unister, IP-Adressen, Richterhammer
Foto Daniel_B_photos, thx! (CC0 1.0 PD)

BGH-Urteil: IP-Adressen könnten gerechtfertigt sein bei Hackangriffen

Urteil des BGH: dynamisch vergebene IP-Adressen sind personenbezogen und dürfen unter Umständen dennoch von Website-Betreibern gespeichert werden.

In einem Grundsatz-Verfahren für mehr Anonymität beim Surfen im Internet stand heute eine Entscheidung des Bundesgerichtshofs (BGH) an. Der schleswig-holsteinische Piraten-Abgeordnete und Jurist Patrick Breyer will mit seiner Klage gegen die Bundesrepublik erreichen, dass die Betreiber von Websites nicht länger die IP-Adressen aller Besucher protokollieren dürfen.

Einwilligung der Besucher zur Speicherung von IP-Adressen

So möchte er erwirken, dass die Websites des Bundes keine IP-Adressen ohne Einwilligung der Besucher drei Monate lang speichern und damit Tracking ermöglichen, doch letztlich geht es ihm um ein generelles Verbot von IP-Logging ohne direkte Einwilligung. Die Bundesregierung hält jedoch dagegen, zur Aufrechterhaltung eines sicheren Webserverbetriebes sei eine Speicherung notwendig. Nur so ließen sich Angriffe abwehren und Angreifer identifizieren. Ohne die Auskunft von Zugangsanbietern hätten sie keine Möglichkeit bei dynamisch vergebenen IP-Adressen, Besucher anhand ihrer IP-Adresse zu identifizieren.

Der Rechtsstreit des Piraten-Abgeordneten Patrick Breyer für mehr Anonymität beim Surfen im Internet vor dem Bundesgerichtshof (BGH) fand heute seine Fortsetzung. In dieser Angelegenheit klagt Patrick Breyer seit 2008 gegen den Bund. Weil der Fall EU-Datenschutzregeln berührt, schaltete der BGH 2014 auch den Europäischen Gerichtshof ein. Der verlangte 2016 eine europarechtskonforme und damit einschränkende Auslegung des deutschen Telemediengesetzes (TMG). Danach ist die Speicherung und Verwertung der dynamischen IP-Adressen auch ohne Zustimmung des Nutzers erlaubt, wenn das für die Funktionsfähigkeit der Dienste erforderlich ist. Es muss im Einzelfall eine Abwägung mit dem Schutz personenbezogener Daten des Nutzers geben.

Speicherung nur in engen Grenzen zulässig

In seinem heutigen Urteil beruft sich der BGH auf den EuGH und bestätigt, dass eine dynamische IP-Adresse „als personenbezogenes Datum nur unter den Voraussetzungen des Paragrafen 15 Abs. 1 Telemediengesetz (TMG) gespeichert werden“ darf. Die IP-Adresse unterliegt demnach dem gleichen Schutz, der auch für personenbezogene Daten gilt und deren Speicherung nur in engen Grenzen zulässig ist. Laut EuGH ist die Speicherung nur europarechtskonform, wenn sie erfolgt, „um die generelle Funktionsfähigkeit der Dienste zu gewährleisten“ – also beispielsweise, um Angriffe effektiv abzuwehren. Dabei bedürfe es allerdings, so der Bundesgerichtshof, einer Abwägung der Datenschutzinteressen des Nutzers mit den Sicherheitsinteressen des Anbieters.

Demnach dürfen von Cyberattacken bedrohte Internetseiten zur Abwehr und Aufklärung solcher Angriffe je nach Einzelfall die IP-Adressen sämtlicher Besucher speichern. Die Speicherung ermöglicht bei Cyberattacken die Strafverfolgung. Denn die IP-Adressen können über den Provider einem Nutzer zugeordnet werden, so dass der identifiziert werden kann. Allerdings hat die beklagte Bundesregierung eine Begründungspflicht, warum die Speicherung der Nutzerdaten für die generelle Funktionsfähigkeit des Onlinedienstes notwendig ist.

Funktionsfähigkeit der Dienste darf nicht eingeschränkt weren

Der BGH verwies den Fall für eine endgültige Entscheidung an das Landgericht Berlin zurück. Denn er habe diese notwendige Abwägung „im Streitfall auf der Grundlage der vom Berufungsgericht getroffenen Feststellungen nicht abschließend“ vornehmen können. Das LG Berlin habe „keine hinreichenden Feststellungen dazu getroffen“ habe, ob die Speicherung der IP-Adressen des Klägers über das Ende eines Nutzungsvorgangs hinaus erforderlich ist, um die generelle Funktionsfähigkeit der jeweils in Anspruch genommenen Dienste zu gewährleisten. Es wurde bisher nicht geklärt, wie groß die Gefahr von Angriffen auf diese Internetseiten tatsächlich ist. Für die Karlsruher Richter ist das aber die zentrale Frage.

LG Berlin muss neu verhandeln

Der Fall muss deshalb am Berliner Landgericht noch einmal neu verhandelt werden. Dort soll nun geprüft werden, ob die Registrierung und Speicherung notwendig und verhältnismäßig ist. Der BGH betont in seiner Entscheidung aber den hohen Stellenwert der Abschreckung. „Dabei werden auch die Gesichtspunkte der Generalprävention und der Strafverfolgung gebührend zu berücksichtigen sein“, sagte der Vorsitzende Richter Gregor Galke in der Urteilsverkündung. Auch führte er aus. «Die Gefahr von Cyberangriffen kann man durchaus nicht pauschal bejahen». Die Urteilsbegründung liegt noch nicht im Volltext vor.

Endgültige Entscheidung steht weiter aus

Patrik Breyer wertete das Ergebnis als Erfolg und er zeigte sich erfreut darüber, «dass der Bundesgerichtshof die Erforderlichkeit der verdachtslosen und flächendeckenden Protokollierung unseres Surfverhaltens hinterfragt und dass er die Betreiberwünsche gegen die Grundrechte der Internetnutzer auf Informations- und Meinungsfreiheit abwägen will.“ Warum allerdings „die bisherigen Erkenntnisse für eine endgültige Entscheidung nicht ausgereicht haben sollen“, kann er nicht nachvollziehen.

Ein Sachverständigengutachten habe bereits ergeben, „dass – unabhängig vom ‚Angriffsdruck‘ – für die Absicherung von IT-Systemen eine Vielzahl von anderen, wesentlich effektiveren Mitteln und Methoden existieren“. Seiner Meinung nach bietet das Speichern von IP-Adressen generell keinen wirksamen Schutz gegen Hacker. In einem Interview mit der Tarnkappe gab Breyer zu bedenken: „Die Aufklärungsquote bei Internetdelikten ist auch ohne Vorratsdatenspeicherung überdurchschnittlich hoch. Nach Inkrafttreten der letzten Vorratsdatenspeicherung ist sie sogar zurück gegangen.“ Er äußerte nun die Hoffnung, im weiteren Verfahren noch ein Verbot der Protokolle erstreiten zu können.

Tarnkappe.info

Über

Antonia ist bereits seit Januar 2016 Autorin bei der Tarnkappe. Eingestiegen ist sie zunächst mit Buch-Rezensionen. Inzwischen schreibt sie bevorzugt über juristische Themen, wie P2P-Fälle, sie greift aber auch andere Netzthemen, wie Cybercrime, auf. Ihre Interessen beziehen sich hauptsächlich auf Literatur.