Sind IP-Adressen personenbezogene Daten?

Ob IP-Adressen als „personenbezogene Daten“ im Sinne des Datenschutzrechts anzusehen sind, war seit jeher in der Rechtswelt umstritten. Auch der Bundesgerichtshof hatte keine eindeutige Antwort auf dieses spannende Problemfeld und leitet die Frage nun an den EuGH zur abschließenden Klärung der Rechtslage weiter, wie heute bekannt wurde (Urteil vom 28. Oktober 2014, Az.: VI ZR 135/13).

(Bildquelle Anonymer User: GlebStoc via Shutterstock)

Worum dreht sich der Streit?

Der Datenschutzaktivist Patrick Breyer (Landtagsabgeordneter in Schleswig-Holstein) rief in der Vergangenheit verschiedene Internetseiten der Bundesrepublik auf. Bei den meisten dieser Internetportale werden alle Zugriffe in Protokolldateien festgehalten mit dem Ziel, Angriffe abzuwehren und die strafrechtliche Verfolgung von Angreifern zu ermöglichen. Dabei werden unter anderem der Name der abgerufenen Seite, der Zeitpunkt des Abrufs und die IP-Adresse des zugreifenden Rechners über das Ende des jeweiligen Nutzungsvorgangs hinaus gespeichert. Nach dem Vortrag der Bundesrepublik ist die Speicherung der IP-Adressen zur Gewährleistung und Aufrechterhaltung der Sicherheit und Funktionsfähigkeit ihrer Telemedien erforderlich.

Der Internet-User verlangt nun von der Bundesrepublik Deutschland die Unterlassung der Speicherung von ihm zugewiesenen dynamischen IP-Adressen über das Ende des jeweiligen Nutzungsvorgangs hinaus. Der Datenschutzaktivist sieht darin einen Verstoß gegen das Telemediengesetz (TMG), wonach personenbezogene Daten u.a. nur mit Einwilligung des Nutzers gespeichert werden dürfen. Dreh- und Angelpunkt ist die Frage, ob es sich bei den IP-Adressen tatsächlich um solche personenbezogenen Daten handelt.

Info: Personenbezogene Daten sind „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“, § 3 Bundesdatenschutzgesetz.

Dazu muss man wissen, dass die Information über die IP-Adresse allein noch nicht ausreicht, um eine Person zu ermitteln. Die Ermittlung einer bestimmten Person ist erst mit Hilfe des Anbieters des Internetzugangs möglich, der einen Rückschluss auf den Anschlussinhaber treffen kann.

Geht man bei einer IP-Adresse von "personenbezogenen Daten" aus, so dürfen die IP-Adressen des Nutzers nicht ohne eine gesetzliche Erlaubnis gespeichert werden, wenn eine Einwilligung des Nutzers fehlt.

Vorlage an den EuGH

Der Bundesgerichtshof hat beschlossen, das Verfahren auszusetzen und dem Europäischen Gerichtshof zwei Fragen vorzulegen. Der Bundesgerichtshof ersucht den EuGH konkret um die Auslegung der Frage, ob es sich bei den dynamischen IP-Adressen um "personenbezogene Daten" handelt. Das könnte in den Fällen, in denen der Internet-User während eines Nutzungsvorgangs seine Personalien nicht angegeben hat, fraglich sein. Denn nach den getroffenen Feststellungen lagen den Webseitenbetreibern keine Informationen vor, die eine Identifizierung des Nutzers anhand der IP-Adressen ermöglicht hätten. Auch durfte der Zugangsanbieter des Internetnutzers den verantwortlichen Stellen keine Auskunft über die Identität des Users erteilen. Der Bundesgerichtshof hat dem Europäischen Gerichtshof deshalb die Frage vorgelegt, ob eine IP-Adresse, die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn lediglich ein Dritter über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt.

Der Bundesgerichtshof hat dem Europäischen Gerichtshof außerdem die Frage vorgelegt, inwieweit die Speicherung und Verwendung personenbezogener Daten eines Nutzers ohne dessen Einwilligung über das Ende des jeweiligen Nutzungsvorgangs hinaus gerechtfertigt sein kann.

Die vollständige Pressemitteilung des Bundesgerichtshofes ist hier abrufbar.