Cyberattacken abzuwehren, indem die Verantwortlichen ausfindig gemacht werden, ist für Webseitenbetreiber bislang nur begrenzt möglich: § 15 TMG erlaubt die Speicherung personenbezogener Daten nur soweit sie notwendig sind, um die konkrete Inanspruchnahme der Dienste durch einen Nutzer zu ermöglichen sowie zu Abrechnungszwecken, nicht jedoch, um die generelle Funktionsfähigkeit der Dienste zu gewährleisten. Hierbei relevante personenbezogene Daten sind insbesondere IP-Adressen, die auch in ihrer dynamischen Form personenbezogene Daten sind, wie der EuGH nun bestätigte (Az.: C-582/14). Im selben Urteil entschied der EuGH allerdings auch, dass die Speicherung besagter IP-Adressen entgegen § 15 TMG einer Interessenabwägung im Einzelfall zugänglich sein muss. Ein in diesem Zusammenhang relevantes Interesse kann beispielsweise die Abwehr von Cyberattacken darstellen.1

Eine einschlägige EU-Richtlinie (RL 95/46) schreibt vor, dass bei der Bewertung der Rechtmäßigkeit der Verarbeitung personenbezogener Daten immer eine Abwägung zwischen der Verwirklichung des berechtigten Interesses des Diensteanbieters und dem Interesse oder den Grundrechten und Grundfreiheiten der betroffenen Person vorgenommen werden muss. Ein solches berechtigtes Interesse der Diensteanbieter kann vor allem in der Aufrechterhaltung der Funktionsfähigkeit der Webseite auch über die konkrete Inanspruchnahme hinaus, die bereits durch § 15 TMG gerechtfertigt ist, bestehen. Die Abwehr von Cyberattacken, wie etwa DDoS-Attacken, dient der Aufrechterhaltung der Funktionsfähigkeit der Webseite und ist damit in die Interessenabwägung mit einzustellen.2

Zu Bedenken ist dabei auch, dass die Verbesserung der IT-Sicherheit wiederum dem Datenschutz dient, indem der Dienst vor unerlaubten Zugriffen auf die personenbezogenen Daten der Nutzer geschützt wird. Die Problemstellung liegt damit im Zentrum eines Konfliktfeldes, das den Ausgleich verschiedener Grundrechte zu erreichen versucht: Das Fernmeldegeheimnis, das Recht auf informationelle Selbstbestimmung (Datenschutz) und das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (IT-Sicherheit).3

Im vorliegenden Fall hatte der Landtagsabgeordnete Patrick Breyer gegen die Bundesrepublik Deutschland geklagt, um zu erreichen, dass dynamische IP-Adressen als personenbezogene Daten eingestuft werden und nicht mehr von den Webseiten des Bundes gespeichert werden dürfen. Die Einstufung der dynamischen IP-Adressen als personenbezogene Daten hat er erfolgreich erreicht: Der EuGH urteilte, dass die rechtlichen Mittel, eine Person durch Zusatzinformationen Dritter zu identifizieren, genügen, womit er eine vermittelnde Ansicht zwischen den bisher vorherrschenden objektiven und relativen Betrachtungsweisen wählt. Sein Hauptziel, die Speicherung der IP-Adressen zu verhindern, konnte Breyer jedoch nicht erreichen. Vielmehr muss es Webseitenbetreibern in Deutschland nun erlaubt werden, IP-Adressen zu Zwecken der Cyberabwehr zu speichern. Auf welche Art dies geschehen soll bleibt abzuwarten: Der BGH könnte den § 15 TMG im Rahmen einer unionsrechtskonformen Auslegung sehr weit interpretieren oder der Gesetzgeber könnte eine Gesetzesänderung veranlassen, die die bemängelten Punkte berücksichtigt. Die sich in der Zwischenzeit ergebende Rechtsunsicherheit wird maximal bis zum Inkrafttreten der DSGVO am 25.5.2018 bestehen: Diese neue EU-Verordnung sieht die Möglichkeit der Einzelfallabwägung in Art. 6 Abs. S. 1 bereits vor.4

Das in diesem Fall aufgeworfene Problem besteht dabei nicht nur bei Telemediendiensten, sondern darüber hinaus auch bei anderen deutschen Datenschutzvorschriften, wie § 32 Abs. 1 S. 1 BDSG (Beschäftigtendaten) und §§ 49 ff. MsbG (Smart Meter-Daten), da diese Vorschriften ebenfalls keine Einzelfallabwägung ermöglichen.5 Das TKG ermöglicht zwar ebenfalls keine Einzelfallabwägung, jedoch erlaubt es im Gegensatz zum TMG die Speicherung personenbezogener Daten zu Zwecken der generellen Aufrechterhaltung der Funktionsfähigkeit der Systeme.6

 

Referenzen

1. Ruhmann/Bernhardt, DuD 2017, 34, 35.
2. EuGH v. 19.10.2016 – C-582/14 mit Anm. Mantz/Spittka, NJW 2016, 3579, 3581 f.
3. Ruhmann/Bernhardt, DuD 2017, 34, 38.
4. EuGH v. 19.10.2016 – C-582/14 mit Anm. Mantz/Spittka, NJW 2016, 3579, 3583.
5. EuGH v. 19.10.2016 – C-582/14 mit Anm. Mantz/Spittka, NJW 2016, 3579, 3583.
6. Ruhmann/Bernhardt, DuD 2017, 34, 35.