IP-Adressen und (noch immer) der Datenschutz


24. November 2010 Hinterlasse einen Kommentar
So allgegenwärtig IP-Adressen in der vernetzten, digitalen Welt auch sind – die Rechtsordnung tut sich bis heute schwer mit dem datenschutzrechtlichen Verständnis von IP-Adressen. Nun bringen zwei aktuelle Gerichtsentscheidungen neuen und erfreulichen Schwung in die zuletzt ins Stocken geratene Diskussion.

Sinn und Zweck des Datenschutzes

Der Datenschutz ist kein Schutz von Daten, sondern ein Schutz vor Daten. Privatpersonen sollen vor der unkontrollierten Verwendung ihrer Daten geschützt sein. Dazu schränken das Bundesdatenschutzgesetz (BDSG), aber etwa auch das Telekommunikationsgesetz (TKG) oder das Telemediengesetz (TMG) den Umgang mit solchen Daten ein, die auf eine Person bezogen sind oder teilweise auch nur bezogen werden können: Nur wenn der Betroffene ausdrücklich einwilligt oder ein Gesetz dies im Einzelfall erlaubt, dürfen etwa Unternehmen oder auch Webseitenbetreiber personenbezogene Daten nutzen. Fragt sich nur, was als solche personenbezogenen Daten gilt. Konkret: Sind IP-Adressen personenbezogene Daten?

Die Frage ist alt und zielt auf die Frage der “Beziehbarkeit” ab. Natürlich kann einer IP-Adresse nicht der dahinterstehende Surfer angesehen werden. Aber wenn eine Webseite eine Log-in-Möglichkeit bietet, etwa für Bestellungen oder auch nur Gästebucheinträge, so kann der Betreiber die Identität des hinter dem meist dynamisch vergebenen Zahlenbergs erkennen. Spätestens im Zusammenschluss mit dem Access-Provider lässt sich eine IP-Adresse einer Person, nämlich dem Anschlussinhaber, zuordnen. IP-Adressen können also auf Personen bezogen werden. Nur kann dies mitunter ein schwieriges Unterfangen werden. Übrigens nicht nur technisch, sondern auch rechtlich: Access-Provider dürfen nur in engen Ausnahmefällen Auskunft über den Anschlussinhaber einer IP-Adresse geben.

Zankapfel Personenbezug

Aber sollen angesichts dieser Schwierigkeiten IP-Adressen immer noch als personenbezogene Daten geschützt werden? Letztlich kann beinahe jede Information mit beliebig großem Aufwand auf eine Person bezogen werden, trotzdem soll aber der Datenschutz nicht uferlos sein. Deshalb verlangt das Merkmal der “Beziehbarkeit” ein gewisses Augenmaß. So weit, so unstreitig.

Welches Augenmaß nun aber ganz allgemein für die Beziehbarkeit gelten soll, ist unklar. Tatsächlich hat schon der Gesetzgeber die Frage gesehen und … keine Antwort gewusst. Jedenfalls hat er ausdrücklich keine geben wollen. Gerichte und Rechtsgelehrte sollten die Frage klären.

IP-Adressen und kein Ende

Für viele Bereiche des Alltags hat sich inzwischen jeweils eine Antwort auf die Frage gefunden. Ausgerechnet aber für IP-Adressen nicht. Dabei ist die Frage relevant: Soll ein Personenbezug anzunehmen sein, müssen die Einschränkungen des Datenschutzes beachtet werden: IP-Adressen dürften nicht mehr beliebig erhoben und gespeichert werden. Genau das ist aber bis heute Alltag auf fast jedem Server: entweder mit eigenen Logs oder durch Einsatz eines Tracking-Tools wie Google Analytics auf der entsprechenden Webseite. Die verantwortlichen Seitenbetreiber begehen also – je nach Antwort auf die Frage – einen Datenschutzverstoß und müssen ein Bußgeld fürchten, oder eben nicht.

Vielbeachtet hatten sich das Amtsgericht (AG) Berlin-Mitte (Urteil vom 27.03.2007, Az 5C 314/06) und das Amtsgericht München (Urteil vom 30.09.2008, Az. 133 C 5677/08) mit der Frage beschäftigt. Und dabei genau entgegengesetzt entschieden: IP-Adressen sollen nach Berliner Lesart personenbezogene Daten sein, also dem Datenschutz unterfallen. In München hingegen sah man das anders, und der zuständige Amtsrichter entschied genau entgegengesetzt.

