Ihr Kontakt
Sowohl in Deutschland als auch in der Schweiz wird seit Jahren darüber diskutiert, ob IP-Adressen Personendaten im Sinne des Datenschutzrechts sind. Die Frage ist für die gesamte Online-Branche bedeutsam, weil die Vorgaben der Datenschutzgesetze nur bei der Bearbeitung von Personendaten beachtet werden müssen. In einem kürzlich veröffentlichten Urteil hat das Landgericht Berlin ausführlich dazu Stellung genommen. Gemäss dem Urteil sind dynamische IP-Adressen aus Sicht eines Website-Betreibers alleine noch keine Personendaten über den Nutzer dieser Adressen. Sie stellen nur dann Personendaten dar, wenn sich der Nutzer auf der Website durch die Angabe seines Namens (z.B. in einem Bestell- oder Registrierungsformular) identifiziert und zudem der Zeitpunkt des Seitenzugriffs gespeichert werde. Nur in diesem Fall sei es dem Website-Betreiber rechtlich und technisch mit einem verhältnismässigen Aufwand möglich, den Nutzer der IP-Adresse zu bestimmen.
Streit um datenschutzrechtliche Qualifikation von IP-Adressen
Die datenschutzrechtlichen Vorgaben hat sowohl nach deutschem als auch nach Schweizer Recht grundsätzlich nur zu beachten, wer Personendaten bzw. – nach deutscher Terminologie – personenbezogene Daten bearbeitet. Nach den gesetzlichen Definitionen gelten als Personendaten, alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen. Die Konkretisierung dieser allgemein gehaltenen Umschreibungen haben die Gesetzgeber jedoch der Praxis überlassen. Die damit verbundene Rechtsunsicherheit zeigt sich insbesondere im Streit über die Beurteilung von IP-Adressen, welcher trotz einer Vielzahl von Gerichtsurteilen in Deutschland (vgl. z.B. BR-News vom 6.12.2010) und einem höchstrichterlichen Entscheid in der Schweiz (vgl. BR-News vom 5.12.2010) immer noch andauert.
Im Mittelpunkt steht dabei die Frage, ob die Person, welche eine IP-Adresse für das Surfen im Internet benutzt, für die Website-Betreiber bestimmbar bzw. indentifizierbar ist. In der Regel wird dabei zwischen dynamischen und statischen IP-Adressen unterschieden. Bei statischen IP-Adressen, welche ein Access-Provider einem bestimmten Anschlussinhaber fest zugewiesen hat, wird – vielfach gestützt auf die (unzutreffende) Annahme, dass die Anschlussinhaber stets aus öffentlich zugänglichen Datenbanken hervorgehen, – wohl mehrheitlich immer von Personendaten ausgegangen. Besonders umstritten ist aber vor allem in Deutschland, ob dynamische IP-Adressen, welche die Anschlussinhaber grundsätzlich nur für die Dauer einer Internetverbindung zugewiesen erhalten, für einen Website-Betreiber Personendaten darstellen.
Speicherung der IP-Adressen von Nutzern in Log-Files
Genau diese Frage stand auch im Zentrum des Rechtsstreits, den das Landgericht Berlin zu beurteilen hatte (Aktenzeichen: 57 S 87/08). Ein Nutzer beanstandete, dass beim Zugriff auf diverse Plattformen der deutschen Bundesbehörden und Bundesorgane seine (dynamische) IP-Adresse sowie das Datum und die Uhrzeit des Zugriffs über den Nutzungsvorgang hinaus in den Server-Log-Files des Betreibers gespeichert werden. Der Nutzer sah darin einen Verstoss gegen §15 Abs. 4 des deutschen Telemediengesetzes (TMG) sowie eine Verletzung seines Grundrechts auf informationelle Selbstbestimmung und klagte auf Unterlassung.
Theoretische Möglichkeit zur Identifizierung reicht nicht – Ablehnung der absoluten Theorie
In einem ersten Schritt setzte sich das Gericht mit zwei entgegenstehenden Ansätzen auseinander. Dabei lehnte es den Ansatz der „absoluten Bestimmbarkeit“ ab, der namentlich von verschiedenen Datenschützern vertreten wird. Danach soll es für die Qualifikation von IP-Adressen als Personendaten ausreichen, dass irgendein Dritter, z.B. ein Access-Provider, über das zur Identifikation des Anschlussinhabers notwendige Zusatzwissen verfügt. Auf die Möglichkeiten des Website-Betreibers, an dieses Zusatzwissen zu gelangen, kommt es danach nicht an.
