Der Richter und schleswig-holsteinische Piratenpartei-Fraktionsvorsitzende Patrick Breyer hatte die Bundesrepublik Deutschland verklagt, weil diese auf verschiedenen Webseiten die IP-Adressen der Besucher speichert. Auch wenn das Verfahren bereits seit dem Jahr 2008 die Justiz beschäftigt, stammt die erste inhaltliche Entscheidung des Landgerichts Berlin aus dem Jahr 2013: Das Gericht verbot der Bundesrepublik, IP-Adressen zu speichern, wenn Breyer während der Nutzung seine Daten – etwa seine E-MailAdresse in einem Kontaktformular – angibt. Ein allgemeines Verbot lehnte das Landgericht ab, weil dynamische IP-Adressen nur in dieser Kombination personenbezogene Daten seien.

Mit der Entscheidung waren beide Seiten nicht einverstanden und haben Revision zum Bundesgerichtshof eingelegt. Dieser wiederum legte dem Europäischen Gerichtshof (EuGH) zwei Fragen vor:

• Erstens, ob Daten (konkret: dynamische IP-Adressen) personenbezogen sind, wenn zwar nicht die speichernde Stelle, aber ein Dritter (der Access-Provider) den Personenbezug herstellen kann. Zu entscheiden war damit letztlich über die immer noch ungeklärte Grundfrage des Datenschutzrechts: Wann ist ein Datum personenbezogen?
• Zweitens, ob es europarechtskonform ist, dass § 15 Abs. 1 des deutschen Telemediengesetzes die Verwendung personenbezogener Daten über die Nutzung von Telemedien wie Webseiten ausschließlich zu dem Zweck erlaubt, die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Auch in dieser Frage steckt viel mehr als auf den ersten Blick zu vermuten wäre. Im Ergebnis geht es um die Frage, ob es im Datenschutzrecht klare gesetzliche Regelungen geben darf.

Personenbezug auch bei indirektem Datenzugang
Bisher hatte der zahlenmäßig größte Teil der juristischen Literatur die sogenannte relative Theorie des Personenbezugs vertreten: Nur wenn die speichernde Stelle selbst herausfinden kann, um welchen Nutzer es geht, hat ein Datum Personenbezug. Weil der Betreiber einer Webseite üblicherweise nicht weiß, wem eine dynamische IP-Adresse zugeordnet ist, wären dynamische IP-Adressen nach dieser Theorie keine personenbezogenen Daten und dürften deshalb unbeschränkt gespeichert werden.

Wenig überraschend hat der Europäische Gerichtshof entschieden, dass das nicht richtig ist: Auch dynamische IP-Adressen sind für Webseiten-Betreiber personenbezogen, weil der Webseiten-Betreiber Strafanzeige erstatten und die Strafverfolgungsbehörden beim Access-Provider den Nutzer erfragen können. An diese Information kann der Webseiten-Betreiber wiederum über eine Akteneinsicht gelangen. Oder allgemein gesprochen: Es genügt, dass ein Dritter den Personenbezug für den Betreiber der Website herstellen kann.

Weil aber unter Zuhilfenahme des gesamten Weltwissens praktisch jede Information einer bestimmten Person zuzuordnen ist, kennt das Gesetz eine Grenze: Entscheidend ist die Frage, ob "vernünftigerweise" das zur Identifizierung geeignete Mittel eingesetzt wird. Bei der Frage, was "vernünftig" ist, folgt der EuGH dem Generalanwalt: Was verboten ist, ist nicht vernünftig. Ebenso, was praktisch nicht durchführbar wäre, sodass das Risiko einer Identifizierung de facto vernachlässigbar erschiene, etwa weil der Aufwand unverhältnismäßig hoch wäre. Dass Illegales nicht "vernünftig" ist, lässt sich zwar getrost bezweifeln – aber so hat es der EuGH nun entschieden. Am Ende ist der EuGH dafür großzügig, was die rechtlichen Möglichkeiten angeht: Es genügt, mehrfach über Bande zu spielen, im Fall der IP-Adressen mit Polizei, Staatsanwaltschaft, AccessProvider und Akteneinsicht.

Rechtsunsicherheit als Folge
Während die Antwort auf die erste Vorlagefrage der Praxis zumindest gewisse Anhaltspunkte für die Falllösung an die Hand gibt, zerstört die Antwort auf die zweite Vorlagefrage das Wenige an Rechtssicherheit, das sich in den letzten Jahren entwickelt hat: Denn das nationale Datenschutzrecht darf keine klaren Ja-Nein-Regeln enthalten. Nach der europäischen Datenschutzrichtlinie ist es insbesondere dann erlaubt, personenbezogene Daten zu verarbeiten, wenn eine Interessenabwägung zu Gunsten des Datenverarbeiters ausgeht. Viele EU-Staaten haben in ihren Gesetzen diese Abwägung allgemein vorgenommen.

Das Ergebnis sind Vorschriften wie der schon angesprochene § 15 Abs. 1 TMG, nach dem IP-Adressen in Webserver-Logfiles nichts zu suchen haben. Doch der EuGH entschied, dass die EUMitgliedsstaaten nur die allgemeine Abwägungsklausel präzisieren dürfen, aber nicht für bestimmte Fälle generell entscheiden, in welchen Fällen die Interessen des Betroffenen vorgehen und in welchen die des Datenverarbeiters. Allenfalls Regelbeispiele sind erlaubt – es muss immer Raum für ein Ergebnis bleiben, das aufgrund besonderer Umstände des Einzelfalls anders ausfällt. Damit ist ein großer Teil des nationalen Datenschutzrechts europarechtswidrig.

