EuGH, Urt. v. 19.10.2016, C-582/14, Breyer
Dynamische IP-Adressen als personenbezogene Daten; Verarbeitung zur Funktionsfähigkeit öffentlich zugänglicher Websites als berechtigtes Interesse nach Art. 7 lit. f DSRL.
1 Kurzübersicht
Ein Nutzer hatte gegen die Speicherung dynamischer IP-Adressen durch Betreiber öffentlich zugänglicher Websites des Bundes geklagt. Die IP-Adressen wurden nach Ende einer Sitzung gespeichert, um Angriffe auf die Seiten nachvollziehen und verteidigen zu können. Der BGH legte dem EuGH Fragen zur Einordnung dynamischer IP-Adressen als personenbezogene Daten und zur Auslegung von Art. 7 lit. f der Datenschutzrichtlinie 95/46/EG (Vorgängervorschrift zu Art. 6 Abs. 1 lit. f DSGVO) vor.
2 Leitsätze
Dynamische IP-Adressen sind für den Websitebetreiber personenbezogene Daten, wenn der Betreiber über rechtliche Mittel verfügt, um mit zumutbarem Aufwand mithilfe Dritter (insbesondere des Zugangsanbieters) die Identität der betroffenen Person zu bestimmen (Rn. 43 ff.).
Art. 7 lit. f DSRL steht einer mitgliedstaatlichen Regelung entgegen, die einer öffentlichen Stelle die Speicherung von IP-Adressen zur Gewährleistung der Funktionsfähigkeit ihrer allgemein zugänglichen Online-Dienste gestattet, ohne eine einzelfallbezogene Abwägung zwischen dem Interesse an der Datenverarbeitung und dem Schutzinteresse der betroffenen Person zuzulassen. Die Gewährleistung der Funktionsfähigkeit einer öffentlich zugänglichen Website kann ein berechtigtes Interesse sein, muss aber mit den Rechten der Nutzer abgewogen werden (Rn. 60 ff.).
3 Bedeutung
Breyer ist die Ausgangsentscheidung für die datenschutzrechtliche Behandlung von IP-Adressen und für die Anerkennung der Gewährleistung der Netz- und Websitesicherheit als berechtigtes Interesse. Die Grundsätze gelten unter Art. 6 Abs. 1 lit. f DSGVO fort und werden über Erwägungsgrund 49 DSGVO ausdrücklich bestätigt.
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
BGH, Beschl. v. 23.06.2020, KVR 69/19, Facebook (Kartellverfahren)
Kartellrechtliches Eilverfahren des BGH zur Facebook-Datensammlung: Anknüpfungspunkte für die datenschutzrechtliche Beurteilung des Art. 6 Abs. 1 lit. b DSGVO, insbesondere zur engen Auslegung der vertragscharakteristischen Leistung.
EuGH, Urt. v. 07.12.2023, C-26/22 und C-64/22, SCHUFA Holding (Libération de reliquat de dette)
Dreistufige Prüfung nach Art. 6 Abs. 1 lit. f DSGVO bei Speicherung von Informationen aus öffentlichen Insolvenzregistern durch Wirtschaftsauskunfteien; Erforderlichkeit, Verhältnismäßigkeit und Verhältnis zu Widerspruchs- und Löschungsrecht.