EuGH-Urteil “Angriff auf das deutsche Datenschutzrecht” | Süddeutsche [extern]

Der EuGH hat entschieden, dass dynamische IP-Adressen zu den personenbezogenen Daten zählen.
Trotzdem dürfen sie von Webseitenbetreibern gespeichert werden, wenn das etwa dem Schutz vor Hackerangriffen dient.
Der klagende Piratenpolitiker Patrick Breyer empfindet das Urteil als “Angriff auf das deutsche Datenschutzrecht und die digitalen Grundrechte”.
Er hatte bereits 2007 die Bundesregierung verklagt, weil das Bundesjustizministerium dynamische IP-Adressen der Besucher speicherte.
Welcher Browser wird verwendet, welches Betriebssystem ist installiert, in welcher Stadt befindet sich der Nutzer gerade. Webseitenbetreiber erfahren sehr viel über ihre Nutzer, selbst wenn diese nicht bei Facebook oder Google eingeloggt sind. Bereits der Aufruf einer Webseite gibt etliche Informationen preis.
Aber ab wann werden die Nutzer eindeutig identifizierbar? Und welche Daten darf ein Webseitenbetreiber generell speichern? Der Europäische Gerichtshof (EuGH) hat heute entschieden, dass dynamische IP-Adressen zu den personenbezogenen Daten zählen, da Webseitenbetreiber über Zusatzinformationen die einzelnen Nutzer identifizieren können.
Das alleine wäre ein Erfolg für Datenschützer: Dynamische IP-Adressen dürften nicht langfristig ohne die Einwilligung der Nutzer gespeichert werden, wenn sie als personenbezogen gelten. Doch das Gericht ist außerdem der Meinung, dass Webseitenbetreiber bestimmte personenbezogene Daten speichern dürfen, wenn sie ein berechtigtes Interesse daran haben, etwa um sich gegen Hackerangriffe zu schützen. Das ist im deutschen Datenschutzgesetz nicht vorgesehen; IP-Adressen dürfen nur gespeichert werden, wenn sie zur Abrechnung benötigt werden.
Was ist eine IP-Adresse?
Jedes Gerät, das mit dem Internet verbunden ist, erhält eine eindeutige IP-Adresse. IP-Adressen funktionieren ähnlich wie Postadressen und werden benötigt, damit die Geräte untereinander kommunizieren können. So wird beispielsweise die angeforderte Webseite am korrekten Endgerät dargestellt und nicht versehentlich beim Nachbarn gegenüber oder auf einem Smartphone in Südkorea. Eine IP-Adresse besteht aus Zahlen und Punkten und lautet in einem lokalen Netzwerk oft “192.168.0.1.”.
Zwar kennen die Webseitenbetreiber die IP-Adressen ihrer Nutzer, aber welche realen Personen sich dahinter verbergen, erfahren sie nicht. Das wissen nur Provider wie die Telekom oder Vodafone, denn sie vergeben die Adressen. Diese sind meist dynamisch, weil Provider in bestimmten Zeiträumen neue Adressen generieren. Ein Nutzer geht also nicht immer mit derselben IP-Adresse ins Netz.
Piratenpoliker vs. Bundesrepublik Deutschland
Und wieder grüßt die Vorratsdatenspeicherung
Schon wieder muss das Verfassungsgericht über die Speicherung von Vorratsdaten entscheiden. Die klagenden FDP-Politiker hatten bereits die frühere Regelung gekippt. Von Heribert Prantl mehr …
Geklagt hat Patrick Breyer, der Fraktionsvorsitzende der Piratenpartei im schleswig-holsteinischen Landtag. Für ihn sind die Internetnutzer bereits identifizierbar, wenn der Betreiber die IP-Adressen speichert, die bei jedem Besuch übermittelt werden. Über den Provider lässt sich schließlich der Nutzer hinter der Adresse bestimmen. Daher gehören IP-Adressen für Breyer zu den personenbezogenen Daten.
