EuGH erlaubt Surfprotokollierung oder Datenspeicherung? Irrtum!

In den Medien habe ich drei Irrtümer über das heutige EuGH-Urteil zu Surfprotokollierung und IP-Adressen (Az. C-582/14) gelesen, denen ich entgegen treten möchte:

1. Der Gerichtshof hat keineswegs entschieden, dass unser Surfverhalten im Internet oder unsere IP-Adresse zur Abwehr von Angriffen, zur “Missbrauchsbekämpfung” oder zur “Störungsbeseitigung” verdachtslos auf Vorrat gespeichert werden dürfte. In Abs. 60 des Urteils heißt es nur, Anbieter von Internetportale “könnten … ein berechtigtes Interesse daran haben, die Aufrechterhaltung der Funktionsfähigkeit der von ihnen allgemein zugänglich gemachten Websites über ihre konkrete Nutzung hinaus zu gewährleisten.” Ob das tatsächlich der Fall ist und deswegen die Internetnutzung aller Bürger auf Vorrat gespeichert werden darf, werden die deutschen Gerichte entscheiden. Ich werde dafür kämpfen, dass rechtstreue Internetnutzer nicht aufgezeichnet werden und anonym surfen dürfen. Allenfalls eine zielgerichtete Speicherung der Quelle eines Angriffs wäre akzeptabel, nicht aber die dauerhafte und flächendeckende Aufzeichnung des Surfverhaltens völlig ungefährlicher Nutzer. Auch bei einer Speicherdauer von beispielsweise sieben Tagen wäre es inakzeptabel, das Surfverhalten der gesamten Bevölkerung – also von Nutzern, die mit Angriffen nicht das Entfernteste zu tun haben – flächendeckend aufzuzeichnen und sie dadurch Fehler- und Missbrauchsrisiken auszusetzen. Ein Gerichtsgutachten und die Praxis vieler Internetportale (z.B. Bundesdatenschutzbeauftragter, Bundesjustizministerium) belegen, dass Internetangebote auch ohne totale Aufzeichnung des Nutzerverhaltens sicher betrieben werden können. Das Bundesverfassungsgericht hat entschieden, dass Internetnutzer vor einer Aufzeichnung ihres Nutzungsverhaltens geschützt sind.
2. Der Gerichtshof hat das deutsche Telemediengesetz nicht für ungültig erklärt. Das Telemediengesetz darf nur nicht mehr so ausgelegt werden, dass es eine Datenverarbeitung zur Gewährleistung der generellen Funktionsfähigkeit eines Dienstes von vornherein ausschließt. Ob und inwieweit eine Surfprotokollierung dazu geeignet, erforderlich und verhältnismäßig ist, wurde vom EuGH nicht entschieden und wird der Bundesgerichtshof zu entscheiden haben. Das Telemediengesetz bestimmt nach wie vor (§ 15 TMG): “Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten).“
3. Der Gerichtshof hat keineswegs entschieden, dass das Datenschutzrecht nur dann gelte, wenn die speichernde Stelle selbst den Betroffenen identifizieren könne (sogenannter relativer Begriff des Personenbezugs). In Abs. 47 des Urteils wird vielmehr darauf abgestellt, dass sich Internet-Portalbetreiber anhand der in Surfprotokollen (Logfiles) enthaltenen IP-Adressen zulässigerweise – beispielsweise im Fall von “Cyberattacken” – “an die zuständige Behörde … wenden” können, damit diese die erforderlichen Informationen vom Internetzugangsanbieter anfordert und die Strafverfolgung einzuleitet. Die französische und englische Sprachfassung des Urteils ist an dieser Stelle deutlicher als die deutsche Übersetzung. Der Urteilsspruch stellt darauf ab, ob es dem Betreiber möglich ist, den Anschlussinhaber anhand der Verbindungsdaten des Zugangsanbieters “bestimmen zu lassen”. Dies ist – beispielsweise im Fall einer Strafanzeige – stets der Fall. Nicht gefordert wird also, dass der Anbieter selbst eine IP-Adresse identifizieren oder die Identität in Erfahrung bringen kann. Gut so, denn das Recht auf informationelle Selbstbestimmung muss auch vor falschem Verdacht, unberechtigten Abmahnungen, Datenklau, Datenverlust und Datenmissbrauch schützen.