BGH-Urteil zu dynamischen IP-Adressen

Dynamische IP Adressen sind personenbezogene Daten und unterliegen somit dem Datenschutz – so lautet das Urteil des Bundesgerichtshof (BGH). Webseiten Betreibern ist eine Speicherung nur unter Umständen erlaubt.

Vergangene Woche verkündete der Bundesgerichtshof in einer Pressemitteilung sein Urteil „zur Zulässigkeit der Speicherung von dynamischen IP-Adressen“. Demnach sind diese personenbezogene Daten und unterliegen damit den Regeln des Datenschutzes. Das BGH folgt damit der Auffassung des Europäischen Gerichtshofs das bereits in derselben Sache zu diesem Schluss kam.

Grundlage des Urteils ist die Klage des Piraten-Politikers Patrick Breyer gegen die Bundesrepublik Deutschland. Breyer hatte dagegen geklagt, dass diverse Webseiten der Bundesregierung die dynamischen IP-Adressen der Surfer über das Ende des jeweiligen Nutzungsvorgangs hinaus speichern.

Eine IP- Adressen ist eine aus Zahlen bestehende Adresse im Internet. Die auf dem Internetprotokoll(IP) basierenden Ziffernfolgen werden dem jeweiligen mit dem Internet verbundenen Gerät zugeordnet. Bei den meisten Verbrauchern handelt es sich in der Regel um eine dynamische IP-Adresse, die nur für einen kurzen Zeitraum der Person zu zuordnen ist.

Die Bundesregierung sieht das Thema anders und argumentiert damit, dass die Speicherung notwendig wäre um den sicheren Betrieb der Webserver zu gewährleisten, der Gedanke dabei ist, Angreifer zu identifizieren und Angriffe abzuwehren. Sie beharrt darauf, dass es unmöglich ist dynamisch vergebene IP-Adressen von Besucher, ohne die Mitwirkung der Zugangsanbieter, zu Identifizieren.

Das vom höchsten deutschen Gericht gesprochene Urteil verlangte in seiner Entscheidung eine Abwägung zwischen Sicherheit und Datenschutz. Mit Bezug auf die Entscheidung des Europäischen Gerichtshof (EuGH) wird eine „dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Internetseite“ vergeben werden als datenschutzrechtlich personenbezogenes Datum eingestuft. Zugleich offenbart das Urteil eine Grauzone für Betreiber von Webseiten. Demnach ist es diesen erlaubt zur Abwehr und Aufklärung von Cyberattacken im Einzelfall vorsorglich die IP-Adressen sämtlicher Besucher zu speichern, wenn eine Gefährdung durch Hacker vorliegt. Eine genaue Grenze ab wann ein Server als gefährdet einzustufen ist wird aber nicht definiert.

Komplikationen in der Auslegung dieser Grauzone sind hier vorprogrammiert. Aus diesem Grund hat auch der BGH den Fall von Breyer an das Landgericht Berlin zurückverwiesen zur genaueren Klärung. Die Bundesregierung sieht offenbar nicht all ihre Portale in gleicher Weise gefährdet. Interessant wäre hier zu wissen, woran die Bundesregierung, das tatsächliche Bedrohungspotenzial definiert.

Beispielsweise wird im Kaspersky Security Bulletin „Statistik für 2016“ unter anderem folgende Werte veröffentlicht - Zitat:

„ Im Laufe des Jahres waren 31,9 Prozent der Computer von Internetnutzern mindestens einmal einer Webattacke ausgesetzt.

Die Lösungen von Kaspersky Lab wehrten 758.044.650 Attacken ab, die von Internet-Ressourcen aus verschiedenen Ländern der Welt durchgeführt wurden.“

Sehr gute Zahlen – da lässt sich ein Gefahrenpotenzial sehr schön herleiten – ein Schelm wer Böses dabei Denkt.

Mir stellt sich daher auch die Frage, ob es sich hierbei um den Versuch handelt, eine Minatur-Vorratsdatenspeicherung zu etablieren – sozusagen als keines Bonbon, da die ganzgroße Lösung nicht in der gewünschten Form realisiert werden konnte?

Sollte nicht eher in die Richtung gedacht werden, wie der Webauftritt der Bundesregierung gehärtet werden kann gegenüber Angriffen?