EuGH-Urteil zur Speicherung von IP-Adressen: Mehr Spielraum für Nutzer-Tracking

Ein Schritt vor und zwei zurück: Dem Europäischen Gerichtshof zufolge sind dynamische IP-Adressen personenbezogene Daten. Gleichzeitig erklärt er Teile des deutschen Datenschutzrechts für ungültig. Für rechtliche Klarheit bräuchte es nun weitere Gerichtsurteile – oder politischen Willen.

Urteil des EuGH zu dynamischen IP-Adressen CC BC_NC_D Ross Franklin

In einem lange erwarteten Urteil hat der Europäische Gerichtshof (EuGH) heute den deutschen Datenschutz geschwächt und die Möglichkeit der Vorratsdatenspeicherung von IP-Adressen durch Webseitenbetreiber bestätigt. In seiner Beantwortung zweier Fragen zur Auslegung des Europarechts, die der deutsche Bundesgerichtshof ihm vorgelegt hatte, entschied der EuGH zum einen, dass dynamische IP-Adressen personenbezogene Daten sein können und dem Datenschutzrecht unterliegen. Zum anderen erklärte er aber einen Teil des deutschen Telemediengesetzes für ungültig, nach dem diese und andere personenbezogene Daten außer zu Abrechnungszwecken nur nach Einwilligung der Nutzer gespeichert werden dürften.

Stattdessen müsse nach europäischem Recht eine Interessenabwägung möglich sein zwischen dem „berechtigten Interesse“ von Seitenbetreibern und den Grundrechten von Nutzern. Dem EuGH zufolge kann so ein berechtigtes Interesse vorliegen, wenn Seitenbetreiber dynamische IP-Adressen ihrer Nutzer vorhalten wollen, um „Cyberattacken“ abzuwehren.

Surfprotokollierung mit IP-Adressen als „Vorratsdatenspeicherung von Inhaltsdaten“

Anlass der Entscheidung ist ein Rechtsstreit aus dem Jahr 2008, der in Deutschland durch mehrere Instanzen ging: Der Jurist und Datenschutzaktivist Patrick Breyer verklagte die Bundesregierung auf Unterlassung der Praxis, seine IP-Adresse zu speichern, wenn er auf den Webseiten der Bundesregierung surft. Das zuständige Bundesinnenministerium gab an, diese IP-Adressen speichern zu müssen, um den Betrieb und die Sicherheit der Webseiten zu gewährleisten. Der Bundesgerichtshof, bei dem der Fall schließlich landete, wandte sich 2014 in einem Vorabentscheidungsverfahren an den EuGH, um zwei grundsätzliche Fragen zur Auslegung europäischen Rechts beantwortet zu bekommen, ehe er über den konkreten Fall entscheidet: Sind dynamische IP-Adressen personenbezogene Daten? Und wenn ja, was heißt das für deren Speicherung durch Webseitenbetreiber? [Mehr zu den Hintergründen in unserer Vorberichterstattung: Datenschützer gegen Bundesregierung.]

Breyer, der für die Piratenpartei im schleswig-holsteinischen Landtag sitzt, geht es mit seiner Klage gegen die Bundesregierung um eine grundsätzliche Rückeroberung des Netzes als freien Informations- und Kommunikationsraum, in dem Überwachung nicht das Grundprinzip darstellt:

Solange wir uns schon wegen des Lesens von Internetseiten verdächtig machen können, gibt es keine echte Informations- und Meinungsfreiheit im Internet. Niemand hat das Recht, alles, was wir im Netz sagen, und alles, was wir tun, aufzuzeichnen. Als Generation Internet haben wir das Recht, uns im Netz ebenso unbeobachtet und unbefangen informieren zu können, wie es unsere Eltern aus Zeitung, Radio oder Büchern konnten.

Die Information, wann jemand welche Webseite besucht, geht über reine Kontextinformationen hinaus. Deshalb könne man die Protokollierung des Surfverhaltens mittels IP-Adressen auch als „Vorratsdatenspeicherung von Inhaltsdaten“ bezeichnen, so Breyer. Das Bundesverfassungsgericht hat in seinem Urteil zur Vorratsdatenspeicherung von Kommunikationsmetadaten jedoch explizit festgehalten, dass Kommunikationsinhalte besonders schützenswert sind.

Deutsches Telemediengesetz zu strikt – in Teilen ungültig

Auch wenn der Gerichtshof dem Juristen nun in Teilen Recht gibt, ist die Entscheidung für das Anliegen eines überwachungsfreien Netzes insgesamt ein Rückschlag. Immerhin: Zumindest der seit langem schwelende Streit, ob dynamische IP-Adressen personenbezogene Daten im Sinne des Datenschutzrechts darstellen, ist nun relativ eindeutig entschieden. Laut dem EuGH ist dies nämlich der Fall, wenn ein Seitenbetreiber „über rechtliche Mittel verfügt, die es ihm erlauben, den Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen“ [Pressemitteilung, PDF]. Dies ist zumindest in Deutschland klar der Fall, denn Internetzugangsanbieter können hier durch Gerichte verpflichtet werden, Auskunft darüber zu geben, welchem Internetanschlussinhaber sie zu welchem Zeitpunkt eine bestimmte dynamische IP-Adresse zugeordnet hatten.

Eigentlich würde dies zur Folge haben, dass auch dynamische IP-Adressen entsprechend § 15 Absatz 1 des Telemediengesetzes (TMG) nur dann von Seitenbetreibern gespeichert werden dürfen, wenn dies zu Abrechnungszwecken erforderlich ist oder Nutzer ihre Einwilligung gegeben haben. Als Antwort auf die zweite Vorlagefrage wertete der EuGH genau diese Regelung aber als europarechtswidrig und somit ungültig. Die europäische Datenschutzrichtlinie, die noch bis 2018 gültig ist, sieht in Artikel 7 nämlich vor, dass es für das Speichern und Verarbeiten personenbezogener Daten eine Abwägung zwischen dem berechtigten Interesse eines Dienstesanbieters und den Grundfreiheiten und -rechten eines Nutzers geben muss. Die enge Auslegung des TMG schränke diesen Grundsatz zu sehr ein.

Neue Rechtsunsicherheit

Der Gerichtshof folgt damit in weiten Teilen der Argumentation des zuständigen Generalanwalts Manuel Campos Sánchez-Bordona. Für die Situation in Deutschland bringt das Urteil erstmal große Verunsicherung. Statt der strikten, aber klaren Vorgaben des Telemediengesetzes soll nun das Prinzip der Interessenabwägung gelten. Aktivist Breyer wird dies zur Folge haben, dass Gerichte mit dieser Abwägungsfrage lange beschäftigt sein werden. Derweil dürfte das Urteil die Kreativität der kommerziellen Tracking-Industrie anregen.

Auch wenn Breyer ein Gutachten des Landgerichts Berlin auf seiner Seite hat, das feststellte, dass die Speicherung von IP-Adressen für die Gewährleistung der Sicherheit von Webseiten nicht notwendig ist: Der EuGH stellt in diesem Zusammenhang explizit klar, dass das Aufrechterhalten des Betriebs einer Webseite und die Abwehr von „Cyberattacken“ als berechtigtes Interesse von Diensteanbietern (in diesem Fall: Seitenbetreibern) gelten kann, die IP-Adressen auf Vorrat zu speichern.

