Darf ein Onlineshopbetreiber IP-Adressen seiner Kunden ohne Einwilligung speichern? 

Wann dürfen IP-Adressen ohne Einwilligung gespeichert werden?

§ 176 Abs. 1 TKG: Telekommunikationsprovider (Anbieter öffentlich zugänglicher Telekommunikationsdienste, z.B. Telekom) sind berechtigt und verpflichtet IP-Adressen 10 Wochen lang zu speichern (ursprünglich in § 113 a, b TKG geregelt).

Diese gesetzliche Regelung wurde durch das EuGH-Urteil vom 20.09.2022 als verfassungswidrig erkannt (siehe LiiDU-Unterlagen vom 21.09.2022). Im vorliegenden Fall hatten die Telekom und ein anderer Access-Provider gegen die oben genannten Regelungen aus dem deutschen TKG geklagt, die sie verpflichtet hatten, Verkehrs- und Standortdaten (und auch IP-Adressen) ihrer Kunden auf langen Vorrat zu speichern. Da bei einer solchen Speicherung sehr genaue Rückschlüsse auf das Privatleben von Personen gezogen werden könnten, stellt eine solche Speicherung einen Grundrechtseingriff dar.

Höhere deutsche Gerichte haben seit Jahren entschieden, dass so ein Eingriff nur gerechtfertigt werden kann, wenn er z.B. der Bekämpfung schwerer Kriminalität und Verhütung schwerer Bedrohungen der öffentlichen Sicherheit dient. Jetzt hat der Europäische Gerichtshof noch hinzugefügt, dass so ein Grundrechtseingriff auch gerechtfertigt werden kann, wenn die nationale Sicherheit bedroht ist.

Urteil des Oberlandesgerichts Frankfurt am Main (Az. 13 U 105/07) und BGH-Entscheidung aus 2014:

Access Provider dürfen IP Adressen für bis zu 7 Tage speichern. Hintergrund für dieser Entscheidungen ist die Nachverfolgbarkeit bei Betrugsfällen. Wenn bspw. auf der eigenen Website Betrug anfällt, kann seitens des Webseitenbetreibers beim Provider Auskunft nach § 22 TTDSG verlangt und die mit der IP Adresse verknüpfte physische Adresse herausverlangt werden.

Eine solche Rechtsgrundlage gibt es für Betreiber von Webseiten nicht.

Webseitenbetreiber selbst dürfen jedoch nicht ohne die explizite Einwilligung des Nutzers die IP-Adresse speichern. Eine Speicherung von personenbezogenen Daten (IP Adresse = personenbezogenes Datum) ist ohne Rechtsgrundlage nicht zulässig.

Eine Rechtsgrundlage würde nach Art. 6 DSGVO z.B. nur bei expliziter Einwilligung bzw. bei einem Vertragsverhältnis vorliegen.

Stand: 28.09.2022

Worin besteht der Unterschied der drei Einwilligungsarten nach Art. 6 DSGVO,  Art. 49 DSGVO und § 25 TTDSG?

Was steht im Art. 6 DSGVO?

Art. 6 DSGVO - Rechtmäßigkeit der Verarbeitung

(1)Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a)Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b)die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c)die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d)die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e)die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f)die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Was steht im Art. 49 DSGVO?

Art. 49 DSGVO - Ausnahmen für bestimmte Fälle

(1) Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete Garantien nach Artikel 46, einschließlich verbindlicher interner Datenschutzvorschriften, bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig:

a)die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde,

b)die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich,

c)die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich,

d)die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig,

e)die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich,

f)die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben,

g)die Übermittlung erfolgt aus einem Register, das gemäß dem Recht der Union oder der Mitgliedstaaten zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, aber nur soweit die im Recht der Union oder der Mitgliedstaaten festgelegten Voraussetzungen für die Einsichtnahme im Einzelfall gegeben sind.

Was steht in § 25 TTDSG?

§ 25 TTDSG - Schutz der Privatsphäre bei Endeinrichtungen

1.Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.

2.Die Einwilligung nach Absatz 1 ist nicht erforderlich,

 (1) wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder

(2) wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Worin besteht der Unterschied der drei Einwilligungsarten nach Art. 6 DSGVOArt. 49 DSGVO und § 25 TTDSG?

Art. 6 DSGVO - Rechtmäßigkeit der Verarbeitung

Art. 6 DSGVO bildet die Rechtsgrundlage für alle Arten der Verarbeitung personenbezogener Daten.

Art. 49 DSGVO - Ausnahmen für bestimmte Fälle

Art. 49 DSGVO findet Anwendung, wenn eine Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation stattfindet. Die Norm wird restriktiv ausgelegt und gilt für alltägliche immer wiederkehrende Übermittlungen, z.B. Hotelbuchungen, Flugreservierungen, Überweisungen oder Warenbestellungen.

§ 25 TTDSG - Schutz der Privatsphäre bei Endeinrichtungen

§ 25 TTDSG findet Anwendung bei allen Fällen, bei denen personenbezogene Daten über Endeinrichtungen gespeichert werden, die nicht technisch zwingend nötig sind, um den entsprechenden Dienst zu erbringen, z.B. Cookies oder Analysetools.

Stand: 21.09.2022

Ist ein https-Protokoll verpflichtend?

