EuGH: IP-Adressen als personenbezogene Daten für Webseitenbetreiber

19.10.2016

Nach dem Europäischen Gerichtshof können dynamische IP-Adressen für Webseitenbetreiber personenbezogene Daten darstellen und damit unter den Datenschutz fallen (EuGH, Urt. v. 19.10.2016 – C-582/14).

Anbieter von Internetzugängen vergeben IP-Adressen bei jedem Zugang „dynamisch“ immer wieder neu an Nutzer. Die IP-Adresse wird zur Kommunikation zwischen Nutzern und Webseiten verwendet. Webseitenbetreiber erfahren daher zwar IP-Adressen, können diese aber – anders als die Zugangsanbieter – ohne zusätzliche Informationen über ihre ständig wechselnde „dynamische“ Vergabe keinem bestimmten Nutzer zuordnen.

Die Datenschutzvorschriften gelten nur für Daten, die einer zumindest bestimmbaren Person zugeordnet werden können. Der EuGH stellt fest, dass für die Bestimmbarkeit einer Person nicht nur Informationen bei der für die Datenverarbeitung verantwortlichen Stelle selbst (etwa Webseitenbetreiber) maßgeblich sind. Vielmehr sind auch solche Zusatzinformationen heranzuziehen, die diese Stelle von einem Dritten durch rechtliche Mittel erhalten kann. Deutsches Recht gestattet unter bestimmten Voraussetzungen die Weitergabe von Informationen über dynamisch vergebene IP-Adressen durch den Zugangsanbieter an den Webseitenbetreiber. Daher stellen gemäß EuGH dynamische IP-Adressen (auch) für den Webseitenbetreiber personenbezogene Daten dar und fallen unter den Datenschutz.

Der EuGH urteilt damit über eine umstrittene Grundfrage des Datenschutzes: Welche nur bei Dritten verfügbaren Zusatzinformationen sind für die Frage heranzuziehen, ob eine Information auf eine natürliche Person beziehbar ist? Laut EuGH sind alle Zusatzinformationen relevant, die von einem einen Dritten durch rechtliche Mittel erlangt werden können.

Daneben urteilt der EuGH über die Regelung des § 15 Telemediengesetz, der nach Ende des konkreten Nutzungsvorgangs zur Löschung der Nutzungsdaten verpflichtet, außer sie werden für Abrechnungszwecke benötigt. Dies verstößt gegen EU-Recht: Die europäische Richtlinie (95/46/EG) gestattet eine Verwendung von Nutzungsdaten auch zur Aufrechterhaltung der Funktionsfähigkeit allgemein zugänglichen Webseiten durch deren Anbieter.

Fazit:

Vom Datenschutz erfasste Daten liegen auch vor, wenn die verantwortliche Stelle nur dann auf eine bestimmte Person schließen kann, wenn durch rechtliche Mittel bei Dritten zu erlangende Zusatzinformationen verwendet werden. Mit anderen Worten: Für die Bestimmbarkeit einer natürlichen Person sind einerseits nicht nur bei der Stelle selbst vorhandene Daten maßgeblich. Andererseits sind dafür nur solche Zusatzinformationen bei Dritten zu berücksichtigen, die aufgrund rechtlicher Mittel an die jeweilige Stelle übermittelt werden können.