BGH: Dynamische IP-Adressen können zum Schutz von Hackern gespeichert werden

Haufe Online Redaktion

Dynamische IP-Adresse zum Schutz vor Hackern zulässig speichern? — Bild: Haufe Online Redaktion Um sich gegen Hackerangriffe wehren zu können, muss das Speichern dynamischer IP-Adressen möglich sein

Cyberattacken, wie erst kürzlich die WannaCry-Attacke zeigte, nehmen in ihrer Häufigkeit und ihrem Ausmaß zu. Der BGH hat nun wie der EuGH nach einem langjährigen Verfahren entschieden, dass die dynamischen IP-Adressen der Webseiten-Besucher gespeichert werden dürfen, wenn diese dazu dienen sollen, Hackerangriffe effektiv abwehren zu können.

Website-Betreiber speichern oftmals die IP-Adressen der Besucher. Das deutsche Telemediengesetz (TMG) sah darin in vielen Fällen eine unzulässige Speicherung personenbezogener Daten.

Personenbezogene Daten sind nach § 15 des Telemediengesetzes (TMG) besonders geschützt,
sie dürfen nur zu Abrechnungszwecken gespeichert werden
und um die konkrete, gerade laufende Nutzung eines Onlinedienstes sicherzustellen.

Doch bei der Abwehr immer massiver werdende Cyberangriffe (aktuell: WannaCry) wollten Website-Inhaber nicht darauf verzichten: Das führte zu langjährigen rechtliche Auseinandersetzungen unter Beteiligung vieler Gerichte.

Piratenpolitiker klagte gegen Speicherung auf Webseiten des Bundes

Der Politiker der Piraten-Partei, Patrick Breyer, hatte bereits im Jahr 2008 die Unterlassungsklage gegen die Bundesrepublik Deutschland eingereicht, mit welcher er die 3-monatige Speicherung seiner IP-Adresse nach Aufruf der Webseiten des Bundes verhindern wollte.

Was genau ist eine IP-Adresse?

Mit seiner IP-Adresse hinterlässt der Besucher einer Webseite einen sog. digitalen Fußabdruck, mit welchem der Webseitenbetreiber unter bestimmten Voraussetzungen auf den konkreten Nutzer schließen kann.

Der Kläger sah in der langen Speicherung seiner IP-Adresse sein Persönlichkeitsrecht verletzt. Die Bundesregierung argumentierte,

dass sie bei den dynamischen IP-Adressen, welche sich immer wieder ändert, keine Möglichkeit habe, die Besucher ihrer Webseite ohne die Hilfe des Internetanbieters identifizieren zu können.
Eine Identifizierung wäre ansonsten nur dann möglich, wenn der Besucher während des Nutzungsvorgangs zusätzlich, beispielsweise in einer Registrierungsmaske, persönliche Daten angebe.
Persönlichkeitsrechte der Webseitenbesucher verletzt?

Nachdem das Amtsgericht die Klage abgewiesen hatte, gab das Berufungsgericht der Klage insoweit statt, dass eine Speicherung unzulässig sei, wenn diese in Verbindung mit dem Zeitpunkt des jeweiligen Nutzungsvorgangs erfolgt und der Webseitenbesucher während eines Nutzungsvorgangs seine Personalien angibt.

BGH hatte Europäischen Gerichtshof befragt

Der BGH hatte das Verfahren 2014 ausgesetzt und dem Europäischen Gerichtshof zwei Fragen zur Auslegung der EG-Datenschutz-Richtlinie zur Vorabentscheidung vorgelegt, die dieser mit seinem Urteil vom 19.10.2016 (C-582/14) beantwortete:

Zum Einen seien dynamische IP-Adressen als personenbezogene Daten anzusehen, wenn der Anbieter die rechtliche Möglichkeit hat, anhand von Zusatzinformation den Nutzer bestimmen zu lassen.
Zum Anderen sei eine Speicherung nur dann richtlinienkonform, wenn diese erforderlich sei, um "um die generelle Funktionsfähigkeit der Dienste zu gewährleisten".

Speicherung zulässig zur Gewährleistung der generellen Funktionsfähigkeit

Unter Berücksichtigung des Urteils des EuGH führten die Karlsruher Richter nun aus,

dass die dynamischen IP-Adressen als personenbezogene Daten nur unter den Voraussetzungen des § 15 Abs.1 TMG gespeichert werden dürften
und diese Vorschrift europarechtskonform auszulegen sei.

Was ist nun in Sachen Speicherung dynamische IP-Adressen erlaubt?

Nach der Entscheidung des BGH

darf ein Anbieter von Online-Mediendiensten personenbezogene Daten eines Nutzers ohne dessen Einwilligung auch über das Ende eines Nutzungsvorgangs hinaus nur erheben und verwenden,
soweit ihre Erhebung und ihre Verwendung erforderlich sind,
um die generelle Funktionsfähigkeit der Dienste, unter anderem die Abwehr von Hackerangriffen, zu gewährleisten.

Sicherheitsinteresse mit den Grundrechten der Nutzer abgewägen

Bei der Frage der Speicherung der IP-Daten müssen das Sicherheitsinteresse der Website mit den Grundrechten und -freiheiten der Nutzer abgewogen werden.

Da das Berufungsgericht hierzu und zu dem Gefährdungspotential keine abschließenden Feststellungen getroffen hatte, wurde die Sache an das LG Berlin zurückverwiesen. Im Rahmen der Abwägung müssten dabei auch die Gesichtspunkte der Generalprävention und der Strafverfolgung gebührend zu berücksichtigen sein, so das Karlsruher Gericht.

(BGH, Urteil v. 16.05.2017, VI ZR 135/13).

Hintergrund:

Der EuGH hält das strikte Verbot zur Speicherung von IP-Adressen außer für Abrechnungszwecke für europarechtswidrig.
Click to tweet

Es sei nicht vereinbar mit der EU-Datenschutzrichtlinie.

Nach der EU-Richtlinie 95/46 kann es im "berechtigten Interesse" eines Betreibers liegen,
"die Aufrechterhaltung der Funktionsfähigkeit" der ID-Daten
auch über die jeweilige Session des Nutzers hinaus zu gewährleisten.

Meistgelesene beiträge

Neueste beiträge

32. Tätigkeitsbericht des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI)

23.04.2024
EU-Kommission und EU-Parlament einigen sich auf neues Gesetzpaket zur Bekämpfung der Geldwäsche

16.04.2024
Faxe sind ein Datenschutzrisiko

02.04.2024
EU-Lieferketten-Richtlinie verabschiedet!

18.03.2024
Das Europäische Parlament hat den AI-Act beschlossen

14.03.2024
Europäische Kommission veröffentlicht PeP-Liste zur Geldwäscheprävention

27.02.2024
„Pay or Okay“: NOYB geht gegen das neue Bezahlmodell von Meta vor

01.02.2024
Datengesetz der EU ist in Kraft

31.01.2024
Mehrwertsteuersätze, Pauschalbeträge und Co: Compliance-Regeln für Finanzabteilungen im Überblick

25.01.2024
Cyber-Versicherung muss im Einzelfall trotz Sicherheitsmängel zahlen

24.01.2024

Dynamische IP-Adressen können zum Schutz vor Hackern gespeichert werden