Zur Abwägung dieses Interesses mit den Grundrechten der Seitenbesucher im konkreten Fall sagte der EuGH freilich nichts. Hier wird nun der Bundesgerichtshof entscheiden. Breyer kündigte an, notfalls vor das Bundesverfassungsgericht ziehen zu wollen, falls es keine klare Absage an die Vorratsdatenspeicherung von IP-Adressen geben wird. In einem Pressestatement fordert er aber eine klare politische Lösung der Rechtsunsicherheit:

Die EU schützt Internetnutzer nicht vor einer massenhaften Aufzeichnung ihres Internet-Nutzungsverhaltens und verbietet sogar nationale Gesetze dagegen. Damit werden Internetanbieter uns im Netz weiterhin auf Schritt und Tritt verfolgen und Informationen über unsere privaten Interessen und Vorlieben sammeln und weitergeben. Die EU muss diese inakzeptable Schutzlücke in ihrem Datenschutzrecht schnellstmöglich durch ein neues Gesetz schließen!

Eine ausführliche Einschätzung des Urteils hat Breyer in einem Gespräch mit dem Leiter Digitalpolitik des Bundesverbands Digitale Wirtschaft, Joachim Jobi, gegeben. Ein Mitschnitt des Livestreams ist auf der Seite der Piratenpartei verfügbar.

Update: Reaktion der Bundesdatenschutzbeauftragten

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Andrea Voßhoff, begrüßt das Urteil in einer Pressemitteilung, weil es den langjährigen Streit um die Personenbezogenheit dynamischer IP-Adressen beende. In Hinblick auf die mögliche Ausweitung der Speichergründe enthält sie sich einer Bewertung, will aber den notwendigen Anpassungsprozess des Telemediengesetzes eng begleiten und spricht sich für eine maximal siebentägige Vorratsdatenspeicherung aus:

Der Gesetzgeber ist nun gefordert, das Telemediengesetz an die Vorgaben des EuGH anzupassen. Diesen Prozess werde ich selbstverständlich eng begleiten und mich dafür einsetzen, dass die neue Vorschrift eine Datenspeicherung nur für die vom Gericht definierten Zwecke und für den zur Aufgabenerfüllung zwingend erforderlichen Zeitraum ermöglicht. Analog zur bestehenden Vorschrift im Telekommunikationsgesetz sollten IP-Adressen nicht länger als sieben Tage gespeichert werden.

22 Ergänzungen

    1. Naja, ob es so sinnvoll ist, statt „irgendein Nutzer den wir mit Werbung zumüllen können“ plötzlich ein (Terror)verdächtiger zu sein…

      Gruselig, stimmts?

    2. Leute, an das Überstreifen von Präservativen habt ihr euch ja auch schon gewöhnt. Da ist digitale Selbstverteidigung doch ein Klaks, ähhm … clicks dagegen, oder?

  1. Es gibt nicht nur Leser von Webseiten, sondern auch sehr viele Blog- und Websiteanbieter. Leute, die eigene Webserver betreiben und Dinge tun.
    Durch Impressumspflichten, Datenschutzregeln, Urheberrecht, Leistungsschutzrecht etc pp. wurde das betreiben eigener Server für private Zwecke aber in den letzten Jahren immer mehr zum Glücksspiel.

    Durch das deutsche Datenschutzregime wurde jeder, der eine popelige Logfile oder gar eine Errorlog hatte, in dem selben Topf gesteckt wie die großen Datenkraken oder Behörden.
    Von daher bedeutet das Urteil hier eine gewisse Erleichterung: Es gibt nicht nur die Interessen der Leser. Sondern auch die der Serverbetreiber. Und diese sind eben auch mal ganz normale Leute die sich eben nicht mit juristischen Geschütz oder hinter AGBs verstcken können.

    Ich bin mit dem Urteil daher zufrieden. Das deutsche Datenschutzregime ist nunmal nicht das hohe Wesen an dem alle Genesen sollten.

    1. Immer dieses Rumgeheule von Bloggern und den Betreibern kleiner Seiten. Es nervt langsam.
      Buhuhu Adblocker, buhuhu Datenschutz.
      NICHTS im Web ist schützenswerter als Datenschutz und Privatsphäre. Lebt damit! Wer eine Seite, oder ein Blog betreibt, muss genug Kenntnisse haben, um das Teil auch gesetzeskonform zu betreiben. Wer das nicht kann, sollte dicht machen!

