EuGH-Gutachten: Webseitenbetreiber dürfen IP-Adressen langfristig speichern

Erfolg und Schlappe für den Piratenpolitiker Patrick Breyer: Der Generalanwalt beim EuGH erklärt alle IP-Adressen zu persönlichen Daten, hält deren Speicherung durch Webseitenbetreibern unter Umständen jedoch für legitim.

Artikel veröffentlicht am ,
Kläger Patrick Breyer
Kläger Patrick Breyer (Bild: Regina Simon)

Mit seiner Klage gegen die Speicherung dynamischer IP-Adressen durch Webseitenbetreiber könnte der Piratenpolitiker Patrick Breyer ein klassisches Eigentor geschossen haben. Nach Einschätzung des Generalanwalts Campos Sánchez-Bordona beim Europäischen Gerichtshof (EuGH) können dynamische IP-Adressen zwar jederzeit als personenbezogene Daten gewertet werden, so dass die Datenschutzbestimmungen beachtet werden müssten. Allerdings könnten Webseitenbetreiber ein "berechtigtes Interesse" haben, solche Daten zu speichern. Eine nationale Vorschrift, die eine solche Speicherung verbiete, würde daher gegen europäisches Recht verstoßen (Rechtssache C-582/14).

Stellenmarkt
  1. Berater als Projektleiter (m/w/d) Software
    wiko Bausoftware GmbH, Freiburg im Breisgau
  2. Sachbearbeiterinnen / Sachbearbeiter Verfahrensadministration (w/m/d)
    Polizei Berlin, Berlin
Detailsuche

Der Kieler Piratenabgeordnete Breyer befürchtet, der Staat könne Profile von Nutzern anlegen, die Webseiten von Ministerien und Behörden besuchen. Brisant könnte das zum Beispiel für jene sein, die sich online beim Bundesgesundheitsministerium über illegale Drogen informieren. Breyer will deshalb nicht, dass die Betreiber der Webseiten ungefragt Nutzerdaten speichern, darunter auch die IP-Adresse, wie es unter anderem auf bmi.bund.de, bnd.bund.de oder bundestag.de der Fall ist. Der EuGH soll auf Wunsch des Bundesgerichtshofs (BGH) nun die Frage klären, ob dynamische IP-Adressen personenbezogene Daten sind und ob Webseitenbetreiber diese speichern dürfen.

Ermittlung von Nutzern "vernünftig" möglich

Was die erste Frage betrifft, überrascht die Position von Sánchez-Bordona. Denn Webseitenbetreiber können die IP-Adresse von Besuchern nicht ohne Zuhilfenahme des Internetproviders einem konkreten Nutzer zuordnen. Eine solche Auskunft ist nur auf gerichtlichem Weg möglich. Der Generalanwalt interpretiert die entsprechende EU-Datenschutzrichtlinie jedoch so, dass eine dynamische IP-Adresse für einen Telemedienanbieter ein personenbezogenes Datum ist, "soweit ein Internetzugangsanbieter über weitere zusätzliche Daten verfügt, die in Verbindung mit der dynamischen IP-Adresse die Identifizierung des Nutzers ermöglichen".

Sánchez-Bordona bezieht sich dabei auf Erwägungsgrund 26 der Richtlinie, wo es heißt: "Bei der Entscheidung, ob eine Person bestimmbar ist, sollten alle Mittel berücksichtigt werden, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen." Dieser Dritte, der Zugangsanbieter, sei nicht hypothetisch und unerreichbar. Zudem gebe es "vernünftige" Mittel, die selbstverständlich im Rahmen der Gesetze liegen müssten, an die Daten zu gelangen. Der Generalanwalt kommt daher zu dem Schluss: "Allein schon die durchaus 'vernünftige' Möglichkeit einer Übermittlung von Daten macht nach dem Wortlaut des 26. Erwägungsgrundes der Richtlinie 95/46 aus der dynamischen IP-Adresse für den Internetdiensteanbieter ein personenbezogenes Datum."

