Der Bundesgerichtshof (BGH) hält dynamische IP-Adressen von Website-Besuchern für datenschutzrechtlich geschützte personenbezogene Daten. Dies stellt das höchste deutsche Gericht in einem heute gesprochenen Urteil klar. Es folgt damit einem im Oktober 2016 ergangenen Urteil des Europäischen Gerichtshofs (EuGH) in derselben Sache.

In dem Fall geht es um eine gerichtliche Auseinandersetzung des Piraten-Politikers Patrick Breyer gegen die Bundesrepublik Deutschland. Breyer möchte, dass die Websites des Bundes aufhören, IP-Adressen der Besucher ohne Einwilligung drei Monate lang zu speichern und damit Tracking zu ermöglichen. Letztlich geht es dem Datenschützer um ein generelles Verbot von IP-Logging ohne konkrete Einwilligung.

Die Bundesregierung argumentiert, die Speicherung sei nötig, um den sicheren Betrieb der Webserver zu ermöglichen, also gegebenenfalls Angriffe abzuwehren und Angreifer zu identifizieren. Sie insistiert, dass sie ohne Hilfe von Zugangsanbietern bei dynamisch vergebenen IP-Adressen keine Möglichkeit habe, Besucher anhand ihrer IP-Adresse zu identifizieren.

Abwägung erforderlich

Nachdem das Landgericht (LG) Berlin Anfang 2013 als Berufungsinstanz die Speicherung nur untersagt hatte, falls der Website-Betreiber selbst von den IP-Adressen auf die Besucher schließen kann, hatten sowohl Breyer als auch die Bundesregierung Revision am BGH eingelegt. Dieser bat den EuGH um Klärung einiger Rechtsfragen.

Der BGH beruft sich in seinem heutigen Urteil auf den EuGH und bestätigt Breyer, dass eine dynamische IP-Adresse "als personenbezogenes Datum nur unter den Voraussetzungen des Paragrafen 15 Abs. 1 Telemediengesetz (TMG) gespeichert werden" dürfen. Der EuGH habe bestätigt, dass die Speicherung nur europarechtskonform sei, wenn sie erfolgt, "um die generelle Funktionsfähigkeit der Dienste zu gewährleisten" – also beispielsweise, um Angriffe effektiv abzuwehren. Dabei bedürfe es allerdings "einer Abwägung mit dem Interesse und den Grundrechten und -freiheiten der Nutzer".

"Keine hinreichenden Feststellungen"

An dieser Stelle kommt das LG Berlin als Berufungsgericht ins Spiel: Der BGH erläutert in seinem Urteil, er habe diese notwendige Abwägung "im Streitfall auf der Grundlage der vom Berufungsgericht getroffenen Feststellungen nicht abschließend" vornehmen können, weil das LG Berlin "keine hinreichenden Feststellungen dazu getroffen" habe, ob die Speicherung der IP-Adressen des Klägers über das Ende eines Nutzungsvorgangs hinaus erforderlich ist, um die generelle Funktionsfähigkeit der jeweils in Anspruch genommenen Dienste zu gewährleisten.

Diese Kritik ist wohl als Aufforderung zur gründlichen Nacharbeit zu verstehen. Dem BGH – der selbst keine Feststellungen treffen darf – fehlt eine Einschätzung des Gefahrenpotenzials von Angriffen: "Dabei werden auch die Gesichtspunkte der Generalprävention und der Strafverfolgung gebührend zu berücksichtigen sein", stellte der BGH in einer Pressemitteilung klar. Die Begründung liegt noch nicht im Volltext vor. Der Fall muss nun am LG Berlin neu verhandelt werden. (Az. VI ZR 135/13).

Kläger zufrieden

In einer ersten Stellungnahme zeigte sich Kläger Breyer zufrieden: "Ich freue mich, dass der Bundesgerichtshof die Erforderlichkeit der verdachtslosen und flächendeckenden Protokollierung unseres Surfverhaltens hinterfragt und dass er die Betreiberwünsche gegen die Grundrechte der Internetnutzer auf Informations- und Meinungsfreiheit abwägen will."

Er verstehe allerdings nicht, "warum die bisherigen Erkenntnisse für eine endgültige Entscheidung nicht ausgereicht haben sollen" Ein Sachverständigengutachten habe bereits ergeben, "dass – unabhängig vom 'Angriffsdruck' – für die Absicherung von IT-Systemen eine Vielzahl von anderen, wesentlich effektiveren Mitteln und Methoden existieren". (hob)