Aktueller Channel Fokus:

Cloud Infrastructure Services

Rechtsanwalt zum EuGH-Urteil

IP-Adressen sind ­personenbezogen

| Redakteur: Dr. Stefan Riedl

Die Frage ob IP-Adressen personenbezogen sind, hat weitreichende Konsequenzen.
Die Frage ob IP-Adressen personenbezogen sind, hat weitreichende Konsequenzen. (Bild: © CrazyCloud - Fotolia.com)

Es ist ein großes Urteil mit großer Wirkung. Rechtsanwalt ­Matthias Bergt skizziert, welche Auswirkungen auf wen zukommen und welche Bußgelder drohen.

Wie ordnen Sie das EuGH-Urteil zu der Frage ein, ob IP-Adressen personenbezogene Daten sind?

Matthias Bergt, Rechtsanwalt, Von Boetticher Rechtsanwälte
Matthias Bergt, Rechtsanwalt, Von Boetticher Rechtsanwälte (Bild: Von Boetticher Rechtsanwälte)

Bisher war umstritten, ob dynamische IP-Adressen personenbezogene Daten sind. Der EuGH hat hier klar mit Ja geantwortet. Das betrifft jedes Unternehmen, das zum Beispiel einen WWW-Server in der Standard-Konfiguration betreibt oder auf seiner WWW-Seite fremde Inhalte wie Schriften, Stadtpläne oder Werbung einbindet - also praktisch jeden. Nur dass sich die wenigsten Firmen bisher darüber Gedanken gemacht haben. Dabei hängen an der Einstufung als personenbezogenes Datum viele rechtliche Konsequenzen - als wichtigste das grundsätzliche Verbot der Verarbeitung. Der EuGH hat zwar eine Tür für Ausnahmen vom Verbot geöffnet, aber ob die Ausnahme greift, muss in jedem Einzelfall geprüft werden.

Warum ist das Urteil so wichtig?

Der EuGH hat mit seinem Urteil nicht nur entschieden, ob IP-Adressen personenbezogene Daten sind, sondern auch die seit dem ersten Bundesdatenschutzgesetz 1977 offene Grundfrage weitgehend geklärt: Was macht überhaupt ein personenbezogenes Datum aus? Das ist für Juristen von enormer Bedeutung, gibt es doch Rechtssicherheit in dieser unendlich umstrittenen Frage.

Ergänzendes zum Thema
 
Der „Treppenwitz“ an der Entscheidung

Für die Wirtschaft wichtig - und lästig - ist, dass ein Personenbezug schnell anzunehmen ist. Konkret am Beispiel IP-Adresse: Für den Betreiber der WWW-Seite ist die IP-Adresse meist nur Datenmüll. Er kann aber eine Strafanzeige stellen, die Polizei kann beim Access-Provider den Inhaber der IP-Adresse erfragen, und über eine Akteneinsicht kommt die Information zum Betreiber der WWW-Seite - das genügt für den Personenbezug. Und wenn ein Datum personenbezogen ist, gilt das gesamte Datenschutzrecht, vom grundsätzlichen Verbot bis zu Anforderungen an die Datensicherheit.

Der zweite wichtige Teil des Urteils: Dass die IP-Adresse personenbezogen ist, heißt noch nicht, dass es verboten wäre, sie zu speichern. Denn das strikte Verbot im deutschen Telemediengesetz ist europarechtswidrig. Zumindest in besonderen Ausnahmefällen muss die Datenverarbeitung erlaubt sein.

Das Dumme daran ist, dass diese Entscheidung in jedem Einzelfall getroffen werden muss. Und schlimmer noch: Nicht nur beim Telemediengesetz muss jetzt in jedem Einzelfall geprüft werden, sondern auch in allen anderen Fällen, die bisher klar geregelt waren, etwa beim Scoring oder bei der Datenweitergabe an Schufa und Co. Was der EuGH bei der Definition des Personenbezugs an Rechtssicherheit gegeben hat, nimmt er an anderer Stelle gleich wieder weg - und noch mehr. Für die Wirtschaft, die auf klare, vorhersehbare Gesetze angewiesen ist, ist das eine Katastrophe - für Anwälte mit Spezialgebiet Datenschutzrecht klingeln die Kassen.

