Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

keine Ergebnisse
Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
Branchbob
Brick Owl
BrickLink
Cardmarket
Cdiscount.com
Check24
Chrono24
Coaching
commerce:seo
Conrad
Consulting
CosmoShop
Decathlon
Delcampe
Dienstleistungen
Discogs
Dropshipping
Dropshipping-Marktplatz
eBay
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Etsy (digitale Inhalte)
Facebook
Facebook (Warenverkauf)
Fairmondo
Fernunterricht
For-vegans
Fotografie und Bildbearbeitung
Freizeitkurse
Galaxus
Galeria
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
German Market
Germanized for WooCommerce
GTC for Shopify
GTC-Kaufland.de
Handmade at Amazon
home24
Homepage
Hood
Hornbach
Hosting
Hosting B2B
Individuelle Kundenkommunikation (B2B)
Individuelle Kundenkommunikation (B2C)
Instagram
Instagram (Warenverkauf)
Jimdo
Joomla
JTL
Kasuwa
Kaufland
Kaufland - alle Sprachen
Kleinanzeigen.de
Kleinanzeigen.de (Vermietung)
Lightspeed
LinkedIn
Lizenzo
Magento
Manomano
Mediamarkt
MeinOnlineLager
metro.de
modified eCommerce-Shops
Online-Shop
Online-Shop (digitale Inhalte)
Online-Shop - B2B
OpenCart
Otto
Oxid-Shops
Palundu
Pinterest
plentymarkets
Praktiker
Prestashop
Printkataloge
Productswithlove
RAIDBOXES
Restposten
Restposten24
Ricardo.ch
Selbstbedienungsläden
Seminare
SHOMUGO
Shop - Online-Kurse (live oder on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shopify
Shopware
Shpock
Shöpping
Smartvie
Snapchat
Spandooly
Squarespace
Stationärer Handel
STRATO
Teilehaber.de
Threads
TikTok
Tumblr
Twitch
TYPO3
Verkauf von Veranstaltungstickets
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
voelkner
webador
Webdesign
Webflow
Webshop Factory
Werky
WhatsApp Business
WhatsApp Business (Warenverkauf)
Wix
WooCommerce
WordPress
Wordpress (Warenverkauf)
wpShopGermany
X (ehemals Twitter)
Xanario
XING
xt:Commerce
XXXLutz
YouTube
zalando
Zen-Cart
ZVAB

LG Berlin: Speicherung von dynamischen IP-Adressen als Verstoß gegen Datenschutzrecht?

15.10.2013, 12:37 Uhr | Lesezeit: 8 min
LG Berlin: Speicherung von dynamischen IP-Adressen als Verstoß gegen Datenschutzrecht?

Schon seit geraumer Zeit besteht Uneinigkeit darüber, ob (dynamische) IP-Adressen von den Betreibern einer Website gespeichert werden dürfen oder ob dies einen datenschutzrechtlichen Verstoß darstellt. Kern der Frage ist dabei, inwieweit (dynamische) IP-Adressen als personenbezogene Daten im Sinne des Bundesdatenschutzgesetz (BDSG) anzusehen sind. Das LG Berlin (31.01.2013; Az.: 57 S 87/08) hatte nunmehr darüber zu entscheiden, ob dynamische IP-Adressen als personenbezogene Daten anzusehen sind, lesen Sie mehr zu dieser Entscheidung.

I. Was ist eine IP-Adresse

Eine IP-Adresse ist eine Adresse in Computernetzen. Damit ein Computer im Internet agieren kann, muss er eindeutig identifizierbar sein. Deshalb wird eine individuelle IP-Adresse allen Geräten zugewiesen, welche an das Netz angebunden sind und macht so die einzelnen Computer erreichbar. Aufgrund der IP-Adresse können die einzelnen Router die Datenpakete an den richtigen Computer transportieren. Nach dem Adresssystem IPv4 bestehen IP-Adressen aus 4 Zahlenblöcken. Diese Zahlenblöcke liegen zwischen 0 und 255 und werden durch einen Punkt getrennt (so zum Beispiel: 123.45.67.189). Insgesamt ergibt sich eine 32 stellige Binärzahl.

Da dieses Adresssystem nicht genug Adressen für alle Internetuser bietet, werden nach einem Zufallssystem die IP-Adressen teilweise für jede Nutzungseinheit des Internets neu vergeben (dynamische IP-Adressen). Teilweise haben User aber eine ihrem Rechner fest zugewiesene Adresse (statische IP-Adresse). Da dynamische IP-Adressen vom Access-Provider bei jeder Einwahl in das Internet neu vergeben werden, tritt der Nutzer bei jeder „Session“ unter einer anderen Adresse auf. Hat der Nutzer eine statische IP-Adresse tritt er unter derselben Adresse bei jeder Nutzung auf.

