Schon fast ein Klassiker des Datenschutzrechts stellt die Frage dar: Sind dynamische IP-Adressen personenbezogene Daten? Damit einher geht die Folgefrage: Wenn ja, darf ein Webseitenbetreiber diese speichern, um Hackerangriffe abzuwehren?
Derzeit schweben diese Fragen beim Europäischen Gerichtshof (EuGH). Wir hatten bereits umfassend berichtet.
Das Verfahren ist jetzt einen Schritt weiter. Der Generalanwalt Campos Sanchez-Bordona hat seinen Schlussantrag vorgelegt. Da sich der EuGH zumeist der Auffassung des Generalanwalts anschließt, Grund genug den Schlussantrag unter die Lupe zu nehmen.
Der Generalanwalt kommt zusammenfassend zu folgendem Ergebnis:
- Dynamische IP-Adressen sind grundsätzliche personenbezogene Daten,
- ob diese zur Aufrechterhaltung der Funktionsfähigkeit einer Webseite gespeichert werden dürfen, ist im Einzelfall abzuwägen.
Webseitenbetreibern ist daher weithin zu raten, ein ausgewogenes Sicherheitskonzept zu etablieren, welches Belange der Gefahrenabwehr und des Datenschutzes ausgewogen berücksichtigt:
- Speicherdauer von IP-Adressen nicht länger als 7 Tage (danach löschen oder kürzen),
- Zugriff auf die IP-Adressen nur bei Missbrauchsverdacht und nur für einen streng limitierten Personenkreis.
Auch wenn der Generalanwalt diese Parameter so aus prozessualen Gründen nicht benennt, ist davon auszugehen, dass Gerichte in einer Abwägung diese maßgelblich berücksichtigen werden.
Über den konkreten Fall hinaus können die Ausführungen des Generalanwalts zu einem „allgemeinen Abwägungsgebot im Datenschutzrecht“ weitreichende Auswirkungen haben. Der Generalanwalt ist der Auffassung, dass die Richtlinie 95/46/EG es dem nationalen Gesetzgeber untersagt, eine Datenverarbeitung generell zu verbieten. Es müsse stets Raum für eine individuelle Abwägung im Einzelfall bleiben. Die Auswirkungen dieser Rechtsauffassung sind kaum zu überblicken (z.B. § 28a BDSG Auskunfteien, § 28 Abs. 3 BDSG Werbung, § 32 Mitarbeiterdaten in der Aufdeckung von Straftaten).
Dieses allgemeine Abwägungsgebot entspricht im Wesentlichen auch der ab dem 25.05.2018 geltenden Datenschutz-Grundverordnung (siehe unsere Beitragsreihe), die eher allgemein gehaltene Formulierung nutzt und an verschiedenen Stellen eine Abwägung der Interessen und Risiken für den Betroffenen vorsieht. Der vom Generalanwalt bezuggenommene Art. 7 Buchst. f der Richtlinie 95/46 entspricht daher auch dem Art. 6 Buchst. f der Datenschutz-Grundverordnung. Das Urteil wird damit auch wegweisend für die Auslegung der Datenschutz-Grundverordnung und die Wahrnehmung von nationalen Öffnungsklauseln sein. Über die zahlreichen Öffnungsklauseln der Datenschutz-Grundverordnung hatten wir berichtet. Eine Konkretisierung der Datenschutz-Grundverordnung durch den nationalen Gesetzgeber wäre damit nur im begrenzten Maße zu erwarten bzw. zulässig. Klare Verbote oder Billigungen wären damit im Datenschutzrecht nicht zu erwarten.
Diese Lage kann sich für Unternehmen als Fluch und Segen zugleich rausstellen. Zwar lassen Normen stets Raum für eine ausgefeilte Argumentation, Rechtssicherheit bieten diese im Gegenzug aber nicht.
Sofern sich der EuGH dem Antrag des Generalanwalts anschließen sollte, wird es wohl nicht erforderlich sein, dass der deutsche Gesetzgeber bis zum Inkrafttreten der Datenschutz-Grundverordnung eine Anpassung des nationalen Rechts vornimmt. Auch wenn das deutsche Datenschutzrecht eine Speicherung der IP-Adressen zur Gefahrenabwehr bisher nicht ausdrücklich regelt, lassen sich die vorhandenen Vorschriften richtlinienkonform auslegen, § 12 Abs. 3 TMG i.V.m. § 9 BDSG oder § 13 Abs. 7 S.1 Nr. 2 lit. b TMG.
Webseitenbetreiber und Datenschutzrechtler dürfen gespannt sein, wie der EuGH entscheidet.