So allgegenwärtig IP-Adressen in der vernetzten, digitalen Welt auch sind – die Rechtsordnung tut sich bis heute schwer mit dem datenschutzrechtlichen Verständnis von IP-Adressen. Nun bringen zwei aktuelle Gerichtsentscheidungen neuen und erfreulichen Schwung in die zuletzt ins Stocken geratene Diskussion.

Sinn und Zweck des Datenschutzes

Der Datenschutz ist kein Schutz von Daten, sondern ein Schutz vor Daten. Privatpersonen sollen vor der unkontrollierten Verwendung ihrer Daten geschützt sein. Dazu schränken das Bundesdatenschutzgesetz (BDSG), aber etwa auch das Telekommunikationsgesetz (TKG) oder das Telemediengesetz (TMG) den Umgang mit solchen Daten ein, die auf eine Person bezogen sind oder teilweise auch nur bezogen werden können: Nur wenn der Betroffene ausdrücklich einwilligt oder ein Gesetz dies im Einzelfall erlaubt, dürfen etwa Unternehmen oder auch Webseitenbetreiber personenbezogene Daten nutzen. Fragt sich nur, was als solche personenbezogenen Daten gilt. Konkret: Sind IP-Adressen personenbezogene Daten?

Die Frage ist alt und zielt auf die Frage der “Beziehbarkeit” ab. Natürlich kann einer IP-Adresse nicht der dahinterstehende Surfer angesehen werden. Aber wenn eine Webseite eine Log-in-Möglichkeit bietet, etwa für Bestellungen oder auch nur Gästebucheinträge, so kann der Betreiber die Identität des hinter dem meist dynamisch vergebenen Zahlenbergs erkennen. Spätestens im Zusammenschluss mit dem Access-Provider lässt sich eine IP-Adresse einer Person, nämlich dem Anschlussinhaber, zuordnen. IP-Adressen können also auf Personen bezogen werden. Nur kann dies mitunter ein schwieriges Unterfangen werden. Übrigens nicht nur technisch, sondern auch rechtlich: Access-Provider dürfen nur in engen Ausnahmefällen Auskunft über den Anschlussinhaber einer IP-Adresse geben.

Zankapfel Personenbezug

Aber sollen angesichts dieser Schwierigkeiten IP-Adressen immer noch als personenbezogene Daten geschützt werden? Letztlich kann beinahe jede Information mit beliebig großem Aufwand auf eine Person bezogen werden, trotzdem soll aber der Datenschutz nicht uferlos sein. Deshalb verlangt das Merkmal der “Beziehbarkeit” ein gewisses Augenmaß. So weit, so unstreitig.

Welches Augenmaß nun aber ganz allgemein für die Beziehbarkeit gelten soll, ist unklar. Tatsächlich hat schon der Gesetzgeber die Frage gesehen und … keine Antwort gewusst. Jedenfalls hat er ausdrücklich keine geben wollen. Gerichte und Rechtsgelehrte sollten die Frage klären.

IP-Adressen und kein Ende

Für viele Bereiche des Alltags hat sich inzwischen jeweils eine Antwort auf die Frage gefunden. Ausgerechnet aber für IP-Adressen nicht. Dabei ist die Frage relevant: Soll ein Personenbezug anzunehmen sein, müssen die Einschränkungen des Datenschutzes beachtet werden: IP-Adressen dürften nicht mehr beliebig erhoben und gespeichert werden. Genau das ist aber bis heute Alltag auf fast jedem Server: entweder mit eigenen Logs oder durch Einsatz eines Tracking-Tools wie Google Analytics auf der entsprechenden Webseite. Die verantwortlichen Seitenbetreiber begehen also – je nach Antwort auf die Frage – einen Datenschutzverstoß und müssen ein Bußgeld fürchten, oder eben nicht.

Vielbeachtet hatten sich das Amtsgericht (AG) Berlin-Mitte (Urteil vom 27.03.2007, Az 5C 314/06) und das Amtsgericht München (Urteil vom 30.09.2008, Az. 133 C 5677/08) mit der Frage beschäftigt. Und dabei genau entgegengesetzt entschieden: IP-Adressen sollen nach Berliner Lesart personenbezogene Daten sein, also dem Datenschutz unterfallen. In München hingegen sah man das anders, und der zuständige Amtsrichter entschied genau entgegengesetzt.

Klar äußerte sich dann der sogenannte Düsseldorfer Kreis. Die Landesdatenschutzbeauftragten der einzelnen Bundesländer stimmen sich in dem informellen Gremium über gemeinsame Standpunkte ab. Und in puncto IP-Adressen machte der Düsseldorfer Kreis seinen Standpunkt deutlich: IP-Adressen sind personenbezogene Daten, und insbesondere Google Analytics ist deshalb mit deutschem Datenschutzrecht unvereinbar. Ein Standpunkt, der längst nicht jeden Rechtsgelehrten überzeugt hat. Aber zumindest doch eine klare Ansage, und zunächst einmal sind es ja eben jene Landesdatenschutzbeauftragten, die die Bußgelder verhängen. In die Diskussion kehrte deshalb Ruhe ein.

