Alle Jahre wieder – aber spätestens bei einem Regierungswechsel – begegnet uns in den Medien eine alte Bekannte: Die Vorratsdatenspeicherung. Zuletzt wünschte sich der neue FDP-Justizminister Marco Buschmann eine endgültige Streichung der Regelungen.
Ein kurzer Rückblick
In 2016 entschied der EuGH bereits über die Regelungen zur Vorratsdatenspeicherung aus Großbritannien und Schweden und stellte in diesem Zuge strenge Anforderungen auf.
Eine Einschätzung zu der deutschen Regelung steht allerdings noch aus. Voraussichtlich in der ersten Jahreshälfte 2022 wird der EuGH auf eine Vorlage des Bundesverwaltungsgerichts aus 2019 hin zur deutschen Version der Vorratsdatenspeicherung entscheiden, die bis dahin weiterhin ausgesetzt bleibt.
Die deutsche Variante der Vorratsdatenspeicherung sollte nach dem Entwurf eine Speicherfrist von zehn Wochen u. a. für IP-Adressen vorsehen. Neben den Regelungen für Offenbarungspflichten der Internetprovider wird auch diese Frist selbst im aktuellen Verfahren nun vom EuGH überprüft werden.
Parallel befasste sich das Bundesverfassungsgericht bereits mit der Thematik und entschied, dass die geplanten Vorschriften, die die sog. Bestandsdatenauskunft ermöglichen sollten, verfassungswidrig seien. Es sei stattdessen eine Regelung zu treffen, die den Zugriff auf Bestandsdaten nur in konkreten Verdachts- bzw. Gefahrensituationen zulassen, wobei IP-Adressen als eine Art der Bestandsdaten gesonderte Erwähnung als besonders schützenswert fanden.
Speicherfristen für IP-Adressen
Ohne in die politischen Dimensionen der Thematik einzusteigen, ist diese doch Anlass genug, sich einmal mit der generellen Regelungssituation zur Speicherung von IP-Adressen auseinander zu setzen. Wie IP-Adressen technisch funktionieren und welche Regelungen für Websitebetreiber gelten, haben wir in den ersten beiden Beiträgen der Themenreihe näher beleuchtet. Wie steht es aber eigentlich aktuell um die Speicherfristen von IP-Adressen – wer darf was wie lange speichern und warum?
Ganz konkrete Aussagen gab es zuletzt in 2014: Der BGH entschied, dass dynamische IP-Adressen für einen Zeitraum von sieben Tagen nach dem Ende der jeweiligen Internetverbindungen gespeichert werden dürfen. Hierzu seien Telekommunikationsanbieter gemäß § 100 Abs. 1 TKG(alt) befugt, um Gefahren für die Funktionsfähigkeit des Telekommunikationsbetriebs zu begegnen.
Damit schrieb der BGH inhaltlich ein Urteil aus 2011 fort: Damals entschied der Gerichtshof, dass eine Speicherung nach § 100 Abs. 1 TKG(alt) keinen konkreten Grund voraussetze, sondern anlasslos zur Abwehr abstrakter Gefahren für den Kommunikationsbetrieb erfolgen kann.
Außerhalb des Anwendungsbereichs des TKG – also für alle Personen und Stellen, die keine Telekommunikationsanbieter sind – gibt es allerdings keine so konkrete Vorgabe im Hinblick auf die Speicherfristen für IP-Adressen. Der BGH äußerte hierzu in 2017 lediglich, dass die Speicherung durch Websitebetreiber den Anforderungen des § 15 Abs. 1 TMG(alt) genügen müsse, nahm aber nicht konkret Stellung zu einer angemessenen Speicherdauer.
Wie sollten also Websitebetreiber die Speicherfristen für IP-Adressen festlegen, die z. B. im Zuge von Logfiles gespeichert werden?
Wichtig: Wir gehen an dieser Stelle davon aus, dass die Speicherung der IP-Adressen selbst rechtmäßig im Sinne der DSGVO und des TTDSG erfolgt, z. B. aufgrund einer technischen Notwendigkeit zum Betrieb der Website. Es geht also lediglich noch um die Angemessenheit der Speicherfrist.
Alles bleibt unklar
Das neue TTDSG, das die Datenschutzvorschriften u. a. der §§ 91 ff. TKG(alt) zum Umgang mit Bestands- und Verkehrsdaten nun in neuer Fassung enthält, liefert keine konkreten Vorgaben zur Speicherfrist. In § 9 Abs. 1 S. 2 TTDSG wurde die bereits aus § 96 Abs. 1 S. 3 TKG(alt) bekannte Regelung aufgenommen, dass die Speicherung von Verkehrsdaten über das Ende der Sitzung hinaus nur bei Notwendigkeit zulässig ist.
Auch nach den Grundsätzen der DSGVO gilt, dass die Speicherfrist an der Erforderlichkeit des Vorhaltens der jeweiligen Daten auszurichten ist (Art. 5 Abs. 1 lit. e DSGVO). Um diese pauschale Grundregel etwas handlicher zu gestalten, wird in der Praxis häufig auf die vom BGH für das TKG getroffene Faustregel „anlasslos für sieben Tage soweit erforderlich zur Bereitstellung des Dienstes (inkl. Gefahrenabwehr und Fehlerbehebung)“ auch außerhalb von dessen Anwendungsbereich zurückgegriffen.
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (kurz ULD) merkt hierzu bspw. an, dass eine Speicherung zu Sicherheitszwecken für sieben Tage von den Aufsichtsbehörden normalerweise nicht beanstandet wird – d. h. diese als notwendig für die jeweils angestrebten Zwecke akzeptiert wird.
Auch in unserer Beratungspraxis empfehlen wir bereits seit einiger Zeit eine siebentägige Speicherfrist (mehr lesen Sie hier).
Fazit
Letztlich hat sich also in den letzten Jahren trotz neuer Entscheidungen aus der Rechtsprechung, diverser Gesetzesänderungen und nun der Einführung des TTDSG nichts geändert: Weiterhin gibt es keine klar festgelegte Regelung, weiterhin spricht vieles für die in der Praxis verbreitete 7-Tage-Frist – völlige Rechtssicherheit gibt es allerdings nicht.