Am 19.10.2016 hat der Europäische Gerichtshof (EuGH) zur Speicherung von IP-Adressen eine weitreichende Entscheidung getroffen, wir hatten berichtet.
Zu Deutung des Urteils hat auch Herr Breyer – als Partei der Entscheidung – einen Gastbeitrag in unserem Blog veröffentlicht.
Das Urteil betrifft die Frage, ob und ggf. unter welchen Voraussetzungen, Websitebetreiber IP-Adressen der Nutzer ihrer Website speichern dürfen.
Einige vertreten nun die Auffassung, dass eine Speicherung von IP-Adressen nun per se unzulässig sei und für den Fall der Zuwiderhandlung neue Abmahnwellen drohen.
Unsere Antwort: Lassen Sie sich nicht verunsichern, denn
- der EuGH hat nicht abschließend entschieden, ob IP-Adressen personenbezogene Daten sind; diese Frage muss vom Bundesgerichtshof (BGH) noch geklärt werden,
- selbst wenn es sich um personenbezogene Daten handelt (wovon wir bislang ausgingen und auch weiterhin ausgehen), ist eine Speicherung aus IT-Sicherheitsgründen im verhältnismäßigen Umfang dem EuGH nach möglich.
Insbesondere zum letzten Punkt wird sich wahrscheinlich der BGH noch einmal im Detail äußern. Bis zur Entscheidung des BGH empfehlen wir:
- Speichern Sie die vollständigen IP-Adressen der Websitezugriffe grundsätzlich nur dann, wenn dies zum Schutz vor unbefugtem Zugriff, Störungen, Fehlern oder Einschränkung der Verfügbarkeit (durch z.B. Hacker-Angriffe, Trojaner, Denial-of-Service-Attacken, Spam) erforderlich ist.
- Achten Sie darauf, dass die zulässig zu Sicherheitszwecken gespeicherten IP-Adressen nur streng zweckgebunden verwendet werden. Ein Zugriff auf die IP-Adressen darf also nur bei Missbrauchsverdacht erfolgen oder zum Schutz der Webseite und Datenbanken vor Angriffen. Nur ein streng limitierter Personenkreis (IT- und ggf. die Rechtsabteilung) erhält in diesen Fällen Zugriff.
- Eine Speicherdauer, die 7 Tage übersteigt, ist unzulässig. Spätestens nach diesem Zeitraum müssen die IP-Adressen gelöscht bzw. anonymisiert werden. Auch hiervon gibt es aber Ausnahmen: Sofern z.B. von einzelnen, konkreten IP-Adressen Angriffe festgestellt wurden und die IP-Adressen deshalb gesperrt werden sollen ist eine längere Speicherung genau dieser IP-Adressen erforderlich. Das gleiche gilt auch, wenn einzelne IP-Adressen im Rahmen von Strafanzeigen verwendet werden sollen.
Diese Lösung ist nach dem – durch das IT-Sicherheitsgesetz neu eingeführten – § 13 Abs. 7 TMG gut vertretbar, entspricht sowohl der Auffassung der datenschutzrechtlichen Aufsichtsbehörden und unserer Auffassung, die wir in der Vergangenheit bei Anfragen bereits vertreten haben.