Welcher Browser wird verwendet, welches Betriebssystem ist installiert, in welcher Stadt befindet sich der Nutzer gerade: Webseitenbetreiber erfahren sehr viel über ihre Nutzer, bereits der Aufruf einer Webseite gibt etliche Informationen preis. Aber ab wann werden die Nutzer eindeutig identifizierbar? Und welche Daten darf ein Webseitenbetreiber generell speichern?
Der Europäische Gerichtshof (EuGH) hat heute entschieden, dass dynamische IP-Adressen zu den personenbezogenen Daten zählen, da Webseitenbetreiber einzelne Nutzer über Zusatzinformationen wie angegebene E-Mail-Adressen oder Namen identifizieren können. Hätte sich das Gericht auf diese Aussage beschränkt, wäre dies für Datenschützer bereits ein Erfolg und dynamische IP-Adressen dürften nicht langfristig ohne Einwilligung der Nutzer gespeichert werden. Doch das Gericht ist außerdem der Meinung, dass Webseitenbetreiber dann bestimmte personenbezogene Daten sammeln dürfen, wenn sie ein berechtigtes Interesse daran haben - etwa, um sich gegen Hackerangriffe zu schützen. Das ist bislang im deutschen Datenschutzgesetz nicht vorgesehen; IP-Adressen dürfen nur gespeichert werden, wenn sie zur Abrechnung benötigt werden.
Jedes Gerät, das mit dem Internet verbunden ist, erhält eine eindeutige IP-Adresse. Sie funktioniert ähnlich wie eine Postadresse und wird benötigt, damit die Geräte untereinander kommunizieren können. So wird beispielsweise die angeforderte Webseite am korrekten Endgerät dargestellt und nicht versehentlich auf einem Smartphone in Südkorea. Eine IP-Adresse besteht aus Zahlen und Punkten.
Zwar kennen die Webseitenbetreiber die IP-Adressen ihrer Nutzer, aber welche realen Personen sich dahinter verbergen, erfahren sie nicht. Das wissen nur Provider wie die Telekom oder Vodafone, sie vergeben die Adressen. Diese sind meist dynamisch, weil die Internetanbieter in bestimmten Zeiträumen neue Adressen generieren. Ein Nutzer geht also nicht immer mit derselben IP-Adresse ins Netz.
Geklagt hat Patrick Breyer, der Fraktionsvorsitzende der Piratenpartei im schleswig-holsteinischen Landtag. Er hält Internetnutzer bereits für identifizierbar, wenn der Betreiber die IP-Adressen speichert, die bei jedem Besuch übermittelt werden. Über den Provider lässt sich schließlich der Nutzer hinter der Adresse bestimmen. Daher hält Breyer IP-Adressen für personenbezogene Daten.
Der Kläger hält das Urteil für einen "Angriff auf das deutsche Datenschutzrecht"
Breyer hat daher die Bundesrepublik Deutschland verklagt. Sie betreibt mehrere Internetseiten, etwa www.bmi.bund.de für das Innenministerium oder www.bundestag.de für das deutsche Parlament. Die IP-Adressen der Besucher werden für mehrere Monate gespeichert, wie bei vielen privaten Webseiten auch. Breyer fürchtet, dass der Staat Profile über die Nutzer anlegen könnte, etwa wenn sich jemand auf der Website des Gesundheitsministeriums über illegale Drogen erkundigt. Die Bundesrepublik sagt, die Webseitenbetreiber speicherten die Adresse nur, um Angriffe abzuwehren und die Angreifer zu verfolgen.
Auch private Anbieter sind von dem Urteil betroffen. Es "hat Auswirkungen auf alle Geschäftsmodelle, die die Nutzung der IP-Adresse voraussetzen, von Online-Werbung bis zu Smart TVs", sagt Martina Krauss, Referentin für europäische Wirtschafts- und Netzpolitik beim Branchenverband Bitkom. "Private Webseitenbetreiber müssen zum Teil ihre Abläufe umstellen, etwa die Anonymisierung der IP-Adresse. Außerdem ergeben sich für viele neue Pflichten, die mit personenbezogenen Daten einhergehen, etwa die Auskunftspflicht gegenüber den Besuchern der Webseite." Breyer hält das Urteil für völlig unzureichend: "Dass die EU das im deutschen Telemediengesetz verankerte klare Verbot einer Surfprotokollierung aushebelt und die Verantwortung auf Einzelfallentscheidungen der Gerichte abschiebt, ist ein Angriff auf das deutsche Datenschutzrecht und die digitalen Grundrechte." Es sei unklar, ob Internetnutzer vor einer Aufzeichnung des Surfverhaltens geschützt sind.
2007 erreichte Breyer vor dem Landgericht Berlin, dass die Webseite des Bundesjustizministeriums keine IP-Adressen mehr von ihm speichern durfte. Daraufhin erstellte das Ministerium nur noch anonyme Statistiken über die Besucher der Seite. Andere Seiten des Bundes waren allerdings nicht betroffen.
Der BGH hatte einen Teil der aktuellen Klage dem EuGH vorgelegt, jetzt liegt der Fall wieder beim Bundesgerichtshof. Breyer hat bereits angekündigt, bis zum Bundesverfassungsgericht zu ziehen.