Der Europäische Gerichtshof (EuGH) hat im Kern geurteilt, dass die IP-Adresse grundsätzlich ein personenbezogenes Datum ist, was wiederum beutet, dass sie vollumfänglich dem Datenschutzrecht unterliegt (EuGH, Urteil vom 19.10.2016). Ein Kommentar von Timo Schutt, Fachanwalt für IT-Recht, Schutt-Waetke Rechtsanwälte.
Das Gericht hat aber doch wesentlich konkreter differenziert, als es nach den Schlussanträgen des Generalanwaltes (siehe meinen genannten Artikel) zu erwarten gewesen wäre, so dass die Einschränkungen dieses Grundsatzes doch sehr beachtlich sind.
Eine dynamische IP-Adresse, die von einem „Anbieter von Online-Mediendiensten“ (d.h. bspw. vom Betreiber der Website) beim Zugriff auf seine allgemein zugängliche Website gespeichert wird, stellt für den Betreiber nach dem Urteil nämlich dann ein personenbezogenes Datum dar, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, den Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen. Diese rechtlichen Mittel können bspw. Auskunftsansprüche gegenüber dem Provider sein. Bestehen solche rechtlichen Mittel nicht, dann soll kein Personenbezug bestehen.
Gleichzeitig hat das Gericht entschieden, dass eine Regelung, nach der ein Anbieter von Online-Mediendiensten personenbezogene Daten eines Nutzers dieser Dienste ohne dessen Einwilligung nur erheben und verwenden darf, soweit ihre Erhebung und ihre Verwendung erforderlich sind, um die konkrete Inanspruchnahme der Dienste durch den betreffenden Nutzer zu ermöglichen und abzurechnen, ohne dass der Zweck, die generelle Funktionsfähigkeit der Dienste zu gewährleisten, die Verwendung der Daten über das Ende eines Nutzungsvorgangs hinaus rechtfertigen kann, gegen das Europarecht verstößt. Damit kann die deutsche Regelung, die eben genau das vorsieht, so nicht bestehen bleiben, sondern muss im Lichte dieser Entscheidung ausgelegt und angewendet werden.
Die Verarbeitung personenbezogener Daten ist nämlich nach dem europäischen Recht unter anderem dann rechtmäßig, wenn sie zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, erforderlich ist, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Die deutsche Regelung schränke die Tragweite dieses Grundsatzes ein, indem sie es ausschließt, dass der Zweck, die generelle Funktionsfähigkeit des Online-Mediums zu gewährleisten, Gegenstand einer Abwägung mit dem Interesse oder den Grundrechten und Grundfreiheiten der Nutzer sein kann.
Der EuGH hebt in diesem Zusammenhang hervor, dass die Einrichtungen des Bundes, die Online-Mediendienste anbieten, ein berechtigtes Interesse daran haben könnten, die Aufrechterhaltung der Funktionsfähigkeit der von ihnen allgemein zugänglich gemachten Websites über ihre konkrete Nutzung hinaus zu gewährleisten.
Damit hat sich der EuGH also nicht der absoluten Meinung angeschlossen, dass die IP-Adresse immer personenbezogen ist, sondern er differenziert. Hat derjenige, der die IP-Adresse erhebt, rechtlich die Möglichkeit die Zusatzinfos vom Provider zu bekommen, wer dahinter steht, dann ist das für ihn ein personenbezogenes Datum, sonst nicht. Und auch dann, wenn es für ihn ein personenbezogenes Datum ist, darf es die Adresse erheben und speichern, wenn und solange die Sicherheit und Funktionsfähigkeit seines Webservices im Verhältnis zu dem berechtigten Interesse des Betroffenen „Inhabers“ der IP-Adresse überwiegt.
Alle, die über ihre Webpräsenz IP-Adressen erheben und speichern, sollten unbedingt die Grundsätze des EuGH zum Anlass nehmen, um zu prüfen, ob die Kriterien für die zulässige Erhebung der IP-Adresse vorliegen und hier ggf. nachbessern bzw. unter Umständen auf die Erhebung der IP-Adresse verzichten, wenn diese nicht erforderlich ist, um die Funktionsfähigkeit der Webpräsenz zu sichern.
Vor allem dürfte die Speichern der IP-Adressen nur temporär zulässig sein, evtl. müssen sie, wie auch von den Zugangs-Providern gehandhabt, nach 7 Tagen gelöscht werden.