EuGH-Urteil: Speicherung von IP-Adressen durch Webseitenbetreiber entgegen § 15 TMG zulässig

Im lange erwarteten Urteil in der Sache „Patrick Breyer vs. Bundesrepublik Deutschland“ (Az. C 582/14) entschied das oberste europäische Gericht am 19.10.2016, dass dynamisch vergebene IP-Adressen unter bestimmten Voraussetzungen personenbezogene Daten im Sinne des Datenschutzrechts seien. Der EuGH-Urteil stellte klar, dass ein Personenbezug aber nur dann anzunehmen sei, wenn der Webseitenbetreiber in der Lage wäre und über die rechtlichen Mittel verfüge, vom Zugangsprovider Zusatzinformationen wie Name und Anschrift eines Adressinhabers zu erhalten, um somit auf eine konkrete Person schließen zu können. Der EuGH sah es als gegeben an, dass in Deutschland derartige rechtliche Möglichkeiten bestünden.

Relativer Personenbezug bei dynamischen IP-Adressen
Dem Personenbezug von dynamischen IP-Adressen wurden damit enge Grenzen zugewiesen.
Das Urteil machte deutlich, dass „das strenge Verbot der IP-Adressen-Speicherung durch Website-Betreiber mit EU-Recht unvereinbar“ sei. Die in Deutschland laut TMG untersagte massenhafte Protokollierung des Surfverhaltens von Webseitenbesuchern wurde damit gekippt. Laut Breyer ließ der EuGH aber offen, ob und wenn ja für welchen Zeitraum eine massenhafte Aufzeichnung von Internetaktivitäten durch Anbieter zulässig sei.

Rechtsstreit Breyer vs. Bundesrepublik Deutschland seit 2007
Mit dem seit 2007 laufenden Rechtsstreit verfolgte der Politiker und Datenschutzaktivist Patrick Breyer das Ziel, die gängige Praxis des Bundes, IP-Adressen von Besuchern von Internetangeboten des Bundes ohne Einwilligung drei Monate lang zu speichern, zu verbieten. Damit zielt Breyers Vorstoß auf ein generelles Verbot von IP-Logging ohne Einwilligung des Betroffenen ab. Die Klärung der dieser Forderung zugrunde liegenden Fragestellung, inwieweit IP-Adressen nach europäischem Datenschutzrecht personenbezogene Daten sind, hatte der BGH im Oktober 2014 an den EuGH verwiesen.

§ 15 Abs. 1 TMG verstößt gegen EU-Recht
Der EuGH hatte weiterhin die Frage zu klären, „ob die europäische Datenschutzrichtlinie im Einklang mit dem deutschen Datenschutzrecht steht, wonach eine Speicherung von IP-Adressen über den Nutzungszeitraum der Website hinaus zu Systemsicherungszecken nicht zulässig ist“ (Zitat: heise). Der EuGH entschied, dass das Telemediengesetzes (TMG) in § 15 Abs. 1 nicht mit dem EU-Recht vereinbar sei. Die dort festgelegte Einschränkung, dass Inhalteanbieter von Telemedienangeboten zum Speichern von IP-Adressen ihrer Webseitenbesucher nur dann berechtigt seien, wenn dies für die Nutzung oder Abrechnung erforderlich ist, stünde der EU-Datenschutzrichtlinie aus 1995 entgegen. Demnach fehle im TMG eine Interessenabwägung. Danach könne eine Verarbeitung (Speicherung) von personenbezogenen Daten rechtmäßig sein, wenn dies zur Erfüllung eines berechtigten Interesses eines für die Datenverarbeitung Verantwortlichen (Webseitenbetreiber) erforderlich sei und die Grundrechte und Grundfreiheiten des Betroffenen nicht überwiegen. Ein berechtigtes Interesse eines Verantwortlichen könne z.B. die Speicherung von IP-Adressen zu Zwecken der Systemsicherheit sein. (js)

Siehe auch Artikel vom 10.12.2014:
Rechtsstreit „Patrick Breyer vs. Bundesrepublik Deutschland“ (Rs. C-582/14)
Streit um IP-Adresse als personenbezogenes Datum

Quellen:

EuGH- Pressemitteilung Nr. 112/16 vom 19.10.2016:
„Urteil in der Rechtssache C-582/14 – Patrick Breyer / Bundesrepublik Deutschland“

Heise vom 19.10.2016
„EuGH lockert Verbot von IP-Adress-Speicherung – Update“

InfoCuria – Rechtsprechung des Gerichtshofs
„Rechtssache C-582/14“