Speicherung dynamischer IP-Adressen durch Website-Betreiber kann zur Abwehr von Cyberattacken zulässig sein
2 Min.
Zitiervorschlag
Speicherung dynamischer IP-Adressen durch Website-Betreiber kann zur Abwehr von Cyberattacken zulässig sein. beck-aktuell, 19.10.2016 (abgerufen am: 13.05.2026 von https://www.beck-aktuell.de/node/168691)
Der Betreiber einer Website kann ein berechtigtes Interesse daran haben, bestimmte personenbezogene Daten der Nutzer zu speichern, um sich gegen Cyberattacken zu verteidigen. Dies hat der Europäische Gerichtshof mit Urteil vom 19.10.2016 entschieden und § 15 TMG in seiner engen Auslegung gekippt. Dynamische IP-Adressen seien für Website-Betreiber als personenbezogene Daten einzustufen, wenn sie über rechtliche Mittel verfügen, den betreffenden Nutzer mithilfe des Internetzugangsanbieters bestimmen zu lassen (Az.: C-582/14).
Anzeige
Piraten-Abgeordneter klagt gegen Speicherung dynamischer IP-Adressen auf Bund-Websites
Der Fraktionsvorsitzende der Piratenpartei in Schleswig-Holstein, Patrick Breyer, klagt im Ausgangsverfahren gegen die längerfristige Speicherung seiner dynamischen (also mit jeder Einwahl neu zugewiesenen) IP-Adressen auf Websites des Bundes (etwa der Ministerien). Der Bund speichert außer dem Zeitpunkt des Zugriffs auf eine Website auch die IP-Adressen der Nutzer, um sich, so seine Begründung, gegen Cyberattacken zu wappnen und eine Strafverfolgung zu ermöglichen.
BGH: Dynamische IP-Adressen als personenbezogene Daten zu qualifizieren?
Der Bundesgerichtshof rief den EuGH im Vorabentscheidungsverfahren an und wollte wissen, ob dynamische IP-Adressen personenbezogene Daten darstellen. Anders als statische IP-Adressen erlauben dynamische IP-Adressen es nicht, anhand allgemein zugänglicher Dateien eine Verbindung zwischen einem Computer und dem vom Internetzugangsanbieter verwendeten physischen Netzanschluss herzustellen. Im Fall dynamischer IP-Adressen kann der Nutzer nur mit Hilfe des Internetzugangsanbieters identifiziert werden.
Speicherung zur Gewährleistung der Sicherheit und Funktionsfähigkeit von Websites zulässig?
Für den Fall, dass es sich bei dynamischen IP-Adressen um personenbezogene Daten handelt, wollte der BGH zudem geklärt wissen, ob § 15 TMG gegen Art. 7 lit. f der Datenschutzrichtlinie 95/46/EG verstößt. Denn der eng verstandene § 15 TMG, wonach Online-Mediendiensteanbieter personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben und verwenden dürfen, soweit dies erforderlich ist, um die konkrete Nutzung der Website zu ermöglichen und abzurechnen, lasse keine über den Websitebesuch hinausgehende Speicherung der IP-Adressen zur generellen Gewährleistung der Sicherheit und Funktionsfähigkeit von Websites zu.
EuGH: Qualifikation als personenbezogene Daten bei Zugriffsmöglichkeit auf Provider
Laut EuGH stellen dynamische IP-Adressen für den Website-Betreiber personenbezogene Daten dar, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, den Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen. In Deutschland gebe es offenbar rechtliche Möglichkeiten, die es dem Anbieter von Online-Mediendiensten erlaubten, sich insbesondere im Fall von Cyberattacken an die zuständige Behörde zu wenden, um die fraglichen Informationen vom Internetzugangsanbieter zu erlangen und anschließend die Strafverfolgung einzuleiten, so der EuGH weiter. Der Websiteanbieter verfüge somit offenbar über Mittel, die vernünftigerweise eingesetzt werden könnten, um mit Hilfe Dritter den Nutzer anhand der gespeicherten IP-Adressen bestimmen zu lassen.
Berechtigtes Interesse an Speicherung zur Gewährleistung der Funktionsfähigkeit möglich
Darüber hinaus bejaht der EuGH einen Verstoß des § 15 TMG in seiner engen Auslegung gegen EU-Recht. Die Verarbeitung personenbezogener Daten sei nach Art. 7 lit. f der Richtlinie 95/46/EG rechtmäßig, wenn sie zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem/den Dritten wahrgenommen wird, denen die Daten übermittelt werden, erforderlich ist, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Die deutsche Regelung schränke nach ihrer in der Lehre überwiegend vertretenen Auslegung die Tragweite dieses Grundsatzes ein, indem sie es ausschließe, dass der Zweck, die generelle Funktionsfähigkeit des Online-Mediums zu gewährleisten, Gegenstand einer Abwägung mit dem Interesse oder den Grundrechten und Grundfreiheiten der Nutzer sein kann. Der EuGH betont, dass der Bund ein berechtigtes Interesse daran haben könnte, die Aufrechterhaltung der Funktionsfähigkeit der von ihm allgemein zugänglich gemachten Websites über ihre konkrete Nutzung hinaus zu gewährleisten.
Speicherung dynamischer IP-Adressen durch Website-Betreiber kann zur Abwehr von Cyberattacken zulässig sein. beck-aktuell, 19.10.2016 (abgerufen am: 13.05.2026 von https://www.beck-aktuell.de/node/168691)