Klar äußerte sich dann der sogenannte Düsseldorfer Kreis. Die Landesdatenschutzbeauftragten der einzelnen Bundesländer stimmen sich in dem informellen Gremium über gemeinsame Standpunkte ab. Und in puncto IP-Adressen machte der Düsseldorfer Kreis seinen Standpunkt deutlich: IP-Adressen sind personenbezogene Daten, und insbesondere Google Analytics ist deshalb mit deutschem Datenschutzrecht unvereinbar. Ein Standpunkt, der längst nicht jeden Rechtsgelehrten überzeugt hat. Aber zumindest doch eine klare Ansage, und zunächst einmal sind es ja eben jene Landesdatenschutzbeauftragten, die die Bußgelder verhängen. In die Diskussion kehrte deshalb Ruhe ein.

Aktuelle Gerichtsentscheidungen

Doch nun melden sich gleich zwei Gerichte zu Wort. Und jedenfalls wenn sich ein Webseitenbetreiber gegen ein verhängtes Bußgeld wehrt, werden Gerichte entscheiden.

Das Landgericht (LG) Wuppertal hatte einen latent grotesken Fall des Schwarzsurfens über ein offenes WLAN zu entscheiden. Die Richter lehnten alle in Frage kommenden Tatbestände ab und sahen keine Strafbarkeit (Beschluss vom 19.10.2010, Az. 25 Qs 177/10). In den Tiefen des Urteils finden sich auch ebenso knappe wie bemerkenswerte Ausführungen dazu, dass IP-Adressen keine personenbezogenen Daten sind. Anderenfalls hätte eine Strafbarkeit wegen des unbefugten Abrufens oder Sich-Verschaffens personenbezogener Daten vorgelegen. In dem unüblichen Rahmen der Strafbarkeitsfrage trifft das Gericht eine klare Aussage.

Noch deutlicher nun das Oberlandesgericht (OLG) Hamburg. In der Auseinandersetzung um die Strafverfolgung in Tauschbörsen durch das Unternehmen Logistep sahen die Hamburger Richter keine datenschutzrechtlichen Bedenken (Beschluss vom 3.11.2010, Az. 5 W 126/10): Indem das Unternehmen IP-Adressen von schwarzen Tausch-Schafen für deren Überführung nutze, begehe Logistep keinen Datenschutzverstoß. Denn “bei den ermittelten IP-Adressen könne “ein Personenbezug mit normalen Mitteln [...] nicht hergestellt werden“. Kurz: Auch nach hanseatischer Auffassung unterfallen IP-Adressen nicht dem Datenschutz.

Fazit

Ob IP-Adressen personenbezogene Daten darstellen, ist leider immer noch nicht geklärt. Aber gegenüber dem ebenso klaren wie strengen Standpunkt des Düsseldorfer Kreises zeichnet sich nun die entgegengesetzte Tendenz in der Rechtsprechung ab. Mehrfach haben Gerichte IP-Adressen mit dem Datenschutz gerade nicht in Verbindung gebracht.

Für Webseitenbetreiber ergibt sich damit kaum ein eindeutiges Bild. Wer jede Diskussion vermeiden möchte, sollte auf Logging und insbesondere unzulässige Tracking-Tools verzichten. Gerade letztere Tools sind auch für jeden versierten Besucher erkennbar, und nur ganz wenige Tracker sind auch nach Zugrundelegung der Kriterien des Düsseldorfer Kreises zulässig.

Wer hingegen auf die Speicherung von IP-Adressen nicht verzichten will oder kann, riskiert damit möglicherweise ein Bußgeld. Aber die Chancen stehen derzeit vergleichsweise gut, sich vor Gericht dagegen wehren zu können. Eben weil Gerichte möglicherweise auf IP-Adressen nicht die Vorgaben des Datenschutzes anwenden.

Print Friendly
Dr. Marc Störing

Dr. Marc Störing

Associate at Osborne Clarke
Dr. Marc Störing ist Associate bei Osborne Clarke in Köln und berät insbesondere im IT-, Telekommunikations- und Datenschutzrecht. Er ist Autor zahlreicher technischer und juristischer Fachpublikationen.

Füge einen Kommentar hinzu: