Dynamische IP-Adresse als solche ist kein personenbezogenes Datum!
Autor: Daniel Schätzle Erstellt am: 2. September 2013 Rubrik: PersonenbezugEin Urteil des Landgericht Berlin aus dem Januar dieses Jahres erfährt viel zuwenig Aufmerksamkeit. In diesem begründen die Richter anschaulich, warum bei der Bestimmung des Personenbezuges für IP-Adressen – entgegen anderslautender Meinungen, eine relative Betrachtungsweise geboten ist. Die Begründung in Kurzform: „Etwas, das nur theoretisch bestimmbar ist, ist eben nicht tatsächlich bestimmbar“ (LG Berlin, Urt. v. 31.1.2013, Az. 57 S 87/08)
Absolut oder Relativ?
Die juristische Auseinandersetzung ist bekannt: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten bedarf gemäß § 4 Abs. 1 BDSG einer Einwilligung des Betroffenen oder eine gesetzliche Erlaubnis. Dies gilt aber eben nur, soweit es sich um Daten handelt, die einen Personenbezug aufweisen. Das strenge datenschutzrechtliche Regime steht und fällt mit der Einschätzung als personenbezogen. Die Frage ob die IP-Adresse personenbezogen ist oder nicht, ist für die Speicherung und weitere Verarbeitung durch Website-Betreiber sehr praxisrelevant. Gegenüber stehen sich zwei Lager: Die Vertreter des absoluten Personenbezuges und die des relativen Personenbezuges.
Einige Gerichtsentscheidungen sowie regelmäßig die Datenschutzbehörden verfolgen den absoluten Ansatz. Danach ist es ausreichend, wenn irgendein Dritter über das notwendige Zusatzwissen verfügt, um von der IP-Adresse auf die dahinter stehende Person schließen zu können. Dieser Dritte ist in jedem Fall der Access-Provider des Anschlussinhabers. Anschaulich erläutert das LG Berlin, dass „in der Konsequenz das „gesamte Weltwissen“ einzubeziehen“ ist.
Der relative Ansatz stellte dagegen zu Recht lediglich auf die konkret verarbeitende Stelle ab. Dem hat sich das LG Berlin mit ausführlicher Begründung angeschlossen.
Die Entscheidung des LG Berlin
Das Gericht gab der Berufung des Klägers gegen die Bundsrepublik Deutschland teilweise statt:
„Die Beklagte wird verurteilt, es zu unterlassen, die Internetprotokolladresse (IP-Adresse) des zugreifenden Hostsystems des Klägers […] in Verbindung mit dem Zeitpunkt des jeweiligen Nutzungsvorganges über das Ende des jeweiligen Nutzungsvorganges hinaus zu speichern oder durch Dritte speichern zu lassen,
– sofern der Kläger während eines Nutzungsvorganges selbst seine Personalien, auch in Form einer die Personalien des Klägers ausweisenden E-Mail-Anschrift, angibt und
– soweit die Speicherung nicht im Störungsfall zur Wiederherstellung der Verfügbarkeit des Telemediums erforderlich ist.“
So weit, so gut. Dass es sich bei der IP-Adresse um ein personenbezogenes Datum handelt, wenn der Nutzer zusätzlich seinen Klarnamen angibt, steht auch nach der relativen Betrachtungsweise nicht in Frage. Hier half der Einwand nicht, dass Formulareingaben und IP-Adresse von einander getrennt gespeichert werden. Denn sei ist ohne weiteres technisch möglich, eine Verknüpfung der Daten wieder herzustellen.
Wesentlich bedeutender sind die Aussagen des Gerichts für den Fall, dass ein Klarname nicht angegeben wird. Dann könne aus der Speicherung der IP-Adresse an sich – selbst mit dem dazugehörigen Zugriffszeitpunkt – kein Personenbezug hergestellt werden.
Kritik an der absoluten Theorie
Das Gericht holt zunächst zu einem Rundumschlag gegen die absolute Theorie aus:
„Eine Analyse der wesentlichen Stimmen in Rechtsprechung und Literatur ergibt, dass im Ergebnis immer auf den relativen Begriff abgestellt wird, […]“
sodann
„Nach Auffassung der Kammer führt das absolute Verständnis zu einer uferlosen und damit unpraktikablen Ausdehnung des Datenschutzes, die vom Gesetzgeber so nicht gewollt ist. Nach dem absoluten Verständnis genügt eine rein theoretische Möglichkeit der Herstellung des Personenbezugs. Nach der relativen Theorie muss die Herstellung des Personenbezugs auch praktisch möglich sein. Es überzeugt nicht, schon bei einer rein theoretischen Bestimmbarkeit der Person diese unter den Schutz der informationellen Selbstbestimmung zu stellen, da eine rein theoretische Möglichkeit des Betroffenseins die schutzwürdigen Belange der Person gerade nicht berührt, so wie eine nur theoretische Gefahr keiner Abwehr bedarf. Etwas, das nur theoretisch bestimmbar ist, ist eben nicht tatsächlich bestimmbar.“
Kriterien des Personenbezuges
Das Gericht führt aus, dass die Bestimmung der Person aufgrund der IP-Adresse nicht nur technisch sondern auch rechtlich möglich sein müsse. Zudem darf die Bestimmung der Person nicht einen Aufwand erfordern, der außer Verhältnis zum Nutzen der Informationen für die verarbeitende Stelle stehe. Bei der Einzelfallabwägung seien insbesondere zu berücksichtigen
– welche Hürden bestehen, bevor die verarbeitende Stelle an die Zusatzinformation herankommt,
– ob und welche Missbrauchszenarien eine Rolle spielen,
– ob der Schutz des Klägers auch ohne den von ihm geforderten, umfassenden Datenschutz ausreichend ist,
– wie der gesellschaftliche Anspruch auf Strafverfolgung auch von Straftaten im Internet im Verhältnis zum Schutz des Klägers in Ansehung seines Anspruches auf Anonymität im Internet zu bewerten ist,
– wie groß die Gefahr ist, dass gegen tatsächlich unbeteiligte Anschlussinhaber ermittelt wird.
