Links & Law - Internetrecht und Suchmaschinenoptimierung für Juristen & Webmaster

Internetrecht für Juristen und Webmaster Suchmaschinen & Such-maschinenoptimierung Blog zu Internetrecht und Suchmaschinenoptimierung Links & Law SEO-Angebote Urteile zum Internetrecht Literatur zu SEO und Internetrecht  Lebenslauf / Impressum 

Sind IP-Adressen personenbezogene Daten?

Das LG Berlin hat mit Urteil vom 6.9.2007 (Az. 23 S 3/07) entschieden, dass Logdaten wie URL's und Referrer aufgezeichnet werden dürfen. Das beklagte Bundesjustizministerium hatte nur insoweit Berufung gegen ein Urteil erster Instanz (AG Berlin, Az. 5 C 314/06) eingelegt, das dem Ministerium die Speicherung von IP-Adressen  als personenbezogene Daten als rechtswidrig untersagte. Die Richter begründeten dies wie folgt:


"Die Daten, die die Beklagte ... speicherte ..., stellen nach zutreffender Ansicht personenbezogene Daten im Sinne des § 15 Abs. 1 TMG dar. Nach zutreffender Ansicht sind IP-Adressen personenbezogene Daten. Nach Auffassung des Gerichts gilt das auch im Verhältnis zur Beklagten und sonstigen Betreibern von Internetportalen, auf die Zugriff genommen werden kann ...Nach zutreffender Ansicht des Hessischen Datenschutzbeauftragten ... ist es durch die Zusammenführung der personenbezogenen Daten mit Hilfe Dritter bereits jetzt ohne großen Aufwand in den meisten Fällen möglich, Internetnutzer aufgrund ihrer IP-Adresse zu identifizieren. Eine Verneinung des Personenbezuges von dynamischen IP-Adressen ... hätte zur Folge, dass diese Daten ohne Restriktionen an Dritte z.B. den Access-Provider übermittelt werden könnten, die ihrerseits die Möglichkeit haben, den Nutzer aufgrund der IP-Adresse zu identifizieren, was mit dem Grundgedanken des Datenschutzrechts nicht vereinbar ist. Abgesehen davon wird die Rechtsauffassung der Beklagten insoweit nicht geteilt, als vorgetragen wird, dass eine Bestimmbarkeit der Person nur gegeben sei, wenn der Betroffene mit legalen Mitteln identifiziert werden könne. Zu Recht weist der Kläger darauf hin, dass das Datenschutzrecht gerade vor dem Missbrauch von Daten schützen soll, so dass eine derartige Einschränkung des Begriffs der Bestimmbarkeit von Personen seitens des Gerichts als nicht gerechtfertigt erachtet wird...."

Es bestand vorliegend auch keine Rechtfertigung für die Speicherung der Daten seitens der Beklagten. Nach § 15 Abs. 1, Abs. 4 TMG ist eine Speicherung zur Ermöglichung der Inanspruchnahme und zu Zwecken der Abrechnung zulässig; gemäß Absatz 8 der Vorschrift auch dann, wenn Anhaltspunkte bestehen, dass entgeltliche Leistungen nicht oder nicht vollständig vergütet werden sollen. Keine dieser Voraussetzungen ist vorliegend gegeben. Eine Rechtfertigung für die Speicherung ergibt sich auch nicht aus § 9 BDSG. Zu Recht weist Schmitz in Spindler/Schmitz/Geis § 6 TDDSG Rn. 86 darauf hin, dass die Verweisung des TKG und des TDDSG auf den allgemeinen Teil des BDSG bezüglich § 9 BDSG nur so verstanden werden kann, dass diese Vorschrift die Umsetzung der Vorschriften des TKG bzw. des TDDSG bewirken soll und nicht deren „Aufhebung“."

 

Die Ansicht der Datenschutzbeauftragten und der Literatur zu IP-Adressen

Nach der bundesrechtlichen Legaldefinition in § 3 I BDSG sind personenbezogene Daten „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.“ Die Ländergesetze enthalten ähnlich lautende Legaldefinitionen. Nach Artikel 2 a der Europäischen Datenschutzrichtlinie vom 24.10.1995 sind personenbezogene Daten als „alle Informationen über eine bestimmte oder bestimmbare natürliche Person“ definiert.

Wir haben bereits gesehen, dass nach Ansicht des AG Berlin IP-Adressen personenbezogene Daten sind. Damit steht das Gericht nicht alleine da. 

Der Niedersächsische und der Hessische Datenschutzbeauftragte gehen an diese Frage differenziert nach den jeweiligen Beteiligten im Internet heran (Access Providern, Content Providern, Hosting Services). 
Access-Provider vergeben auch dynamische IP-Adressen, können diese dann aber auch auf eine bestimmte Person zurückführen. Von daher ist ohne weiteres nachvollziehbar, dass für diese Anbieter IP-Adressen personenbezogen sind.