II. Was sind personenbezogene Daten

Die Definition des Begriffs der personenbezogenen Daten leitet sich aus dem Bundesdatenschutzgesetz (BDSG) ab. Dabei ist für das deutsche Recht zunächst der § 3 BDSG maßgeblich, der sich auf Art. 2 a) der Datenschutz-RL 95/46/EG stützt, wonach es sich bei personenbezogenen Daten

"um Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person "

handelt.

Banner Starter Paket

III. Sind IP-Adressen personenbezogene Daten

Fraglich ist, ob es sich bei der IP-Adresse um ein personenbezogenes Datum handelt. Hierfür müsste es sich bei IP-Adresse um ein Datum handeln, welches eine natürliche Person "bestimmbar" macht, die Juristen streiten gerade über diese rechtliche Einordnung von IP-Adressen. Im Rahmen dieses Streits haben sich zwei rechtliche Lager herausgebildet: Während eine Ansicht die Bestimmbarkeit danach beurteilt, ob der jeweilige Diensteanbieter die Person hinter der IP-Adresse ermitteln kann (relative Bestimmbarkeit), möchte eine andere Ansicht danach entscheiden, ob irgendjemand in Lage ist, von der erhobenen IP-Adresse auf die dahinter stehende natürliche Person zu schließen (absolute Bestimmbarkeit).

1. Relative Bestimmbarkeit

Nach der Auffassung der relativen Bestimmbarkeit kommt es darauf an, ob gerade die erhebende Person oder Stelle die Möglichkeit hat, den Nutzer mit den erhobenen Daten zu identifizieren. Diese Ansicht zur Bestimmbarkeit des personenenbezogenen Datums führt zu dem Ergebnis, dass eine IP-Adresse für die eine Person ein personenbezogenes Datum darstellen kann (nämlich dann, wenn ein Rückschluss auf die natürliche Person möglich ist), während es sich für eine andere Person gerade nicht als personenenbezogenes Datum darstellen kann.

2. Absolute Bestimmbarkeit

Nach der Ansicht der absoluten Bestimmbarkeit handelt es sich bei der IP-Adresse dann um ein personenenbezogenes Datum, wenn die theoretische Möglichkeit einer Identifizierung der natürlichen Person besteht, ganz gleich, ob hierfür die Mitwirkung eines Dritten, illegale Methoden oder ein unverhältnismäßiger Aufwand notwendig wird.

3. Bisherige Gerichtsentscheidungen (Auswahl)

Rechtsprechung, welche IP-Adressen nicht als personenbezogenes Datum qualifiziert hatten:

OLG Hamburg, Beschluss vom 03.11.2010, Az.: 5 W 126/10
AG München, Urteil vom 30.09.2008, Az.:133 C 5677/08

Rechtsprechung, welche IP-Adressen als personenbezogenes Datum qualifiziert hatten:

LG Darmstadt, Urteil vom 07.12.2005, Az.: 25 S 118/2005
LG Berlin, Urteil vom 06.09.2007, Az.: 23 S 3/07
LG Köln, Urteil vom 12.09.2007, Az.: 28 O 339/07
BGH, Beschluss vom 26.10.2006, Az.: III ZR 40/06 (wobei sich der BGH nicht ausdrücklich mit der Frage beschäftigt hatte)

Auch hatte der EUGH in einem Urteil (vom 24.11.2011, Az.: C-70/10) – ohne eine inhaltliche Einschränkung – festgestellt, dass es sich bei IP-Adressen in jedem Fall um personenbezogene Daten handeln soll. Es ist allerdings darauf hinzuweisen, dass es in dieser Sache vor dem EuGH gerade um eine Klage gegen einen Access-Provider ging, der in seiner Funktion jederzeit nachverfolgen kann, welche IP-Adresse wem und wann zugeordnet ist. Die Bedeutung dieser Entscheidung ist hinsichtlich der Einordnung von IP-Adressen als personenbezogene Daten nicht allzu hoch einzustufen.

4. Unterscheidung bei statischer und dynamischer IP-Adresse?

Entsprechend der Unterscheidung im aktuellen IP-Adressen-Adressierungssystem wird auch in der Rechtsdiskussion eine Unterscheidung geschaffen: teilweise wird angenommen, dass jedenfalls statische IP-Adressen immer als personenbezogene Daten zu begreifen sind, während eine abweichende Ansicht für die dynamische IP-Adresse gelten soll, da letztlich nur der Access-Provider weiß, wem eine bestimmte IP-Adresse zu einem bestimmten Zeitpunkt zugeordnet ist. Dass IP-Adressen in der Hand eines Access-Providers als personenbezogene Daten zu qualifizieren sind, hatte das LG Berlin in seiner Entscheidung ebenfalls so gesehen:

"Auf dieser Grundlage ist allgemein anerkannt, dass die IP-Adresse in der Hand des Zugangsanbieters (”Acces-Provider”), der über die Bestands- und Vertragsdaten seiner Kunden und über die seinen Kunden für den jeweiligen Internetzugriff zugewiesenen IP-Adresse verfügt, ein personenbezogenes Datum ist (Urteil des BVerfG vom 02.03.2010 zur Vorratsdatenspeicherung, 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08, zit. nach juris; Urteil des BGH vom 12.05.2010, I ZR 121/08, zit. nach juris; Urteil des BGH vom 13.01.2011, 111 ZR 146/10, zit. nach juris)."

