Datenschutz

BGH-Verhandlung: Darf die Bundesregierung IP-Adressen von Webseitenbesuchern speichern?

Die Bundesregierung will weiterhin IP-Adressen von Besuchern ihrer Webseiten speichern. Ob das rechtmäßig ist, entscheidet jetzt der Bundesgerichtshof. Für den Datenschutz in Deutschland kann der Fall weitreichende Konsequenzen haben.

Aus der Datenschutzerklärung des Innenministeriums.

Der Fall „Datenschützer gegen Bundesregierung“ geht weiter: Nach einer Vorabentscheidung des Europäischen Gerichtshofes (EuGH) verhandelt morgen der Bundesgerichtshof (BGH), ob die Bundesregierung die IP-Adressen der Besucher ihrer Webseiten auf Vorrat speichern darf.

Wir finanzieren uns fast vollständig aus Spenden von Leserinnen und Lesern. Unterstütze unsere Arbeit mit einer Spende oder einem Dauerauftrag.

Anlass ist ein Rechtsstreit aus dem Jahr 2008: Der Jurist, Datenschutzaktivist und Piratenpolitiker Patrick Breyer verklagte die Bundesregierung auf Unterlassung der Praxis, seine IP-Adresse beim Surfen auf ihren Webseiten zu speichern. Weil er in einem ersten Fall Erfolg hatte, speichert das Bundesministerium für Justiz und Verbraucherschutz die IP-Adressen seiner Webseitenbesucher nicht mehr. Der zweite Fall jedoch ging durch mehrere Instanzen. Das Innenministerium argumentierte für die Bundesregierung, dass sie die IP-Adressen speichern muss, um den Betrieb und die Sicherheit der Webseiten zu gewährleisten.

Um über den Fall entscheiden zu können, wandte sich der Bundesgerichtshof 2014 in einem Vorabentscheidungsverfahren an den EuGH, um zwei grundsätzliche Fragen zur Auslegung europäischen Rechts beantwortet zu bekommen: Sind dynamische IP-Adressen personenbezogene Daten? Und wenn ja, was heißt das für deren Speicherung durch Webseitenbetreiber?

Schwierige Ausgangslage

Wir hatten die Entscheidung des EuGH vom Oktober 2016 und somit die Ausgangslage für die morgige Verhandlung als „ein Schritt vor, zwei zurück“ für den Datenschutz in Deutschland bewertet:

Auch wenn der Gerichtshof dem Juristen nun in Teilen Recht gibt, ist die Entscheidung für das Anliegen eines überwachungsfreien Netzes insgesamt ein Rückschlag. Immerhin: Zumindest der seit langem schwelende Streit, ob dynamische IP-Adressen personenbezogene Daten im Sinne des Datenschutzrechts darstellen, ist nun relativ eindeutig entschieden. Laut dem EuGH ist dies nämlich der Fall, wenn ein Seitenbetreiber „über rechtliche Mittel verfügt, die es ihm erlauben, den Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen“ [Pressemitteilung, PDF]. Dies ist zumindest in Deutschland klar der Fall, denn Internetzugangsanbieter können hier durch Gerichte verpflichtet werden, Auskunft darüber zu geben, welchem Internetanschlussinhaber sie zu welchem Zeitpunkt eine bestimmte dynamische IP-Adresse zugeordnet hatten [und tun dies auch regelmäßig].

Eigentlich würde dies zur Folge haben, dass auch dynamische IP-Adressen entsprechend § 15 Absatz 1 des Telemediengesetzes (TMG) nur dann von Seitenbetreibern gespeichert werden dürfen, wenn dies zu Abrechnungszwecken erforderlich ist oder Nutzer ihre Einwilligung gegeben haben. Als Antwort auf die zweite Vorlagefrage wertete der EuGH genau diese Regelung aber als europarechtswidrig und somit ungültig. Die europäische Datenschutzrichtlinie, die noch bis 2018 gültig ist, sieht in Artikel 7 nämlich vor, dass es für das Speichern und Verarbeiten personenbezogener Daten eine Abwägung zwischen dem berechtigten Interesse eines Diensteanbieters und den Grundfreiheiten und -rechten eines Nutzers geben muss. Die enge Auslegung des TMG schränke diesen Grundsatz zu sehr ein.

