Ihr Kontakt
Die Frage, unter welchen Voraussetzungen IP-Adressen von Internetnutzern Personendaten im Sinne des Datenschutzrechts darstellen, ist in Europa seit Jahren Gegenstand von kontroversen Debatten. In der Schweiz besteht zwar bereits seit September 2010 ein höchstrichterliches Urteil zu dieser Frage. Da dieses Verfahren jedoch den „Sonderfall“ der Firma Logistep betraf, liefert die Entscheidung keine konkreten Antworten für die gängigen Praktiken im E-Commerce und im Online-Marketing. In einem kürzlich veröffentlichten Aufsatz in der Zeitschrift PinG – Privacy in Germany – zeigen Lukas Bühlmann und Michael Schüepp daher unter anderem auf, dass – entgegen einer verbreiteten Lehrmeinung – (dynamische und statische) IP-Adressen allein in diesen Bereichen ganz überwiegend nicht als Personendaten zu qualifizieren sind. Im Folgenden werden einige Aspekte des Aufsatzes kurz dargestellt.
Gesetzliche Ausgangslage
Das Schweizer Datenschutzrecht weist gegenüber dem EU- und insbesondere gegenüber dem deutschen Recht grundlegende Unterschiede auf. Einer davon betrifft bereits den Anwendungsbereich der datenschutzrechtlichen Regelungen. Gemeinsam ist den beiden Rechtsordnungen zwar die Tatsache, dass die Vorgaben des Datenschutzrechts nur dann eingehalten werden müssen, wenn „Personendaten“ bearbeitet werden. Ferner ist auch die gesetzliche Definition von „Personendaten“ in beiden Rechtsordnungen vergleichbar. In der Schweiz werden darunter „alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen“ verstanden. Im Unterschied zum EU- und zum deutschen Recht werden in der Schweiz jedoch nicht nur Personendaten von natürlichen Personen, sondern auch von juristischen Personen geschützt. Dieser Umstand spielt auch bei der Qualifikation von IP-Adressen eine gewisse Rolle. Jedenfalls ist die Frage, ob IP-Adressen Personendaten darstellen, vor diesem Hintergrund für die gesamte Online-Branche von grundlegender Bedeutung.
Der Fall Logistep
Ausgehend von der gesetzlichen Begriffsbestimmung steht bei der Qualifikation von IP-Adressen regelmässig die Frage im Vordergrund, ob der Nutzer der Adresse oder zumindest der jeweilige Adressinhaber für den Datenbearbeiter „bestimmbar“ ist. Im Fall Logistep hat sich das Schweizer Bundesgericht erstmals ausführlich dazu geäussert, was unter „Bestimmbarkeit“ zu verstehen ist (vgl. dazu auch BR-News vom 05.12.2010).
Das Bundesgericht betonte dabei letztlich, dass eine abstrakte Feststellung, ob es sich insbesondere bei (dynamischen) IP-Adressen um Personendaten handelt, nicht möglich sei. Denn es müsse aufgrund der Umstände des Einzelfalls entschieden werden, ob der jeweilige Datenbearbeiter bzw. ein Dritter den mit der Identifizierung verbundenen Aufwand nach der allgemeinen Lebenserfahrung auf sich nehmen wird oder nicht.
Im Fall von Logistep gelangte das Bundesgericht letztlich zum Schluss, dass die Nutzer bzw. Inhaber der IP-Adressen bestimmbar waren und daher Personendaten vorlagen. Logistep sammelte im Auftrag von Urheberrechtsinhabern IP-Adressen der Anbieter von Raubkopien in P2P-Netzwerken. Gestützt auf diese IP-Adressen wirkten die Rechteinhaber auf die Einleitung von Strafverfahren hin, in deren Rahmen die Inhaber der Adressen durch ein Auskunftsbegehren beim jeweiligen Access-Provider ausfindig gemacht werden können.
Die Besonderheit des Logistep-Falls lag folglich darin, dass ein Verdacht auf die Begehung einer Straftat vorhanden war und die Access-Provider deshalb gesetzlich zur Auskunft über die Inhaber von IP-Adressen verpflichtet waren. Da das Geschäftsmodell von Logistep daher gerade auf die Identifikation der Nutzer der IP-Adressen abzielte, ging das Bundesgericht im konkreten Fall zu Recht von Personendaten aus.
IP-Adressen allein sind nur ausnahmsweise Personendaten
Im Unterschied zum Fall Logistep fehlt es bei den üblichen Praktiken im E-Commerce und im Online-Marketing in der Regel an einem Verdacht auf strafrechtlich relevante Verhaltensweisen. Folglich besteht in diesem Bereich regelmässig keine Möglichkeit, Personen hinter einer IP-Adresse im Rahmen eines Strafverfahrens bzw. in zulässiger Weise über eine Auskunft des Access-Providers namentlich zu identifizieren. Deshalb stellt sich insbesondere die Frage, welche anderen Möglichkeiten zur Identifikation in diesen Fällen vorhanden sind und dazu führen können, dass die Bestimmbarkeit bejaht werden muss.
