunmehr zu der Frage zu entscheiden, ob ein Internet-Provider verpflichtet werden kann, ein Filtersystem zur Verhinderung des illegalen Zugänglichmachens urheberrechtlich geschützter Werke (Filesharing) einzurichten. In Randziffer 51 des Urteils lautet es:
„Zum einen steht nämlich fest, dass die Anordnung, das streitige Filtersystem einzurichten, eine systematische Prüfung aller Inhalte sowie die Sammlung und Identifizierung der IP-Adressen der Nutzer bedeuten würde, die die Sendung unzulässiger Inhalte in diesem Netz veranlasst haben, wobei es sich bei diesen Adressen um personenbezogene Daten handelt, da sie die genaue Identifizierung der Nutzer ermöglichen.“ (Urteil vom 24. November 2011; Rechtssache C-70/10)
Augenscheinlich tendiert der europäische Gerichtshof dazu, IP-Adressen generell als personenbezogene Daten anzusehen. Damit wäre höchstrichterlich geklärt, dass die IP-Adresse zu den personenbezogenen Nutzungsdaten gehört.
Handlungsbedarf: unverzügliche Löschung und Datensparsamkeit
IP-Adressen genießen daher den Schutz des § 15 Telemediengesetz (TMG). Danach sind Nutzungsdaten unverzüglich nach Beendigung des Nutzungsvorgangs zu löschen, wenn sie nicht zu Abrechnungszwecken benötigt werden. Im Klartext: beispielsweise darf im Logfile eines Webservers keine dauerhafte Speicherung vollständiger IP-Adressen erfolgen. Auch Webanalysemaßnahmen dürfen nur dann unter Verwendung der vollständigen IP-Adresse erfolgen, wenn dem Nutzer eine einfache und praktisch umsetzbare Möglichkeit des Widerspruchs gegeben ist, der Nutzer auf sein Widerspruchsrecht hingewiesen wurde und wenn keine Zusammenführung mit anderen personenbezogenen Daten des Nutzers erfolgt.
Die Entscheidung des Europäischen Gerichtshofs lässt allerdings noch ein kleines denkbares „Schlupfloch“: das Urteil des EuGH betraf eine IP-Adresse in den Händen des Internet-Providers. Daher könnte noch diskutiert werden, ob die IP-Adresse in den Händen eines „normalen“ Internetseitenbetreibers möglicherweise anders einzustufen wäre. Diensteanbietern ist jedoch anzuraten, die Entscheidung des EuGH ernstzunehmen. Zweckmäßigerweise sollte geprüft werden, ob die vollständige Erhebung der IP-Adresse zwingend notwendig ist und ob überall dort, wo dies nicht der Fall ist, eine Anonymisierung erfolgen kann. Hier ist beispielsweise an die Kürzung der erhobenen Adressen um die letzten drei Ziffern zu denken. Überdies sollten Diensteanbieter das Thema „Löschungsfristen“ sorgfältig prüfen. Zwar hat der Bundesgerichtshof entschieden, dass eine unverzügliche Löschung nicht mehr benötigter Nutzungsdaten nicht einer „sofortigen“ Löschung entspricht (BGH, Urteil vom 13.1.2011 – AZ: III ZR 146/1). In der Praxis bedeutet dies, dass ein Diensteanbieter etwaig erhobene IP-Adressen nicht sofort nach Beendigung des Nutzungsvorgangs, sondern im Rahmen einer regelmäßigen Anonymisierung oder Löschung neutralisieren oder löschen muss. Die Frist sollte hierbei jedoch keinesfalls zu lang angesetzt werden.
Das Telemediengesetz sieht für Verstöße gegen die datenschutzrechtlichen Verpflichtungen Geldbußen von bis zu 50.000 € vor. Darüber hinaus sind Maßnahmen der Aufsichtsbehörden und die Umsetzung von behördlichen Auflagen oftmals deutlich teurer und mit wesentlich mehr Aufwand verbunden, als eine von Anfang an durchdachte Gestaltung der IT-Infrastruktur. Datenschutz ist daher nicht nur eine lästige Pflicht, sondern eine Selbstverständlichkeit, die von allgemeingültigen gesetzlichen „Spielregeln“ ebenso verbindlich geregelt ist wie das Steuerrecht. Professionelle Diensteanbieter sollten daher auch in Datenschutzfragen professionell aufgestellt sein.
Sie haben Fragen zum Datenschutzrecht? Sie benötigen Unterstützung durch einen sach-und rechtskundigen betrieblichen Datenschutzbeauftragten? Für alle Fragen des Datenschutzrechts, aber natürlich auch andere Bereiche des IT-Rechts steht Ihnen BBS als kompetenter und praxisorientierter Partner zur Verfügung. Was können wir für Sie tun?