Datenschützer gegen Bundesregierung: Morgen EuGH-Grundsatzentscheidung zur Speicherung von IP-Adressen

Der Europäische Gerichtshof verkündet im jahrelangen Rechtsstreit zwischen dem Landtagsabgeordneten Patrick Breyer und der Bundesregierung am Mittwoch seine Entscheidung über die Speicherung von dynamischen IP-Adressen. Das Urteil könnte weitreichende Folgen für Webseitenbetreiber in Deutschland haben.

CC-BY-NC-ND 2.0 Robert Lender

Sind dynamische IP-Adressen von Internetnutzern personenbezogene Daten? Und dürfen sie von Webseitenbetreibern noch nach der Nutzung der Seite gespeichert werden? Patrick Breyer, Jurist, Datenschutzaktivist und Piratenabgeordneter im schleswig-holsteinischen Landtag, sagt: ja und nein. Aufgrund ihrer Aussagekraft über die Internetnutzung bezeichnet er das Speichern von IP-Adressen in Logfiles als Surfprotokollierung – und möchte ein klares Verbot der weit verbreiteten Praxis erreichen. Morgen früh verkündet der Europäische Gerichtshof (EuGH) hierzu eine weitreichende Entscheidung.

Grundlage ist ein Rechtsstreit aus dem Jahr 2008: Nachdem Breyer 2007 erreicht hatte, dass das Landgericht Berlin dem Bundesjustizministerium untersagt hat, die IP-Adresse zu speichern, mit der er auf der Internetseite des Ministeriums surfte, wollte er selbiges auch bei allen anderen Bundesministerien erreichen. Weil die Bundesregierung sich weigerte, klagte Breyer wieder auf Unterlassung. Das Landgericht Berlin gab dem zuständigen Bundesinnenministerium Recht, das geltend machte, die IP-Adressen müssten für die Sicherheit und Funktionsfähigkeit der Seite gespeichert werden.

Breyer gab sich damit nicht zufrieden und rief die nächsthöhere Instanz an, den Bundesgerichtshof. Der wiederum wandte sich 2014 in einem Vorabentscheidungsverfahren an den EuGH, um zwei grundsätzliche Fragen zur Auslegung europäischen Rechts beantwortet zu bekommen, ehe er über den konkreten Fall entscheidet: Sind dynamische IP-Adressen personenbezogene Daten? Und wenn ja, was heißt das für deren Speicherung durch Webseitenbetreiber?

Für Breyer geht es dabei um Grundsätzliches:

Dieses Urteil wird Internetgeschichte schreiben. Solange wir uns schon wegen des Lesens von Internetseiten verdächtig machen können, gibt es keine echte Informations- und Meinungsfreiheit im Internet. Niemand hat das Recht, alles, was wir im Netz sagen, und alles, was wir tun, aufzuzeichnen. Als Generation Internet haben wir das Recht, uns im Netz ebenso unbeobachtet und unbefangen informieren zu können, wie es unsere Eltern aus Zeitung, Radio oder Büchern konnten.

Weitreichende Folgen für Speicherpraxis in Deutschland

IP-Adressen sind notwendig für die Organisation des Datenverkehrs im Internet: Damit einzelne Datenpakete durch das Netz navigiert werden können, werden sie mit Absender- und Zieladressen versehen. Internetzugangsanbieter wie 1und1 oder die Telekom vergeben diese IP-Adressen an Anschlussinhaber. Je nach Anbieter können dies dauerhafte Adressen oder dynamische sein, die nach einer gewissen Zeit oder bei jeder neuen Einwahl ins Netz neu zugeordnet werden.

Während inzwischen relativ unumstritten ist, dass statische IP-Adressen als personenbezogene Daten behandelt werden sollten – weil es Diensteanbietern leicht fällt, sie als Identifikatoren einzusetzen und mit anderen Informationen über die Nutzer zu verknüpfen – ist dies bei dynamischen IP-Adressen umstrittener. Webseitenbetreiber können sie meist nicht ohne Weiteres bestimmten Personen zuordnen beziehungsweise müssen damit rechnen, dass die Individuen zum Beispiel nach 24 Stunden mit einer anderen IP-Adresse unterwegs sind. Internetzugangsanbieter jedoch speichern in der Regel für eine gewisse Zeit, welchem Anschlussinhaber sie welche dynamische IP-Adresse zuweisen. Zumindest potenziell lassen sich also Nutzer auch anhand von dynamischen IP-Adressen identifizieren – und im Fall von gerichtlichen Anordnungen zum Zwecke der Strafverfolgung passiert dies auch tatsächlich fortwährend: Die von deutschen Behörden im Jahr 2014 im Schnitt alle fünf Sekunden eingesetze Bestandsdatenauskunft umfasst seit einer Neuregelung durch die damalige schwarz-gelbe Bundesregierung auch IP-Adressen. Die Identifizierung von Anschlussinhabern anhand von IP-Adressen ist also an der Tagesordnung.

