Einstufung der IP-Adressen-Speicherungen zur Abwehr von Cyberangriffen

Der Bundesgerichtshof (BGH) befasst sich derzeit wieder mit der datenschutzrechtlichen Einstufung von IP-Adressen. Grundsätzlich ist die IP-Adresse ein personenbezogenes Datum. Bei dynamischen IP-Adressen (vom Provider zugewiesene zufällige IP-Adresse) war dies aber umstritten. Es muss bei einer Speicherung abgewogen werden, ob das Interesse der Internetseitenbetreiber aus sicherheitsrechtlichen Aspekten oder das Interesse des Nutzers der Internetseite überwiegt.

In dem länger andauernden Klageverfahren (Az. VI ZR 135/13) wird verhandelt, ob  es unzulässig ist eine dreimonatige Speicherung der IP-Adressen ohne Einwilligung des Internetseitennutzers zu veranlassen.

Die Verletzung wird vom Kläger auf das Recht auf informationelle Selbstbestimmung des Betroffenen sowie einen Verstoß gegen § 12 Telemediengesetz (TMG) gestützt. Es müsste demzufolge eine entsprechende Rechtsgrundlage oder eine Einwilligung des Betroffenen vorliegen, dann wäre eine Datenerhebung datenschutzkonform.

Es wurde argumentiert, dass es sich bei dynamischen IP-Adressen nicht um personenbezogene Daten handelt und das Vorhalten notwendig ist, um mögliche Angreifer der IT-Systeme zu identifizieren. In einem Vorabentscheidungsverfahren am Europäischen Gerichtshof (EuGH) wurde aber betont, dass es bereits für einen Personenbezug ausreicht, wenn die rechtliche Möglichkeit besteht, insbesondre für den Fall von Cyberangriffen aus strafrechtlichen Gründen den Anschlussinhaber vom Zugangsanbieter zu ermitteln. Demzufolge sind dynamische IP-Adressen grundsätzlich auch als personenbezogene Daten zu qualifizieren. Es wurde allerdings gleichzeitig klargestellt, dass nach Abwägung der berechtigten Interessen trotzdem eine Verarbeitung unter bestimmten Rahmenbedingungen rechtmäßig sein kann. Der BGH hat nun die Aufgabe abzuwägen, ob das Sicherheitsinteresse der Internetseitenbetreiber oder das Persönlichkeitsrecht des Internetseitennutzers überwiegen.

Das Urteil zur Frage, ob ein anonymes Surfen ermöglicht werden soll, wird am 16. Mai 2017 erwartet. Die Entscheidung hat eine große Relevanz für Internetseitenbetreiber, die derzeit zur Gefahrenabwehr und -identifizierung für einen gewissen Zeitraum entsprechende Daten protokollieren.

Tagged under:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Kontaktieren Sie uns

Office Radebeul
+ 49 (0)351 27220880

E-Mail:
info@datarea.de

Log in