Der Bund darf die Protokolldaten von Besuchern seiner Internetseiten unter bestimmten Voraussetzungen für einige Zeit speichern, um Hacker-Angriffe besser verfolgen zu können. Das entschied der Europäische Gerichtshof (EuGH) in einem am Mittwoch in Luxemburg veröffentlichten Urteil. Darüber hinaus unterliegen diese sogenannten dynamischen Internetprotokoll-Adressen aber dem Datenschutz, wenn die Zugangsanbieter mit weiteren technischen Informationen den Internetnutzer identifizieren können.(Az. C-582/14)
In Deutschland werden bei den meisten allgemein zugänglichen Internetportalen des Bundes die IP-Adressen des zugreifenden Rechners über das Ende des jeweiligen Nutzungsvorgangs hinaus gespeichert. Dabei handelt es sich um dynamische IP-Adressen, die im Gegensatz zu der festen, "statischen" IP-Adresse eines Rechners für jede Internetnutzung neu zugeteilt werden. Internet-Nutzer erhalten diese dynamische IP-Adresse vom Zugangsprovider und sind von ihm identifizierbar.
Statische IP-Adressen bleiben bei jeder Verbindung mit dem Internet gleich und ändern sich in der Regel während der gesamten Vertragslaufzeit nicht. Bei statischen IP-Adressen geht die herrschende Meinung dem Bundesdatenschutzbeauftragten zufolge davon aus, dass hier ohnehin bereits ein datenschutzrechtlicher Personenbezug vorliegt. Daher waren statische IP-Adressen auch nicht Gegenstand des Verfahrens.
Der Fraktionsvorsitzende der Piratenpartei in Schleswig-Holstein, Patrick Breyer, hatte das Verfahren in Gang gebracht, weil er befürchtet, dass der Staat Profile von den Nutzern staatlicher Websites anlegen könnte - etwa, wenn sich jemand auf der Internetseite des Bundesgesundheitsministeriums über illegale Drogen informiert.
Der EuGH erklärte zudem Beschränkungen des Telemediengesetzes für unzulässig, wonach personenbezogene Daten wie IP-Adressen nur für kurze Zeit zu Abrechnungszwecken gespeichert werden dürfen. Es sei nach EU-Recht vielmehr erlaubt, dieses Daten auch zur Missbrauchsbekämpfung oder Störerbeseitigung für einige Zeit zu speichern, wie aus dem Urteil hervorgeht.
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Andrea Voßhoff, begrüßte die Entscheidung des EuGH. Der Gesetzgeber sei nun gefordert, das Telemediengesetz an die Vorgaben des EuGH anzupassen.
Sie werde sich dafür einsetzen, "dass die neue Vorschrift eine Datenspeicherung nur für die vom Gericht definierten Zwecke und für den zur Aufgabenerfüllung zwingend erforderlichen Zeitraum ermöglicht", erklärte Voßhoff. IP-Adressen sollten nicht länger als sieben Tage gespeichert werden.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zeigte sich erfreut, dass der Gerichtshof die Interessen des Bundes an der Sicherheit ihrer Internetseiten berücksichtigt habe. "Das Urteil räumt Betreibern von Webservern somit die Möglichkeit ein, ihre Systeme gegen Cyber-Angriffe zu schützen", erklärt das BSI.
Das Urteil hat Datenschutzrechtlern zufolge auch erhebliche Folgen für die umfassende Datenspeicherung von Dienstanbietern wie Google (NASDAQ:GOOGL) oder Amazon (NASDAQ:AMZN), die IP-Adressen ihrer Website-Besucher sammeln. Sie müssen sich nun auch an die datenschutzrechtlichen Vorgaben des EuGH halten.