Für die Praxis in Deutschland könnte das Urteil erhebliche Folgen haben: Webseitenbetreiber dürften die IP-Adressen nicht mehr länger als notwendig speichern, auch nicht zur vermeintlichen Gefahrenabwehr. § 15 des Telemediengesetzes verbietet nämlich die personenbeziehbare Protokollierung des Nutzungsverhaltens, es sei denn, sie ist zur Abrechnung erforderlich.

Ein Gutachter im Auftrag des Landgerichts Berlin (pdf) war aber zudem zu dem Schluss gekommen, dass die Speicherung von IP-Adressen aus Gründen der IT-Sicherheit nicht zwingend erforderlich ist, sondern Angriffe durch viele andere Methoden ohne Nutzung von IP-Adressen abgewehrt werden können. Die Initiative Wir speichern nicht, die ein Gütesiegel für Webseiten ohne Surfprotokollierung vergibt, nennt mit den Seiten des Chaos Computer Clubs, der Beauftragten für den Datenschutz und die Informationssicherheit, des Bundesfinanzministeriums oder Bundesrechnungshofs zudem relevante Dienste, die ohne die Speicherung von IP-Adressen auskommen.

IP-Adressen als wichtiges Element von Tracking und Profilbildung

Unter Verweis auf das Urteil des Bundesverfassungsgerichts zur Vorratsdatenspeicherung, nach dem Kommunikationsinhalte besonders zu schützen sind, betont Breyer, wie aussagekräftig die Speicherung von IP-Adressen ist. Bei Webseitenbesuchen werde die ohnehin kritische Trennung von Metadaten und Inhaltsdaten erst recht schwierig, denn wann jemand welche Webseite besuche, gehe über reine Kontextinformationen hinaus. Deshalb könne man die Protokollierung des Surfverhaltens mittels IP-Adressen auch als „Vorratsdatenspeicherung von Inhaltsdaten“ bezeichnen. Breyer:

Es muss aufhören, dass Bundesregierung und Konzerne mein Internet-Nutzungsverhalten verfolgen und aufzeichnen – das grenzt an Stalking. Was ich lese, schreibe und wonach ich suche, spiegelt meine privatesten und intimsten Interessen, Überzeugungen, Vorlieben und Schwächen wider. Wenn ich mich beispielsweise über gesundheitliche Probleme informiere, möchte ich deswegen nicht als krank abgestempelt werden.

Eine konkrete Gefahr ist demnach zum Beispiel, dass Menschen sich nicht trauen könnten, sich auf den Webseiten der Bundesregierung über Gesundheitsthemen zu informieren, wenn sie eine Profilbildung auf Grundlage ihrer IP-Adresse befürchten müssten. Auch für kommerzielles Tracking werden häufig IP-Adressen verwendet. Breyer verweist zum Beispiel auf eine Studie des Fraunhofer Instituts für sichere Informationstechnologie (pdf) aus dem Jahr 2014, die zu dem Schluss kommt: „IP-Adressen bieten eine sehr einfache technische Möglichkeit, um Benutzer wiederzuerkennen.“

Natürlich gibt es durch Anonymisierungsdienste wie Tor oder Proxyserver heute Möglichkeiten, einer Wiedererkennung mittels IP-Adresse entgegenzuwirken – für die breite Masse ist die Entscheidung über die Protokollierung ihrer IP-Adressen durch Webseitenbetreiber aber durchaus relevant.

Generalanwalt: Dynamische IP-Adressen sind personenbezogene Daten

Breyer hat also gute Argumente auf seiner Seite. Dass der EuGH in seinem Sinne entscheidet, ist aber durchaus nicht ausgemacht. Der zuständige Generalanwalt beim EuGH, Manuel Campos Sánchez-Bordona, empfahl dem Gericht zwar, dynamische IP-Adressen als personenbezogene Daten anzusehen, hält aber die deutsche Regelung im Telemediengesetz für unzulässig. Die Generalanwälte sind eine Art Berater des Gerichts; ihr Votum ist nicht bindend, der EuGH folgt ihrer Empfehlung jedoch häufig.

Weil mit Internetzugangsanbietern häufig sehr konkrete Drittparteien über die Daten verfügen, die notwendig wären, dynamische IP-Adressen bestimmten Geräten und Personen zuzuordnen, müssen diese als (indirekt) personenbezogene Daten angesehen werden, so Generalanwalt Sánchez-Bordona in seinen Schlussanträgen. Diese Position hatte im Verfahren auch die EU-Kommission eingenommen. Die sogenannte Artikel-29-Gruppe der Datenschutzbehörden der EU-Mitgliedsländer (pdf), sieht dynamische IP-Adressen ebenfalls als personenbezogene Daten.

Sollte das Gericht dieser Argumentation folgen, wäre also geklärt, dass die Speicherung und Verarbeitung dynamischer IP-Adressen definitiv nach dem Datenschutzrecht beurteilt werden müssten. Knifflig wird es deshalb besonders bei der zweiten Frage, die der BGH dem EuGH vorgelegt hat: Der Generalanwalt ist nämlich der Meinung, dass die strenge deutsche Regelung im Telemediengesetz den europäischen Datenschutzvorschriften entgegensteht.

