BGH: Speicherung dynamischer IP-Adressen durch Website-Betreiber kann bei Gefahr von Cyberattacken zulässig sein

Dynamische IP-Adressen, die beim Besuch von Websites gespeichert werden, sind personenbezogene Daten. Ihre Speicherung über das Nutzungsende hinaus kann aber bei Gefahr von Cyberattacken zur Gewährleistung der Funktionsfähigkeit der Websites zulässig sein. Dies hat der Bundesgerichtshof in Anwendung eines Urteils des Europäischen Gerichtshofs (BeckRS 2016, 82520) entschieden. Voraussetzung sei jedoch eine Interessenabwägung, in die die Grundrechte der Nutzer einzustellen seien. Da eine solche Abwägung hier mangels Feststellungen zum Ausmaß der Angriffsgefahr nicht möglich gewesen sei, hat der BGH die Sache an das Berufungsgericht zurückverwiesen (Urteil vom 16.05.2017, Az.:VI ZR 135/13).

Viele Internetportale des Bundes speichern dynamische IP-Adressen

Der Kläger, der Piraten-Politiker Patrick Breyer, verlangt von der beklagten Bundesrepublik Deutschland die Unterlassung der Speicherung von dynamischen IP-Adressen. Bei einer Vielzahl allgemein zugänglicher Internetportale des Bundes werden alle Zugriffe in Protokolldateien festgehalten mit dem Ziel, Cyberangriffe abwehren und die strafrechtliche Verfolgung von Angreifern ermöglichen zu können. Dabei werden unter anderem der Name der abgerufenen Seite, der Zeitpunkt des Abrufs und die IP-Adresse des zugreifenden Rechners über das Ende des jeweiligen Nutzungsvorgangs hinaus gespeichert. Der Kläger rief in der Vergangenheit verschiedene solcher Internetseiten auf.

Kläger begehrt Unterlassung der Speicherung über Nutzungsende hinaus

Mit seiner Klage begehrt Breyer, die Beklagte zu verurteilen, es zu unterlassen, ihm zugewiesene IP-Adressen über das Ende des jeweiligen Nutzungsvorgangs hinaus zu speichern. Das Amtsgericht wies die Klage ab. Auf die Berufung des Klägers erkannte das Landgericht dem Kläger den Unterlassungsanspruch nur insoweit zu, als er Speicherungen von IP-Adressen in Verbindung mit dem Zeitpunkt des jeweiligen Nutzungsvorgangs betrifft und der Kläger während eines Nutzungsvorgangs seine Personalien angibt. Gegen dieses Urteil legten beide Parteien Revision ein. Der BGH setzte das Verfahren (BeckRS 2014, 20158) aus und rief den Europäischen Gerichtshof zur Auslegung der EG-Datenschutz-Richtlinie im Vorabentscheidungsverfahren an. Der EuGH entschied über das Vorabentscheidungsgesuch im Oktober 2016 (BeckRS 2016, 82520).

BGH: Dynamische IP-Adressen sind personenbezogene Daten

Die Revisionen hatten Erfolg. Unter Anwendung des EuGH-Urteils hat der BGH das Berufungsurteil aufgehoben und die Sache an das Berufungsgericht zurückverwiesen. Auf der Grundlage des EuGH-Urteils sei das Tatbestandsmerkmal "personenbezogene Daten" des § 12 Abs. 1 und 2 TMG in Verbindung mit § 3 Abs. 1 BDSG richtlinienkonform auszulegen. Danach stelle eine dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Internetseite, die dieser Anbieter allgemein zugänglich mache, gespeichert werde, für den Anbieter ein (geschütztes) personenbezogenes Datum dar.