Breyer hat daher die Bundesrepublik Deutschland verklagt. Sie betreibt mehrere Internetseiten, etwa www.bmi.bund.de für das Innenministerium oder www.bundestag.de für das deutsche Parlament. Die IP-Adressen der Besucher werden für mehrere Monate gespeichert – wie bei vielen privaten Webseiten auch. Breyer fürchtet, dass der Staat Profile über die Nutzer anlegen könnte, etwa wenn sich jemand auf der Website des Gesundheitsministeriums über illegale Drogen erkundigt. Die Bundesrepublik sagt, die Webseitenbetreiber speicherten die Adresse nur, um Angriffe abzuwehren und die Angreifer zu verfolgen.
Auswirkungen auf private Betreiber
Auch private Anbieter sind von dem Urteil betroffen. “Das Urteil hat Auswirkungen auf alle Geschäftsmodelle, die die Nutzung der IP-Adresse vorrausetzen, von Online-Werbung bis zu Smart TVs”, sagt Martina Krauss, Referentin für Europäische Wirtschafts- und Netzpolitik beim Branchenverband Bitkom. “Private Webseitenbetreiber müssen zum Teil ihre Abläufe umstellen, etwa die Anonymisierung der IP-Adresse. Außerdem ergeben sich für viele neue Pflichten, die mit personenbezogenen Daten einhergehen, etwa die Auskunftspflicht gegenüber den Besuchern der Webseite.”
Auch Breyer warnt vor den Folgen des Urteils: “Dass die EU das im deutschen Telemediengesetz verankerte klare Verbot einer Surfprotokollierung aushebelt und die Verantwortung auf Einzelfallentscheidungen der Gerichte abschiebt, ist ein Angriff auf das deutsche Datenschutzrecht und die digitalen Grundrechte.” Es sei unklar, ob Internetnutzer vor einer Aufzeichnung des Surfverhaltens geschützt sind.
Das heutige Urteil ist das vorläufige Ergebnis eines jahrelangen Rechtstreits
Rückblick: 2007 erreichte Breyer vor dem Landgericht Berlin, dass die Webseite des Bundesjustizministeriums keine IP-Adressen mehr von ihm speichern durfte. Daraufhin erstellte das Ministerium nur noch anonyme Statistiken über die Besucher der Seite. Andere Seiten des Bundes waren allerdings nicht betroffen.
Also verklagte Breyer die Bundesrepublik Deutschland. Im August 2008 lehnte das Amtsgericht Tiergarten in Berlin eine Klage von Breyer ab, das Gericht erklärte sich für nicht zuständig. Er ging in Berufung und das Landgericht entschied im Januar 2013, dass dynamische IP-Adressen unter bestimmten Umständen personenbezogene Daten sein können und damit nicht gespeichert werden dürfen. Das ist dann der Fall, wenn der Nutzer zusätzlich zur IP-Adresse seine E-Mail-Adresse oder seinen Namen hinterlässt.
Das Urteil war für beide Parteien zu wenig, Breyer und die Bundesrepublik legten Revision ein: Der Bundesgerichtshof (BGH) in Karlsruhe sollte über die IP-Adressen entscheiden. Im Oktober 2014 setzte das Gericht das Verfahren aus und wollte vom EuGH wissen, ob IP-Adressen personenbezogene Daten sind, auch wenn sie nur über Dritte einer Person zuzuordnen sind.
Am 12. Mai legte der Generalanwalt Campos Sánchez-Bordona seinen Schlussantrag vor und formulierte darin die Grundsätze, die das Gericht heute beschlossen hat. Der EuGH ist an diese Anträge nicht gebunden, folgt ihnen aber meist, wie auch in diesem Fall. Breyer hat bereits angekündigt bis zum Bundesverfassungsgericht zu ziehen, falls es nötig wird.
Was Sie über die Vorratsdatenspeicherung wissen sollten
Wer mit wem, wann, wie lange und mit welchem Gerät: Heute verabschiedet der Bundestag das umstrittene Überwachungsgesetz. Was das für Sie bedeutet und warum Juristen und Bürgerrechtler auf die Barrikaden gehen. Von Simon Hurtz mehr… Fragen und AntwortenLet’s block ads! (Why?)