Web­sei­ten­be­su­cher – und ihre IP-Adres­sen

Der Betrei­ber einer Web­site kann ein berech­tig­tes Inter­es­se dar­an haben, die IP-Adres­se sowie bestimm­te per­so­nen­be­zo­ge­ne Daten der Nut­zer zu spei­chern, um sich gegen Cyber­at­ta­cken zu ver­tei­di­gen.

Web­sei­ten­be­su­cher – und ihre IP-Adres­sen

Die dyna­mi­sche Inter­net­pro­to­koll-Adres­se eines Nut­zers stellt dabei für den Betrei­ber der Web­site nur dann ein per­so­nen­be­zo­ge­nes Datum dar, wenn er über recht­li­che Mit­tel ver­fügt, die es ihm erlau­ben, den betref­fen­den Nut­zer anhand der Zusatz­in­for­ma­tio­nen, über die des­sen Inter­net­zu­gangs­an­bie­ter ver­fügt, bestim­men zu las­sen.

Die­ser Ent­schei­dung des Gerichts­hofs der Euro­päi­schen Uni­on lag ein Fall zugrun­de, in dem es um die Web­sites deut­scher Bun­des­mi­nis­te­ri­ums ging: Herr Patrick Brey­er klagt vor deut­schen Gerich­ten dage­gen, dass die von ihm abge­ru­fe­nen Web­sites von Ein­rich­tun­gen des Bun­des sei­ne Inter­net­pro­to­koll-Adres­sen („IP-Adres­sen“) auf­zeich­nen und spei­chern. Von die­sen Ein­rich­tun­gen wer­den außer dem Zeit­punkt des Zugriffs auch die IP-Adres­sen der Nut­zer auf­ge­zeich­net und gespei­chert, um sich gegen Cyber­at­ta­cken zu wapp­nen und eine Straf­ver­fol­gung zu ermög­li­chen.

Im Rah­men die­ses Rechts­streits leg­te der Bun­des­ge­richts­hof dem Gerichts­hof der Euro­päi­schen Uni­on ein Vor­ab­ent­schei­dungs­er­su­chen zu der Fra­ge vor, ob in die­sem Zusam­men­hang auch „dyna­mi­sche“ IP-Adres­sen für den Betrei­ber der Web­site per­so­nen­be­zo­ge­ne Daten dar­stel­len, so dass sie den für sol­che Daten vor­ge­se­he­nen Schutz genie­ßen.

IP-Adres­sen sind Zif­fern­fol­gen, die mit dem Inter­net ver­bun­de­nen Com­pu­tern zuge­wie­sen wer­den, um deren Kom­mu­ni­ka­ti­on im Inter­net zu ermög­li­chen. Beim Abruf einer Web­site wird die IP-Adres­se des abru­fen­den Com­pu­ters an den Ser­ver über­mit­telt, auf dem die abge­ru­fe­ne Web­site gespei­chert ist. Dies ist erfor­der­lich, um die abge­ru­fe­nen Daten an den rich­ti­gen Emp­fän­ger über­tra­gen zu kön­nen. Eine „dyna­mi­sche“ IP-Adres­se ist eine IP-Adres­se, die sich bei jeder neu­en Inter­net­ver­bin­dung ändert. Anders als sta­ti­sche IP-Adres­sen erlau­ben dyna­mi­sche IP-Adres­sen es nicht, anhand all­ge­mein zugäng­li­cher Datei­en eine Ver­bin­dung zwi­schen einem Com­pu­ter und dem vom Inter­net­zu­gangs­an­bie­ter ver­wen­de­ten phy­si­schen Netz­an­schluss her­zu­stel­len. Somit ver­fügt aus­schließ­lich der Inter­net­zu­gangs­an­bie­ter von Herrn Brey­er über die zu des­sen Iden­ti­fi­zie­rung erfor­der­li­chen Zusatz­in­for­ma­tio­nen.

Der Bun­des­ge­richts­hof leg­te dem Uni­ons­ge­richts­hof fer­ner die Fra­ge zur Vor­ab­ent­schei­dung vor, ob der Betrei­ber einer Web­site zumin­dest grund­sätz­lich die Mög­lich­keit haben muss, per­so­nen­be­zo­ge­ne Daten der Nut­zer zu erhe­ben und zu ver­wen­den, um die gene­rel­le Funk­ti­ons­fä­hig­keit sei­ner Web­site zu gewähr­leis­ten. Er weist inso­weit dar­auf hin, dass die ein­schlä­gi­ge deut­sche Rege­lung des $ 5 TMG von der deut­schen Leh­re über­wie­gend dahin aus­ge­legt wer­de, dass die Daten am Ende des jewei­li­gen Nut­zungs­vor­gangs zu löschen sei­en, soweit sie nicht für Abrech­nungs­zwe­cke benö­tigt wür­den.

