Ihr Kontakt
Handelt es sich bei dynamischen IP-Adressen um Personendaten oder nicht? Das ist die zentrale Frage eines Rechtsstreits zwischen der Bundesrepublik Deutschland und einem privaten Nutzer. Dieser ist nicht damit einverstanden, dass seine IP-Adresse nach dem Besuch von Webseiten staatlicher Stellen über die Nutzungsdauer hinaus gespeichert werde. Die erstinstanzliche Beurteilung des Sachverhalts durch ein Amtsgericht verlief für ihn jedoch erfolglos. In der Folge beurteilte das Landgericht Berlin den Fall und gab dem Antrag auf Unterlassung der Datenspeicherung teilweise statt (vgl. dazu BR-News vom 03.11.2013). Doch weder der Nutzer noch die beklagte Bundesrepublik Deutschland waren mit dem Ergebnis einverstanden. Man zog die Sache weiter vor den Bundesgerichtshof (BGH). Dieser hat das Verfahren nun unterbrochen um vorab zwei Fragen zur Anwendbarkeit des Datenschutzrechts auf IP-Adressen vom EuGH klären zu lassen. Das Schweizerische Bundesgericht hat in einem ähnlichen Fall schon Stellung bezogen und betont, dass die Umstände des Einzelfalls ausschlaggebend sind.
Datenschutz nur bei Personendaten
Sobald Daten verarbeitet werden, die einer bestimmten Person oder einer bestimmbaren Person zugeordnet werden können, müssen die rechtlichen Vorgaben des Datenschutzgesetzes beachtet werden. Dies gilt in der Schweiz wie auch in Deutschland auf gleiche Weise. Nur, wann liegen solche Personendaten vor? Dem Gesetzestext ist keine aufschlussreichere Definition zu entnehmen und auch wenn die Schweizer (vgl. dazu BR-News vom 5.12.2010) und deutsche Rechtsprechung (vgl. z.B. BR-News vom 6.12.2010) schon Urteile dazu hervorgebracht haben, herrscht nach wie vor Unklarheit darüber, ob (insb. dynamische) IP-Adressen als Personendaten zu werten sind.
Entscheid am Landgericht Berlin – der relative Ansatz
Ein Lösungsansatz zur Frage der Rechtsmässigkeit der Speicherung von dynamischen IP-Adressen präsentierte das Landgericht Berlin im Urteil vom 31. Januar 2013 (57 S 87 / 08). Nach Ansicht des Gerichts reicht die theoretische Möglichkeit zur Identifizierung des Nutzers der Webseite durch deren Betreiber nicht aus. Vielmehr müsse die Identifizierung technisch und rechtlich möglich sein, ohne dabei einen unverhältnismässigen Aufwand hervorzurufen. Weiter verlangt der relative Ansatz, dass neben der IP-Adresse auch der Zugriffszeitpunkt und Zusatzinformationen des Nutzers aus einem Registrierungs- oder Bestellvorgang, dem Webseite-Betreiber direkt zugänglich sind. In dieser Kombination stellen dynamische IP-Adressen nach landgerichtlicher Meinung Personendaten dar.
BGH unterbricht Verfahren – Vorfragen an den EuGH
Mit dem Entscheid des Landgerichts Berlin waren weder der Kläger noch die Beklagte einverstanden. Beide legten in der Folge Revision beim Bundesgerichtshof ein. Dieser hat das Verfahren unterbrochen und reicht dem EuGH die folgenden zwei Fragen zur Vorabentscheidung ein:
- Stellt eine IP-Adresse, die ein Dienstanbieter im Zusammenhang mit dem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum dar, wenn lediglich ein Dritter über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt?
- Angenommen es handle sich bei IP-Adressen um Personendaten, kann der Zweck, die generelle Funktionsfähigkeit des Telemediums zu gewährleisten, die Speicherung der Daten über das Ende des jeweiligen Nutzungsvorgangs hinaus rechtfertigen, wenn der Nutzer zu einer solchen, andauernden Speicherung nicht eingewilligt hat?
Der europäische Gerichtshof hat somit, ähnlich wie schon das Schweizerische Bundesgericht (BGer) im Logistep-Entscheid (BGE 136 II 508), die Fragen zu beantworten, ob IP-Adressen Personendaten darstellen und ob die Speicherung dieser mit den datenschutzrechtlichen Grundsätzen der Erkennbarkeit und Zweckgebundenheit vereinbar sind.
Schweizerische Rechtsprechung
Das Bundesgericht hielt im Logistep-Entscheid fest, dass die gesammelten dynamischen IP-Adressen im konkreten Fall als Personendaten einzustufen sind, weil die Bestimmbarkeit der betroffenen Person gegeben ist. Auch bestätigte es einen Verstoss gegen die Grundsätze der Erkennbarkeit und Zweckgebundenheit der Datenbearbeitung. Als für die Einzelfallbeurteilung entscheidendes Kriterium wurde der Aufwand genannt, der für die Bestimmung der betroffenen Person zu betreiben ist. Im Gegensatz zur Berliner Rechtsprechung, nach der die Person für den datenspeichernden Webseiten-Betreiber erkennbar sein muss, spielt es laut Bundesgericht keine Rolle, dass die Person erst einem Dritten durch den Erhalt der Daten erkennbar wird.Die Grundsätze des höchstrichterlichen Schweizer Entscheids und eine genaue Betrachtung der Vergabe von IP-Adressen sowie der Möglichkeit zur Identifizierung von Anschlussinhabern über allgemein zugängliche Datenbanken verdeutlicht jedoch, dass (statische und dynamische) IP-Adressen allein ganz überwiegend keine Personendaten darstellen.
Schlussbetrachtung
Wie der EuGH insbesondere die Frage beantworten wird, ob es sich bei IP-Adressen, die mit Hilfe des Zusatzwissens eines Dritten eine Person bestimmbar machen, um Personendaten handelt, ist gerade im Hinblick auf Schweizerische Rechtsprechung mit Spannung zu erwarten. Das Bundesgericht hat diese Frage im Einzelfall bejaht. Ob auf das Vorabentscheidungsersuchen des BGH ähnlich geantwortet wird, erfahren Sie wiederum an dieser Stelle.
Weitere Informationen:
- BR-News vom 3. September 2013: «LG Berlin: dynamische IP-Adressen sind für sich alleine keine Personendaten der Adressnutzer»
- BR-News vom 6. Dezember 2010: «Logistep-Urteil: Bundesgericht qualifiziert IP-Adressen NICHT grundsätzlich als Personendaten»
- BR-News vom 5. Dezember 2010: «OLG Hamburg: IP-Adressen sind nicht personenbezogen – a never ending story»
- Deutsches Bundesdatenschutzgesetz (BDSG)
- Deutsches Telemediengesetz (TMG)
- Schweizer Datenschutzgesetz (DSG)
Ansprechpartner: Lukas Bühlmann