Für einen Content-Provider ist dies auf den ersten Blick nicht so recht verständlich. Wenn Sie z.B. in Statistiken zu Ihrer Website auch die IP-Adresse ihrer Besucher erfahren, dann wissen Sie zunächst überhaupt nicht, wer sich dahinter verbirgt. Wenn Sie aber auf der Website auch Dienste anbieten, die nur nach Registrierung zugänglich sind, sieht das schon wieder anders aus. Dann haben sie die IP-Adresse des sich registrierenden Nutzers und können die IP-Adresse in der Statistik entsprechend auch einer Person zuordnen. Wenn Sie sich schließlich an einen Access-Provider wenden, könnte dieser überdies der IP-Adresse (ob rechtmäßig oder nicht sei dahingestellt) einer Person zuordnen. Die Legaldefinition spricht nur von bestimmbaren natürlichen Person. Das ist die IP-Adresse aber immer. Je nachdem, wer die Information nachsucht, kann sich die Bestimmung als schwer durchführbar erweisen und an rechtlichen Grenzen scheitern. Alleine die Möglichkeit, dass es zu einem Missbrauch kommen kann, genügt aber bereits, um den Schutz der Datenschutzgesetze eingreifen zu lassen. Von daher ist die Ansicht der Berliner Richter und der Datenschutzbeauftragten durchaus folgerichtig. 

Dies wird zudem durch die Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten erhärtet:

26. Die Schutzprinzipien müssen für alle Informationen über eine bestimmte oder bestimmbare Person gelten. Bei der Entscheidung, ob eine Person bestimmbar ist, sollten alle Mittel berücksichtigt werden, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen.

Als Dritter in diesem Sinne kann der Zugangsprovider angesehen werden.  

Ganz einheitlich ist das Meinungsbild in der Literatur jedoch noch nicht. Einige Autoren sind der Auffassung, personenbezogen sei eine Information nur dann, wenn gerade die jeweils speichernde Stelle den Nutzer identifizieren kann (So Gola/Schomerus, BDSG, § 3, Rn. 9; Schaffland/Wiltfang, BDSG, § 3, Rn. 17; Bergmann/Möhrle/Herb, Datenschutzrecht, § 3, Rn. 16).

 

Die Folgen

Unterstellen wir die Ansicht der Berliner Richter und des Niedersächsischen und Hessen Datenschutzbeauftragten einmal als richtig, wonach IP-Adressen personenbezogene Daten sind, was wäre dann die Folge?

  • Die meisten Website-Statistiken bauen auf der Speicherung von IP-Adressen auf. Dies wäre dann ggf. ebenso rechtswidrig wie die standardmäßige Speicherung in den Logfiles von Webservern wie lighttpd oder Apache. Oder verallgemeinernd: Alle Web-Anwendungen bis hin zu Blog- und Forensoftware müssten auf den Prüfstand. Nutzern müsste geraten werden, Programme, die standardmäßig IP-Adressen speichern, nicht zu verwenden, um sich nicht einem Abmahnrisiko auszusetzen.

  • Auch von einer Verwendung von Googly Analytics müsste gewarnt werden. Nutzer, die hier - aus welchen Gründen auch immer um ihre Privatssphäre fürchten, können sich mit Hilfe von Programmen im Browser inzwischen sogar anzeigen lassen, ob eine Website Google Analytics verwendet (hier z.B. das Plugin für Firefox)

  • Als weiteres Problem wird in diesem Zusammenhang immer wieder genannt, dass DOS-Attacken schlechter abgewehrt werden können. Die Speicherung der IP-Adresse dient in diesem Zusammenhang insbesondere der Sperrung bestimmter, für einen Angriff genutzter Adresse.

Zulässig wäre die Speicherung der IP-Adresse nur nach vorherigem Einverständnis. § 13 TMG enthält diesbzgl. folgende Regelung:

(1) Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein.

 
(2) Die Einwilligung kann elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass
1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
2. die Einwilligung protokolliert wird,
3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und

4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann

 

Beim Besuch einer Website müsste einem Nutzer also als erstes ein Hinweis auf die IP-Speicherung dargeboten werden, verbunden mit der Aufforderung, in diese einzuwilligen. Da er dazu natürlich auch nein sagen darf, muss die Speicherung seiner IP-Adresse auf dieser Eingangsseite bereits verhindern werden, um nicht einen Rechtsverstoß zu begehen!

Weitere Lesetipps:

  • Patrick Breyer, der das Verfahren gegen das Bundesjustizministerium initiiert hat, stellt auf seiner Internetseite Daten-Speicherung.de eine Musterklage bereit, mit deren Hilfe sich jeder gegen die Protokollierung seiner Internetnutzung wehren kann.

  • Antwort der Bundesregierung auf eine Kleine Anfrage der FDP-Fraktion (BT-Drs. 16/6884)

 

 

 

 

Zurück

zur Übersicht der rechtlichen Artikel

 

 

 

 

Internetrecht-Startseite | Kontakt | Anwälte Internetrecht | Internetrecht-Suchmaschine

Copyright © 2002-2008  Dr. Stephan Ott 

 

 Werbung:

 Ich veranstalte ab dem 1.6.2008 ein Online-Seminar zur Suchmaschinenoptimierung! Mehr Informationen unter http://www.workshopwelt.de/workshop/1442/990.

Ferner können Sie von mir Ihre Website auf den Stand ihrer bisherigen Suchmaschinenoptimierung überprüfen lassen: Links & Law - Suchmaschinenoptimierung / Bayreuth & München.