BGH bestätigt: Dynamische IP-Adressen können grundsätzlich gespeichert werden

Der Betreiber einer Website kann ein großes Interesse daran haben, dynamische IP-Adressen der Nutzer zu speichern, um sich gegen Cyberattacken zu verteidigen. Das hat 2016 der Europäische Gerichtshof entschieden (Urteil in der Rechtssache C-582/14) und damit die Speicherung von dynamischen IP-Adressen auch über das Nutzen der Webseite hinaus in Grenzen erlaubt.

EuGH: Berechtigung bei Maßnahmen gegen Cyberattacken

Alles begann mit einer Klage des Piratenpolitikers Patrick Breyer, der von der Bundesrepublik Deutschland Unterlassung der Speicherung von dynamischen IP-Adressen verlangte und mit seinem Fall für einen jahrelangen Rechtsstreit sorgte, der es bis zum EuGH schaffte – und nun wieder zurück.

Wenn die Speicherung von dynamischen IP-Adressen für die Abwehr von Cyberangriffen erforderlich ist, dürfen die Betreiber von Internetseiten diese auch nach dem Verlassen der Webseite weiterhin speichern. Der BGH hatte diese Antwort vom EuGH erhalten, nachdem die Frage 2014 in Luxemburg vorgelegt wurde. Am gestrigen Dienstag konnte der BGH nun die Antwort verwerten und die Richtung für Deutschland weisen (BGH, Urteil vom 15.05.2017, Az. VI ZR 135/13). 

Was ist der Hintergrund der rechtlichen Diskussion?

Zunächst muss man den rechtlichen Hintergrund kennen: Sog. „personenbezogene Daten“ dürfen über das Nutzen einer Webseite hinaus nur unter bestimmten Voraussetzungen gespeichert werden. Lange Zeit war ungeklärt, ob auch dynamische IP-Adressen einen solchen Personenbezug haben und deshalb gespeichert werden dürfen, auch wenn ein Nutzer die Webseite längst verlassen hat.

Dynamische IP-Adressen können einen solchen Personenbezug aufweisen, wenn der Webseitenbetreiber die betreffende Person anhand der Informationen bestimmen kann. Dem ist so: Bei Cyberattacken oder anderen Angriffen seiner Webseiten kann die Bundesrepublik die Nutzer hinter einer IP-Adresse mit Hilfe der Staatsanwaltschaft grundsätzlich ermitteln und damit den Bezug zu einer bestimmten Person herstellen. Ergo: In diesem Fall sind dynamische IP-Adressen auch personenbezogene Daten. 

Der Webseitenbetreiber darf dynamische IP-Adressen eines Nutzers ohne dessen Einwilligung über das Ende eines Nutzungsvorgangs hinaus nur speichern, um die generelle Funktionsfähigkeit der Dienste zu gewährleisten und Cyberattacken abzuwehren. Es muss jedoch stets eine Abwägung zwischen dem Schutz der Daten des Nutzers und dem Schutz vor Cyberattacken erfolgen.

Die wichtigsten Fakten aus dem Urteil lassen sich daher wie folgt zusammenfassen:

• Dynamische IP-Adressen sind personenbezogene Daten
• Sie dürfen von Webseitenbetreibern über den Besuch der Webseite hinaus generell gespeichert werden
• Die Speicherung ist aber nur erlaubt, um die generelle Funktionsfähigkeit der Dienste zu gewährleisten (z.B. um Angriffe abzuwehren)
• Die Speicherung ist zudem nur erlaubt, wenn eine Abwägung zwischen dem Schutz der Daten des Nutzers und dem Schutz vor Cyberattacken stattgefunden hat

...Und kein Ende in Sicht

Die Rechtsfrage über die Speicherung dynamischer IP-Adressen erhitzte seit Jahren die Gemüter und findet auch nach einem Auf und Ab durch die Instanzen noch kein Ende. Der BGH hat den Rechtsstreit wieder ans Landgericht zurückverwiesen. Dort wird man nun abschließend klären müssen, ob für den konkreten Fall wirklich eine Speicherung der IP-Adressen notwendig war, um Cyberattacken abzuwehren.

Die Bundesrepublik wird nun darlegen müssen, warum sie auf bestimmten Webseiten einen erhöhten „Angriffsdruck“ vor Cyberattacken verzeichnet, der eine Speicherung der IP-Adressen zwingend notwendig macht. Hier sieht die Piratenpartei wenig Chancen, denn es gebe bereits ein Sachverständigengutachten, das "für die Absicherung von IT-Systemen eine Vielzahl von anderen, wesentlich effektiveren Mitteln und Methoden" belege. Ein effektiver Schutz vor Angriffen sei alleine durch technische Absicherung der Systeme möglich.