Dynamische IP-Adressen: EuGH stellt deutsches Datenschutzrecht in Frage

1. November 2016

(c) BBH
(c) BBH

Fallen „dynamische“ IP-Adressen, die sich bei jeder neuen Internetverbindung ändern und daher nicht ohne weiteres einem bestimmten Nutzer zuordenbar sind, unter den Datenschutz? Über diese Frage herrscht unter deutschen Gerichten seit langem Unklarheit. Jetzt hat der Europäische Gerichtshof (EuGH) ein klärendes Wort gesprochen (Az. C-582/14, Urt. v. 19.10.2016): Dynamische IP-Adressen können danach personenbezogene Daten und somit datenschutzrelevant sein, wenn der Betreiber der Website „über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen“. Im Klartext: IP-Adressen sind für Website-Betreiber personenbezogene Daten, wenn Nutzer von Online-Diensten unter Zuhilfenahme des jeweiligen Zugangsproviders identifiziert werden können. In der Bundesrepublik gebe es entsprechende Möglichkeiten, „sich insbesondere im Fall von Cyberattacken an die zuständige Behörde zu wenden, um die fraglichen Informationen vom Internetzugangsanbieter zu erlangen und anschließend die Strafverfolgung einzuleiten“. Zudem sei das generelle Verbot der Speicherung von IP-Adressen in § 15 TMG mit Art. 7 lit. f Datenschutzrichtlinie (RL 95/46/EG) nicht vereinbar; dieser lasse eine Speicherung bei einem berechtigten Interesse des Website-Betreibers – auch ohne Einwilligung – zu.

Im konkreten Fall wendete sich der Richter und schleswig-holsteinische Piratenpartei-Abgeordnete Patrik Breyer dagegen, dass von ihm aufgerufene Websites von Einrichtungen des Bundes seine IP-Adresse über den Zeitpunkt des Zugriffs hinaus speichern. Dies geschieht, um sich gegen Cyberattacken zu wappnen und eine Strafverfolgung zu ermöglichen. Nach Auffassung des Klägers besteht keine Rechtsgrundlage für eine weitergehende Speicherung seiner IP-Adresse. Nach § 15 TMG dürften personenbezogene Daten eines Nutzers nur zu Abrechnungszwecken gespeichert werden und um die konkrete, gerade laufende Nutzung des betroffenen Webdienstes sicherzustellen.

Mit dem Urteil setzt der EuGH einerseits ein wichtiges Zeichen für den Datenschutz in einer zunehmend digitalisierten Welt. Andererseits erweitert er – jedenfalls im Onlinebereich – die im deutschen Datenschutzrecht vorhandenen Möglichkeiten, personenbezogene Daten auch ohne Einwilligung der betroffenen Nutzer zu speichern. Das Urteil ist zu begrüßen, soweit damit letztinstanzlich klargestellt wird, dass auch dynamische IP-Adressen personenbezogene Daten sein können, wenn der Betreiber der Website den Nutzer seines Online-Dienstes unter Zuhilfenahme von Zusatzinformationen identifizieren kann. Es ist hingegen höchst bedenklich, soweit der EuGH Datenverarbeitungen nach dem Unionsrecht – anders als im deutschen Datenschutzrecht – im Rahmen einer Interessenabwägung stets für rechtmäßig hält, wenn diese durch ein berechtigtes Interesse des Verantwortlichen gedeckt sind und die Rechte der betroffenen Person nicht überwiegen.

Nimmt man den EuGH beim Wort, dann sind zahlreiche Rechtsgrundlagen des (deutschen) Datenschutzrechts unionsrechtswidrig, weil sie keine Interessenabwägung vorsehen (z.B. die Regelungen zur Zusammenarbeit mit Auskunfteien in §§ 28a/b BDSG). Da Art. 7 lit. f der Datenschutzrichtlinie im Wesentlichen der neuen Regelung in Art. 6 Abs. 1 lit. f Datenschutz-Grundverordnung (EU-DSGVO/VO (EU) 2016/679) entspricht, dürften die Aussagen des EuGH auch nach 2018 relevant bleiben.

Der Gesetzgeber ist nun umso mehr gefordert, bei der Anpassung der deutschen Datenschutzvorgaben auch die Rechtsprechung des EuGH zu berücksichtigen. Pauschale gesetzliche Verarbeitungsgrundlagen ohne Interessenabwägung im Einzelfall dürften zukünftig kaum noch möglich sein. Dies könnte neben dem aufgrund der EU-DSGVO ohnehin anzupassenden Bundesdatenschutzgesetz (BDSG) in der Energiewirtschaft auch die Datenschutzregeln in den §§ 49 ff. MsbG betreffen.

Energieversorger sind vor dem Hintergrund des Urteils – wie andere Website-Betreiber – aufgerufen, die Rechtskonformität ihrer Online-Dienste in Bezug auf die Verarbeitung von IP-Adressen der Nutzer zu überprüfen und die auf ihrer Website veröffentlichten Datenschutzerklärungen gegebenenfalls anzupassen. Im Zuge der Anpassung der deutschen Datenschutzregeln an die neuen Vorgaben bis 2018 darf man zudem gespannt sein, ob der Gesetzgeber auch die Vorgaben zum Datenschutz im Messstellenbetriebsgesetz (MsbG) noch einmal neu gestaltet.

Ansprechpartner: Dr. Jost Eder/Jan-Hendrik vom Wege/Alexander Bartsch

Share
Weiterlesen

30 April

Das Solarpaket I ist da: Wichtige Neuerungen im Überblick

Am vergangenen Freitag haben Bundestag und Bundesrat das Solarpaket I beschlossen. Nachdem das Gesetz eigentlich noch in 2023 verabschiedet werden und am 01.01.2024 in Kraft treten sollte, wird es nun voraussichtlich im Mai wirksam werden. Nur ein kleiner Teil des...

Weiterlesen

29 April

Umsatzbesteuerung der öffentlichen Hand: Erneute Verlängerung der Übergangsregelung des § 2b UStG?

Die endgültige Einführung des § 2b UStG könnte erneut verschoben werden, nun auf den 1.1.2027. Dies lässt sich dem Referentenentwurf des Bundesministeriums der Finanzen (BMF) zum Jahressteuergesetz 2024 entnehmen. Damit bekämen Kommunen zwei weitere Jahre Zeit, sich auf die Umstellung...

Weiterlesen