Webseiten-Betreiber darf zur Abwehr von Cyberattacken dynamische IP-Adressen speichernEuGH zu den Voraussetzungen für eine zulässige Speicherung von dynamischen IP-Adressen

Im zugrunde liegenden Verfahren klagte Herr Patrick Breyer vor deutschen Gerichten dagegen, dass die von ihm abgerufenen Websites von Einrichtungen des Bundes seine Inter­net­pro­tokoll-Adressen ("IP-Adressen")* aufzeichnen und speichern. Von diesen Einrichtungen werden außer dem Zeitpunkt des Zugriffs auch die IP-Adressen der Nutzer aufgezeichnet und gespeichert, um sich gegen Cyberattacken zu wappnen und eine Strafverfolgung zu ermöglichen. Der deutsche Bundes­ge­richtshof möchte vom Gerichtshof wissen, ob in diesem Zusammenhang auch "dynamische" IP-Adressen für den Betreiber der Website perso­nen­be­zogene Daten darstellen, so dass sie den für solche Daten vorgesehenen Schutz genießen. Eine "dynamische" IP-Adresse ist eine IP-Adresse, die sich bei jeder neuen Inter­net­ver­bindung ändert. Anders als statische IP-Adressen erlauben dynamische IP-Adressen es nicht, anhand allgemein zugänglicher Dateien eine Verbindung zwischen einem Computer und dem vom Inter­net­zu­gangs­an­bieter verwendeten physischen Netzanschluss herzustellen. Somit verfügt ausschließlich der Inter­net­zu­gangs­an­bieter von Herrn Breyer über die zu dessen Identifizierung erforderlichen Zusat­z­in­for­ma­tionen.

Bundes­ge­richtshof erbittet Vorab­ent­scheidung des EuGH zur Frage der Zulässigkeit der Speicherung von dynamischen IP-Adressen

Der Bundes­ge­richtshof möchte ferner wissen, ob der Betreiber einer Website zumindest grundsätzlich die Möglichkeit haben muss, perso­nen­be­zogene Daten der Nutzer zu erheben und zu verwenden, um die generelle Funkti­o­ns­fä­higkeit seiner Website zu gewährleisten. Er weist insoweit darauf hin, dass die einschlägige deutsche Regelung** von der deutschen Lehre überwiegend dahin ausgelegt werde, dass die Daten am Ende des jeweiligen Nutzungs­vorgangs zu löschen seien, soweit sie nicht für Abrech­nungs­zwecke benötigt würden.

Anbieter von Online-Mediendiensten kann sich im Fall von Cyberattacken zur Einleitung einer Strafverfolgung an zuständige Behörden wenden

Mit seinem Urteil antwortet der Gerichtshof zunächst, dass eine dynamische IP-Adresse, die von einem "Anbieter von Online-Mediendiensten" (d. h. vom Betreiber einer Website, hier den Einrichtungen des Bundes) beim Zugriff auf seine allgemein zugängliche Website gespeichert wird, für den Betreiber ein perso­nen­be­zogenes Datum*** darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, den Nutzer anhand der Zusat­z­in­for­ma­tionen, über die dessen Inter­net­zu­gangs­an­bieter verfügt, bestimmen zu lassen. Der Gerichtshof führt hierzu aus, dass es in Deutschland offenbar rechtliche Möglichkeiten gibt, die es dem Anbieter von Online-Medien­diens­ten**** erlauben, sich insbesondere im Fall von Cyberattacken an die zuständige Behörde zu wenden, um die fraglichen Informationen vom Inter­net­zu­gangs­an­bieter zu erlangen und anschließend die Strafverfolgung einzuleiten.

Unionsrecht steht aktueller Regelung zur Speicherung von Daten entgegen

Zweitens antwortet der Gerichtshof, dass das Unionsrecht (Richtlinie 95/46) einer Regelung eines Mitgliedstaats entgegensteht, nach der ein Anbieter von Online-Mediendiensten perso­nen­be­zogene Daten eines Nutzers dieser Dienste ohne dessen Einwilligung nur erheben und verwenden darf, soweit ihre Erhebung und ihre Verwendung erforderlich sind, um die konkrete Inanspruchnahme der Dienste durch den betreffenden Nutzer zu ermöglichen und abzurechnen, ohne dass der Zweck, die generelle Funkti­o­ns­fä­higkeit der Dienste zu gewährleisten, die Verwendung der Daten über das Ende eines Nutzungs­vorgangs hinaus rechtfertigen kann.

Verarbeitung perso­nen­be­zogener Daten bei berechtigtem Interesse des Webseiten-Betreibers nicht zu beanstanden

Die Verarbeitung perso­nen­be­zogener Daten ist nach dem Unionsrecht u. a. rechtmäßig, wenn sie zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verant­wort­lichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, erforderlich ist, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Die deutsche Regelung schränkt nach ihrer in der Lehre überwiegend vertretenen Auslegung die Tragweite dieses Grundsatzes ein, indem sie es ausschließt, dass der Zweck, die generelle Funkti­o­ns­fä­higkeit des Online-Mediums zu gewährleisten, Gegenstand einer Abwägung mit dem Interesse oder den Grundrechten und Grundfreiheiten der Nutzer sein kann.

Der Gerichtshof hebt in diesem Zusammenhang hervor, dass die Einrichtungen des Bundes, die Online-Mediendienste anbieten, ein berechtigtes Interesse daran haben könnten, die Aufrecht­er­haltung der Funkti­o­ns­fä­higkeit der von ihnen allgemein zugänglich gemachten Websites über ihre konkrete Nutzung hinaus zu gewährleisten.