Die Frage, ob IP-Adressen als personenbezogene Daten einzuordnen sind, beschäftigt die Gerichte seit einiger Zeit. Das Landgericht Berlin hat jetzt entschieden (Urt. v. 31.01.2013 – Az. 57 S 87/08, dass das jedenfalls für dynamische IP-Adressen nicht immer der Fall ist, und sich damit der Theorie vom relativen Personenbezug angeschlossen. Das Gericht hat keine Aussage zu der rechtlichen Einordnung von statischen IP-Adressen getroffen.
Die Entscheidung ist noch nicht rechtskräftig, und die Revision ist beim Bundesgerichtshof unter dem Aktenzeichen VI ZR 135/13 anhängig. Die Frage könnte in absehbarer Zeit also auch höchstrichterlich geklärt werden.
IP-Adressen als personenbezogene Daten
Daten weisen einen Personenbezug immer dann auf, wenn sie so eingesetzt werden können, dass sie die betreffende Person bestimmen. Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§ 3 BDSG). Die EG-Datenschutzrichtlinie 95/46/EG definiert personenbezogene Daten als alle Informationen über eine bestimmte oder bestimmbare natürliche Person. Hierbei dürfen nach den Erwägungsgründe der Richtlinie alle Mittel berücksichtigt werden, die dem Verantwortlichen für die Verarbeitung oder einem Dritten zur Verfügung stehen, um die Bestimmbarkeit einer Person zu ermitteln (LG Berlin, Urt. v. 31. Jan. 2013 – 57 S 87/08, juris Tz. 58).
Bestimmbarkeit
Für das Gericht ist entscheidend, ob eine Bestimmbarkeit durch die Hinzunahme beliebiger weiterer Daten oder die Hilfe Dritter für das jeweilige Unternehmen gegeben ist. Bisher bejahten die Gerichte jedenfalls teilweise einen Personenbezug, wenn irgendein Dritter die erforderlichen Informationen vorliegen hatte. Das Gericht rückt in der Entscheidung von dieser Position ab. Es differenziert zwischen den unterschiedlichen Stellen, denen eine IP-Adresse vorliegen kann. So ist für den Access-Provider eine IP-Adresse immer ein personenbezogenes Datum, denn er hat die jeweilige Adresse ja gerade selbst einem Kunden zugewiesen (BVerfG, Urt. v. 2. März 2010 – 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08, CR 2010, 232). Daneben unterscheiden die Berliner Richter zwischen absoluten und relativen Verständnis bei der Frage nach der Bestimmbarkeit eines Personenbezugs. Nach dem absoluten Verständnis reicht es aus, wenn nur irgendein Dritter über das notwendige Zusatzwissen zur Herstellung eines Personenbezugs verfügt. Das relative Verständnis stellt hingegen darauf ab, ob die konkret verarbeitende Stelle das über das nötige Zusatzwissen verfügt, oder ob sie sich dieses verschaffen kann.
Das LG Berlin hat sich dem relativen Verständnis angeschlossen. Es fordert daneben noch eine Abwägung im Einzelfall, ob der Datenschutz erforderlich ist bzw. wie weit er reichen soll. Im Rahmen
dieser Abwägung ist nach Ansicht der Richter u. a. zu berücksichtigen,
- welche Hürden bestehen, bevor die verarbeitende Stelle an die Zusatzinformationen herankommt,
- ob und welche Missbrauchszenarien eine Rolle spielen,
- wie groß die Gefahr ist, dass gegen tatsächlich unbeteiligte Anschlussinhaber ermittelt wird.
