20

Der EuGH zur IP-Adressen-Speicherung durch Webseiten

Wie Heise und Netzpolitik ausführen, hat der Europäische Gerichtshof in der Frage der IP-Adressen-Speicherung durch Webseiten ein hochinteressantes Urteil gefällt. Der Kläger wollte mit seiner Klage erreichen, das die bisher in der Bundesrepublik Deutschland angesetzte Definition einer IP-Adresse als personenbezogene Daten letztlich auch zu einem Verbot von deren Speicherung durch Webseiten führt. Der EuGH stimmte dieser (eigentlich nicht praxistauglichen) Definition zwar zu – verwies aber gleichzeitig auf die aktuelle EU-Datenschutzrichtlinie, welche bezüglich der Speicherung von personenbezogenen Daten zwingend eine Interessenabwägung zwischen Datenschutz und dem "berechtigten Interesse des Diensteanbieters" vorsieht. Jener Punkt der Interessenabwägung fehlt allerdings im bundesdeutschen Telemediengesetzes, welches somit im betreffenden Paragraph ungültig wird – trotz einer Bestätigung auf der eine Seite erweist sich die EuGH-Klage damit auf der anderen Seite als klassischer Pyrrhussieg.

Davon abgesehen hätten die EuGH-Richter aber auch gern ein wenig praxisnäher an die Sache herangehen können: Der für die Urteilsbegründung angesetzte Klimmzug, das man in Deutschland über irgendwelche Rechtsmittel dann doch aus einer IP-Adresse an die Daten der jeweiligen natürlichen Person herankommen kann, ist reichlich absurd – weil dies ja nur dann gilt, wenn man ein gesetzlich verbrieftes Interesse vorweisen kann, einfach auf Zuruf und in Masse ist dies keineswegs möglich. Es besteht im Normalfall für einen Webseiten-Betreiber niemals die Möglichkeit, aus einer IP-Adresse eine reale Person zu ermitteln, demzufolge sollte das ganze im Sinne des Webseiten-Betreibers auch nicht als "personenbezogene Daten" behandelt werden (so lange die Daten nur beim Webseiten-Betreiber liegen, bei einem Weiterverkauf von Daten kommt eine andere Rechtssituation heraus). In der Praxis ist die Aufzeichnung von IP-Adressen in Server-Logs eine Standardfunktion aller Webserver-Software und teilweise sogar elementar für gewisse Webserver-Funktionen – an diesen technischen Grundlagen des Internets herumzupfuschen, sollte man sich (gerade als Nicht-Techniker) eigentlich eher verkneifen.

Der Kläger wollte aber natürlich eher das Mißbrauchspotential dieser IP-Adressen-Speicherung gleich im Keim ersticken – wenn keine IP-Adressen gespeichert werden, dann können staatliche Ermittler auch mit ihren Möglichkeiten im Nachhinein nichts mehr ausforschen. Sicherlich kann man im Zuge der aktuellen Entwicklungen zugunsten von immer mehr vollkommen unkontrollierter Zugriffsmöglichkeiten von Polizei und Geheimdiensten einen Weg anstreben, wo so wenig wie möglich Daten überhaupt erst existieren bzw. erstellt werden – in diesem konkreten Fall wäre der Kollateralschaden allerdings zu hoch. Eingriffe in Grundlagen-Technologien sind ein Weg, den man sowieso nur zusammen mit den entsprechenden Fachleuten gehen sollte, welche nicht aber von oben herab gerichtlich angeordnet werden sollten.

Eventuell würde es einen sinnvollen Mittelweg ergeben, wenn die Speicherung von IP-Adressen nur für einen gewissen Zeitraum statthaft wäre – und gleichzeitig Mißbrauchsmöglichkeiten ein (strafbewehrter) Riegel vorgeschoben würde, welche durch das Weitergeben dieser Daten oder eine andere Verwendung als für den legitimen Zweck der IT-Sicherheit entstehen könnten. Aber dies konnten die EuGH-Richter natürlich nicht festlegen, selbiges ist dann Aufgabe des nationalen Gesetzgebers. Jener muß in der Bundesrepublik Deutschland nunmehr zumindest das Telemediengesetz entsprechend neu abfassen und dort die vom EuGH eingeforderte Interessenabwägung zwischen Datenschutz und "berechtigtem Interesse des Diensteanbieters" einbauen. Sofern dies nicht völlig schiefgeht, sollte dabei letztendlich sogar eine gesetzliche Erlaubnis der IP-Adressen-Speicherung durch Webseiten-Betreiber herauskommen – und damit wie gesagt das exakte Gegenteil dessen, was die Klage vor dem EuGH eigentlich bezwecken sollte.

Nachtrag vom 12. März 2017

Heise berichten in einem von einer wichtigen Korrektur eines EuGH-Urteils zur IP-Adressen-Speicherung: Jenes ist wohl durch die (offizielle) Übersetzung in Deutschland teilweise etwas verfälscht wiedergegeben worden – denn die EU-Richter gehen sehr wohl davon aus, das auch normalsterbliche Webseiten-Betreiber aus gesammelten IP-Adressen auf die Realpersonen schließen können. Dabei denkt man an den Fall eines Cyberangriffs und der Möglichkeit, dies in jenem Fall den Behörden zu melden – welche ihrerseits aus den IP-Adressen mit ihren Möglichkeiten die Realpersonen ermitteln können. Wirklich solide ist diese Konstruktion allerdings nicht, da es sich hierbei um einen Sonderfall und eben nicht um die Normalität handelt – und zum anderen überaus fraglich ist, ob in diesem Fall der Webseiten-Betreiber die Liste der Realpersonen jemals zu Gesicht bekommen würde (jene verbleibt ziemlich sicher bei den Ermittlungsbehörden).

An unserer seinerzeitigen Einschätzung des Urteils ändert sich allerdings sowieso nichts, denn hierbei wurde jener mögliche Winkelzug bereits vorweggenommen. Viel entscheidender war uns seinerzeit, das der EuGH eine Interessenabwägung zwischen Datenschutz und dem "berechtigten Interesse des Diensteanbieters" gefordert hatte – welche auch jetzt noch gilt. Und gemäß dieser Interessenabwägung und vorbehaltlich eventueller anderer Entscheidungen dürfen Webseiten-Betreiber auch weiterhin die IP-Adressen ihrer Benutzer für einen begrenzten Zeitraum speichern – jener Zeitraum darf nur nicht unendlich sein und vor allem beinhaltet ein "berechtigten Interesse des Diensteanbieters" regulär gesehen keinerlei Möglichkeit zur "Zweitverwertung" dieser Daten, sprich deren Verkauf oder andersweitige wirtschaftliche Nutzung. Anstatt auf die Abschaltung jeglicher Speicherung von IP-Adressen zu drängen (technisch sowieso kaum umsetzbar), sollten Datenschützer jetzt eher genau an dieser Stelle ansetzen – bei jenen Firmen, welche die anfallenden IP-Daten eben nicht nur für ein "berechtigtes Interesse" nutzen.