Nach einer verbreiteten Lehrmeinung können die Inhaber von sog. statischen IP-Adressen stets aus (legalen) öffentlich einsehbaren Datenbanken ermittelt werden. Aus diesem Grund sollen solche IP-Adressen immer Personendaten darstellen. Diese Einschätzung ist jedoch unzutreffend. Nur bei einem sehr kleinen Teil der IP-Adressen ist der Inhaber tatsächlich über entsprechende Register identifizierbar. Es handelt sich dabei um Personen, welche IP-Adressen bzw. IP-Adress-Bereiche direkt von den regionalen Vergabestellen bezogen haben. Man spricht dabei auch von IP-Adressen im engeren Sinne. Solche IP-Adressen werden meist nur von grösseren Unternehmen, Universitäten oder anderen Organisation bezogen, d.h. in der Regel von juristischen Personen – was allerdings für die Qualifikation als Personendaten anders als in Deutschland irrelevant ist. Nur bei dieser Form von IP-Adressen ist der Inhaber bereits aufgrund der IP-Adresse selbst bestimmbar und daher grundsätzlich von Personendaten auszugehen.
Der ganz überwiegende Teil der IP-Adressen wird demgegenüber von den regionalen Vergabestellen an Access-Provider zugeteilt, welche dann in einem nächsten Schritt Adressen aus ihren Adress-Pools an ihre Kunden weiter vergeben. Bei der Abfrage der Datenbanken erscheint in diesen Fällen nur der jeweilige Access-Provider und nicht die Person, welche die Adresse von diesem Provider erhalten hat.
Insofern stellen diese IP-Adressen für sich allein in der Regel keine Personendaten dar. Nur wenn beispielsweise einem Website-Betreiber zusätzliche Daten, wie z. B. aus der Eröffnung eines Benutzerkontos, zur Verfügung stehen und der Website-Betreiber ein ausreichendes Interesse hat, den Aufwand zur Identifizierung auf sich zu nehmen, kann der Anschlussinhaber bestimmbar und seine IP-Adresse damit grundsätzlich zu einem Personendatum werden. Allerdings kann auch in diesem Fall – insbesondere bei dynamischen IP-Adressen – grundsätzlich nur dann eine Zuordnung der IP-Adresse zu den von einem Nutzer bekannt gegebenen Daten (z. B. Vor- und Nachnamen oder E-Mail-Adresse) erfolgen und daher die Bestimmbarkeit gegeben sein, wenn der Zeitpunkt des Zugriffs (sog. Timestamp) auf eine Website mit einer bestimmten IP-Adresse sowie der Zeitpunkt der Bekanntgabe der Daten ebenfalls gespeichert wird.
An diesen Einschätzungen ändert sich grundsätzlich auch durch die Einführung der neuen IPv6-Adressen nichts. Denn auch bei diesen Adressen wird es kein zentrales, öffentlich zugängliches Register geben, aus welchem alle Inhaber ermittelt werden könnten.
Konsequenzen für die datenschutzrechtliche Beurteilung
Vor diesem Hintergrund ist bei blossem Vorliegen einer IP-Adresse die Bestimmbarkeit des Anschlussinhabers ganz überwiegend nicht gegeben. Es ist daher nur in sehr wenigen Fällen von Personendaten auszugehen, wobei primär „nur“ juristische Personen betroffen sind. Bei diesen und anderen Inhabern, welche über eine Abfrage von Datenbanken ermittelt werden können, liegt der Bestimmbarkeit jedoch eine bewusste, freiwillige Zustimmung zugrunde, welche als eine allgemeine Zugänglichmachung zu qualifizieren ist (vgl. Art. 12 Abs. 3 DSG). Damit nehmen sie nach Ansicht der Autoren in Kauf und willigen ein, dass ihre IP-Adressen zu den im Online-Kontext üblichen Zwecken bearbeitet werden. Entsprechende Datenbearbeitungen führen daher, selbst bei Missachtung der Datenbearbeitungsgrundsätze, vermutungsweise zu keinen Verstössen gegen das Schweizer Datenschutzrecht. Anders als bei der Bearbeitung von IP-Adressen, die erst gestützt auf weitere Informationen, wie z. B. aus der Registrierung in einem Online-Shop, einer konkreten Person zugeordnet werden können, ist in diesen Fällen nach Ansicht der Autoren folglich zentral, was als übliche Datenbearbeitung zu beurteilen ist, mit welcher der Adressinhaber im Zeitpunkt der Zuteilung seiner IP-Adresse rechnen musste. Musste der Adressinhaber mit einer Datenbearbeitung nicht rechnen, ist diese in der Regel unzulässig.
Der vollständige Aufsatz mit dem Titel „Bestimmung der Bestimmbarkeit – zur Qualifikation von IP-Adressen im Schweizer Datenschutzrecht“ ist in der März-Ausgabe (Ausgabe 02/2014) der Zeitschrift „PinG – Privacy in Germany“ abgedruckt und kann unter den hier verlinkten Websites bezogen werden.
Weitere Informationen:
- Schweizer Datenschutzgesetz (DSG)
- Urteil des Bundesgerichts in Sachen Logistep (BGE 136 II 506)
- Deutsches Bundesdatenschutzgesetz (BDSG)
Ansprechpartner: Lukas Bühlmann & Michael Schüepp