BGH: Ungefragte Protokollierung von IP-Adressen nur noch unter bestimmten Bedingungen gestattet

Der Bundesgerichtshof hat heute bestätigt, dass auch dynamische IP-Adressen dem Datenschutzrecht unterliegen. Bis endgültig geklärt ist, ob die Bundesregierung weiterhin speichern darf, wer auf staatlichen Webseiten surft, wird es noch dauern. Auch für für private Webseitenbetreiber herrscht Unklarheit.

Der Bundesgerichtshof hat heute sein Urteil zur Speicherung von IP-Adressen auf Webseiten der Bundesregierung verkündet. CC-BY 4.0 netzpolitik.org

Der Bundesgerichtshof (BGH) hat in einem Urteil heute bestätigt, dass auch dynamische IP-Adressen personenbezogene Daten sind und somit dem Datenschutzrecht unterliegen. Grundsätzlich könne eine Speicherung ohne Einverständnis der Nutzer dennoch weiterhin legitim sein, sofern sie dafür benötigt wird, die Funktionsfähigkeit einer Webseite aufrechtzuerhalten. Wann genau dies der Fall ist, bleibt zunächst unentschieden.

Ausgangspunkt des bald zehn Jahre währenden Verfahrens war eine Klage des Juristen und Piratenpolitikers Patrick Breyer gegen die Praxis der Bundesregierung, fortlaufend alle IP-Adressen der Besucher der meisten ihrer Webseiten zu speichern. Während das Justizministerium aufgrund einer früheren Klage Breyers bereits seit 2007 keine IP-Adressen mehr speichert, hatte das Innenministerum in dem Verfahren argumentiert, dass dies notwendig sei, um die Sicherheit und Funktionsfähigkeit der Webseiten zu gewährleisten. Datenschutzaktivist Breyer möchte erreichen, dass IP-Logging grundsätzlich nur mit Zustimmung der Nutzer erfolgen darf.

(Ausführlichere Informationen zum Verfahren gibt es in unserem Hintergrundartikel „Datenschützer gegen Bundesregierung“)

Dynamische IP-Adressen unterliegen dem Datenschutz

Dem heutigen Urteil war eine Grundsatzentscheidung des Europäischen Gerichtshofes auf Bitten des BGH vorausgegangen. Das oberste EU-Gericht stellte fest, dass auch dynamische IP-Adressen personenbezogene Daten sein können, wenn ein Seitenbetreiber „über rechtliche Mittel verfügt, die es ihm erlauben, den Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen“.

Dies ist zumindest in Deutschland klar der Fall, denn Internetzugangsanbieter können hier durch Gerichte verpflichtet werden, Auskunft darüber zu geben, welchem Internetanschlussinhaber sie zu welchem Zeitpunkt eine bestimmte dynamische IP-Adresse zugeordnet hatten. Im Rahmen der Bestandsdatenauskunft nach § 113 des Telekommunikationsgesetzes können Straftverfolgungsbehörden und Geheimdienste die Identifizierung sogar ohne richterlichen Beschluss erwirken. Der BGH stellte deshalb grundsätzlich klar, dass IP-Adressen von Webseitenbesuchern für die Seitenbetreiber personenbezogene Daten darstellen.

Eine Frage der Abwägung

IP-Adressen dürften von Webseitenbetreiber deshalb nur unter noch bestimmten Vorrausetzungen ohne Einwilligung protokolliert werden. Um europarechtskonform zu sein, müssen Speicherung und Verwendung erforderlich sein, „um die generelle Funktionsfähigkeit der Dienste zu gewährleisten“, so der BGH in seiner Pressemitteilung. Dieses Interesse des Webseitenbetreibers an einer Speicherung von IP-Adressen müsse zudem gegen die Grundrechte und -freiheiten der Nutzer abgewogen werden. Dabei geht es beispielsweise um das EU-Grundrecht auf Datenschutz und Gefahren für die Informations- und Meinungsfreiheit, die durch die Aufzeichnung des Online-Verhaltens entstehen.

