Eine neue Abmahnwelle verunsichert die Webseiten-Betreiber in Deutschland: Webmaster erhalten vermehrt E-Mails, in denen sie zur Zahlung eines Geldbetrages aufgefordert werden. Daneben wird von ihnen verlangt, eine Unterlassungserklärung abzugeben. Begründung: Die Webseiten-Betreiber hätten IP-Adressen der Besucher der eigenen Webpage in Logfiles gespeichert; dies sei unzulässig und begründe einen Haftungstatbestand. Der folgende Beitrag beleuchtet den aktuellen Stand der Diskussion, ob es sich bei IP-Adressen um personenbezogene Daten im Sinne des BDSG handelt.
Einführung: Was ist eine IP-Adresse?
Eine IP-Adresse ist eine Adresse in Computernetzen. Damit ein Computer im Internet agieren kann, muss er eindeutig identifizierbar sein. Deshalb wird eine individuelle IP-Adresse allen Geräten zugewiesen, die an das Netz angebunden sind, und macht so die einzelnen Computer erreichbar. Aufgrund der IP-Adresse können die einzelnen Router die Datenpakete an den richtigen Computer transportieren.
Nach dem Adresssystem IPv4 bestehen IP-Adressen aus vier Zahlenblöcken. Diese Zahlenblöcke liegen zwischen 0 und 255 und werden durch einen Punkt getrennt (so zum Beispiel: 123.45.67.189). Insgesamt ergibt sich eine 32-stellige Binärzahl.
Da dieses Adresssystem nicht genug Adressen für alle Internet-User bietet, werden nach einen Zufallssystem die IP-Adressen teilweise für jede Nutzungseinheit des Internets neu vergeben (dynamische IP-Adressen). Teilweise haben User aber eine ihrem Rechner fest zugewiesene Adresse (statische IP-Adresse).
Da dynamische IP-Adressen vom Access-Provider bei jeder Einwahl in das Internet neu vergeben werden, tritt der Nutzer bei jeder "Session" unter einer anderen Adresse auf. Hat der Nutzer eine statische IP-Adresse, tritt er unter derselben Adresse bei jeder Nutzung auf.
Das System IPv4 wird über kurz oder lang durch das System IPv6 ersetzt werden. IPv6 eröffnet insgesamt eine 128-stellige Binärzahl zur Adressierung. Da es dadurch genug IP-Adressen für alle Internetteilnehmer geben wird, wird das Bedürfnis, die Adressen immer wieder dynamisch zu verteilen, nicht mehr bestehen.
Nicht abschließend geklärt: Sind IP-Adressen personenbezogene Daten?
Ob IP-Adressen personenbezogene Daten im Sinne von § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) darstellen, wird von den Gesetzgebern und Behörden weltweit unterschiedlich beurteilt. In den meisten Ländern sind sowohl dynamische wie auch statische IP-Adressen inzwischen von den Datenschutzbehörden als personenbezogene Daten qualifiziert worden (so zum Beispiel in Österreich, Schweden oder Deutschland). Teilweise entscheiden die Datenschutzbehörden auch nach der Frage, für welche Person letztlich die IP-Adresse ein personenbezogenes Datum darstellen kann. So ergeben sich teilweise unterschiedliche Auffassungen für den Access-Provider, den Service-Provider und dritte Personen.
Worum dreht sich die Diskussion?
Die Diskussion steht und fällt mit der Frage, wie das Merkmal "bestimmbar" in § 3 Abs. 1 BDSG auszulegen ist (gemäß dieser Vorschrift sind personenbezogene Daten die "Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person").
Ein Datum ist als "bestimmbar" (und damit personenbezogen) zu qualifizieren, wenn nach der Lebenserfahrung oder wissenschaftlichen Prognose die nicht ganz unwahrscheinliche Möglichkeit besteht, den Betroffenen zu bestimmen. Damit wird der Begriff des Personenbezugs als relativer Begriff verstanden, der eine Wahrscheinlichkeitsüberlegung enthält.
Diese Begriffsbestimmung lässt sich auch auf die Diskussion zum Entwurf der europäischen Datenschutzrichtlinie zurückführen, so dass festgestellt werden muss, dass nach dem Willen des Gesetzgebers eine ausreichend hohe Wahrscheinlichkeit bereits genügt, um die Bestimmbarkeit einer Person anzunehmen. Rechnet man die hypothetische Möglichkeit die Zugangsdaten letztlich vom Accessprovider zu bekommen, zur Bestimmbarkeit, so ist die IP-Adresse als personenbezogenes Datum zu beurteilen.