Nach Auffassung des Gerichts führt dieser Ansatz jedoch zu einer uferlosen und damit unpraktikablen Ausdehnung des Datenschutzes, die vom Gesetzgeber so nicht gewollt sei. Es schloss sich daher dem relativen Ansatz an. Entscheidend sei deshalb, ob die Identifikation des Nutzers für den Website-Betreiber technisch und rechtlich möglich ist und nicht einen Aufwand erfordert, der ausser Verhältnis zum Nutzen der Identifikation für den Website-Betreiber stehe. Es brauche folglich jeweils eine Abwägung im Einzelfall.
Speicherung ohne Aufzeichnung des Zugriffszeitpunkts – keine Bearbeitung von Personendaten
Vor diesem Hintergrund entschied das Landgericht zunächst, dass bei der Speicherung einer dynamischen IP-Adresse in den Server-Log-Files eines Website-Betreibers ohne gleichzeitige Speicherung des Zugriffszeitpunkts keine Personendaten bearbeitet werden. Ohne den Zeitpunkt eines Zugriffs könne der Website-Betreiber auch unter Ausschöpfung aller technischen Möglichkeiten die Person, die die dynamische IP-Adresse benutzt hat, nicht bestimmen.
Auch Speicherung der dynamischen IP-Adresse mit Zugriffszeitpunkt noch keine Bearbeitung von Personendaten
In einem nächsten Schritt gelangt das Landgericht zum Schluss, dass ein Website-Betreiber selbst bei einer Speicherung der dynamischen IP-Adresse und des Zugriffszeitpunkts, noch keine Personendaten bearbeitet. Nach dem Ansatz der absoluten Bestimmbarkeit würde man hier bereits aufgrund der möglichen Identifizierung des Nutzers durch den Access-Provider von Personendaten ausgehen. Dabei werde jedoch nicht berücksichtigt, dass der Website-Betreiber selbst nicht über dessen Zusatzwissen verfüge und für ihn die Bestimmbarkeit des Nutzers deshalb nur bei einer Auskunftserteilung durch den Access-Provider gegeben sei. Eine solche Auskunftserteilung sei jedoch nur im Rahmen eines Strafverfahrens gegenüber den Strafverfolgungsbehörden möglich. Im Übrigen dürfe der Access-Provider solche Auskünfte aus (datenschutz-)rechtlichen Gründen nicht erteilen und praktisch habe er daran in der Regel auch kein eigenes Interesse. Eine solche Auskunftserteilung bleibe deshalb in der Praxis die Ausnahme. Nach einer Abwägung der Interessen und unter Berücksichtigung weiterer Elemente entschied das Landgericht deshalb, dass der Website-Betreiber selbst bei einer Speicherung der dynamischen IP-Adresse und des Zugriffszeitpunkts im vorliegenden Fall noch keine Personendaten bearbeitet.
Dynamische IP-Adresse nur Personendatum mit Zusatzinformationen aus Registrierung oder Bestellung
Nach Ansicht des Landgerichts sind dynamische IP-Adressen aus Sicht von Website-Betreibern somit grundsätzlich nur dann Personendaten, wenn sich ein Nutzer diesem gegenüber bspw. im Rahmen einer Registrierung oder einer Bestellung identifiziert und seinen Klarnamen bekanntgibt. Vorausgesetzt sei aber auch hier, dass der Zugriffszeitpunkt vom Website-Betreiber ebenfalls registriert werde. Denn der Website-Betreiber könne den Klarnamen des Nutzers nur dadurch mit der jeweiligen IP-Adresse verknüpfen, indem er einen Abgleich der IP-Adresse mit dem Zeitpunkt des jeweiligen Zugriffs und mit dem Zeitpunkt der unter dem Klarnamen erfolgten Kontaktaufnahme durchführe. Dadurch sei er vielfach auch in der Lage, das Surfverhalten des identifizierten Nutzers während dessen Besuch auf der Website unter der bekannten IP-Adresse nachzuvollziehen. In diesen Fällen sei folglich von einer Bearbeitung von Personendaten auszugehen.
Dieser Beurteilung steht nach Ansicht des Gerichts auch die Tatsache nicht entgegen, dass über die IP-Adresse grundsätzlich nur der Anschlussinhaber, nicht aber der konkrete Nutzer, ermittelt werden kann. Denn auch die Inhaberschaft eines Anschlusses, von dem aus Handlungen vorgenommen wurden, könne ein Personendatum darstellen. Im Übrigen sei die Anzahl der Nutzer, die an einem bestimmten Rechner Zugang haben, begrenzt und in den meisten Fällen überschaubar, weshalb auch von der Bestimmbarkeit der Person des Nutzers ausgegangen werden könne.
Unzulässige Speicherung über den Nutzungsvorgang hinaus
Abschliessend hatte das Landgericht somit zu prüfen, ob die datenschutzrechtlichen Anforderungen des deutschen Rechts eingehalten werden, wenn dynamische IP-Adressen und der Zugriffszeitpunkt über den Nutzungsvorgang hinaus gespeichert werden und der Nutzer dem Website-Betreiber seinen Klarnamen angegeben hat. Das Gericht gelangte zum Schluss, dass dies nicht der Fall ist.
Zunächst betont das Gericht, dass der Nutzer durch die Eingabe seiner Klardaten in einem Website-Formular keine Einwilligung in die Erhebung und Speicherung der von ihm verwendeten IP-Adresse in Verbindung mit dem Zugriffszeitpunkt erteile. Die Einwilligung beschränke sich in diesem Fall inhaltlich auf den mit dem jeweiligen Formular verbundenen Zweck.
Darüber hinaus enthält das deutsche Recht nach Ansicht des Gerichts für diesen Fall auch keine gesetzliche Erlaubnis. Von der gesetzlichen Erlaubnis von Bearbeitungen, die für die Ermöglichung der Inanspruchnahme eines Telemediums erforderlich sind (§15 Abs. 1 TMG), sei nur die Registrierung und Speicherung bis zum Ende des Nutzungsvorgangs erfasst. Für die Speicherung der IP-Adressen über den Nutzungsvorgang hinaus bestehe demgegenüber keine gesetzliche Erlaubnis. Die vom Website-Betreiber geltend gemachten Gründe, namentlich die Abwehr von DOS-Angriffen, waren für das Gericht folglich nicht massgebend.
Fazit
Vor diesem Hintergrund hat das Landgericht Berlin die Klage des Nutzers teilweise gutgeheissen. Dem Website-Betreiber wurde die über den Nutzungsvorgang hinausgehende Speicherung der IP-Adresse des Nutzers zusammen mit dem Zugriffszeitpunkt verboten, sofern der Nutzer während seines Nutzungsvorgangs selbst seine Personalien angegeben hat.
Das Urteil des Landgerichts ist für Website-Betreiber insofern erfreulich, als es den insbesondere von Datenschützern vertretenen, zu weitgehenden absoluten Ansatz zur Qualifikation von IP-Adressen ablehnt. Ferner zeigt das Urteil zumindest für dynamische IP-Adressen auf, unter welchen Umständen die Datenbearbeitungen an den Vorgaben des Datenschutzgesetzes zu messen sind und wann nicht. Für Website-Betreiber stellt sich jedoch das Problem, dass nicht ausgeschlossen werden kann, dass auch Nutzer mit statischer IP-Adresse ihre Website besuchen. Allerdings dürften nach richtiger Auffassung auch dort nur in selteneren Fällen überhaupt Personendaten vorliegen, weil die Inhaber der statischen IP-Adressen meist ebenfalls nur über eine Auskunft des Access-Providers identifiziert werden können. Zumindest nach Schweizer Recht wäre aber selbst in diesen Fällen fraglich, ob die heute üblichen Bearbeitungen durch Website-Betreiber gegen die Vorgaben des Datenschutzrechts verstossen. Auf die weitere Entwicklung der Diskussion darf man deshalb gespannt sein.
Weitere Informationen:
- Deutsches Bundesdatenschutzgesetz (BDSG)
- Deutsches Telemediengesetz (TMG)
- Schweizer Datenschutzgesetz (DSG)
Ansprechpartner: Lukas Bühlmann & Michael Schüepp