Der Europäische Gerichtshof (EuGH) hat eine Frage beantwortet, die Juristen seit Jahren umtreibt: Sind dynamische IP-Adressen, also solche, die sich bei jedem neuen Verbindungsaufbau zum Internet ändern, personenbezogene Daten? Ja, sagen die Richter, auch mit wechselnden IP-Adressen lassen sich Nutzer identifizieren, also sind es personenbezogene Daten.

Mit einer wichtigen Einschränkung: Für den Betreiber einer Website stellen Ziffernfolgen wie 194.77.157.241 nur dann ein personenbezogenes Datum dar, "wenn er über rechtliche Mittel verfügt", Informationen über den Anschlussinhaber hinter der IP-Adresse vom Provider einzuholen.

In Deutschland gebe es solche rechtlichen Mittel, heißt es in der Pressemitteilung des Gerichtshofs, "die es dem Anbieter von Online-Mediendiensten erlauben, sich insbesondere im Fall von Cyberattacken an die zuständige Behörde zu wenden, um die fraglichen Informationen vom Internetzugangsanbieter zu erlangen und anschließend die Strafverfolgung einzuleiten".

Angst vor staatlichen Nutzerprofilen

Nun sind personenbezogene Daten nach Paragraf 15 des deutschen Telemediengesetzes (TMG) besonders geschützt, sie dürfen nur zu Abrechnungszwecken gespeichert werden, und um die konkrete, gerade laufende Nutzung eines Onlinedienstes sicherzustellen.

Die Richter des EuGH erkennen hier eine Kollision mit dem EU-Recht, nämlich mit der EU-Richtlinie 95/46, die noch bis 2018 gültig ist. Demnach kann es im "berechtigten Interesse" eines Betreibers liegen, "die Aufrechterhaltung der Funktionsfähigkeit" auch über die jeweilige Session des Nutzers hinaus zu gewährleisten, also dauerhaft. Zu diesem Zweck dürfe ein Betreiber personenbezogene Daten erheben und verarbeiten. Dieses berechtigte Interesse hätten insbesondere die Betreiber der Websites des Bundes, also zum Beispiel die von Ministerien, es sei aber abzuwägen gegen das Interesse oder die Grundrechte der Internetnutzer. Diese Abwägung fehle jedoch im TMG.

Das Urteil (hier im deutschen Volltext) bedeutet daher eine Niederlage für den Fraktionsvorsitzenden der schleswig-holsteinischen Piratenpartei, Patrick Breyer. Dessen Klage richtete sich gegen die Bundesrepublik Deutschland, weil mehrere Bundesministerien und -behörden ungefragt und monatelang seine IP-Adresse gespeichert hatten, wenn er ihre Websites aufrief. Breyer betrachtet das als ungerechtfertigten Eingriff in sein Grundrecht auf informationelle Selbstbestimmung und als Verstoß gegen das TMG. Er fürchtet, der Staat könne damit Nutzerprofile anlegen, etwa wenn sie sich auf der Seite des Bundesgesundheitsministeriums über illegale Drogen informieren.

Mehr als acht Jahre dauert der Weg des Piraten-Politikers durch die Instanzen schon. "Es muss aufhören, dass Behörden und Konzerne unser Internetnutzungsverhalten verfolgen und aufzeichnen", schreibt er auf seiner Website, "das grenzt an Stalking. Was ich lese, schreibe und wonach ich suche, spiegelt meine privatesten und intimsten Interessen, Überzeugungen, Vorlieben und Schwächen wieder und geht niemanden etwas an."

Braucht man IP-Adressen zum Schutz vor Hackerangriffen?

Das Recht, ihre Nutzer zu "verfolgen", hat der EuGH den Betreibern von Websites mit seinem Urteil nicht zugestanden. Die Richter haben zunächst nur klargestellt: Das TMG darf nicht länger so ausgelegt werden, dass IP-Adressen grundsätzlich nicht längerfristig gespeichert werden dürfen.

Die Richter sind der Ansicht, die Daten könnten bei der Abwehr von Hackerangriffen helfen. Ob das stimmt, ist umstritten. Ein Gutachter hatte in der zweiten Instanz geschrieben, die Speicherung von IP-Adressen aus Gründen der IT-Sicherheit sei nicht zwingend erforderlich, es gebe bessere Methoden, Angriffe abzuwehren oder zu verhindern.

Über den konkreten Fall, also ob die deutschen Ministerien ein berechtigtes Interesse an der IP-Adressen-Speicherung haben und ob es die Interessen der Nutzer überwiegt, muss der Bundesgerichtshof entscheiden, der den EuGH angerufen hatte. Er findet im EuGH-Urteil aber eine ziemlich unmissverständliche Empfehlung vor. Bis der BGH sein Urteil fällt, wird die Speicherung weitergehen, und wenn er dem EuGH folgt, auch danach.

Breyer hingegen fordert nun eine TMG-ähnliche Regelung auch im EU-Recht, die dann doch ein Verbot der IP-Adressen-Speicherung beinhaltet.

Update: Missverständliche Details im Artikel wurden geändert. So hieß es in einer früheren Fassung: "Die Richter haben zunächst nur das generelle Verbot im TMG gekippt, IP-Adressen längerfristig zu speichern". Richtig ist: Das TMG darf nicht länger so ausgelegt werden, dass IP-Adressen grundsätzlich nicht längerfristig gespeichert werden dürfen. Im Teaser heißt es nun, Website-Betreiber (wie die der Bundesministerien) dürfen IP-Adressen ihrer Besucher "unter Umständen" speichern. Das ist die Ansicht des EuGH, über den konkreten Fall – so stand es auch bisher im Artikel – muss jetzt wieder der BGH entscheiden.