      Ist das gleiche, wie mit den Adblockern.
      Es gab den Punkt, da war Werbung okay. Wer dann meint, er müsse mehr und aufdringliche Werbung machen und Tracking auf seiner Seite zulassen, muss sich halt damit abfinden, dass er nichts verdient, weil Werbung und Tracking geblockt werden.

      1. Ich jammer nicht, ich freue mich über das Urteil ;)

        Genervt? Oh, eine runde Mitleid bitte für den Konsumenten und Liebhaber eines behüteten Nannynetzes, in der man sich keine Gedanken mehr machen muss. Denn die Datenschützer werden’s schon richten. Am eigenen verhalten und der eigenen Awareness muss man ja dann nichts ändern.

        1. Gerade als Nutzer mit “Awareness“ befürworte ich gesetzliche Regelungen, weil sich zu viele einen Scheiß darum scheren. Deren Verhalten betrifft nämlich auch mich. Solange sich mit Tracking Geld verdienen lässt, ist das ein ständiges Wettrüsten. Von der antidemokratischen Wirkung staatlicher Massenüberwachung will ich gar nicht erst anfangen.
          Wenn zu viele Nutzer zu dumm sind, die Gefahren zu erkennen, ist es Aufgabe des Gesetzgebers, diese Leute zu schützen.

        2. Kapierst du nicht, dass so auch den „awaren“ Nutzern der Boden der Handlungsmöglichkeiten für eine Handvoll „netten“ (i.S.v. nicht all zu wichtigen) Zusatzinfos unter dem Boden weggezogen wird? Zumal man solche Daten auch anders bekommt (Seitenaufrufe ohne IP-Speicherung zählen)…

    2. Du willst einfach nur dein Google Analytics nicht raus nehmen, oder? Faulheit vor Bürgerrechten und Selbstbestimmung?

      Webhoster werden ihre Server nicht so konfigurieren, dass sich jeder Hostingkunde strafbar machen – das kann also nicht gemeint sein. Und Logfiles nicht erstellen oder nach Auswertung durch awstats zu löschen lässt sich auf eigenen Servern kinderleicht konfigurieren – kannst du also auch nicht gemeint haben.

  2. „Dem Europäischen Gerichtshof zufolge sind dynamische IP-Adressen personenbezogene Daten.“
    Diese Aussage ist in ihrer Kürze falsch. Vom EUGH hieß es: „Die dynamische Internetprotokoll-Adresse eines Nutzers stellt für den Betreiber der Website ein personenbezogenes Datum dar, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, den betreffenden Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen.“
    Diese Einschränkung des EUGH ist wesentlich und die Verallgemeinerung ohne den Wenn-Satz ist Unsinn.
    Das Interessante ist ja, was anderes. Rechtliche Mittel hat in der Regel ein Urheberrechtsinhaber. Bei Torrents ist das schön einfach: ein Mahnanwalt beschäftigt ein Zimmer voller Studenten, die bei illegalen Torrentsverteilungen IP-Adressen saugen, wo sie sich den Anschlussinhaber (nicht unbedingt den Nutzer, deswegen brauchen die Abmahnanwälte unbedingt die Störerhaftung, nicht aber die Strafverfolger) vom Provider geben lassen. Das schöpft Millionen von €. Früher.
    Ein Webserverbetreiber hat diesen Vorteil nicht. Wer soll schon bei ihm illegale Dateien saugen, für er die er dann Abmahnungen senden will, die er selber verursacht hat.
    Das neue Spannende ist die Cyberattacke. Mit dem Argument kann jeder alle Zugriffe loggen und gar immer dar aufbewahren. Weil er ja ständig von Cyberattacken bedroht ist und er nicht weiß, wann dieser Täterkreis zuschlägt. Mit den Logfiles aber kann er dann sehen, welche Angriffspunkte die Kriminellen gewählt haben. Sehe ich ja in meinem Logfile auch, wer versuch hat, sich bei mir bei WordPress einzuloggen. Damit aber ist der Datenschutz auf Basis der IP-Adresse mausetot.
    (War er eigenlich schon immer, weil man mit der IP-Adresse nur zum Anschlußinhaber kommt, aber nicht zum Nutzer. Und was nutzt strafrechtlich der Anschlußinhaber hinter dem mehrere tausend nicht identifizierbare Nutzer hängen, die Straftaten begehen? Wie bei Behörden oder großen Betrieben?) Der Cyberattacken-Hammer aber gilt immer.
    Allerdings gibt es noch eine andere Perspektive. Man könnte ja nun argumentieren, dass die Veröffentlichungen von Wikileaks der Abwehr von Cyberattacken dienen und damit legal sind. Wenigstens nach EUGH.

