(RK) Das Urteil des EuGH im Fall Patrick Breyer gegen Bundesrepublik Deutschland vom 19.10.2016 relativiert die strikten Auflagen des Telemediengesetzes (TMG) für die Speicherung von IP-Adressen. Obschon das Gericht explizit anerkennt, dass auch dynamische IP-Adressen eine Form von personenbezogenen Daten und damit grundsätzlich zu Löschen sind, betrachtet es Teile des deutschen TMG als europarechtswidrig, weil keine Abwägungen zwischen gegensätzlichen Rechtsgütern möglich ist.  Dies bezieht sich auf die europäische Datenschutzrichtlinie, die noch bis Mai 2018 gültig ist.

Die Interessenabwägung besteht darin, ob das Interesse an der Gefahrenabwehr mittels IP-Adresse höher zu bewerten ist, als das Interesse des Nutzers auf den Schutz seiner Daten.

Laut Urteil ist die Gefahrenabwehr mittels IP-Adresse für einen Diensteanbieter von berechtigtem Interesse, damit ist der Passus des TMG, der die Speicherung der IP-Adresse nur für den unmittelbaren Zweck erlaubt (Übermittlung der Daten an den anfragenden Rechner), so nicht haltbar.

Das Urteil finden Sie hier: http://curia.europa.eu/juris/document/document.jsf?text=&docid=184668&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=1091958

Zum Hintergrund:

Patrick Breyer, Mitglied der Piratenpartei  aus Kiel hatte zunächst in Deutschland gegen die Speicherung der IP-Adressen bei der Nutzung der Webseite des deutschen Bundestages geklagt, und das Verfahren ging durch mehrere Instanzen. Der BGH hat schließlich die Klage zur Vorabklärung europarechtlicher Fragen an den EuGH verwiesen. Die Fragen waren: Sind dynamische IP-Adressen personenbezogene Daten? Und was bedeutet das für Webseitenbetreiber? Beide Fragen hat der EuGH nun im Bezug auf aktuelles Recht beantwortet, die EU-DSGVO wurde noch nicht berücksichtigt.

Auswirkung für Webseitenbetreiber?

Daraus folgt für Webseitenbetreiber: Nichts, sofern die Webseite TMG-konform war. Sie könnten aber Funktionen einfügen, die auf der IP-Adresse beruhen (z.B. erweiterte Zugangsüberprüfung zur Verhinderung von Brute-Force-Angriffen), sofern Sie eine Abwägung der Rechtsgüter durchführen, und die gewünschte Funktion einen entscheidenden Vorteil für Ihr betrachtetes Rechtsgut hat. Ihre Überlegungen zur Abwägung sollten Sie dokumentieren. In der Zukunft wird das TMG angepasst werden. Da aber für die Sicherheitsfunktionen wenn überhaupt, dann nur missbräuchlich genutzte IP-Adressen gespeichert werden müssen, wird das eine, dem Rechtsgut der Gefahrenabwehr zugerechnete, erlaubte Funktion sein. Bei Fragen wenden Sie sich an Ihren Datenschutzbeauftragten oder das Team von audatis Consulting.