Der BGH wird also abwägen müssen, ob Sicherheitsargumente von Seitenbetreibern oder die Privatsphäre von Verbrauchern stärker wiegen. Auch wenn Breyer ein Gutachten des Landgerichts Berlin auf seiner Seite hat, das feststellte, dass die Speicherung von IP-Adressen für die Gewährleistung der Sicherheit von Webseiten nicht notwendig ist: Der EuGH stellte explizit klar, dass die Abwehr von „Cyberattacken“ als berechtigtes Interesse von Seitenbetreibern gelten kann, die IP-Adressen auf Vorrat zu speichern.

Entscheidet das Gericht gegen die Speicherung, müssten womöglich auch private Seitenbetreiber und Unternehmen die weit verbreitete Speicherung von IP-Adressen einschränken. Die Verhandlung beginnt um 10 Uhr. Ob morgen bereits mit einer Entscheidung des Gerichts zu rechnen ist, steht noch nicht fest.

Update: Die Urteilsverkündung ist für den 16. Mai terminiert.

Weitersagen und Unterstützen. Danke!
15 Kommentare
  1. Ich meine, man muss von der Personenbezogenheit ausgehen. Das Argument mit der Sicherheit halte ich für unzulässig – bei einer Attacke kann man ja das Loggen einschalten, also wenn ein konkreter Anlass vorhanden ist – nicht auf Vorrat.
    Außerdem meldet man sich ja bei vielen Diensten mit an, und dabei sind oft weitergehende Informationen gespeichert, wie die Emailadresse. Das lässt sich ja spielend leicht verknüpfen.

    Zum anderen ist es aber auch so, dass man die Daten sonst ja veröffentlichen dürfte, da sie ja nicht geschützt sind. Damit können dann beliebige Dritte sie mit ihren Daten verknüpfen und diese Dritten haben womöglich personenbezogene Daten.

    Angenommen ich surfe um 9:37 Uhr zu ebay mit einer IP X, und um 13:42 bin ich bei Y mit der gleichen IP, und dann um 18:02 Uhr wieder bei ebay, wieder mit der gleichen IP. Dann kann ebay, trotz dynamischer IP die alle 24 Stunden wechselt, mit hoher Sicherheit davon ausgehen, dass sich meine IP während der Zeit nicht geändert hat (IPv4/NAT mal außen vor). Y dürfte veröffentlichen, was ich auf seiner Webseite gemacht habe, weil es angeblich nicht personenbezogen ist, und ebay könnte mich identifizieren.

  2. Die Denke unserer gewählten Bundesregierung ist recht einfach, der Normalbürger informiert sich nicht selbst, er lässt sich Informieren!
    Jeder Bürger der davon Abweicht, sich also selbst informiert, macht sich so verdächtig ein Querulant zu sein!
    Dem muss die Bundesregierung nach gehen, um schlimmere Tendenzen innerhalb der Bevölkerung zu vermeiden.
    Das ist dieselbe Denke wie damals mit der BKA Seite, wer sich die Bilder der Kriminellen angesehen hatte, wurde erst mal überprüft bzw. gerastert, ob er nicht ein unbekannter Verbrecher wäre, der beim BKA nachgeschaut hat, ob er nicht schon gesucht wird!

  3. OK, es geht um dynamische IP-Adressen, die evtl nicht gespeichert werden dürfen. Im Umkehrschluss dürfen also statische IPs gar nicht gespeichert werden, weil sie auf jeden Fall personenbezogen sind?

    1. Wenn du eine feste IP Adresse Mietest, dann ist diese definitiv im Vertrag auf deine Person bezogen, wenn du einen Anschluss mit automatisch zugeteilter IP gemietet hast, so ist diese temporär an deinen Zugang und deinem Vertrag zugeordnet, also auch temporär deiner Person zugeordnet!
      Die Gerichte streiten sich hier, ob diese Zuordnung nun wirklich, wenn auch nur temporär Personengebunden ist, dann dürfen diese Personengebundenen Daten nur mit deiner Zustimmung gespeichert und Erkennungsdienstlich weiterverarbeitet werden, da deine Person/Anschluss ja keinem Verbrechen zugeordnet werden kann, wenn doch, dann würdest du diesen ja nicht für kriminelle Handlungen nutzen, oder?