Aktuelle Gerichtsentscheidungen

Doch nun melden sich gleich zwei Gerichte zu Wort. Und jedenfalls wenn sich ein Webseitenbetreiber gegen ein verhängtes Bußgeld wehrt, werden Gerichte entscheiden.

Das Landgericht (LG) Wuppertal hatte einen latent grotesken Fall des Schwarzsurfens über ein offenes WLAN zu entscheiden. Die Richter lehnten alle in Frage kommenden Tatbestände ab und sahen keine Strafbarkeit (Beschluss vom 19.10.2010, Az. 25 Qs 177/10). In den Tiefen des Urteils finden sich auch ebenso knappe wie bemerkenswerte Ausführungen dazu, dass IP-Adressen keine personenbezogenen Daten sind. Anderenfalls hätte eine Strafbarkeit wegen des unbefugten Abrufens oder Sich-Verschaffens personenbezogener Daten vorgelegen. In dem unüblichen Rahmen der Strafbarkeitsfrage trifft das Gericht eine klare Aussage.

Noch deutlicher nun das Oberlandesgericht (OLG) Hamburg. In der Auseinandersetzung um die Strafverfolgung in Tauschbörsen durch das Unternehmen Logistep sahen die Hamburger Richter keine datenschutzrechtlichen Bedenken (Beschluss vom 3.11.2010, Az. 5 W 126/10): Indem das Unternehmen IP-Adressen von schwarzen Tausch-Schafen für deren Überführung nutze, begehe Logistep keinen Datenschutzverstoß. Denn “bei den ermittelten IP-Adressen könne “ein Personenbezug mit normalen Mitteln [...] nicht hergestellt werden“. Kurz: Auch nach hanseatischer Auffassung unterfallen IP-Adressen nicht dem Datenschutz.

Fazit

Ob IP-Adressen personenbezogene Daten darstellen, ist leider immer noch nicht geklärt. Aber gegenüber dem ebenso klaren wie strengen Standpunkt des Düsseldorfer Kreises zeichnet sich nun die entgegengesetzte Tendenz in der Rechtsprechung ab. Mehrfach haben Gerichte IP-Adressen mit dem Datenschutz gerade nicht in Verbindung gebracht.

Für Webseitenbetreiber ergibt sich damit kaum ein eindeutiges Bild. Wer jede Diskussion vermeiden möchte, sollte auf Logging und insbesondere unzulässige Tracking-Tools verzichten. Gerade letztere Tools sind auch für jeden versierten Besucher erkennbar, und nur ganz wenige Tracker sind auch nach Zugrundelegung der Kriterien des Düsseldorfer Kreises zulässig.

Wer hingegen auf die Speicherung von IP-Adressen nicht verzichten will oder kann, riskiert damit möglicherweise ein Bußgeld. Aber die Chancen stehen derzeit vergleichsweise gut, sich vor Gericht dagegen wehren zu können. Eben weil Gerichte möglicherweise auf IP-Adressen nicht die Vorgaben des Datenschutzes anwenden.

3 Comments

Die Apple-Fans vom iPhone-Ticker berichten heute über eine – zwischenzeitlich aus dem deutschen App-Store anscheinend bereits wieder verschwundene – App, die als “Enzyklopädie” über das Leben Adolf Hitlers daherkommt und als Icon gleich dessen Konterfei und eine Hakenkreuzfahne (Screenshot) verwendet. Dass dieses Programm es überhaupt in den AppStore – zumal in den deutschen – geschafft hat, wundert angesichts der bekannt restriktiven Ansichten von Apple auch uns.

Was viele Publisher von Shootern und Strategiespielen mittlerweile verinnerlicht haben, muss sich in der Welt der App-Entwickler wohl noch herumsprechen: Sowohl das Portraitbild von Adolf Hitler als auch das Hakenkreuz sind “Symbole verfassungswidriger Organisationen” (§ 86a StGB) und dürfen in Deutschland grundsätzlich nicht öffentlich gezeigt oder verwendet werden. Ausnahmen gelten zwar für künstlerische und wissenschaftliche Werke, doch ist die Rechtsprechung gerade Computerspielen gegenüber insoweit bisher recht streng gewesen. Auch propagandistische, den Nationalsozialismus verherrlichende Werke können sich auf die Ausnahme nicht berufen, wenn sie sich einen vordergründig wissenschaftlichen Anstrich geben.

Auch inhaltlich könnte die App kritisch sein: Kommt Hitler darin zu gut weg (wie der Beschreibungstext der App vermuten lässt), könnte eine Verherrlichung des Nationalsozialismus vorliegen. Auch wenn damit die Schwelle zur Strafbarkeit nicht zwingend überschritten ist, wäre das Angebot damit möglicherweise zu indizieren (§ 18 JuSchG) und dürfte online nur innerhalb geschlossener Benutzergruppen zur Verfügung gestellt werden (§ 4 JMStV).