Einzelfälle
Bemerkenswert ist, dass das Gericht, obwohl es hierzu keine Notwendigkeit hatte, verschiedene Einzelfälle aufgezeigt hat, in denen nach Ansicht der Richter eine IP-Adresse kein personenbezogenes Datum sei. Hierbei stellt das Gericht insbesondere darauf ab, welche Informationen der verarbeitenden Stelle vorliegen. Das Gericht lässt es nicht ausreichen, dass eine Zusammenführung von unterschiedlichen Informationen zu der Bestimmbarkeit einer Person führen. Für eine Bestimmbarkeit sei erforderlich, dass die verarbeitende Stelle die Informationen auf legalem Weg zusammenführe. Dies sei z. B. in jedem Fall bei der Verwendung von Klarnamen gegeben. Verwendet der Benutzer einen Klarnamen, z. B. die E-Mail Adresse für eine Bestellung, so weise die IP-Adresse einen Personenbezug auf, da dieser von der verarbeitenden Stelle hergestellt werden könne. Verwendet der Benutzer keinen Klarname und verfügt der Benutzer über eine dynamische IP-Adresse, so handele es sich nicht um eine personenbezogenes Datum, denn die verarbeitende Stelle könne keinen Personenbezug zu der IP-Adresse herstellen. Dies sei nur und ausschließlich dem
Zugangsanbieter möglich, da dieser sowohl eine Übersicht über die dynamischen IP-Adressen als auch die Personen habe, denen diese Adressen zugeteilt werden. Der Betreiber der Internetseite könne eine solche Zuordnung nur dann durchführen, wenn ihm im Rahmen einer Auskunftserteilung das zusätzlich Wissen des Zugangsanbieters zu Teil würde.
IP-Adresse ohne Zeitstempel
Nach Auffassung der Berliner Richter unterfallen IP-Adressen nur in fester Kombination mit einem Zeitstempel, also einer Zeitangabe über ihre Benutzung. dem Datenschutz. Serverbetreiber dürfen deshalb IP-Adressen jedenfalls dann speichern, wenn die Logfiles keine Timestamps beinhalten. Denn wenn schon Access-Provider nicht ohne weitere Auskunft über die Zuordnung dynamischer IP-Adressen zu einem bestimmten Zeitpunkt nennen dürfen, dann dürfen die Telekommunikationsanbieter erst recht keine ganze Vergabehistorie zu einer bestimmten Adressen herausgeben.
Ermittlung des Anschlussinhabers anstelle des Nutzers
Die Richter erinnern daran, dass durch eine Auskunftserteilung eine IP-Adresse bezogen auf den Anschlussinhaber zu einem personenbezogenen Datum wird. Die Ermittlung des einzelnen Nutzers ist nicht erforderlich. Eine Auskunftserteilung ist jedoch rechtlich nur in einem sehr eingeschränkten Rahmen möglich. Für den Betreiber einer Webseite bedeutet dies, dass für ihn eine IP-Adresse nur dann ein personenbezogenes Datum ist, wenn diese Ermittlung auf einem legalen Weg erfolgt. Die Praxisrelevanz der Auskunftserteilung ist gering.
Ausblick
Bestätigt der BGH die Berliner Richter, so ergeben sich durch die Einführung der IPv6 Adressen keine Änderungen an der dargestellten Situation. Die Telekommunikationsunternehmen vergeben auch IPv6 Adressen dynamisch, obwohl dies technisch nicht mehr erforderlich wäre. Auch bei IPv6 Adressen ist entscheidendes Kriterium, ob alle benötigten Informationen zur Bestimmbarkeit einer Person vorliegen oder auf legalem Wege erlangt werden können.
Bedeutung für die Praxis
Für die Praxis bedeutet die Entscheidung des LG Berlin, dass für die Einstufung als personenbezogenes Datum einer IP-Adresse, die Kenntnisse und Möglichkeiten der konkret handelnden Stelle und
nicht irgendeiner Stelle ausschlaggebend sind. In der Praxis ist folgendes zu beachten:
- Eine IP-Adresse, egal ob dynamisch oder statisch ist immer ein personenbezogenes Datum im Rahmen eines Auskunftsersuchens.
- Wenn Sie ungekürzte IP-Adressen speichern möchten, dann speichern Sie diese ohne einen Timestamp.
- Wenn Sie vollständige IP-Adressen mit einem Timestamp speichern möchten, dann dürfen Sie keine Möglichkeit haben diese mit einem Klarnamen in Verbindung zu bringen.
Wir danken unserem wissenschaftlichen Mitarbeiter Martin Bucerius für die Mitarbeit an diesem Beitrag.
Schreibe einen Kommentar
Du musst angemeldet sein, um einen Kommentar abzugeben.