Technisch mag es ohne großen Aufwand möglich sein, die IP-Adresse mit den Daten zusammenzuführen, die bei dem Access-Provider vorliegen. Die Weitergabe der Daten sei dem Access-Provider jedoch grundsätzlich verboten und nur in einigen gesetzlich normierten Fällen zulässig (z.B. § 100g Abs. 1 StPO). Die Gefahr des Missbrauchs bestehe immer, so wie unrechtmäßiges Verhalten nie ausgeschlossen werden könne. Die Belange des Betroffenen werden jedoch bereits dadurch ausreichend geschützt, dass der Missbrauch als solcher gegen geltendes Datenschutzrecht verstoße.
Was ist mit statischen IP-Adresse?
Zum Teil wurde darauf hingewiesen, dass die Entscheidung keine Aussage darüber trifft, ob statische IP-Adressen einen Personenbezug aufweisen und welche Auswirkungen die Bejahung des Personenbezuges hätte. Denn vereinzelt wird die Ansicht vertreten, dass ein stets vorhandener Personenbezug bei statischen IP-Adressen dazu führt, dass IP-Adressen generell als personenbezogen gelten müssen. Denn der Website-Betreiber muss davon ausgehen, dass es sich auch um eine statische IP-Adresse handeln kann, die er speichert. Geht man davon aus, dass statische IP-Adressen personenbezogen sind, steht § 4 Abs. 1 BDSG somit potentiell immer im Raum, so dass die Frage nach dem Personenbezug von dynamischen IP-Adressen letztlich irrelevant ist. Allerdings ist es für den Betreiber nicht ohne weiteres erkennbar, ob es sich um eine statische oder eine dynamische IP-Adresse handelt, was eine Zuordnung gerade erschwert. Nimmt man noch hinzu, dass in der Regel bei einer statischen IP-Adresse nur der Access-Provider über eine whois-Abfrage ermittelt werden kann und eine direkte Vergabe von statischen IP-Adressen über die RIPE NCC (Réseaux IP Européens Network Coordination Centre – zentrale Vergabestelle für IP-Adresse in Europa) an Privatpersonen keinerlei praktische relevanz hat, ist jene Ansicht sehr gewagt. Vielmehr sind die vom LG Berlin aufgestellten Grundsätze auch bei den statischen IP-Adresse anzuwenden.
Was sagt der Bundesgerichtshof?
Höchstrichterliche Rechtsprechung zum Personenbezug von IP-Adressen existiert bisher nicht. Zum Teil wird eine EuGH-Entscheidung aus dem Jahr 2011 herangezogen, die eher beiläufig den Personenbezug von IP-Adressen feststellt. Ob diese Aussage jedoch generell herangezogen werden kann, wird zu Recht bezweifelt. Gegen das Urteil des Landgericht Berlin wurde die Revision zugelassen. Ob die Chance einer höchstrichterlichen Entscheidung aufgegriffen wurde ist – soweit ersichtlich – nicht bekannt. Wünschenswert wäre dies allemal.
Neu Diskussion!
Unabhängig davon, ob hier eine Revision eingelegt wurde oder nicht, sollte die Entscheidung zum Anlass genommen werden, dass Thema wieder breiter in den Fokus zu rücken. Zwar mag von den Vertretern beider Seiten alles gesagt worden sein. Doch die Rechtsanwendung in der Praxis zeigt immer wieder, wie relevant das Thema IP-Adressen für Website-Betreiber ist. Im schlimmsten Fall werden innovative Geschäftsmodelle eingestampft, weil diese die Speicherung der IP-Adresse fordern, jedoch Zweifel an der Rechtmäßigkeit bleiben. Da ist es ein wenig verwunderlich, warum die Entscheidung im Internet bisher scheinbar kaum Beachtung gefunden hat?
Rubrik: Personenbezug Stichwörter: IP, IP-Adresse, Personenbezug, Website-Betreiber