Für wen ist die Entscheidung denn vor allem relevant und warum?

Die Entscheidung betrifft praktisch jedes Unternehmen, denn praktisch jedes Unternehmen hat eine Homepage. Standard ist, dass IP-Adressen da umfassend gespeichert werden. Nachdem nun die Grundfrage des Personenbezugs geklärt ist und die vom EuGH aufgezeigte Ausnahme nur eine Ausnahme ist, ist damit zu rechnen, dass Gesetzesverstöße häufiger verfolgt werden.

Und auch sonst muss jedes Unternehmen genau prüfen, ob die vermeintlich anonymen Daten, die gespeichert werden, tatsächlich anonym sind. Big Data als deutlichstes Beispiel hat ein Problem, aber auch bei den ohne Namen gespeicherten Daten über die Nutzung einer Produktionsmaschine kann Personenbezug vorliegen. Da kann für viele noch ein böses Erwachen kommen, mit Bußgeldern und Abmahnungen, im schlimmsten Fall mit einer plötzlichen Stilllegung des ganzen Betriebs.

Was haben die Betroffenen denn nun konkret zu beachten?

Durch das EuGH-Urteil sind neue juristische Baustellen entstanden.
Durch das EuGH-Urteil sind neue juristische Baustellen entstanden. (Bild: © nmann77 - Fotolia.com)

IP-Adressen dürfen nicht mehr einfach so gespeichert werden - und sie dürfen auch nicht mehr einfach so an Dritte übermittelt werden. Genau das passiert aber, wenn auf einer WWW-Seite Inhalte von fremden Servern eingebunden sind. Die erste Aufgabe ist nun, sich einen Überblick zu verschaffen, wo überhaupt personenbezogene Daten anfallen. Schon das wird bei vielen einen Schreck auslösen - dass die tolle neue Website jeden einzelnen Besucher an diverse US-Unternehmen verrät, dazu genaue Informationen über die aufgerufene Seite und damit den gelesenen Text sowie das verwendete Endgerät, ist den meisten Unternehmen überhaupt nicht bewusst. Die meisten Webdesigner haben hier bisher geschlafen - und sollten dringend aufwachen, weil ihre Werke bisher schlicht mangelhaft sind. Für die Übersicht, die übrigens schon seit vielen Jahren gesetzliche Pflicht ist, braucht man technischen Sachverstand, der weiß, wo welche Daten drin stecken - und rechtlichen, der Hinweise auf typische Gefahrenquellen geben und die gefundenen Daten bewerten kann. Ist die Übersicht da, kommt die Stunde der Datenschutz-Juristen: Gibt es eine Erlaubnis für die Datenverarbeitung? Das kann eine Einwilligung sein - die üblichen Cookie-Einverständnis-Overlays reichen nicht - oder eine gesetzliche Erlaubnis. Der EuGH hat den Weg frei gemacht, bei der gesetzlichen Erlaubnis überall die besonderen Bedingungen des Einzelfalls zu berücksichtigen. Mit der richtigen Begründung lassen sich also auch Datenverarbeitungen rechtfertigen, die bisher verboten waren. Umgekehrt besteht aber auch das Risiko, dass ein Gericht das grüne Ampellicht plötzlich auf Rot umschaltet.

Wie hoch sind die Bußgelder?

Die Bußgelder für verbotene Datenverarbeitungen sind bisher noch relativ gering - über 300.000 Euro pro Verstoß nur in ganz besonderen Fällen, in der Praxis sind sie viel niedriger, oft gibt es gar kein Bußgeld -, aber das ändert sich: Ab dem 25. Mai 2018 drohen Bußgelder bis zu 20.000.000 Euro oder vier Prozent des weltweiten Konzernjahresumsatzes, je nachdem, was höher ist, und die Behörden dürfen nur noch in Ausnahmefällen auf Bußgelder verzichten. Wer jetzt in Datenschutz-Compliance investiert, kann also am Ende viel Geld sparen, zumal auch die Aufsichtsbehörden mehr Personal bekommen sollen, also mehr prüfen können.

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44342268 / Aktuelles & Hintergründe)