Den konkreten Fall der Surf-Protokollierung durch die Bundesregierung hat der Gerichtshof zur Klärung nun wieder zurück an das Landgericht Berlin verwiesen. Dessen Urteil aus dem Jahr 2013, nach dem IP-Adressen nur dann personenbezogene Daten seien, wenn die Webseitenbetreiber beispielsweise durch ausgefüllte Formulare gleichzeitig Informationen über die Identität der Nutzer erlangen, ist damit aufgehoben. Das Landgericht wird nun abwägen müssen, ob IP-Adressen wirklich notwendigerweise auf Vorrat gespeichert werden müssen, um die Sicherheit und den Betrieb einer Webseite zu gewährleisten und inwieweit dies schwerer wiegt als das Interesse der Nutzer an unprotokolliertem Websurfen. Ohne selbst eine endgültige Entscheidung vornehmen zu können, betonte der BGH in seiner Pressemitteilung, dass bei dieser Prüfung „auch die Gesichtspunkte der Generalprävention und der Strafverfolgung gebührend zu berücksichtigen“ seien.

Alle anderen müssen darauf hoffen, dass in diesem Zusammenhang ebenfalls Klarheit geschaffen wird, wie es mit dem weit verbreiteten IP-Logging durch private Webseitenbetreiber aussieht. Das ungefragte Speichern der IP-Adresse befindet sich solange mindestens in einer rechtlichen Grauzone.

Kläger Breyer zufrieden

In einer ersten Reaktion zeigte sich der Kläger in weiten Teilen zufrieden mit der Entscheidung des Gerichts, eine Abwägung der Speicherinteressen der Betreiber gegen die Grundrechte der Internetnutzer auf Informations- und Meinungsfreiheit herbeiführen zu wollen. „Der Bundesgerichtshof betont zurecht, dass diverse Internetportale (z.B. Bundesdatenschutzbeauftragter, Bundesjustizministerium) auch ohne flächendeckende Aufzeichnung des Nutzerverhaltens sicher betrieben werden“, so Breyer. Gleichzeitig fordert er vom europäischen Gesetzgeber, die Praxis einfach grundsätzlich zu verbieten, um so zeitnah für Klarheit zu sorgen:

Um Internetnutzer wirksam zu schützen und die Rechtsunsicherheit für Anbieter zu beenden, muss aber die EU-Kommission tätig werden und ein klares Verbot der massenhaften Surfprotokollierung auf den Weg bringen. Es muss aufhören, dass Behörden und Konzerne unser Internet-Nutzungsverhalten verfolgen und aufzeichnen – das grenzt an Stalking. Was ich lese, schreibe und wonach ich suche, spiegelt meine privatesten und intimsten Interessen, Überzeugungen, Vorlieben und Schwächen wieder und geht niemanden etwas an. Unser Leben wird immer digitaler, aber es darf damit nicht immer gläserner werden!

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

5 Ergänzungen

  1. Warum regt man sich eigentlich gerade so über die Speicherung der IP-Adressen auf? Gleichzeitig werden wir auf jeder Webseite von zig Trackern wie Google Analytics ausspioniert. Das ist doch viel schlimmer als eine IP-Adresse, die mir bzw. meinem Haushalt nur mein Provider zuordnen kann.

    1. Google Analytics kennt nicht deinen Namen sondern nur dein Verhalten. Google Analytics interessiert sich nicht für deinen Namen. IP-Logging interessiert sich für deinen Namen im Zweifelsfall.

  2. Das kann ich nicht nachvollziehen. Wieso interessiert sich IP-Logging für meinen Namen. Woher wollen die den denn kriegen. Selbst wenn die Telekom den Anschluss herausgibt, dann weiß doch noch lange niemand, wer im Haus der Nutzer war (einschließlich der Gäste, die das WLAN genutzt haben könnten).
    Über detailliertes Tracking kriegt man den Namen viel schneller heraus.

  3. Eine IP lässt sich garnicht so einfach mit einem Namen verknüpfen. Die Provider vergeben nicht selten 50 gleiche IP-Adressen an verschiedene Benutzer. Viel Spaß dem, der dann rauskriegen soll, ob Müller, Meier oder Schulze die betreffende Seite besucht hat. Nebenbei gibt es auch ein paar schwarze Schafe wie mich, die mit dem Tor-Browser daherkommen, die IP verschleiern. Andere kommen über VPN. Noch andere über Proxies oder ganze Kaskaden. Nicht unbedingt, weil wir was zu verbergen hätten, sondern weil wir nichts vorzuzeigen haben und ein Angriff auf eine falsche IP ganz sicher nicht da endet, wo er hinwollte.

    1. Ich bin auch der Meinung, dass wir den Geheimdiensten und Sicherheitsbehörden ein bisschen helfen sollten. Alle, die nichts vorzuzeigen haben, können einfach grundsätzlich den Torbrowser verwenden und so die Dienste um unnötige Filterarbeit entlasten.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.