Computerangriff | Bildquelle: picture alliance / dpa

BGH-Urteil zu IP-Adressen Eine zeitgemäße Entscheidung

Stand: 16.05.2017 17:25 Uhr

Das Sicherheitsbedürfnis von Webseitenbetreibern kann im Einzelfall das Persönlichkeitsrecht des Seitenbesuchers überwiegen. Auch wenn es zunächst so klingt: Die Entscheidung des Bundesgerichtshofs ist keine Niederlage für den Datenschutz.

Von Timo Conraths, ARD-Rechtsredaktion

Der Bundesgerichtshof (BGH) hat entschieden, dass Webseitenbetreiber, deren Seiten von Cyberattacken bedroht sind, im Einzelfall die IP-Adressen sämtlicher Besucher speichern dürfen. Was auf den ersten Blick wie eine krachende Niederlage für Datenschützer aussieht, ist auf den zweiten Blick eine kluge Entscheidung, der man anmerkt, dass sie durch die Einflüsse mehrerer Instanzen zustande gekommen ist.

IP-Adressen sind aus dem Internet nicht wegzudenken. Alle internetfähigen Endgeräte haben eine solche Adresse, seien es Computer, Notebooks oder Smartphones. Zwar ist diese Adresse häufig dynamisch, das heißt, sie ändert sich in regelmäßigen Abständen. Trotzdem hat jeder Internetnutzer durch die IP-Adresse zu einem bestimmten Zeitpunkt eine ganz bestimmte Kennung - quasi einen digitalen Fußabdruck.

IP-Adressen fallen unter Datenschutzrecht

Aus diesem Grund hatte der Europäische Gerichtshof (EuGH) schon im vergangenen Oktober geurteilt, dass dynamische IP-Adressen personenbezogene Daten sind, wenn der Betreiber der Webseite die rechtliche Möglichkeit hat, den konkreten Nutzer ausfindig zu machen. In Deutschland sei dies der Fall, weil der Seitenbetreiber über die Ermittlungsbehörden unter bestimmten Umständen an die Personen hinter der IP-Adresse gelangen kann.

Damit fallen die IP-Adressen unter das Datenschutzrecht. Und hier gilt ein strenger Grundsatz: Daten dürfen grundsätzlich nur gespeichert werden, wenn die betroffene Person einwilligt oder es eine bestimmte gesetzliche Regelung so vorsieht. Datenschützer argumentieren, dass sich Internetnutzer nicht mehr frei im Netz bewegen könnten, wenn sie wissen, dass sämtliche Schritte protokolliert werden. Deshalb verklagte der Piratenpolitiker Patrick Breyer die Bundesregierung, weil auch diese auf einigen ihrer Seiten die IP-Adressen der Besucher speicherte.

Sicherheit contra Persönlichkeitsrecht

Cyberangriffe sind eine ernstzunehmende Bedrohung für Webseitenbetreiber. Angreifer können Webseiten vollständig lahmlegen, indem sie den Server durch das millionenfache gleichzeitige Aufrufen der Seite überlasten. So fiel nach dem Anschlag auf den Berliner Weihnachtsmarkt die Webseite des Bundeskriminalamts einer solchen Attacke zum Opfer. Die Seite war über Stunden hinweg nicht erreichbar.

Die Bundesregierung verteidigte sich im Klageverfahren mit dem Argument, dass sie auf die Speicherung der IP-Adressen angewiesen sei. Dadurch könne sie Cyberangriffe nicht nur im Nachhinein besser ahnden. Sie könne sich vielmehr bereits während des Angriffs dagegen wehren, indem sie IP-Adressen von denen der Angriff ausgeht, blockiert.

Der EuGH hatte schon im vergangenen Oktober angedeutet, dass das Persönlichkeitsrecht des Nutzers in einem solchen Fall nicht grenzenlos ist. Insbesondere könne das Interesse des Seitenbetreibers, seine Webseite funktionsfähig zu halten, den Datenschutz durchbrechen.

Der Bundesgerichtshof konkretisierte diesen Gedanken nun. Webseitenbetreiber dürfen IP-Adressen dann speichern, wenn die Gefahr besteht, dass die Internetseite von Hackern angegriffen wird. Steht fest, dass die Speicherung der IP-Adressen aus Sicherheitsgründen für die Funktionsfähigkeit der Webseite erforderlich ist, müsse in einem zweiten Schritt geprüft werden, ob das Sicherheitsinteresse des Webseitenbetreibers das Persönlichkeitsrecht des Nutzers überwiegt. Dabei wird gelten: Je größer die Gefahr, desto eher ist die Speicherung zulässig. Im konkreten Fall muss das nun das Landgericht Berlin klären.

Urteil lässt Gerichten Spielraum

Dabei dürfte auf der einen Seite eine Rolle spielen, wie gefährdet die Webseite im konkreten Fall tatsächlich ist: Gab es bereits Hackerangriffe oder ist sie aufgrund der Bedeutung der Seite ein realistisches Ziel? Auf der anderen Seite muss auch immer berücksichtigt werden, wie schwer der Eingriff in das Persönlichkeitsrecht des Nutzers tatsächlich wiegt.

Insbesondere bei dynamischen, also sich immer wieder ändernden, IP-Adressen ist es einem einzelnen Seitenbetreiber auf den ersten Blick nicht möglich, sämtliche Bewegungen eines bestimmten Nutzers über einen längeren Zeitraum hinweg zu beobachten. Auch andere Gesichtspunkte müssen dabei berücksichtigt werden, zum Beispiel, ob die Speicherung der Daten Angreifer generell abhalten oder Angriffe besser aufklären kann.

Auch wenn die Speicherung von IP-Adressen nun möglich ist: Es ist trotzdem keine Niederlage für den Datenschutz. Die Entscheidung lässt den Richtern Spielraum, um im Einzelfall auf die Interessen der Beteiligten angemessen einzugehen. Und sie wird den heutigen Gefahren der Internetkommunikation gerecht.

Über dieses Thema berichtete die tagesschau am 16. Mai 2017 um 12:00 Uhr.

Darstellung: