BGH: Speicherung dynamischer IP-Adressen zulässig, aber nicht beliebig

IP-Adressen sind die Hausnummern im Netz, die Daten den Weg von einem Gerät zum nächsten weisen. So etwa beim Aufruf einer Website, bei dem der Webserver den Seiteninhalt an das Smartphone des Besuchers sendet – und damit an dessen IP-Adresse. Diese speichern viele Serverbetreiber dabei über den Websiteaufruf hinaus gemeinsam mit der Besuchszeit, dem sog. Zeitstempel. Diese Praxis ist allerdings seit Jahren rechtlich umstritten. Denn mit IP und Zeitstempel lässt sich grundsätzlich herausfinden, wer die Seite wann aufgerufen hat. In den Streit bringt der Bundesgerichtshof (BGH) nun etwas Klarheit für das Speichern sog. dynamischer IP-Adressen.

Dynamische und statische IP-Adressen

Dynamische IP-Adressen sind IP-Adressen, die an Geräte immer wieder wechselnd vergeben werden. Sie unterscheiden sich damit von sogenannten statischen IP-Adressen, die einem bestimmten Gerät fest zugeordnet sind, so z. B. einem Server, der eine Website zur Verfügung stellt.

Dynamische IP-Adressen nutzen vor allem Internetprovider, um ihren zahlreichen Kunden den Internetzugang zu ermöglichen. Anbieter können die begrenzte Anzahl an IP-Adressen, über die sie verfügen, so besser nutzen. Die von ihren Kunden verwendeten Router bzw. Mobilfunkgeräte erhalten danach eine zufällige IP-Adresse, wenn sie sich mit dem Internet verbinden bzw. nach Ablauf einer bestimmten Zeit. Welche IP-Adresse welchem Kunden zugeordnet war, speichern Provider dabei aktuell unterschiedlich lange.

Ab Juli 2017 zum Speichern verpflichtet

Ab Juli 2017 soll sich das ändern. Provider müssen dann aufgrund der sogenannten Vorratsdatenspeicherung die ihren Kunden zugewiesenen IP-Adressen sowie Zeit und Dauer der Internetnutzung für 10 Wochen speichern. Das soll bei der Verfolgung schwerer Straftaten helfen. Denn der Internetanbieter kann, solange er diese Informationen hat, feststellen, wo welcher Kunde im Internet unterwegs war. Damit wird allerdings in das auch als Datenschutz-Grundrecht bezeichnete Grundrecht auf informationelle Selbstbestimmung eingegriffen. Jeder soll danach selbst entscheiden, welche Daten er über seine Person preisgibt und wie diese verwendet werden dürfen. Schließlich geht es auch um intime Informationen, wenn z. B. jemand Seiten im Netz besucht, weil er schwer erkrankt ist oder hohe Schulden hat. Die Rechtmäßigkeit der Vorratsdatenspeicherung ist deshalb umstritten.

Sicherheit vs. Persönlichkeitsrecht

Der Betreiber einer Website, der die IP-Adressen von Besuchern speichert, kann sie danach nur eingeschränkt identifizieren. Relativ einfach ist das noch, wenn der Besucher eine statische IP-Adresse verwendet, z. B. mit einer sog. whois-Abfrage. Bei einer dynamischen IP-Adresse sind dafür aber die Informationen des Providers notwendig. Nur er weiß, welchem Kunden er die IP-Adresse gerade zugeordnet hatte. Dennoch unterliegen auch dynamische IP-Adressen laut Europäischem Gerichtshof (EuGH) dem Datenschutz, da er über rechtliche Mittel verfügt, um diese Informationen vom Provider zu erlangen z. B. mit einer Providerauskunft zur Strafverfolgung. Schließlich begründen die Betreiber die IP-Adressen-Speicherung regelmäßig selbst mit dem Schutz vor Angriffen und der strafrechtlichen Verfolgung von Angreifern.

Dieser Zweck ist aber nicht eindeutig im Gesetz vorgesehen. Danach dürfen Anbieter von Telediensten personenbezogene Daten von Nutzern nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme ihrer Angebote zu ermöglichen und abzurechnen. Abrechnung ist nicht dasselbe wie der Schutz vor Angriffen. Dennoch lässt der Bundesgerichtshof mit Blick auf die mögliche Nutzung nun auch eine längerfristige Speicherung von IP-Adressen zu, damit ein Anbieter die generelle Funktionsfähigkeit seiner Dienste gewährleisten kann. Die Speicherung darf danach auch zur Abwehr und nicht nur zur Strafverfolgung erfolgen. Pauschale Hinweise auf entsprechende Gefahren sollen danach jedoch nicht genügen.

Gefahren müssen überwiegen

Vielmehr muss auch ein gewisses Gefahrenpotenzial bestehen, das den Datenschutz überwiegt. Dieses muss das Landgericht Berlin als Vorinstanz noch klären, an das der BGH den Fall zurückverwies. Die Berliner Richter müssen sich somit noch einmal mit der Klage des Politikers Patrick Breyer (Piratenpartei) auseinandersetzen, der ausgerechnet gegen die Speicherung seiner IP-Adresse durch die Bundesrepublik Deutschland bei der Nutzung von Internetportalen des Bundes geklagt hatte. 

Interessant werden dürfte die erneute Verhandlung jedenfalls: Die Bundesrepublik Deutschland speichert nämlich mangels „Angriffsdruck“ nicht auf jedem ihrer Internetportale IP-Adressen. Fraglich bleibt zudem der Nutzen der IP-Adressen-Speicherung zur Strafverfolgung. Schließlich verschleiern kriminelle Angreifer diese gerne. So werden bei Bot-Netz-Angriffen mittels gekaperte Geräte nur die IP-Adressen ihrer unwissenden Eigentümer gespeichert. Und von diesen gibt es im „Internet der Dinge“ aufgrund zunehmender Vernetzung schlecht abgesicherter Geräte immer mehr.

Fazit: Diensteanbieter im Internet dürfen IP-Adressen speichern, damit Nutzer ihre Angebote in Anspruch nehmen können und um die Nutzung abzurechnen. Darüber hinaus ist die Speicherung zulässig zur Gewährleistung der generellen Funktionsfähigkeit, entschied nun der BGH. Dafür müssen die Betreiberinteressen am Schutz ihres Angebots die Nutzerinteressen an deren Datenschutz aber tatsächlich überwiegen.

(BGH, Urteil v. 16.05.2017, Az.: VI ZR 135/15)

(GUE)