Der Kieler Piratenabgeordnete Patrick Breyer befürchtet, der Staat könne Profile von Nutzern anlegen, die Websites von Ministerien und Behörden besuchen. Brisant könnte das zum Beispiel für jene sein, die sich online beim Bundesgesundheitsministerium über illegale Drogen informieren. Breyer will deshalb nicht, dass die Betreiber der Websites ungefragt Nutzerdaten speichern, darunter auch die IP-Adresse, wie es unter anderem auf bmi.bund.de, bnd.bund.de oder bundestag.de der Fall ist. Für den Piraten sind IP-Adressen personenbezogene Daten im Sinne des Datenschutzrechts, sie können also einer bestimmten Person zugeordnet werden.

Ob das so ist, darüber streiten Juristen seit Jahren. Am heutigen Dienstag sollte der Bundesgerichtshof (BGH) dazu ein maßgebliches Urteil fällen, doch auch die Karlsruher Richter können oder wollen die Frage noch nicht abschließend beantworten. Sie bitten zunächst den Europäischen Gerichtshof (EuGH) um Hilfe. Für Internetnutzer und Betreiber von Websites wird dessen Entscheidung gleichermaßen wichtig sein.

Worum geht es konkret? Breyer hatte gegen die Bundesrepublik Deutschland geklagt, weil verschiedene Bundesministerien und -behörden ungefragt seine IP-Adresse gespeichert hatten, wenn er ihre Websites aufrief. Die IP-Adresse ist eine Ziffernfolge, mit der sich ein Computer im Netz identifiziert. Private Nutzer wie Breyer bekommen in der Regel dynamische IP-Adressen vom Internetprovider zugewiesen, also bei jedem Einwahlvorgang eine neue. Statische IP-Adressen hingegen bleiben bei jeder Verbindung gleich. In jedem Fall weiß allein der Provider, welcher Anschlussinhaber zu welchem Zeitpunkt einer IP-Adresse zugeordnet ist. Website-Betreiber dagegen sehen nur, dass ein Computer zu einer bestimmten Uhrzeit mit einer bestimmten IP-Adresse auf ihre Seite zugreift.   

Breyer sah in der Speicherung seiner IP-Adressen durch die Betreiber der Behörden-Websites dennoch einen ungerechtfertigten Eingriff in sein Grundrecht auf informationelle Selbstbestimmung sowie einen Verstoß gegen das Telemediengesetz, das eine Speicherung von personenbezogenen Daten nur zu Abrechnungszwecken erlaubt. Insbesondere der Staat könne IP-Adressen "ganz leicht bestimmten Personen zuordnen". Mit der Neuregelung der Bestandsdatenauskunft im vergangenen Jahr etwa ist es für Ermittlungsbehörden und Geheimdienste rechtlich und technisch wesentlich einfacher geworden, Anschlussinhaber mithilfe der Internetprovider zu identifizieren, sogar schon beim Verdacht auf Ordnungswidrigkeiten. Breyer hatte im Juli 2013 zusammen mit anderen eine Beschwerde beim Bundesverfassungsgericht gegen das Gesetz eingereicht. 

Breyer vergleicht die Speicherung der IP-Adressen mit "NSA-Methoden", es handele sich um eine personenbezogene, anlasslose, flächendeckende Aufzeichnung von Metadaten. "Mit meiner Klage fordere ich das Recht der Generation Internet ein, uns im Netz ebenso unbeobachtet und unbefangen informieren zu können, wie es unsere Eltern aus Zeitung, Radio oder Büchern konnten", teilte er vor Beginn der Verhandlung am BGH mit. Er fordert die Ministerien und Behörden auf, die Speicherung der IP-Adressen zu unterlassen.

Seine Klage war zunächst vom Amtsgericht abgewiesen worden. Breyer ging dann vor dem Landgericht Berlin in Berufung, das am 31. Januar 2013 sein Urteil sprach. Es verbot die Speicherung von IP-Adressen nicht grundsätzlich. Aber sie dürfen demnach nicht gespeichert werden, wenn der Internetnutzer gleichzeitig seinen Namen oder eine E-Mail-Adresse auf der Seite hinterlässt, aus der sein Name hervorgeht.

