Jetzt auch der BGH: IP-Adressen sind personenbezogen, aber Abwägung erforderlich

von Dr. Axel Spies, veröffentlicht am 17.05.2017

Wie der EuGH (im Blog hier) nun auch der  BGH: Nach dem Urteil vom 15.05.17 (VI ZR 135/13) sind dynamisch vergebenen IP-Adressen für personenbezogen. Die Urteilsbegründung liegt noch nicht im Volltext vor.

Der Kläger (Piraten-Politiker Patrick Breyer) verlangt von der beklagten Bundesrepublik Deutschland Unterlassung der Speicherung von dynamischen IP-Adressen. Er will auf den Punkt gebracht, dass die Websites des Bundes aufhören, IP-Adressen der Besucher ohne Einwilligung drei Monate lang zu speichern und damit ein Tracking zu ermöglichen.

Die Bundesregierung meint, die Speicherung sei notwendig, um den sicheren Betrieb der Webserver zu ermöglichen, also gegebenenfalls Angriffe abzuwehren und Angreifer zu identifizieren. Ohne Hilfe von Zugangsanbietern bei dynamisch vergebenen IP-Adressen habe sie keine Möglichkeit, Besucher anhand ihrer IP-Adresse zu identifizieren.

Der BGH beruft sich in seinem Urteil auf den EuGH und bestätigt Breyer, dass eine dynamische IP-Adresse "als personenbezogenes Datum nur unter den Voraussetzungen des § 15 Abs. 1  TMG gespeichert werden" darf. Der EuGH habe bestätigt, dass die Speicherung nur europarechtskonform sei, wenn sie erfolgt, "um die generelle Funktionsfähigkeit der Dienste zu gewährleisten" – also beispielsweise, um Angriffe effektiv abzuwehren. Dabei bedürfe es allerdings "einer Abwägung mit dem  Interesse und den Grundrechten und -freiheiten der Nutzer".

Diese Abwägung konnte auf der Grundlage der vom Berufungsgericht getroffenen Feststellungen nicht abschließend vorgenommen werden. Das Berufungsgericht habe keine hinreichenden Feststellungen dazu getroffen, ob die Speicherung der IP-Adressen des Klägers über das Ende eines Nutzungsvorgangs hinaus erforderlich ist, um die (generelle) Funktionsfähigkeit der jeweils in Anspruch genommenen Dienste zu gewährleisten und zum Gefahrenpotential bei den Online-Mediendiensten des Bundes ist, welche der Kläger in Anspruch nehmen will. Der Ball liegt jetzt im Spielfeld des LG Berlin.

Was halten Sie von diesem Urteil? Steht der Behörde ein Einschätzungsspielraum bei der Abwägung zu („Gesichtspunkte der Generalprävention und der Strafverfolgung“)?

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

2 Kommentare

Kommentare als Feed abonnieren

Das Urteil erscheint richtig. IP-Adressen sind personenbezogene Daten - die wenigen Stimmen, die das bestritten haben, konnte man m. E. nie so ganz ernst nehmen. Jeder mit ein wenig technischem Sachverstand und halbwegs neutralem Blick hat das als ganz selbstverständlich bejaht.

Eine Abwägung wird auch erforderlich sein. Die Sache dürfte ähnlich - aber auch nur ähnlich - liegen wie Videoüberwachungen auf eigenen Grundstücken: grundsätzlich zulässig. Allerdings gibt es mehrere Unterschiede, die für ein anderes Ergebnis sprechen, u. a.:

- Die Speicherung von IP-Adressen ist wahrscheinlich geeignet, aber alles andere als zweckmäßig zur "Abwehr" von Angriffen. Denn Angreifer werden mit einer Speicherung rechnen und sich dagegen schützen. Zwar kann auch der Bankräuber sich maskieren. Doch liefern Videoaufnahmen häufig doch auch bei maskierten Tätern wertvolle Hinweise. Bei einer "maskierten" IP oder Angriffen über gekaperte Rechner Dritter dürfte die IP-Speicherung überhaupt nichts bringen.

- Der Benutzer einer Website wird nicht unbedingt damit rechnen, dass der Anbieter Daten über ihn speichert. Wer in eine Bank geht, weiß, dass echte, anwesende Menschen ihn sehen werden - eine zusätzliche Kamera macht da nicht mehr viel aus. Eine Website hingegen verstehen viele (fälschlicher-, aber nachvollziehbarerweise) eher wie Fernsehen, ein Buch oder eine Werbetafel, d. h. als einseitige Kommunikation. Der Benutzer wird eine Erfassung oder gar Speicherung daher nicht erwarten: Der Fernseher* guckt auch nicht zurück, geschweige denn dass er Aufnahmen machen würde.

- Dass eine Bank sich gegen Überfälle abzusichern hat, ist naheliegend. Kameraaufnahmen mögen den typischen Bankräuberkandidaten auch von der Tat abschrecken. Aber ob jeder Anbieter, jede Behörde mit einem Angriff rechnen muss, der durch die Speicherung von IP-Adressen aufgeklärt oder von dem abgeschreckt werden könnte, erscheint doch sehr zweifelhaft. Umgekehrt mag die Speicherung aber auf die legitimen Nutzer abschreckende Wirkung entfalten. Der Staat mag hier die eigene Sicherheit gegenüber der Benutzbarkeit und Zugänglichkeit seiner Angebote vielleicht zurücknehmen: Sachgerechte Ermessensausübung würde hier m. E. bedeuten, mildere Mittel und andere Verteidigungsmöglichkeiten zu wählen, bspw. Webserver und interne Systeme zu trennen. Ein "Defacing" kann auch ein BMJ als worst case ertragen.

*Jaja, heute einige schon - geschenkt.

0

Um Verbrecher oder Hacker-Angreifer ausfindig zu machen wäre es wohl eine geeignete Maßnahme ip-adressen zu speichern.

Allerdings sollte man grundsätzlich (also als unbescholtener normaler Durchschnittsbürger) nicht solchen Überwachungs- oder Datenschnüffelei-Methoden ausgesetzt werden.

Wir nähern uns George Orwells fiktiver Welt aus "1984" schon seit langem laufend in ganz kleinen Schritten schleichend an, und bloß weil die einzelnen Schritte jeder für sich genommen so klein sind gibt es gegen diese Entwicklung so wenig Widerstand, aber fast unmerklich kommen wir langfristig der Dystopie immer näher.

Sowohl die Verwalter der Staatsmacht als auch die Verwalter der Kapitalmacht haben auch Interessen (Machtinteressen und finanzielle Interessen) daran, daß es so kommt, und das macht mir Sorge. "1984" muss nicht unbedingt durch irgendeinen verrückten extremistischen bösartigen Diktator Realität werden, sondern es kann auch durch ganz normale ganz rational und opportunistisch denkende Politik- und Kapitaleliten allmählich angestrebt und irgendwann zur Realität gemacht werden.  

0

Kommentar hinzufügen