Speicherung zur Gewährleistung der Funktionsfähigkeit der Dienste zulässig – Interessenabwägung erforderlich

Als personenbezogenes Datum dürfe die IP-Adresse nur unter den Voraussetzungen des § 15 Abs. 1 TMG gespeichert werden, so der BGH weiter. Diese Vorschrift sei richtlinienkonform entsprechend Art. 7 lit. f der Richtlinie 95/46/EG – in der Auslegung durch den EuGH – dahin anzuwenden, dass ein Anbieter von Online-Mediendiensten personenbezogene Daten eines Nutzers dieser Dienste ohne dessen Einwilligung auch über das Ende eines Nutzungsvorgangs hinaus dann erheben und verwenden darf, soweit ihre Erhebung und ihre Verwendung erforderlich sind, um die generelle Funktionsfähigkeit der Dienste zu gewährleisten. Dabei bedürfe es allerdings einer Abwägung mit dem Interesse und den Grundrechten und -freiheiten der Nutzer.

Feststellungen für gebotene Abwägung unzureichend

Laut BGH konnte diese Abwägung im Streitfall auf der Grundlage der vom Berufungsgericht getroffenen Feststellungen nicht abschließend vorgenommen werden. Das Berufungsgericht habe keine hinreichenden Feststellungen dazu getroffen, ob die Speicherung der IP-Adressen des Klägers über das Ende eines Nutzungsvorgangs hinaus erforderlich war, um die (generelle) Funktionsfähigkeit der jeweils in Anspruch genommenen Dienste zu gewährleisten. Die Beklagte verzichte nach ihren eigenen Angaben bei einer Vielzahl der von ihr betriebenen Portale mangels eines "Angriffsdrucks" darauf, die jeweiligen IP-Adressen der Nutzer zu speichern. Demgegenüber fehlten insbesondere Feststellungen dazu, wie hoch das Gefahrenpotential bei den übrigen Online-Mediendiensten des Bundes sei, die der Kläger in Anspruch nehmen wolle.

Aspekte der Generalprävention und Strafverfolgung bei Abwägung zu berücksichtigen

Erst wenn entsprechende Feststellungen hierzu getroffen seien, werde das Berufungsgericht die nach dem EuGH-Urteil gebotene Abwägung zwischen dem Interesse der Beklagten an der Aufrechterhaltung der Funktionsfähigkeit ihrer Online-Mediendienste und dem Interesse oder den Grundrechten und -freiheiten des Klägers vorzunehmen haben. Dabei müssten auch die Gesichtspunkte der Generalprävention und der Strafverfolgung gebührend berücksichtigt werden, so der BGH.

BGH, Urteil vom 16.05.2017 - VI ZR 135/13

Redaktion beck-aktuell, 16. Mai 2017.

Weiterführende Links

Aus der Datenbank beck-online

EuGH, Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und freier Datenverkehr, BeckRS 2016, 82520

Weinhold, EuGH: Dynamische IP-Adresse ist personenbezogenes Datum – Folgen der Entscheidung für die Rechtsanwendung, ZD-Aktuell 2016, 05366

Kartheuser/Gilsdorf, EuGH: Dynamische IP-Adressen können personenbezogene Daten sein, MMR-Aktuell 2016, 382533

BGH, EuGH-Vorlage zur Speicherung von dynamischen IP-Adressen, BeckRS 2014, 20158

Aus dem Nachrichtenarchiv

EuGH: Speicherung dynamischer IP-Adressen durch Website-Betreiber kann zur Abwehr von Cyberattacken zulässig sein, Meldung der beck-aktuell-Redaktion vom 19.10.2016, becklink 2004687

Internet Explorer: Unsere Empfehlung

×
Sie nutzen noch den Interenet Explorer 11 (IE11) und wir empfehlen Ihnen, bis zum 15. Juni 2022 auf den neuen Browser „Microsoft Edge“ oder eine aktuelle Version eines anderen gängigen Internet-Browsers (Firefox, Chrome, usw.) umzusteigen. Wir folgen damit den Empfehlungen des Unternehmens Microsoft, das ebenfalls schrittweise begonnen hat, die Unterstützung dieser Browserversion einzustellen. Bei Fragen wenden Sie sich bitte an unsere Hotline unter der Telefonnummer 089-38189-421.