Wer sitzt hinter dem Computer?
Das wesentliche Gegenargument ist, dass letztlich durch die IP-Adresse nur ein bestimmter Computer und nicht eine bestimmte Person individualisiert wird. Es kann nicht festgestellt werden, welche Person den Computer gerade bedient. Dies ist insbesondere relevant, wenn Familien oder Bürogemeinschaften nur einen Computer verwenden. Diesem Argument ist allerdings gleich wieder entgegenzuhalten, dass in den meisten Fällen (fast jeder hat einen eigenen Computer oder ein Smartphone, welches letztlich nur eine Person bedient) eine Individualisierung durchaus möglich ist.
Wohl herrschende Meinung: IP-Adressen sind personenbezogene Daten
Die (wohl inzwischen) herrschende Meinung, dass IP-Adressen personenbezogene Daten sind, wird sowohl vom Bundesjustizministerium wie auch vom Düsseldorfer Kreis (dem inoffiziellen Beratungsgremium der Datenschutz-Aufsichtsbehörden des nicht-öffentlichen Bereichs) geteilt.
Unterscheidung bei statischer und dynamischer IP-Adresse?
Entsprechend der Unterscheidung im aktuellen IP-Adressen-Adressierungssystem wird auch in der Rechtsdiskussion eine Unterscheidung geschaffen: teilweise wird angenommen, dass jedenfalls statische IP-Adressen immer als personenbezogene Daten zu begreifen sind, während eine abweichende Ansicht für die dynamische Adresse gelten soll, da letztlich nur der Access-Provider weiß, wem eine bestimmte IP-Adresse zu einem bestimmten Zeitpunkt zugeordnet ist.
Abweichende Ansicht: das AG München
So auch das AG München im Urteil vom 30.9.2008 (Az. Az.: 133 C 5677/08): Nach diesem Urteil werden IP-dynamische Adressen nicht als personenbezogene Daten eingestuft, dementsprechend sei die Speicherung in sog. Logfiles zulässig. Da der Webmaster letztlich nicht ohne den Access-Provider den einzelnen Computer individualisieren kann und ein Auskunftsverlangen an den Access-Provider rechtswidrig wäre, wird eine Bestimmbarkeit ausgeschlossen.
Ist die Speicherung denn nun zulässig?
Wenn wir entgegen dem AG München und mit dem Bundesjustizministerium und den Aufsichtsbehörden nun annehmen, dass IP-Adressen personenbezogene Daten sind, so stellt sich dementsprechend die in den "Abmahnungen" gerügte Frage, ob die Speicherung der IP-Adresse rechtlich zulässig ist.
Dabei ist zu beachten, dass sich durchaus aus dem Telemediengesetz wie aus dem BDSG im Einzelfall Erlaubnistatbestände ergeben können, welche die Speicherung von IP-Adressen in Logfiles und ähnlichem zulassen. Im Zweifel sollte der Webseiten-Betreiber hier Rechtsrat einholen, sollte er abgemahnt worden sein.
Fazit
Nach wohl inzwischen herrschender Meinung handelt es sich bei IP-Adressen um personenbezogene Daten. Werden Webseiten-Betreiber hier mit Abmahnungen konfrontiert, sie hätten in Logfiles und ähnlichem diese Daten gespeichert, empfiehlt sich die Einholung von Rechtsrat. Häufig ist eine derartige Speicherung zulässig. Davon getrennt zu betrachten ist die Frage nach der Zulässigkeit der gezielten Verarbeitung von IP-Adressen, beispielsweise durch Zugriffsanalyse-Tools wie Google Analytics. (oe)
Der Autor Dr. Sebastian Kraska ist Rechtsanwalt und externer Datenschutzbeauftragter im IITR Institut für IT-Recht - Kraska GmbH. Die Autorin Alma Lena Fritz ist Rechtsassessorin.
Kontakt:
IITR Institut für IT-Recht - Kraska GmbH, Eschenrieder Straße 62c, 82194 Gröbenzell, Tel.: 089 5130392-0, E-Mail: skraska@iitr.de, Internet: www.iitr.de