Seit Jahren wird darüber gestritten, ob die IP des Benutzers im Internet ein personenbezogenes Datum ist oder nicht? Abhängig ist dies von der Definition des Begriffs der personenbezogenen Daten. Den IP-Adressen kommt dabei eine erhebliche Bedeutung für die Kommunikation im Internet zu. Mit ihrer Hilfe werden Inhalte an die Anfragenden ausgeliefert und vieles mehr.
Access-Provider vs. Content-Provider
Nach dem BDSG sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Für Zugangsanbieter (Access-Provider) ist die IP-Adresse, unabhängig von der bei der Vergabe der IP-Adressen verwendeten Technik, also auch bei dynamischer Vergabe, den einzelnen Nutzenden zuzuordnen. Die Access-Provider verfügen über die Bestandsdaten ihrer Kunden und können so auch die temporär vergebene IP der Person zuordnen. Content-Provider und Betreiber von Hosting-Services können eine unmittelbare Identifikation anhand der IP-Adresse regelmäßig nur bei statischen Adressen vornehmen. Für die Zugangsanbieter ist die IP-Adresse daher ein personenbezogenes Datum ist (Urteil des BVerfG vom 02.03.2010 – 1 BvR 256/08).
Klage gegen Bundesrepublik
Mit der Frage, ob es sich bei IP-Adressen generell, also auch für den Content-Provider, um personenbezogene Daten handelt, hatten sich in der Vergangenheit schon einige Instanzgerichte befasst.
Das LG Berlin beurteilt diese Frage nun deutlich differenzierter als die meisten Vorgängerentscheidungen. In dem Verfahren hatte das Gericht zweitinstanzlich über eine Klage gegen die Bundesrepublik Deutschland zu entscheiden (Urt. v. 31.1.2013, Az. 57 S 87/08). Ein Betroffener verlangte, dass bei seinen Besuchen auf offiziellen Webseiten die IP-Adresse nicht mehr über den Zeitpunkt des Besuchs hinaus gespeichert werden sollte. Diese Speicherung der IP-Adressen über das Ende des jeweiligen Nutzungsvorganges hinaus, geschah nach Angabe der Beklagten unter anderem zur Abwehr von Angriffen bzw. als Grundlage für die Strafverfolgbarkeit von Angriffen durch Identifizierung des Angreifers.
Relativer und absoluter Begriff
Für die Frage des Personenbezugs befasst sich das Gericht zunächst mit den zwei unterschiedlichen Ansätzen, die hierzu vertreten werden. Nach dem absoluten Verständnis reicht es aus, dass irgendein Dritter, beispielsweise der Zugangsanbieter, über das notwendige Zusatzwissen zur Herstellung des Personenbezugs verfügt. Auf die Möglichkeiten der die Daten verarbeitenden Stelle, an dieses Zusatzwissen zu gelangen, kommt es danach nicht an. Nach dem relativen Verständnis kommt es auf das Zusatzwissen der konkret verarbeitenden Stelle bzw. auf ihre (technische und ggfs. rechtliche) Möglichkeit an, sich dieses zu verschaffen.
Das LG Berlin schließt sich dem relativen Ansatz an. Das absolute Verständnis, so das Gericht, führe zu einer uferlosen und damit unpraktikablen Ausdehnung des Datenschutzes, die vom Gesetzgeber so nicht gewollt sei. Damit kommt das Gericht zum Ergebnis, dass ein Personenbezug dann gegeben sei, wenn die Bestimmung der Person technisch und rechtlich möglich sei und zudem nicht einen Aufwand erfordere, der außer Verhältnis zum Nutzen der Information für die verarbeitende Stelle stehe. Insofern habe eine Abwägung im Einzelfall zu der Frage zu erfolgen, ob der Datenschutz erforderlich ist bzw. wie weit er reichen soll.
Zugriffszeitpunkt und persönliche Angaben
Macht der Nutzer persönliche Angaben, lege er etwa auf der Seite seinen Klarnamen oder eine entsprechende E-MailAdresse offen, etwa um in einem Shop einzukaufen, sei ein Personenbezug der dynamischen IP-Adresse zu bejahen, jedenfalls dann, wenn auch der Zugriffszeitpunkt gespeichert werde. Für den Content-Provider seien dann Rückschlüsse, etwa auf das Surfverhalten unter der jeweiligen IP-Adresse vor und nach einem Seitenbesuch möglich. Unerheblich sei es insoweit, ob Formulareingaben und Serverzugriffe getrennt erfasst, gespeichert und verarbeitet werden, da jedenfalls eine einfache Verknüpfungsmöglichkeit bestehe.
IP-Adressen ohne Zugriffszeitpunkt
Das Gericht stellte aber klar, dass ein Unterlassungsanspruch nur in Bezug auf die Speicherung der IP-Adresse in Verbindung mit dem Zeitpunkt des jeweiligen Nutzungsvorgangs verlangt werden könne. Soweit nur die IP-Adressen ohne den zugehörigen Zeitpunkt des Zugriffs speichert werden, stelle die IP-Adresse als solche kein personenbezogenes Datum im Sinne von §§ 12 TMG, 3 BDSG dar, da ein Bezug zum Nutzer dann nicht hergestellt werden könne. Ein Recht des Betroffenen auf anonymes surfen, dass jede Speicherung untersage, gebe es nicht.
Fazit:
Das Gericht hat ein differenziertes Urteil gefällt. Nicht jede Erhebung einer IP-Adresse durch einen Webseitenbetreiber stellt gleich einen Verstoß gegen Datenschutzbestimmungen dar. Erst wenn der Betreiber weitere Informationen erhält, die zusammen mit dem Zugriffszeitpunkt, Rückschlüsse auf den Nutzer bzw. Anschlussinhaber erlauben, wird die Speicherung über den Nutzungsvorgang hinaus problematisch. Ob im Einzelfall eine Bestimmbarkeit des Nutzers gegeben ist, die die IP personenbezogen werden lässt, hängt im Einzelfall davon ab, wie groß der Aufwand ist, um einen solchen Bezug herzustellen und ob nach der allgemeinen Lebenserfahrung damit gerechnet werden muss, dass dieser Aufwand betrieben wird. Das wiederum, so das LG, erfasse auch die Frage, welches Interesse der Datenbearbeiter oder ein Dritter an der Identifizierung habe.
Erhält der Seitenbetreiber also weitere persönliche Daten des Nutzers, ist beim Speichern der IP-Adresse Vorsicht geboten. Es empfiehlt sich dann mindestens eine Kürzung der IP vorzunehmen, beispielsweise über „_anonymizeIp“ oder ähnliche Tools.
Über den Autor
Rechtsanwalt Andreas Thieme, LL.M. ist seit 2008 bei den Rechtsanwälten WIENKE & BECKER – KÖLN (Homepage) tätig. Er ist Mitglied der Deutschen Vereinigung für gewerblichen Rechtsschutz und Urheberrecht e.V. (GRUR). Kern seiner Beratung sind die gewerblichen Schutzrechte sowie Fragen des Wettbewerbs- und Werberechts, außerdem der eCommerce, die gesetzlichen Vorgaben bei Fernabsatzverträgen im B2C- und B2B-Bereich sowie die dabei zu beachtenden Datenschutzbestimmungen.