Drei Voraussetzungen für die Datenspeicherung
Die Frage, ob vermeintlich anonyme Daten vielleicht doch personenbezogen sind, betrifft nicht nur offensichtliche Fälle wie Webserver samt IP-Adressen-Speicherung, sondern insbesondere auch Big Data. In letzter Zeit sorgte es schließlich für massiv schlechte Presse, wenn vermeintlich anonym gesammelte und verkaufte Daten brisantes Wissen zu einzelnen Personen vermittelten.

Das erfordert zuallererst natürlich einen Überblick, wo überhaupt welche Daten verarbeitet werden, etwa: Woher stammen eigentlich die Webfonts und das schicke Ajax-Framework auf der Webseite? Wenn die Daten personenbezogen sind: Gibt es eine Erlaubnis für die Datenverarbeitung? Das kann eine Einwilligung sein – die aber über die üblichen Cookie-Einverständnis-Overlays hinausgehen muss – oder eine gesetzliche Erlaubnis. Der EuGH hat den Weg frei gemacht, bei der gesetzlichen Erlaubnis überall die besonderen Bedingungen des Einzelfalls zu berücksichtigen. Mit der richtigen Begründung lassen sich also auch Datenverarbeitungen rechtfertigen, die bisher verboten waren – etwa das Loggen von IP-Adressen.

Speichern nur bei Erforderlichkeit
Doch IP-Adressen dürfen auch in Zukunft nicht ohne weiteres gespeichert werden. Denn der Anbieter kann in der gebotenen Abwägung nur dann gewinnen, wenn die Speicherung für den jeweiligen Zweck erforderlich ist. Bundesgerichtshof und EuGH haben sich in ihrer Argumentation auf die Abwehr von DDoS-Angriffen gestützt – sicher ein legitimes Ziel, das unter Umständen tatsächlich eine IP-Adressen-Speicherung rechtfertigen kann.

Aber das Sachverständigengutachten, das das Landgericht Berlin im Verfahren eingeholt, aus Rechtsgründen jedoch nicht verwertet hatte, sagt ganz klar: Nein, zur DDoSAbwehr sind die IP-Adressen nicht nötig. Nachvollziehbar, denn wenn ein DDoSAngriff erst mal am Webserver angelangt ist, ist es zu spät – kaum jemand stellt eine Ladenkasse offen auf die Straße und hängt eine Überwachungskamera darüber. Die DDoS-Abwehr muss vielmehr bereits auf Netzebene stattfinden – ein IP-Adressen-Logging auf dem Webserver lässt sich dann aber nicht rechtfertigen.

Bei anderen Angriffsszenarien, etwa wenn Kundendaten gestohlen werden sollen, kann die Erforderlichkeit aber ganz anders aussehen – das Angriffsentdeckungsprogramm fail2ban dürfte ein Musterbeispiel hierfür sein: Wer zu oft erfolglos versucht, auf den Server zu kommen, wird für einige Minuten geblockt. Eine IP-Adressen-Speicherung über Monate wird sich dagegen kaum rechtfertigen lassen. Das Ziel der Datenverarbeitung festzulegen und die Erforderlichkeit zu begründen, ist Aufgabe der Techniker. Ob sich dieses Ziel gegen das Anonymitätsinteresse des Websurfers durchsetzen kann, müssen Juristen bewerten. Das Ergebnis dürfte bei einer Infoseite über ungewollte Schwangerschaft anders aussehen als bei einer Modelleisenbahn-Fanseite.

Ist nun das Ergebnis "Ja, wir dürfen die IP-Adressen speichern", heißt das noch lange nicht, dass sich die IT-Abteilung zurücklehnen dürfte: Denn personenbezogene Daten müssen sicher gespeichert und vor unbefugtem Zugriff – auch unternehmensintern – geschützt werden. Auf Anfrage muss die Person, auf die sich die Daten jeweils beziehen, eine vollständige Auskunft erhalten. Und jede Weitergabe an Dritte braucht eine eigene Erlaubnisnorm – die bei online nachgeladenen Webfonts und Ähnlichem schwierig zu finden sein und bei Werbebannern zumindest eine Menge datenschutzrechtlichen Gehirnschmalzes erfordern dürfte.

Fazit
Noch sind Datenschutzverstöße relativ billig – Bußgelder sind selten, noch seltener sind sie hoch, und Schmerzensgeld für die Betroffenen gibt es fast nie. Doch ab dem 25. Mai 2018 drohen Bußgelder bis zu 20 Millionen Euro oder vier Prozent des weltweiten Konzernjahresumsatzes, je nachdem, was höher ist. Die Aufsichtsbehörden dürfen nur noch in Ausnahmefällen auf Bußgelder verzichten. Betroffene erhalten Schmerzensgeld und können sich von Vereinen und Verbänden vertreten lassen. Die Aufsichtsbehörden müssen mehr Personal bekommen. Mit anderen Worten: Der Wind dreht. Zeit, sich vorzubereiten.

Matthias Bergt ist Partner in der Kanzlei von BOETTICHER mit Sitz in München und Berlin. Seine Themengebiete sind IT-Recht und  der gewerbliche Rechtsschutz.

Matthias Bergt/dr