Schon seit den wegweisenden Entscheidungen des EuGH in 2016 und des BGH in 2017 wissen wir: IP-Adressen, sowohl statische als auch dynamische, sind personenbezogene Daten. Wenn Websitebetreiber also die IP-Adressen ihrer Besucher speichern, findet das Datenschutzrecht vollständig Anwendung.
Einen Einstieg in das Thema IP-Adressen aus technischer Sicht bietet unser Blog-Beitrag „IP-Adressen und Datenschutz“ vom 26.07.2021. Wer sich beim verzweifelten Versuch, das ausgefallene Internet durch wildes Herumklicken in den Router-Einstellungen wieder zum Laufen zu bringen, schon immer mal beiläufig gefragt hat, was denn eigentlich IPv4 und IPv6 sind, ist dort richtig.
Dieser Beitrag widmet sich nun aber mehr der rechtlichen Seite: Was genau bedeutet im Zusammenhang mit IP-Adressen eigentlich „das Datenschutzrecht“?
Anwendbare Vorschriften
Als der EuGH und der BGH ihre Entscheidungen trafen, mussten sie sich mit der erst im Jahr 2018 in Kraft getretenen DSGVO noch gar nicht auseinandersetzen. Mittlerweile gibt es allerdings eine Vielzahl an Regelungen, die Websitebetreibern potenziell ins Auge fallen könnten: DSGVO, BDSG, TKG, TMG, die ePrivacy-Richtlinie und seit Dezember 2021 nun auch noch das TTDSG.
Ein kleiner Überblick:
ePrivacy-Richtlinie
Im Unterschied zu EU-Verordnungen finden EU-Richtlinien keine direkte Anwendung in den Mitgliedstaaten, sondern bedürfen einer Umsetzung ins nationale Recht. Solange es eine solche noch nicht explizit gab, wurde vom BGH eine richtlinienkonforme aber eigentlich dem Wortlaut widersprechende Auslegung des § 15 TMG vorgenommen, um die Umsetzung der Vorgaben der ePrivacy-Richtlinie zu gewährleisten. Diese Rechtskonstruktion ist aufgrund des neuen TTDSG nun aber obsolet geworden.
Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)
Durch § 25 des neuen TTDSG wurde Art. 5 Abs. 3 der ePrivacy-Richtlinie in nationales Recht umgesetzt. Sofern Informationen unter Einsatz von Technologie auf „Endeinrichtungen des Endnutzers“ gespeichert oder aus diesen ausgelesen werden, findet das TTDSG Anwendung. Der Kollisionsregel des Art. 95 DSGVO zufolge ist das TTDSG als nationale Ausgestaltung der ePrivacy-Richtlinie – sofern anwendbar – auch vorrangig vor der DSGVO zu prüfen. Ob das TTDSG auch auf die Erfassung von IP-Adressen anwendbar ist, ist nach derzeitigem Stand ggf. von der konkreten Art der Verarbeitung abhängig und nicht pauschal zu beantworten. Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) etwa geht in seiner Orientierungshilfe aus Dezember 2021 davon aus, dass unter § 25 TTDSG auch das sog. Browser-Fingerprinting fallen kann (S. 19), das u. a. die Erfassung von IP-Adressen beinhaltet. Die Orientierungshilfe Telemedien der Datenschutzkonferenz (DSK) der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder aus Dezember 2021 unterscheidet bei der Anwendbarkeit nach der konkreten Verarbeitungsart im Browser-Fingerprinting und schlüsselt dies im Einzelnen auf (S. 8). Es spricht vieles dafür, sich auf den technisch geprägten Standpunkt zu stellen, dass IP-Adressen unter normalen Umständen nicht im Sinne des § 25 TTDSG auf den Endgeräten gespeichert sind bzw. nicht ausgelesen werden. Nachdem dies bereits sehr früh nach Inkrafttreten des TTDSG auf einschlägigen Blogs vertreten wurde (vgl. hier und hier), hat nun auch der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg eine entsprechende Einschätzung abgegeben: Da es sich bei IP-Adressen um automatisch bei Aufruf einer Website vom Browser mit gesendete Informationen handele, finde kein „Zugriff“ im Sinne des TTDSG statt.
Datenschutz-Grundverordnung (DSGVO)
Die DSGVO legt für die Verarbeitung personenbezogener Daten ein Verbot mit Erlaubnisvorbehalt fest; für die Verarbeitung von IP-Adressen ist deshalb eine Rechtsgrundlage erforderlich. In den meisten Fällen liegt diese entweder in Form einer Einwilligung der Websitebesucher nach Art. 6 Abs. 1 lit. a DSGVO vor oder wird auf ein berechtigtes Interesse des Websitebetreibers nach Art. 6 Abs. 1 lit. f DSGVO gestützt. Hier bestehen insoweit keine Unterschiede, ob es sich um das Setzen von Cookies, das Speichern von IP-Adressen oder die Erhebung sonstiger Daten der Besucher handelt.
Bundesdatenschutzgesetz (BDSG)
Die DSGVO hat als Teil des Unionsrechts Anwendungsvorrang vor dem Bundesrecht. Das BDSG hat in der Praxis deshalb nur noch Relevanz für diejenigen Bereiche, in denen Öffnungsklauseln der DSGVO gelten und deren Grundsätze konkretisiert und ausgestaltet werden; für den Datenschutz im Telemedienbereich gibt es keine solche Öffnungsklausel.
Telemediengesetz (TMG)
Bis zur Einführung des TTDSG galt, dass nach § 15 Abs. 1 TMG(alt) ein Diensteanbieter personenbezogene Daten eines Nutzers nur erheben und verwenden durfte, sofern dies erforderlich war, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Falls die Daten für Abrechnungszwecke erforderlich sind, auch über das Ende des Nutzungsvorgangs hinaus. Diese Vorschrift wurde mittlerweile durch § 25 TTDSG ersetzt; für die Anbieter von Telemedien gelten §§ 19 – 26 TTDSG.
Telekommunikationsgesetz (TKG)
Das TKG betrifft nur Anbieter von Telekommunikationsdienstleistungen, findet also direkte Anwendung für Websitebetreiber nur, sofern diese dort solche Dienstleistungen anbieten. Der Maßstab wird hier allerdings recht hoch angelegt: Der E-Mail-Dienst Gmail wurde vom EuGH nicht als Anbieter von Telekommunikationsdiensten definiert. In den §§ 91 ff. TKG(alt) waren früher Regelungen zum Datenschutz enthalten, die mit der Einführung des TTDSG nun auch entfallen sind; für die Anbieter von Telekommunikationsdiensten gelten §§ 3 – 18 TTDSG.
Fazit
Die gute Nachricht lautet also: Die relevanten Vorschriften sind überschaubar. Für Websitebetreiber ändert sich auch aufgrund der Einführung des TTDSG in Bezug auf IP-Adressen zunächst mal nichts. Nachdem man sich bezüglich der Anwendbarkeit von § 25 TTDSG nun auf die entsprechende Einschätzung des LfDI BaWü stützen kann, müssen letztendlich nur – wie gehabt – die bereits bekannten Vorschriften der DSGVO eingehalten werden.