BGH-Urteil: Speicherung der IP-Adresse auf Website

Speicherung der dynamischen IP-Adresse Anbieter durch den Website-Betreiber – der Bundesgerichtshof (BGH) entschied mit Urteil vom Urteil vom 16.05.2017, Az. VI ZR 135/13: Ein Anbieter von Online-Mediendiensten darf personenbezogene Daten eines Nutzers dieser Dienste, hierbei auch dessen IP-Adresse, ohne dessen Einwilligung auch über das Ende eines Nutzungsvorgangs hinaus dann erheben und verwenden, soweit ihre Erhebung und ihre Verwendung erforderlich sind, um die generelle Funktionsfähigkeit der Dienste zu gewährleisten. Dabei muss allerdings eine Abwägung mit dem Interesse und den Grundrechten und -freiheiten der Nutzer vorgenommen werden.

Speicherung der IP-Adresse – was war geschehen?

Kläger in dem Verfahren ist der Internet-Aktivist und Piratenpartei-Politiker Patrick Breyer. Beklagte ist die Bundesrepublik Deutschland. Der Bundesrepublik soll verboten werden, auf ihren Seiten die IP-Adressen von Websitebesuchern ohne Einwilligung drei Monate lang zu speichern.

Das Amtsgericht Tiergarten in Berlin wies die Klage mit Urteil vom 13.08.2008, Az. 2 C 6/08, ab. Hiergegen legte der unterlegene Kläger Berufung ein. Das Landgericht Berlin als Berufungsgericht sprach den Unterlassungsanspruch mit Urteil vom 31.01.2013, Az. 57 S 87/08, nur insoweit zu, als er die Speicherung von IP-Adressen in Verbindung mit dem Zeitpunkt des jeweiligen Nutzungsvorgangs betrifft und der Kläger während eines Nutzungsvorgangs seine Personalien angibt. Gegen das Berufungsurteil legten beide Parteien die vom Landgericht Berlin zugelassene Revision zum BGH ein.

Im Rahmen eines Vorabentscheidungsverfahrens setzte der BGH das Verfahren mit Beschluss vom 28.10.2014, Az. VI ZR 135/13, aus und legte dem Europäischen Gerichtshof (EuGH) zwei Fragen zur Auslegung der EG-Datenschutz-Richtlinie (Richtlinie 95/46/EG) vor. Der EuGH entschied mit Urteil vom 19.10.2016, Az. C-582/14, dass eine dynamische IP-Adresse zu den personenbezogenen Daten zählen kann. Für den Personenbezug einer IP-Adresse reicht es nach der Entscheidung des EuGH aus, wenn der Website-Betreiber die rechtliche Möglichkeit hat, den Besucher seiner Seite über dessen Access-Provider identifizieren zu lassen.

Wie entschied der BGH zur Speicherung der dynamischen IP-Adresse?

Der BGH hob das Berufungsurteil auf und verwies die Sache zur neuen Entscheidung zurück an das Landgericht Berlin.

Auf der Grundlage des EuGH-Urteils sei das Tatbestandsmerkmal „personenbezogene Daten“ des § 12 Abs. 1 und 2 TMG in Verbindung mit § 3 Abs. 1 BDSG richtlinienkonform auszulegen: Eine dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Internetseite, die dieser Anbieter allgemein zugänglich mache, gespeichert werde, stelle für den Anbieter ein geschütztes personenbezogenes Datum dar.

Als personenbezogenes Datum dürfe die IP-Adresse nur unter den Voraussetzungen des § 15 Abs. 1 TMG gespeichert werden. Diese Vorschrift sei richtlinienkonform entsprechend Art. 7 Buchst. f der EG-Datenschutz-Richtlinie – in der Auslegung durch den EuGH – dahin anzuwenden, dass ein Anbieter von Online-Mediendiensten personenbezogene Daten eines Nutzers dieser Dienste ohne dessen Einwilligung auch über das Ende eines Nutzungsvorgangs hinaus dann erheben und verwenden dürfe, soweit ihre Erhebung und ihre Verwendung erforderlich seien, um die generelle Funktionsfähigkeit der Dienste zu gewährleisten. Dabei sei allerdings einer Abwägung mit dem Interesse und den Grundrechten und -freiheiten der Nutzer vorzunehmen.