Welche Rechte kann man als Besucher einer Website aus der Tatsache ableiten, dass der Seitenbetreiber nur ein http – Protokoll zum Aufruf der Seite anbietet – und nicht ein (verschlüsseltes) https-Protokoll?

Sowohl die DSGVO, das BDSG als aus das TTDSG schützen grundsätzlich personenbezogene Daten beim Website-Besuch. Die Regelungen im TTDSG stammen ursprünglich aus dem IT-Sicherheitsgesetz (das Regelungen für das TMG (alte Fassung) enthielt).

§ 19 Abs. 4 TTDSG regelt, dass Sicherheits-Vorkehrungen für Telemedien zu treffen sind. „Eine Vorkehrung nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.“

Wie kann ich diese Rechte als Betroffener geltend machen?

Mögliche Ansprüche, wenn eine besuchte Website nicht mit dem https-Protokoll verschlüsselt ist:

Vorgehensweise (wahlweise oder kumulativ):

Art. 19 Abs.1 TTDSG dürfte dabei ein einklagbares Recht darstellen.

Sowie Beschwerde bei der Aufsichtsbehörde, vgl. § 28 Abs. 1 Ziff. 10 TTDSG.

Stand: 13.07.2022

Google Tag Manager: kann dieser datenschutzkonform eingesetzt werden?

Ausführliche Informationen über den Google Tag Manager finden Sie in unserem Blog.

Speicherung von Informationen in der Endeinrichtung nach § 25 Abs. 2 TTDSG: wann brauche ich keine Einwilligung?

Wann ist die Speicherung von Informationen in der Endeinrichtung nach § 25 Abs. 2 TTDSG „unbedingt erforderlich“, damit der Anbieter eines Telemediendienstes einen vom Nutzer „ausdrücklich gewünschten“ Telemediendienst zur Verfügung stellen kann?

Mit anderen Worten:

Wann brauche ich keine Einwilligung?

Schutz der Privatsphäre bei Endeinrichtungen, § 25 TTDSG:

(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.

(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,

 1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder

2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Hamburger Beauftragte für Datenschutz und Informationsfreiheit sagt folgendes:

„Außerhalb der genannten Voraussetzungen ist die Nutzung von Cookies, Web Storage, Browser-Fingerprinting und ähnlichen Technologien nur nach einer den Erfordernissen der DSGVO entsprechenden Einwilligung zulässig. Die Ausnahmen sind bereits dem Wortlaut nach eng auszulegen. So findet sich in Abs. 2 Nr. 2 die Formulierung „unbedingt erforderlich“, was vor dem Hintergrund der Gesetzesbegründung als technische, nicht jedoch wirtschaftliche Notwendigkeit zu verstehen ist. Regelmäßig wird daher die Reichweitenmessung, das Nutzertracking für Werbezwecke usw. für die Zurverfügungstellung eines Telemediendienstes nicht unbedingt erforderlich und daher nach dem TTDSG einwilligungspflichtig sein.“

Mehr Infos

Eine Rechtsanwaltskanzlei vertritt folgende Auffassung:

„Unter die unbedingte Erforderlichkeit des § 25 Abs. 2 Nr. 2 TTDSG kann nicht nur die technische Erforderlichkeit zur Bereitstellung des Dienstes fallen, sondern auch die Erforderlichkeit zur Einhaltung gesetzlicher Pflichten oder zur Erbringung vertraglich geschuldeter Leistungen. Erforderlich bleibt eine konkrete Einzelfallbetrachtung, welche auch den Spielraum des ausdrücklich vom Nutzer gewünschten Telemediendienstes berücksichtigt. Dem mancherorts geäußerten Wunsch, Regelbeispiele für die unbedingte Erforderlichkeit in den Wortlaut der Vorschrift mit aufzunehmen, ist der Gesetzgeber nicht nachgekommen. Auf Cookie-Ebene sind beispielweise Cookies zur dauerhaften Speicherung von Spracheinstellungen oder zum Anbieten einer Warenkorbfunktion typische Beispiele für die unbedingte Erforderlichkeit von Cookies.“

Mehr Infos

Ergebnis:

Die Ausnahme nach § 25 Abs. 2 TTDSG ist für den Fall vorgesehen, dass Speicherung oder Zugriff für Telemedienanbieter unbedingt erforderlich sind, um Nutzer:innen einen ausdrücklich gewünschten Telemediendienst zur Verfügung zu stellen. Nach konservativer Auffassung sind damit die technisch erforderlichen Cookies gemeint. Sie dienen z.B. dem Betrieb einer Webseite,  der Umsetzung von technischer Sicherheit oder auch der Speicherung von Warenkörben in Onlineshops. Letzteres ist aber eng verbunden mit der vertraglich geschuldeten Leistung, die technisch umgesetzt werden muss.

Wer also z.B. Browser-Fingerprinting einsetzt, um eine notwendige technische Sicherheit einer Website umzusetzen (und dies auch entsprechend begründen kann), braucht keine Einwilligung des Nutzers, sondern kann von der unbedingten Erforderlichkeit der Anwendung ausgehen, sofern er sie begründen kann.

Stand: 27.04.2022

Was regelt das TTDSG?

Das TTDSG regelt:

Zweck des TTDSG:

v.a. Anpassung der TK- und TM-Anbieter an die geänderten Anforderungen der DSGVO und verbindliche gesetzliche Cookie-Regelung.

Stand: 26.01.2022