bedeckt München 24°

BGH-Urteil:Bedrohte Websites dürfen IP-Adressen speichern

BGH-Urteil zu Surfprotokollen

Der Bund darf bei seinen Internetseiten die persönlichen Zugangsdaten der Nutzer eingeschränkt speichern.

(Foto: dpa)
  • Der BGH hat entschieden: Von Cyberattacken bedrohte Internetseiten dürfen zur Abwehr und Aufklärung solcher Angriffe je nach Einzelfall vorsorglich die IP-Adressen sämtlicher Besucher speichern.
  • Die Entscheidung fiel in einem Rechtsstreit, den der Piraten-Politiker Patrick Breyer seit gut zehn Jahren gegen die Bundesrepublik führt.
  • Ob das Surfverhalten auf den Seiten des Bundes protokolliert werden darf, steht immer noch nicht fest. Der Fall muss deshalb am Berliner Landgericht noch einmal neu verhandelt werden.

Das Anschauungsmaterial zum Urteil des Bundesgerichtshofs (BGH) hat die Wirklichkeit erst vor wenigen Tagen geliefert. Mehr als 200 000 Organisationen und Personen in 150 Ländern sind von einer massiven Cyber-Attacke betroffen. Nun hat der BGH entschieden: Bedrohte Websites dürfen Surfprotokolle ihrer Nutzer anfertigen - der Datenschutz muss zurückstehen, wenn das Risiko von Hackerangriffen besteht. Das gilt jedenfalls für bestimmte Regierungsportale, wird aber zweifellos auch vielen Unternehmen die Möglichkeit eröffnen, Nutzerdaten zu speichern.

Anlass des BGH-Urteils war eine Klage des Piraten-Politikers Patrick Breyer, die eigentlich auf eine Ausweitung des Datenschutzes gerichtet war. Breyer, dessen Partei kürzlich aus dem schleswig-holsteinischen Landtag herausgewählt worden war, hatte dagegen geklagt, dass diverse Internetportale der Bundesregierung die dynamischen IP-Adressen der Surfer speichern. Das sind technisch notwendige Nummernfolgen, die sich ständig ändern, aber einen Rückschluss auf die Identität des Nutzers erlauben, wenn sie mit anderen Daten des Internetproviders zusammengeführt werden. Die Bundesregierung argumentierte, sie zeichne die Protokolldaten auf, um Angriffe auf ihre Portale abzuwehren und die Strafverfolgung von Hackern zu ermöglichen. Breyer dagegen verwies auf die enge Fassung des Telemediengesetzes, das eine Datenspeicherung nur erlaubt, soweit dies zum Surfen "erforderlich" ist.

Sicherheit versus Datenschutz

Auf dem Weg durch die Instanzen landete Breyers Klage schließlich beim Europäischen Gerichtshof (EuGH) - und dort deutete sich im vergangenen Herbst bereits eine Lockerung des Datenschutzes im Dienste der IT-Sicherheit an. Der EuGH stufte dynamische IP-Adressen zwar als personenbezogene und damit eigentlich geschützte Daten ein. Zugleich aber kam er den Betreibern von Webseiten einen entscheidenden Schritt entgegen. Die IP-Adressen der Nutzer dürften grundsätzlich aufgezeichnet und gespeichert werden, um sich gegen Hacker-Angriffe zu wappnen.

Zwar war laut EuGH eine Abwägung notwendig - Sicherheit versus Datenschutz. Dennoch eröffnete das oberste EU-Gericht damit Speichermöglichkeiten, die über das hinausgingen, was man in Deutschland bis dahin für erlaubt hielt. Blieb allein die Frage, ob dafür das deutsche Telemediengesetz geändert werden muss. Laut BGH ist das nicht erforderlich. Es genüge vielmehr, die geltenden Regeln im Sinne des EuGH auszulegen.

Wirklich kompliziert wird nun die Frage sein, wie weit eigentlich die neu geschaffenen Speichermöglichkeiten reichen. Den konkreten Fall hat der BGH an das Landgericht Berlin zurückverwiesen, und zwar deshalb, weil die Bundesregierung selbst offenbar nicht alle ihre Portale gleichermaßen bedroht sieht; die von Breyer monierte Speicherpraxis gilt nur für einen Teil ihrer Online-Angebote. Nach der Logik des Urteils werden sich aber auch viele Unternehmen auf ein "berechtigtes Interesse" berufen können, ihre Sicherheit durch Surfprotokolle zu verbessern. Die Deutsche Bahn etwa, die auch vom jüngsten Angriff betroffen war, ebenso Banken und Krankenhäuser. Auch ein Konzern wie Sony war 2014 einem Hackerangriff ausgesetzt.

Doch auch aus Sicht des BGH gilt es hier, eine Balance zwischen Online-Sicherheit und Datenschutz zu finden. Nach den Worten des BGH-Senatsvorsitzenden Gregor Galke muss auch das Grundrecht auf "informationelle Selbstbestimmung" berücksichtigt werden. Auch deshalb ist es denkbar, dass der Gesetzgeber sich der Sache doch noch annehmen muss. Denn wie lange die Daten gespeichert werden dürfen, lässt sich dem BGH-Urteil zumindest nicht explizit entnehmen. Dort heißt es lediglich, sie dürften verwendet werden, soweit dies zur Gewährleistung der "generellen Funktionsfähigkeit" der Dienste erforderlich ist.

Patrick Breyer verwies auf seiner Internetseite darauf, dass die Speicherung von IP-Adressen ohnehin nur von sehr begrenztem Nutzen sei. Ein Sachverständiger habe in seinem Verfahren festgestellt, dass für die Absicherung von IT-Systemen eine Vielzahl von anderen, wesentlich effektiveren Mitteln und Methoden existiere. Im Zeitalter internationaler Netzwerke sei es "illusorisch", auf die abschreckende Wirkung einer späteren Verfolgung der Hacker mithilfe der gespeicherten Daten zu setzen. "Ein effektiver Schutz vor Angriffen ist alleine durch technische Absicherung der Systeme möglich."

Piratenpartei Endgegner des Überwachungsstaates

Pirat Patrick Breyer

Endgegner des Überwachungsstaates

Patrick Breyer ist Fraktionsvorsitzender der Piraten in Schleswig-Holstein. Seine Partei wird gerade bedeutungslos, doch Breyers Mission ist noch nicht beendet.    Von Marvin Strathmann