Das Landgericht Berlin habe keine hinreichenden Feststellungen dazu getroffen, ob die Speicherung der IP-Adressen des Klägers über das Ende eines Nutzungsvorgangs hinaus erforderlich sei, um die (generelle) Funktionsfähigkeit der jeweils in Anspruch genommenen Dienste zu gewährleisten. Die Bundesrepublik Deutschland verzichte nach ihren eigenen Angaben bei einer Vielzahl der von ihr betriebenen Portale mangels eines „Angriffsdrucks“ darauf, die jeweiligen IP-Adressen der Nutzer zu speichern. Demgegenüber fehlten insbesondere Feststellungen dazu, wie hoch das Gefahrenpotential bei den übrigen Online-Mediendiensten des Bundes sei, welche der Kläger in Anspruch nehmen wolle. Hierzu seien weitere Feststellungen erforderlich. Erst danach werde das Landgericht Berlin die nach dem Urteil des Europäischen Gerichtshofs gebotene Abwägung zwischen dem Interesse der Beklagten an der Aufrechterhaltung der Funktionsfähigkeit ihrer Online-Mediendienste und dem Interesse oder den Grundrechten und -freiheiten des Klägers vorzunehmen haben. Dabei seien auch die Gesichtspunkte der Generalprävention und der Strafverfolgung gebührend zu berücksichtigen.

Welche Auswirkung hat das Urteil auf die Praxis im Datenschutzrecht und Internetrecht?

Die IP-Adresse ist zunächst einmal eine ganz abstrakte Zahlenfolge. Die dynamische IP-Adresse ist nicht einmal ständig, wie etwa eine Telefonnummer, mit dem Anschluss verknüpft – sie wechselt in der Praxis etwa alle 24 Stunden, wenn in der Nacht die Internet-Verbindung kurz unterbrochen wird. Bei einer Einwahl-Verbindung wird die IP-Adresse gar bei jedem Verbindungsaufbau neu vergeben. Und doch gehört bereits die IP-Adresse als solche, und nicht erst in Verbindung mit dem Namen des Anschlussinhabers, zu den personenbezogenen Daten im Sinne des Datenschutzrechts.

Damit unterliegt auch die Speicherung der IP-Adresse dem datenschutzrechtlichen Grundsatz des „Verbotes mit Erlaubnisvorbehalt“, der für jede Art der Datenerhebung und Datenverarbeitung gilt: Die Speicherung und die weitere Verwendung der IP-Adresse bleibt verboten, solange kein Erlaubnistatbestand eingreift. Ein solcher Erlaubnistatbestand kann sich aus einem Vertrag zwischen dem Seiten-Anbieter und dem Internet-Nutzer ergeben – oder aus dem Gesetz.

Was nun die gesetzliche Erlaubnis nach § 15 Abs. 1 TMG betrifft, so scheidet nach dem Urteil des BGH vom 16.05.2017 jedes schematische Schubladen-Denken aus. Die Entscheidung, ob der Seitenbetreiber die IP-Adresse nun speichern darf oder nicht, ist vielmehr anhand des konkreten Einzelfalles zu reffen: Ist der Online-Dienst auch dann funktionsfähig, wenn die IP-Adresse nicht gespeichert wird? Wird die Seite öfter oder gar regelmäßig angegriffen; finden Hacking-Versuche statt? Und ist in diesem Fall die Speicherung der IP-Adresse geeignet, um die Angriffe aufzuklären und neuen Angriffen vorzubeugen?

Die unerlaubte Speicherung der IP-Adressen der Seitenbesucher verstößt nicht nur gegen das Datenschutzrecht. Handelt es sich um einen kommerziellen Online-Dienst, kann in der unerlaubten Speicherung der IP-Adresse zugleich ein Verstoß gegen eine Marktverhaltensregelung und damit ein Verstoß gegen das Wettbewerbsrecht liegen – mit der Folge, dass Mitbewerber oder Wettbewerbsverbände berechtigt sind, eine kostenpflichtige Abmahnung auszusprechen.

Bei der Frage, ob und wie lange die IP-Adresse gespeichert werden soll, ist auch der Administrator gefragt, Auskunft zu geben und die Entscheidung des Seitenbetreibers mit vorzubereiten.

 

© RA Stefan Loebisch | Kontakt