Breyer warnt vor NSA-Methoden in Europa

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Anders als von Breyer intendiert, führt dies laut Sánchez-Bordona jedoch nicht dazu, dass die Webseitenbetreiber solche Daten nicht speichern dürfen. Im Gegenteil. Der Generalanwalt ist der Ansicht, dass eine deutsche Regelung im Telemediengesetz (Artikel 15), die die längerfristige Speicherung von IP-Adressen nur für Abrechnungszwecke zulässt, nicht mit EU-Recht vereinbar ist. Der Zweck, die Funktionsfähigkeit des Telemediums zu gewährleisten, sei "grundsätzlich als ein berechtigtes Interesse anzusehen", solche Daten zu speichern. Eine nationale Rechtsvorschrift, die die Berücksichtigung dieses berechtigten Interesses nicht zulasse, sei mit Artikel 7, Buchstabe f der EU-Richtlinie nicht vereinbar.

Dieses "berechtigte Interesse" könne daher "im Einzelfall gegen das Interesse oder die Grundrechte und Grundfreiheiten des Nutzers abgewogen werden". Diese Abwägung überlässt der EuGH jedoch wiederum dem BGH, da das deutsche Gericht dazu keine Frage vorgelegt hatte.

Breyer zeigte sich erwartungsgemäß entsetzt über das Gutachten. "Das ist ein Angriff auf das deutsche Datenschutzrecht und die digitalen Grundrechte. Die EU droht das klare deutsche Verbot einer Protokollierung unseres Surfverhaltens im Telemediengesetz auszuhebeln und die Verantwortung auf Einzelfallentscheidungen der Gerichte abzuschieben", teilte der Landtagsabgeordnete mit. Er forderte die EU-Kommission auf, "unverzüglich ein eindeutiges Verbot der anlasslosen Protokollierung unseres Surfverhaltens vorzulegen". Europa müsse "der NSA-Methode einer Totalerfassung des digitalen Lebens eine klare Absage erteilen".

Sollte sich der EuGH dem Generalanwalt anschließen und die Abwägung den deutschen Gerichten überlassen, wolle er notfalls bis vor das Bundesverfassungsgericht ziehen. Ein Gerichtsgutachten belegt laut Breyer, dass ein sicherer Betrieb von Internetportalen bei entsprechender Systemgestaltung auch ohne Vorratsspeicherung von IP-Adressen möglich ist. Mit einem Urteil ist in den kommenden Monaten zu rechnen. In den meisten Fällen folgt der Gerichtshof weitgehend den Einschätzungen des Gutachters.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
DSGVO
Amazon bekommt 746 Millionen Euro Datenschutz-Strafe

Die Strafe gegen Amazon ist die wohl größte jemals von einer europäischen Datenschutzbehörde verhängte Summe. Die Kläger freuen sich.

DSGVO: Amazon bekommt 746 Millionen Euro Datenschutz-Strafe
Artikel
  1. Blue Origin: Bezos-Beschwerde zu Mondlandefähre abgelehnt
    Blue Origin
    Bezos-Beschwerde zu Mondlandefähre abgelehnt

    Damit Blue Origin doch noch den Auftrag für eine Mondlandefähre bekommt, hat Jeff Bezos Geld geboten und sich offiziell beschwert. Es half nichts.

  2. Black Widow: Scarlett Johansson verklagt Disney
    Black Widow
    Scarlett Johansson verklagt Disney

    Scarlett Johansson hat wegen des Veröffentlichungsmodells von Black Widow Klage eingereicht. Disney nennt das Verhalten "herzlos".

  3. Luftsicherheit: Wenn plötzlich das Foto einer Waffe auf dem iPhone erscheint
    Luftsicherheit
    Wenn plötzlich das Foto einer Waffe auf dem iPhone erscheint

    Ein Jugendlicher hat ein Foto einer Waffe per Apples Airdrop an mehrere Flugpassagiere gesendet. Das Flugzeug wurde daraufhin evakuiert.

Graveangel 12. Mai 2016

Allerdings ist das eine reine Entwicklungsumgebung und die einzigen sinnvollen Zugriffe...

phinotv 12. Mai 2016

Ich würde sogar noch weiter gehen, es ist gar kein personenbezogendes Datum. Alle...

Schnarchnase 12. Mai 2016

Das haben sie letztendlich so oder so. Die letzte Instanz ist das BVerfG und nicht der...



  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Viewsonic XG270QG (WQHD, 165 Hz) 549,99€ • Mega-Marken-Sparen bei MediaMarkt (u. a. Razer) • Saturn: 1 Produkt zahlen, 2 erhalten • Gigabyte X570 AORUS Master 278,98€ + 30€ Cashback • Alternate (u. a. AKRacing Core EX-Wide SE 248,99€) • MMOGA (u. a. Fallout 4 GOTY 9,99€) [Werbung]
    •  /