EuGH: Dynamische IP-Adressen sind personenbezogene Daten

Mit Urteil vom 19.10.2016 hat der EuGH entschieden, dass dynamische (wechselnde) IP-Adressen personenbezogene Daten sind. Das war unter Juristen seit Jahren umstritten.

Der EuGH begründet es so: Auch wenn der Anbieter eines Online-Mediendienstes selbst zunächst nicht aus der IP-Adresse auf eine bestimmte Person schließen kann, sei dies mit Zusatzinformationen des Internetzugangsanbieters möglich. An diese könne der Anbieter insbesondere im Fall von Cyberattacken gelangen, indem er sich an die zuständige Behörde wenden könne, um die die Strafverfolgung einzuleiten.

In Deutschland dürfen personenbezogene Daten, wie eben (spätestens jetzt auch dynamische) IP-Adressen, nur unter sehr engen Voraussetzungen gespeichert werden. Das ist in § 15 Telemediengesetz (TMG) geregelt.

Der EuGH hat weiter entschieden, dass ein Anbieter von Online-Mediendiensten personenbezogene Daten eines Nutzers nicht nur – wie es nach dem Deutschen Telemediengesetz (TMG) erlaubt ist – erheben und verwenden darf, soweit dies zur Nutzung des Dienstes selbst und zur Abrechnung erforderlich ist, sondern – nun nach dem Urteil des EuGH – auch über das Ende eines Nutzungsvorgangs hinaus, um die generelle Funktionsfähigkeit seiner Dienste zu gewährleisten. Gemeint ist damit, dass diese Daten beispielsweise gespeichert werden dürfen müssen, wenn sie zur Abwehr von Hackerangriffen erforderlich sind (was sachlich umstritten ist).

Mit anderen Worten, § 15 TMG verstößt gegen geltendes EU-Recht und muss zukünftig EU-Rechtskonform ausgelegt werden. Denn gem. Artikel 7 Buchst. f der Richtlinie 95/46 muss “eine Abwägung zwischen dem Interesse oder den Grundrechten und Grundfreiheiten der Nutzer” und “dem Interesse des Mediendienstes, seine generelle Funktionsfähigkeit zu gewährleisten”, möglich sein. Das TMG sieht eine solche Abwägungsmöglichkeit allerdings nicht vor.

Praxishinweis: Eine generelle Befugnis, dynamische IP-Adressen dauerhaft zu speichern, lässt sich daraus nicht ableiten. Das Urteil stand in Bezug zu Online-Diensten des Bundes. Ob die erforderliche Abwägung bei Privatanbietern ebenfalls dazu führen muss, dass die Daten zur Abwehr von Hackerangriffen gespeichert werden dürfen, bleibt abzuwarten.