Mit sei­nem jetzt ver­kün­de­ten Urteil ant­wor­te­te der Gerichts­hof der Euro­päi­schen Uni­on zunächst, dass eine dyna­mi­sche IP-Adres­se, die von einem „Anbie­ter von Online-Medi­en­diens­ten“ – d. h. vom Betrei­ber einer Web­site, hier den Ein­rich­tun­gen des Bun­des – beim Zugriff auf sei­ne all­ge­mein zugäng­li­che Web­site gespei­chert wird, für den Betrei­ber ein per­so­nen­be­zo­ge­nes Datum im Sin­ne der Richt­li­nie 95/​46/​EG des Euro­päi­schen Par­la­ments und des Rates vom 24. Okto­ber 1995 zum Schutz natür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten und zum frei­en Daten­ver­kehr 1 dar­stellt, wenn er über recht­li­che Mit­tel ver­fügt, die es ihm erlau­ben, den Nut­zer anhand der Zusatz­in­for­ma­tio­nen, über die des­sen Inter­net­zu­gangs­an­bie­ter ver­fügt, bestim­men zu las­sen.

Der Uni­ons­ge­richts­hof ging für den vor­lie­gen­den Fall, in dem die frag­li­chen Web­sites von Ein­rich­tun­gen des Bun­des betrie­ben wer­den, zunächst davon aus, dass die­se Ein­rich­tun­gen, unge­ach­tet ihres Sta­tus als Behör­den, als Ein­zel­ne han­deln. Sodann stell­te er fest, dass es in Deutsch­land offen­bar recht­li­che Mög­lich­kei­ten gibt, die es dem Anbie­ter von Online-Medi­en­diens­ten erlau­ben, sich ins­be­son­de­re im Fall von Cyber­at­ta­cken an die zustän­di­ge Behör­de zu wen­den, um die frag­li­chen Infor­ma­tio­nen vom Inter­net­zu­gangs­an­bie­ter zu erlan­gen und anschlie­ßend die Straf­ver­fol­gung ein­zu­lei­ten.

Sodann ent­schied der Uni­ons­ge­richts­hof, das das Uni­ons­recht – nament­lich die Richt­li­nie 95/​46 – einer Rege­lung eines Mit­glied­staats ent­ge­gen­steht, nach der ein Anbie­ter von Online-Medi­en­diens­ten per­so­nen­be­zo­ge­ne Daten eines Nut­zers die­ser Diens­te ohne des­sen Ein­wil­li­gung nur erhe­ben und ver­wen­den darf, soweit ihre Erhe­bung und ihre Ver­wen­dung erfor­der­lich sind, um die kon­kre­te Inan­spruch­nah­me der Diens­te durch den betref­fen­den Nut­zer zu ermög­li­chen und abzu­rech­nen, ohne dass der Zweck, die gene­rel­le Funk­ti­ons­fä­hig­keit der Diens­te zu gewähr­leis­ten, die Ver­wen­dung der Daten über das Ende eines Nut­zungs­vor­gangs hin­aus recht­fer­ti­gen kann.

Die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten ist nach dem Uni­ons­recht u. a. recht­mä­ßig, wenn sie zur Ver­wirk­li­chung des berech­tig­ten Inter­es­ses, das von dem für die Ver­ar­bei­tung Ver­ant­wort­li­chen oder von dem bzw. den Drit­ten wahr­ge­nom­men wird, denen die Daten über­mit­telt wer­den, erfor­der­lich ist, sofern nicht das Inter­es­se oder die Grund­rech­te und Grund­frei­hei­ten der betrof­fe­nen Per­son über­wie­gen.

Die deut­sche Rege­lung schränkt nach ihrer in der Leh­re über­wie­gend ver­tre­te­nen Aus­le­gung die Trag­wei­te die­ses Grund­sat­zes ein, indem sie es aus­schließt, dass der Zweck, die gene­rel­le Funk­ti­ons­fä­hig­keit des Online-Medi­ums zu gewähr­leis­ten, Gegen­stand einer Abwä­gung mit dem Inter­es­se oder den Grund­rech­ten und Grund­frei­hei­ten der Nut­zer sein kann.

Der Gerichts­hof der Euro­päi­schen Uni­on hebt in die­sem Zusam­men­hang her­vor, dass die Ein­rich­tun­gen des Bun­des, die Online-Medi­en­diens­te anbie­ten, ein berech­tig­tes Inter­es­se dar­an haben könn­ten, die Auf­recht­erhal­tung der Funk­ti­ons­fä­hig­keit der von ihnen all­ge­mein zugäng­lich gemach­ten Web­sites über ihre kon­kre­te Nut­zung hin­aus zu gewähr­leis­ten.

Gerichts­hof der Euro­päi­schen Uni­on, Urteil vom 19. Okto­ber 2016 – C ‑582/​14

  1. ABl. 1995, L 281, S. 31[]