      1. Ok, soweit klar.

        Also in dem oben beschriebenen Rechtsstreit geht es doch darum, ob Websitebetreiber dynamische IPs loggen/ speichern dürfen, richtig?
        Daraus lese ich dann aber auch, dass fixe IPs gar nicht gespeichert werden dürfen?! Wie findet dann ein Seitenbetreiber heraus, ob er eine IP nun speichern darf oder nicht?

        1. Meiner bescheidenen Meinung nach, dürften beide (!) eben nnnicht gespeichert und schon gar nicht für „Investigative Zwecke“ einer paranoiden Regierung verwendet werden!
          Was das Gericht festzustellen hat ist, ob diese IP Adressen zu diesem von mir genannten Zweck (investigative Recherche durch eine Behörde) missbraucht werden dürfen oder nicht!

          1. Nee, um den von dir genannten konkreten Zweck geht es in dem Verfahren zumindest nicht erster Linie. In dem Fall geht es eben um das grundsätzliche Speichern der (dynamischen) IP-Adressen durch die Regierung – auch wenn der (potenzielle) Verwendungszweck und insbesondere die BKA-Story zu dem Erwägungshorizont gehören, vor dem das Gericht entscheiden muss.

          2. Manchmal ist es sehr schwer etwas einfaches auch verständlich Auszudrücken.
            Wie erzähl ich es meinem Kinde?
            Was diese Leute vom Gericht wollen ist klar, einen Freifahrtschein zum schnüffeln!
            Also dann, versuche ich es mal so.

            Die Bundesregierung hat eine Ausstellung oder einen Messestand, auf dieser/m wird das aktuelle Wirken der Bundesregierung dargestellt, es gibt Informationsblätter zum Mitnehmen, es hängen Bilder an der Wand zum Betrachten!
            Um diese Ausstellung (Messestand, Webauftritt) betreten zu dürfen, muss ich meinen Namen (feste IP Adresse) oder einen Alias (dynamische IP Adresse) angeben, das geht mündlich am Einlass, damit das Refugium nicht überlastet wird bzw. die Person im Notfall mit Namen ausgerufen werden kann!

            Es gehen die Gäste und normalerweise werden die Namen und Alias Namen vergessen.
            Nun möchte der Ausstellungsbetreiber aber die echten Namen hinter den Alias Namen heraus bekommen und dafür möchte der Ausstellungsbetreiber bitteschön eine Pauschale richterliche Genehmigung haben!
            Warum?
            Nun, warum eigentlich?
            Klar, Typen (Spammer) die 5x Täglich erscheinen und die Toiletten (Mailserver) verunreinigen, möchte man nicht haben, diese Namen/Gesichter merkt man sich und lässt sie nicht mehr rein.
            Man geht aber nicht hin und durchleuchtet ihr Privatleben, ob sie auch ihre eigene Toilette beschmutzen, das geht dem Ausstellungsbetreiber nichts an!
            Wenn der Ausstellungsbetreiber diese Leute „in Flagrante“ erwischt, ok, müssen sie die Verschmutzung beseitigen!
            Aber dann liegt ein Schaden vor!
            Der Ausstellungsbetreiber Bundesregierung bietet hier aber keine Toiletten oder irgendeine andere Möglichkeit an, eine Straftat zu begehen, außer man benennt das „sich Informieren“ auf einer öffentlich zugänglichen Ausstellung, in eine Straftat um bzw. definiert es als Straftatbestand!

            Erlangung von öffentlich zugänglichen Informationen = Straftatbestand „Sowieso“

            Klingt etwas Strange, aber wie soll man es anders Visualisieren?

        2. Das mit den dynamischen IP-Adressen ist eine Sonderfrage, der Fall bezieht sich aber auch auf die Rechtmäßigkeit der Speicherung statischer IP-Adressen. Bei denen ist einfach nur weniger umstritten, dass sie personenbezogene Daten darstellen und deshalb das Telemediengesetz Anwendung finden müsste. Dort heißt es wörtlich:

          § 12 Telemediengesetz – Grundsätze
          (1) Der Diensteanbieter darf personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.

