EuGH: Hebelt das Urteil zu IP-Adressen den Online-Datenschutz aus?

Für den Piratenpolitiker Patrick Breyer war das Urteil des Europäischen Gerichtshofes (EuGH) zur Speicherung dynamischer IP-Adressen ein herber Rückschlag: Die Richter fordern die Lockerung des Speicher-Verbots. Welche Konsequenzen das für den Datenschutz und die Online-Werbung hat, erläutert Rechtsanwalt Matthias Bergt.

Gastbeitrag von Matthias Bergt, Rechtsanwalt von Boetticher Rechtsanwälte

Das hatte sich der Kläger, der Richter und schleswig-holsteinische Piratenpartei-Fraktionsvorsitzende Patrick Breyer, wohl anders vorgestellt: Zwar hat der Europäische Gerichtshof entschieden, dass auch dynamische IP-Adressen personenbezogene Daten sind. Doch das strikte deutsche Verbot, IP-Adressen von WWW-Seiten-Besuchern zu speichern, ist europarechtswidrig. Das Ende des Datenschutzes im Internet? Ja, würde man angesichts mancher Presseberichte denken. Nein, zeigt ein Blick in die Entscheidung. Zittern muss vielmehr die Online-Werbebranche.

Dynamische IP-Adressen sind personenbezogene Daten

Breyer hatte gegen die Bundesrepublik Deutschland geklagt, weil auf einigen WWW-Seiten des Bundes die IP-Adressen der Besucher geloggt werden. Der EuGH entschied nun: Auch dynamische IP-Adressen sind personenbezogene Daten, das strenge Datenschutzrecht ist anwendbar. Doch das bedeutet nicht, dass Website-Betreiber die IP-Adressen auf gar keinen Fall speichern dürften: Ein striktes Verbot, wie in § 15 des deutschen Telemediengesetzes vorgesehen, ist europarechtswidrig. Stattdessen muss es zumindest in Ausnahmefällen möglich sein, dass ein Gericht zu einer anderen Entscheidung kommt. Grundlage hierfür ist eine Abwägung zwischen den Interessen von Betreiber und Besucher. Ministerien dürfen IP-Adressen daher auch in Zukunft nicht ohne Weiteres speichern. Denn der Anbieter kann in der Abwägung nur dann gewinnen, wenn die Speicherung erforderlich ist – konkret für die Abwehr von dDoS-Angriffen (Distributed Denial of Service beschriebt einen Angriff auf einen Computer; im Vergleich zum DoS-Angriff erfolgt er von vielen Rechnern aus). Das Sachverständigengutachten, das das Landgericht Berlin im Verfahren eingeholt, aber aus Rechtsgründen nicht verwertet hatte, sagt ganz klar: Nein, man braucht die IP-Adressen nicht. Nachvollziehbar, denn wenn ein dDoS-Angriff erst mal am Server angelangt ist, ist es zu spät – man stellt ja auch nicht die Ladenkasse offen auf die Straße und hängt eine Überwachungskamera darüber. Bei anderen Angriffsszenarien, etwa wenn Kundendaten gestohlen werden sollen, kann die Erforderlichkeit aber ganz anders aussehen – das Angriffsentdeckungsprogramm fail2ban (IP-Firewall) dürfte ein Musterbeispiel hierfür sein: Wer zu oft erfolglos versucht, auf den Server zu kommen, wird für einige Minuten geblockt.

Das Ende der Privatsphäre?

Vor einem Ende der Privatsphäre im Internet muss sich daher niemand fürchten. Es wäre natürlich für die Privatsphäre und letztlich auch für die Demokratie gefährlich, wenn genauestens gespeichert würde, wer wann sich für die Veranstaltungen eines politischen Vereins oder die Wirkung bestimmter Drogen interessiert hat oder offensichtlich einen Strafverteidiger sucht. Denn wie das Bundesverfassungsgericht schon im Volkszählungsurteil festgestellt hat: Wer damit rechnen muss, dass abweichendes Verhalten registriert wird, wird zum Duckmäuser. Aber der EuGH hat keinen Freibrief für ein umfassendes IP-Logging gegeben. Sondern der Betreiber muss als erstes genau prüfen, ob die Speicherung erforderlich ist. Dabei stellt sich die Frage, warum doch relativ viele WWW-Server ohne eine Speicherung der IP-Adressen auskommen – und auch nicht unsicherer sind als alle anderen, vielleicht gar sicherer, weil die Administratoren sich Gedanken über die Konfiguration gemacht haben. Ist die Speicherung für den angestrebten Zweck erforderlich, gilt es abzuwägen, wessen Interessen vorgehen. (Und ist es am Ende zulässig, die IP-Adressen zu speichern, müssen diese natürlich vor dem Zugriff Unbefugter geschützt werden, wie alle anderen personenbezogenen Daten auch.) Nimmt man das ernst, müssen wir uns eigentlich nicht vor einer umfassenden Überwachung unserer Aktivitäten im Internet fürchten. Allerdings hat der BGH die Tendenz, gerne mal fünfe gerade sein zu lassen. Dies zeigte sich schon beim Urteil zur IP-Adressen-Speicherung durch Access-Provider, das dann gar noch von den Instanzgerichten zu einer allgemeinen Genehmigung für eine siebentägige Vorratsdatenspeicherung ausgebaut wurde.

Dritte erfahren IP-Adressen

Als für den Datenschutz gut, für die Online-Werbewirtschaft dagegen fatal könnte sich ein anderer Aspekt des Urteils erweisen: Wenn IP-Adressen personenbezogene Daten sind, bedarf es auch einer Erlaubnis, diese an Dritte zu übermitteln. Durch die Einbindung von Dritt-Inhalten wie etwa Werbebannern erfährt der Betreiber des Dritt-Servers zwangsweise unter anderem die IP-Adresse des Besuchers der WWW-Seite. Dafür braucht man nach dem Urteil des EuGH eine Erlaubnis. Werbung kann zwar ein berechtigtes Interesse sein, aber die Frage, wessen Interesse hier vorgeht, wird sicherlich noch einige Rechtsstreitigkeiten zur Klärung erfordern. Auch eine Lösung über Auftragsdatenverarbeitung ist rechtlich nicht ganz ohne, und spätestens, wenn der eingebundene Server außerhalb der EU steht, wird es richtig aufwendig. Die Werbewirtschaft wird sich Gedanken machen müssen.