BGH urteilt zu Speicherung von IP-Adressen
15. Mai 2017
Ist es zulässig, wenn Bundesbehörden die IP-Adressen der Besucher ihrer Webseiten speichern? Darüber soll der Bundesgerichtshof (BGH) an diesem Dienstag ein Urteil sprechen. IP-Adressen geben Auskunft darüber, von welchem Computer auf eine Webseite zugegriffen wurde oder von welchem Computer eine E-Mail verschickt wurde.
Die IP Adresse - der digitale Fußabdruck
Es handelt sich dabei um vier maximal dreistellige Zahlen, die jeweils durch einen Punkt voneinander getrennt sind. Es gibt statische IP-Adressen, die immer demselben Rechner zugeordnet sind, und dynamische IP-Adressen, die sich immer wieder ändern. Bei diesen ist die Zuordnung zu einem bestimmten Rechner aber auch möglich - wenn man Zugriff auf die Logdateien des jeweiligen Internetanbieters hat.
Wer eine Webseite oder einen Internet-Server betreibt, kann - wenn er die Daten speichert - das genaue Surf-Profil eines Nutzers oder Besuchers verfolgen: auf welchen Seiten er war, wie lange er dort geblieben ist, welche Dateien er geöffnet und heruntergeladen hat und welche Einträge er möglicherweise in Foren hinterlassen hat.
IP Adressen sind personenbezogene Daten
Gegen den Bund geklagt hatte der Fraktionsvorsitzende der Partei Die Piraten im Schleswig-Holsteinischen Landtag, Patrick Beyer, Anfang 2008. Der Jurist störte sich daran, dass zahlreiche öffentliche Einrichtungen die IP-Adressen ihrer Besucher speichern. Er sah darin einen Verstoß gegen den Datenschutz. Die Bundesregierung hielt dagegen. Die Speicherung diene dazu, im Falle von Hackerangriffen die Täter ausfindig zu machen. Seit dem 14. Februar verhandelt der BGH nun schon.
Allerdings geht der juristische Streit schon länger hin und her: Der Bundesgerichtshof (BGH) hatte die Angelegenheit bereits zuvor dem Europäischen Gerichtshof (EuGH) vorgelegt. Dieser hatte daraufhin am 19. Oktober 2016 entschieden: IP-Adressen, egal ob dynamisch oder statisch, sind dann personenbezogene Daten, wenn der Webseiten-Betreiber über rechtliche Mittel verfügt, sich die dahinter verborgenen Daten - etwa Name und Adresse des Nutzers - vom jeweiligen Internetanbieter zu beschaffen. Das dürfte der Bund.
Aber der EuGH urteilte auch, dass die Verarbeitung personenbezogener Daten - damit ist das Speichern der IP-Adresse und möglicherweise auch die Zuordnung zu einem Namen und einer Postadresse gemeint - rechtmäßig ist, wenn der Verantwortliche daran ein "berechtigtes Interesse" hat. Dabei dürfen allerdings nicht die "Grundrechte und Grundfreiheiten der betroffenen Person" beeinträchtigt werden, also die der Webseiten-Besucher. Damit hat der EuGH den Ball wieder an den BGH zurückgespielt.
Ein kleiner Ausflug in den Datenschutz
Das Prinzip des Datenschutzes besteht darin, dass die Verarbeitung personenbezogener Daten - also aller Daten, die einer natürlichen Person zugeordnet werden können - grundsätzlich verboten ist, es sei denn sie ist erlaubt.
Verarbeitung beinhaltet dabei sowohl die Erhebung als auch Speicherung, Weitergabe, Kopie, Nutzung und Recherche.
Erlaubt ist die Verarbeitung nur, wenn derjenige, der die Daten verarbeitet, entweder eine Einwilligung des Betroffenen hat, wenn die Datenverarbeitung auf einem Vertrag beruht, wenn es eine rechtliche Verpflichtung zur Verarbeitung der Daten gibt oder aber berechtigte Interessen.