2 Comments

Die Bundesregierung reagiert auf das nach wie vor um sich greifende Abofallen-Unwesen. Nach dem nunmehr offiziell vorgestellte Referentenentwurf für einen geänderten Online-Verbraucherschutz wird das ohnehin schon komplexe deutsche E-Commerce-Recht weiter verkompliziert. Dies kann weitreichende Auswirkungen für Onlinespieleanbieter haben.

Die Bundesregierung beabsichtigt die Einführung der  so genannten “Buttonlösung”. Hiernach soll ein online abgeschlossener entgeltlicher Vertrag zwischen einem Unternehmer und einem Verbraucher nichtig(!) sein, wenn der Verbraucher bei Abschluss des Vertrages nicht in deutlich hervorgehobener Form über

a) den vom Unternehmer bestimmten Gesamtpreis der Ware oder Dienstleistung [...]

b) die gegebenenfalls anfallenden Liefer- oder Versandkosten und

c) die Mindestlaufzeit und eine automatische Verlängerung des Vertrags [...]

informiert wurde und dies durch Betätigung einer gesonderten Schaltfläche (daher “Buttonlösung”) quittiert hat.

Deutliche Verschärfung

Der neue § 312e Abs. 2 BGB-E bedeutet in zweierlei Hinsicht eine Verschärfung der geltenden Rechtslage. Zwar sind die Preise für Waren und Dienstleistungen auch nach geltendem Recht (nämlich nach den Vorschriften der PAngV) anzugeben. Auch über die sonstigen Vertragsbedingungen wie Mindestlaufzeiten muss auch jetzt schon – in Textform! – informiert werden, § 312c Abs. 1 BGB i.V.m. Art. 246 § 2 Abs. 1 EGBGB.

Doch nach der “Buttonlösung” muss der Verbraucher anders als bisher einen gesonderten auffälligen Hinweis erhalten und gesondert quittieren.

Außerdem verschärft sich die Rechtsfolge: War bisher im Verhältnis zum Verbraucher die Konsequenz eines Verstoßes gegen die genannten Vorschriften allenfalls die verlängerte (und in manchen Fällen unbegrenzte) Widerruflichkeit, so ist der Vertrag nach dem neuen Entwurf bei fehlender oder falscher Implementierung der Buttonlösung von vorne herein nichtig.

Bedeutung für MMOs?

Der Text des Entwurfs spricht – wie der bisherige § 312e BGB – von Waren und Dienstleistungen und zielt dabei insbesondere auf Abonnementverträge, wie sie auch bei vielen kostenpflichtigen MMOs von World of Warcraft bis Lego Universe abgeschlossen werden. Die Gesetzesbegründung spricht jedenfalls von einer Geltung für alle denkbaren Verträge:

Der Gegenstand der Verträge ist nicht beschränkt, sodass Verträge über Waren und jegliche Dienstleistungen, einschließlich Verträge über Finanzdienstleitungen [sic!], erfasst sind. Ebenso fallen Verträge, die über eBay oder vergleichbare Internetauktionsplattformen geschlossen werden, in den Anwendungsbereich des Absatzes 2.

Obwohl der Gesetzentwurf erklärtermaßen vor allem den Schutz der Verbraucher vor Abofallen bezweckt, sollen die neuen Verpflichtungen auch für insoweit unverdächtige Transaktionen wie die Bestellung einzelner Waren im Internet gelten, bei denen eine vergleichbare Gefährdungslage gerade nicht besteht. Man wird folglich auch den Verkauf von Items im Rahmen von free-to-play-Onlinespielen nicht aus dem Anwendungsbereich ausnehmen können. Dabei kommt es nicht darauf an, ob man diese als Übertragung von “Quasi-Sachen”, Nutzungsrechten oder dienstähnliche Ergebnisse der Tätigkeit eines Spielebetreibers sehen möchte.

Der Wortlaut des Entwurfs bietet auch keinen Aufhänger für eine Einschränkung der Button-Pflicht, wenn innerhalb einer bestehenden (Rahmen-)Vertragsbeziehung einzelne Zusatzvereinbarungen geschlossen werden, wie das beim Verkauf einzelner Items an registrierte Spieler der Fall ist.

Keine Anwendung findet die Neuregelung allerdings wegen der Beschränkung auf B2C-Geschäfte bei Transaktionen zwischen einzelnen Spielern, die beide nicht gewerblich mit virtuellen Items handeln.

Fazit

Ein Verstoß gegen die Button-Pflicht hätte nicht nur die Konsequenz, dass Verträge nichtig sein könnten und unter Umständen schwierige Rechtsprobleme bei der Rückabwicklung aufträten. Auch Wettbewerber und Verbraucherschützer könnten Verstöße kostenträchtig abmahnen. Auch wenn dies eine zusätzliche Hürde für den Vertragsschluss darstellt und für die Conversion Rate nicht vorteilhaft ist: Sollte der Entwurf in seiner derzeitigen Gestalt Gesetz werden, müssen MMO-Anbieter ihre Registrierungsprozesse und/oder Item-Shops anpassen.

Wir beobachten die Entwicklung des Gesetzgebungsprozesses weiter und werden berichten.

2 Comments