Die (bis 2018 immer noch gültige) EU-Datenschutzrichtlinie sieht nämlich vor, dass die Speicherung von personenbezogenen Daten bei einem berechtigten Interesse der verarbeitenden Stelle durchaus legitim sein kann, sofern sie nicht dem Interesse oder die Grundrechte der betroffenen Person entgegenstehe. Weil das Telemediengesetz diese Abwägung der Interessen nicht zulasse, sondern lediglich den Abrechnungszweck als legitimen Speichergrund zulässt, sei es an dieser Stelle ungültig, so Sánchez-Bordona: „Eine nationale Rechtsvorschrift, die die Berücksichtigung dieses berechtigten Interesses nicht zulässt, ist mit dem genannten Artikel (Art. 7 Buchst. f der Richtlinie 95/46) nicht vereinbar.“ Wie aber die Abwägung zwischen dem berechtigten Interesse der Webseitenbetreiber und dem Schutzbedürfnis der Nutzer auszusehen habe, sagte der Generalanwalt nicht.

Sorge vor der Rechtsunsicherheit

Patrick Breyer. Foto: CC BY-NC-ND be-him
Patrick Breyer. Foto: CC BY-NC-ND be-him

Breyers Befürchtung: Wenn der EuGH entscheidet, dass § 15 TMG bei dynamischen IP-Adressen keine Anwendung findet, entstehe Rechtsunsicherheit für Seitenbetreiber und Nutzer: Sofern ein berechtigtes Interesse an der Datenerhebung und -verarbeitung geltend gemacht wird, etwa die auch vom Innenministerium ins Feld geführten Sicherheitsgründe, müsste dieses im Einzelfall gegen die Grundrechte und -freiheiten der Nutzer abgewogen werden. Es bräuchte also erst gerichtliche Auslegungen und Einzelentscheidungen. Der Datenschützer gibt sich dennoch optimistisch:

Ich hoffe, der Gerichtshof wird anders entscheiden als der Generalanwalt und die unterschiedslose Erfassung des Inhalts unserer Internetnutzung als von vornherein völlig unverhältnismäßiges Mittel verwerfen. Sollte sich der Gerichtshof aber dem Generalanwalt anschließen und die Abwägung den deutschen Gerichten überlassen, werde ich gegen die Surfprotokollierung notfalls bis zum Bundesverfassungsgericht ziehen. Karlsruhe hat schon in seinem Urteil zur Vorratsdatenspeicherung betont, dass die Internetnutzung nicht inhaltlich festgehalten und damit rekonstruierbar bleiben darf. Ein Gerichtsgutachten belegt, dass ein sicherer Betrieb von Internetportalen (Webservern) bei entsprechender Systemgestaltung auch ohne Vorratsspeicherung von IP-Adressen möglich ist.

Darüber hinaus schlägt Breyer unabhängig von dem Urteil eine klare politische Regulierung der Problematik auf europäischer Ebene vor, etwa im Rahmen der anstehenden Reform der ePrivacy-Richtlinie. So wie dort spezielle Regeln für den Einsatz von Cookies enthalten sind, könnten dort auch Vorgaben für ein Verbot der Surfprotokollierung durch die Speicherung von IP-Adressen aufgenommen werden.

Update: Der Europäische Gerichtshof hat seine Entscheidung inzwischen verkündet und wir haben hier darüber geschrieben.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

2 Ergänzungen

  1. Die Zukunft …

    Klein Müllerlein macht seinen kleinen Internet-Führerschein, mit diesem darf er sich auf *.de Webseiten Tummeln … ausgehändigt bekommt er auch ein Zertifikat, das er auf seine Mobilgeräte oder auf seinen Internetrouter zu Hause aufspielen darf … ohne Zertifikat, bekommen die Geräte keine IP-Adresse von den jeweiligen Providern … jeder User bekommt automatisch 3 Freie IP-Adressen für seine Endgeräte … Mobiltelefon, Festnetz-Router und eine flexible für das Internet Café seiner Wahl!
    Müllerlein hat sich gut geführt, bestätigt auch Wiesbaden … also beantragt Müllerlein den Großen Internet-Führerschein, mit diesem darf er nun Weltweit Webseiten besuchen, auch ohne das ihn ein Stopp Schild vor Ungemach bewahrt … nach einer kleinen Prüfung, darf er nun auch Waren aus dem EU Ausland bestellen und auch englische Serien konsumieren!
    Das Internet … Gewaltfrei, Terroristenfrei!
    … bei jedem MB das er aus dem Ausland bezieht, muss er Maut für die Nutzung der Datenautobahn bezahlen, damit diese instand gehalten werden kann, weil die großen Datenpakete die Leitungen sonst wegen der Kollisionen ( https://en.m.wikipedia.org/wiki/Carrier_sense_multiple_access_with_collision_detection ) verstopfen …

    … alles nur VT … alles nur VT …

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.