Grundsätzlich gilt zudem das Prinzip der Datensparsamkeit - es dürfen also jeweils nur die Daten verarbeitet werden, die eine der oben genannten Bedingungen erfüllen. Und sie dürfen auch nur solange gespeichert werden, wie die Voraussetzungen noch erfüllt sind.
Jeder Mensch hat das Recht sich erklären zu lassen, welche personenbezogenen Daten eine Firma oder Behörde über ihn besitzt und was sie damit tut. Und er kann eine Löschung verlangen.
Ab dem 25. Mai 2018 tritt zudem die EU-Datenschutzgrundverordnung in Kraft. Ab dann muss jeder, der innerhalb der EU personenbezogene Daten verarbeitet, detailliert dokumentieren, wie er mit den Daten umgeht - etwa welche Löschungsfristen er einhält und wie er das tut.
Und eine weitere wichtige Regelung wird dann wirksam: Das Kopplungsverbot. Das bedeutet: Ein Unternehmen oder eine Behörde darf nicht einfach eine Dienstleistung an die Bedingung knüpfen, dass der Betroffene - also etwa der Besucher einer Webseite oder ein Kunde - eine Einverständniserklärung abgibt und damit der Datenverarbeitung pauschal zustimmt. Er muss eine echte Wahlmöglichkeit haben.
Insofern ist fraglich, ob zum Beispiel die Hinweise auf Webseiten über die Zustimmung zu Cookies in Zukunft noch den Anforderungen des Datenschutzes entsprechen werden. Cookies registrieren ebenfalls IP-Adressen.
Schutz vor Hackerangriffen gegen Schutz des Intimen
Mit der Auslegung und Interpretation dieser Aspekte füllen Juristen ganze Bibliotheken. Wenn der BGH nun im Falle der Webseiten des Bundes entscheiden wird, geht es zunächst nur um einen Punkt des Ausnahmekatalogs: um das "berechtigte Interesse".
Das Surfverhalten der Menschen im Internet ist nämlich eine höchstpersönliche Angelegenheit. Aus Klicks auf der Webseite der Bundeszentrale für gesundheitliche Aufklärung etwa lassen sich möglicherweise Rückschlüsse auf Krankheiten oder sexuelle Interessen ziehen. Wer andere Webseiten anklickt, verrät dabei vielleicht etwas über seine Weltanschauung, politische Ansichten oder seinen religiösen Glauben.
Die Hauptsorge des Klägers Patrick Beyer von der Piraten-Partei ist dabei nicht, dass der Staat die Daten willkürlich nutzt, um seine Bürger rechtswidrig auszuspähen. Sondern, dass sie in falsche Hände geraten. Dann könnten solche Daten etwa genutzt werden, um Betroffene zu erpressen. Der beste Schutz gegen solchen Missbrauch sei es, die Daten gar nicht erst zu sammeln, so Beyer.
Dagegen spricht möglicherweise das berechtigte Interesse des Bundes zur Strafverfolgung bei einem Hackerangriff auf eine Webseite des Bundes, oder einer "Distributed Denial of Service" (DDoS) Attacke, bei der die Webseite durch die massenhafte Bombardierung mit automatisierten Zugriffen lahmgelegt wird.
Strafverfolger befürworten die Erhebung der Daten auch unter Hinweis auf den Schutz der rechtschaffenen Internet-Nutzer selbst. So könnten etwa Verbrecher, die Kreditkartendaten abfischen, oft nur durch ihre IP-Adresse identifiziert werden. Das lässt wiederum der Kläger nicht gelten. Er argumentiert, die Daten könnten dennoch in die Hände von Kriminellen fallen. Verbrecher bedienten sich in der Regel ohnehin Techniken wie dem Tor-Netzwerk, das die IP-Adresse verbirgt.
Je nachdem, wie der BGH seine Entscheidung am Ende für Bundesbehörden fällt, könnte das Urteil auch als Präzedenzfall für Privatunternehmen Wirkung zeigen. Denn auch diese speichern die Daten ihrer Besucher in der Regel für einen längeren Zeitraum.