Das Landgericht hat also zumindest dynamische IP-Adressen als relativ personenbezogen eingestuft. Relativ personenbezogen heißt: Sie gelten als personenbezogene Daten, wenn der jeweilige Nutzer noch weitere Daten hinterlässt, die dem Diensteanbieter Aufschluss auf seine Identität geben – wie eben eine E-Mail-Adresse, die seinen Namen enthält. Für Internetprovider sind IP-Adressen demnach immer personenbezogen, denn sie wissen ja, welchem Kunden sie welche IP-Adresse zuordnen.

EuGH muss klären, ob IP-Adressen personenbezogen sind

Die Steigerungvon relativ personenbezogenen Daten sind absolut personenbezogene. Wenn der Betreiber einer Ministeriums-Website seine Besucher theoretisch anhand ihrer IP-Adresse identifizieren könnte, dann wären IP-Adressen absolut personenbezogen.Dies ist der Knackpunkt im Urteil des Landgerichts: Es hat entschieden, dass der Betreiber einer Website zwar theoretisch einen Nutzer identifizieren könnte, wenn er IP-Adresse sowie Datum und Uhrzeit des Seitenaufrufs an den Internetprovider des Nutzers gibt, der diese Daten auf den Nutzer zurückführen kann. Aber eben nur theoretisch, weil die rechtlichen Hürden für solche Auskunftserteilungen hoch seien. Die Bestandsdatenauskunft, mit der die Hürden gesenkt wurden, war zu diesem Zeitpunkt noch nicht novelliert worden. 

Mit dem Urteil waren Kläger und Beklagte unzufrieden, sie legten Revision beim BGH ein. Die Karslruher Richter aber haben nun beschlossen, dass der Europäische Gerichtshof zunächst klären muss, wie die Definition von personenbezogenen Daten nach Artikel 2 Buchstabe a der EG-Datenschutzrichtlinie zu verstehen ist. Dort heißt es: 

"Im Sinne dieser Richtlinie bezeichnet der Ausdruck "personenbezogene Daten" alle Informationen über eine bestimmte oder bestimmbare natürliche Person ("betroffene Person"); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann ..."

Die Schlüsselbegriffe sind direkt und indirekt. Der BGH will wissen, ob dieser Satz "dahin auszulegen ist, dass eine IP-Adresse, die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn lediglich ein Dritter über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt". Der EuGH soll also klären, ob IP-Adressen absolut personenbezogene Daten sind. Ob also Breyer allein anhand seiner IP-Adresse als Besucher einer Ministeriums-Website identifiziert werden kann, wenn auch nur mit Hilfe des Providers. Es gibt ein Urteil aus dem Jahr 2011, in dem der EuGH das bejaht, allerdings nur in einem Nebensatz, den man nicht überbewerten sollte. Bekräftigt der EuGH seine Einschätzung von damals, müsste jeder Website-Betreiber jeden Besucher jedes Mal um Erlaubnis bitten, seine IP-Adresse speichern zu dürfen. Bisher passiert das praktisch nie.

Auswirkungen auf Google und alle anderen Website-Betreiber

Und selbst wenn er dann die Erlaubnis hat, dürfte er die IP-Adressen nicht ewig speichern. Wie lange es erlaubt wäre, soll ebenfalls der EuGH klären, weil dieEG-Datenschutzrichtlinie an dieser Stelle möglicherweise mehr erlaubt als das deutsche Telemediengesetz. Die Vertreter der Bundesrepublik hatten argumentiert, die IP-Adressen würden "zur Gewährleistung und Aufrechterhaltung der Sicherheit und Funktionsfähigkeit der Websites" benötigt. Die Straßburger Richter sollen nun klären, ob das mehr als nur den laufenden Aufruf einer Seite durch einen Nutzer betrifft. Wenn nicht, müsste die IP-Adresse gelöscht werden, sobald der Nutzer nicht mehr auf der Website unterwegs ist.     

Laut Breyer würde das dann nicht nur für Behörden gelten, sondern auch für private Website-Betreiber, nicht zuletzt Google oder Amazon: "Sie müssten ihre Nutzungsströme anonymisieren und hätten keine Möglichkeit mehr, das Verhalten ihrer Nutzer so umfassend zu analysieren, wie sie es jetzt tun."