          § 15 Telemediengesetz – Nutzungsdaten
          (1) Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten).

          1. Also darf eine einfache Website, die nur Informationen liefert, nicht einfach so statische IPs speichern, weil nicht notwendig.
            Wie findet dies ein Betreiber heraus?

          2. Der Betreiber weiß schon, was er speichert, er darf sich nur nicht erwischen lassen, falls das von ihm gespeicherte gegen richterliche Urteile verstößt!
            Du als Nutzer hast quasi keine Chance heraus zu bekommen, was die Webseite von deinen Daten behält, evtl. kann der hinterlassene Cookie Indizien aufzeigen.

  4. Unter der Berücksichtigung der Zunahme an IoT-Devices und die damit verbundene „Verknappung“ der IPv4-Adressen stellt sich die Frage, ob überhaupt die Port-Addressen geloggt werden und wenn ja auf welcher rechtlichen Grundlage – auf eine IPv4 des ISP kommen viele Kunden. Stichwort NAT. Zeitsynchronisation ist auch ein Problem in diesem Zusammenhang, damit es nicht die falschen trifft.

    Vermutlich wird es irgendwann darauf hinauslaufen, die MAC-Adresse der Fritz-Büchse zum Bestandteil der öffentlichen IPv6 zu machen – momentan wird da noch verwürfelt.

  5. Also ich für meinen Teil habe schon öfters beim BKA mir die Fahndungen, auch zum NSU-Komplex, und auch z.B. Feststellungsbescheide und Diebesgut angesehen und bin immer davon ausgegangen, daß meine Aktivitäten auch dabei dort dann genau registriert und anschließend auch noch genau analysiert werden.

    Wäre es nämlich anders, wäre ich aber sehr enttäuscht vom BKA, und würde auch sehr an der Professionalität der Ermittlungs-Beamten dort zweifeln.
    Und wenn die mir dann einen Trojaner auf meinen Computer geschickt hätten, dann hätte der auch bei mir ja nichts Belastendes gefunden.
    Ei der Tauss, der Jörg …….

  6. Die mögliche Herstellung eines Personenbezug einer IP-Adresse ist die eine Seite der Medaille. Das Aufspüren von kriminellen Handlungen die andere. Wenn eine entartete Kamera auf Linuxbasis gehackt wird und damit kriminelle Bots gesteuert werden, wie wir das beim Twitter-Shutdown gesehen haben, dann sollen die IP-Adressen nicht gespeichert werden dürfen, weil dann der Name des Eigentümers der entarteten Kamera ermittelt werden können, was über den verwendeten Router zu Hause ein personenbezogenes Datum ist? Wenn Leute automatisierte Brute-Froce Login-Attacken auf WordPress-Server starten, dann soll das nicht geloggt werden, weil ich dann unter Umstände auf den Namen des Täters kommen, der ein personenbezogenes Datum darstellt? Ich fände es interessant, wenn die Beihelfer von Verbrechern mal erläutern würde, wie man ohne zu loggen, Kriminellen auf die Spur kommen soll, was der EUGH ja explizit erlaubt hat und das TMG als parziell rechtswidrig bezeichnet. Was ja hier auch diskutiert wurde;:
    https://netzpolitik.org/2016/eugh-urteil-zur-speicherung-von-ip-adressen-mehr-spielraum-fuer-nutzer-tracking/
    Am Rande: wenn die statische IP-Adresse auf den externen Router eines Großkonzerns zeigt, dann ist die Adresse zwar personenbezogen auf den Administrator, aber nicht auf die zehntausenden Personen im Class-A 10er-Netzt dahinter. Wenn aus diesem Netz aber ein Botangriff gestartet wird, will man schon gerne durch Logfiles wissen, dass da jetzt massiv IP-Pakete von einer einzigen kriminellen Quelle für einen Denial-of-Service-Angriff kommen und die ggf. blocken, bis Strafverfolger die Quelle ausgeschaltet haben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.