    Andererseits sieht es so aus, als wenn deutsche Datenschützer sich mit ihrem Datenschutz verritten haben, was sich auch bei der EU-DSGVO andeuten mit Konzernprivileg und berechtigtem Interesse des Datenaustausch zwecks Werbung bei WhatsApp und Facebook.

    Merke: mit nationalem Kleinkram kommt man bei globalen Problemen nicht weit und macht mehr heiße Luft als Lösungen.

    1. Im Artikel erkläre ich die Entscheidung ja genauer, auch in Hinblick auf die Vorraussetzung für den Personenbezug. Im Vorspann halte ich diese leichte Verkürzung für legitim.

    2. Die Überschrift ist unsachlich. Der Telemedicus hat auf Twitter gezeigt, wie es auch sachlich geht:
      „EuGH: #IP-Adresse kann personenbezogen sein, darf aber u.U. gespeichert werden“

  3. Ich schließe mich Cervo an
    Tor, oder eine VPN-Verbindung über einen vertrauenswürdigen Anbieter, schützen Eure Privatsphäre. Dazu noch einige Maßnahmen im Browser (Addons gegen Tracking und für Cookie-Management) und Ihr schafft genug Löcher im Tracking, um kein repräsentatives Bild Eures Surfverhaltens zu hinterlassen. Nebenbei ist dadurch oft keine Abrechnung zwischen Seitenbetreiber und Werbenetzwerk möglich, was auf Dauer das ganze Geschäftsmodell schwächen kann.
    Ganz nebenbei führen VPN und Tor noch die ganze Vorratsdatenspeicherung ad absurdum.

    1. Was ist mit dem neuen Opera-Browser. Brauchbar als Übergangslösung? Der Browser hätte ja schon VPN und einen Werbeblocker im Bauch.

  4. Sollen sie die Protokollierung von IP Addressen erlauben oder verbieten. Alles besser als dieser „kommt darauf an“ Mist. Was von beides ist mir eigentlich egal. Ich hab nie verstanden, wie man eine IP für eine schützenswerte Information halten kann. Auf der anderen Seite ist mir auch schleiherhaft, wie IPs bei Cyberangriffen wirklich nützlich sein könnten. Also das Argument finde ich sehr fragwürdig.

  5. Naja bei all den Restriktionen im Netz, die ständig verschärft werden, geht nur noch Tor. Man kann damit wunderbar seine Alltagsgeschäfte beruflich wie privat abwickeln und das gesamte Banking usw. über Tor praktizieren, online auch legal einkaufen nicht nur aufs Darkweb bezogen usw.

    Ich frage mich langsam eher, wieso so viele Leute mit Tor ein Problem haben. Ob man Euch direkt überwacht oder ob die Dir nen korrumpierten Note unterschieben, lesen wollen die eh alles, allerdings erspart man sich damit die Vorratsdatenspeicherung und die IP-Adresse ist auch wurscht.

    Somit vermeidet man legale Sammelbuden. Müssen die NDs eben mehr sniffen, machen sie eh. Und ja man kann sich dazu Orbot aufs Smartphone packen, ist recht interessant ;-)

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.