IV. Die Entscheidung des LG Berlin zu dynamischen IP-Adressen

Das Landgericht Berlin folgt in seiner Entscheidung (31.01.2013; Az.: 57 S 87/08) der Ansicht der relativen Bestimmbarkeit des Personenbezugs von IP-Adressen und lehnt die Ansicht der absoluten Bestimmbarkeit als eine uferlose und damit unpraktikable Ausdehnung des Datenschutzes, welche vom Gesetzgeber so nicht gewollt sei, ab. Sodann führt das LG Berlin in seiner Begründung zur relativen Bestimmbarkeit das Folgende aus:

"Nach dem hier vertretenen relativen Ansatz muss die Bestimmung der Person technisch und rechtlich möglich sein und darf zudem nicht einen Aufwand erfordern, der außer Verhältnis zum Nutzen der Information für die verarbeitende Stelle steht. Es hat eine Abwägung im Einzelfall zu der Frage zu erfolgen, ob der Datenschutz erforderlich ist bzw. wie weit er reichen soll. Bei der Abwägung ist insbesondere zu berücksichtigen,
welche Hürden bestehen, bevor die verarbeitende Stelle an die Zusatzinformation herankommt,
• ob und welche Missbrauchszenarien eine Rolle spielen,
• ob der Schutz des Klägers auch ohne den von ihm geforderten, umfassenden Datenschutz ausreichend ist,
• wie der gesellschaftliche Anspruch auf Strafverfolgung auch von Straftaten im Internet im Verhältnis zum Schutz des Klägers in Ansehung seines Anspruches auf Anonymität im Internet zu bewerten ist,
• wie groß die Gefahr ist, dass gegen tatsächlich unbeteiligte Anschlussinhaber ermittelt wird."

Insofern gelangt das LG Berlin zur Ansicht, dass die Erhebung und Speicherung einer dynamischen IP-Adresse für sich noch keinen datenschutzrechtlich relevanten Akt darstellt, da die bloße dynamische IP-Adresse noch kein personenbezogenes Datum sei. Sollte der speichernden Stelle allerdings Zusatzinformationen vorliegen, welche eine Idenitifzierung der hinter der dynamischen IP-Adresse stehenden natürlichen Person ermöglichten, so handle es sich um personenbezogene Daten mit der Folge, dass eine Erhebung und Speicherung nur mit Zustimmung des Betroffenen zulässig sei. Das Gericht führte hierzu aus:

"In Fällen, in denen der Nutzer seinen Klarnamen, z. B. auch durch eine entsprechende E-Mail­ Adresse, offen legt, etwa um während einer Kommunikationssitzung eine Broschüre zu bestellen, ist nach den genannten Parametern ein Personenbezug der dynamischen IP-Adresse zu bejahen, da das Kriterium der Bestimmbarkeit erfüllt ist (...). Zwar besteht die IP-Adresse selbst nur aus Ziffern; jedoch kann die Beklagte durch Abgleich der IP-Adresse in Verbindung mit dem Zeitpunkt des jeweiligen Zugriffs und mit dem Zeitpunkt der unter dem Klarnamen erfolgten Kontaktaufnahme, den Klarnamen des Nutzers mit der jeweiligen IP-Adresse verknüpfen. Die Beklagte kann jedenfalls in dem Augenblick der Eingabe/Sendung die im Web-Server gespeicherte IP-Adresse dem Nutzer selbst und ohne Einbeziehung des Zugangsanbieters zuordnen und ist sodann vielfach in der Lage, das Surfverhalten des Nutzers während dessen Besuch auf ihrem Portal unter der bekannten IP-Adresse nachzuvollziehen."

V. Einwilligung in die Speicherung der dynamischen IP-Adresse

Die Speicherung und Verwendung von personenbezogenen Daten greift in das Grundrecht auf informationelle Selbstbestimmung ein. Ein solcher Eingriff kann nur durch Gesetz oder durch Einwilligung des Betroffenen gerechtfertigt sein. Diese Einwilligung hat sich jedoch eindeutig auf die Speicherung der IP-Adresse in Verbindung mit der Eingabe des Klarnamens zu beziehen. Die Übersendung der Klardaten via E-Mail oder einem auf dem Internetportal zur Verfügung gestellten Formular kann daher nicht als entsprechende Einwilligung verstanden werden. Wie das LG Berlin treffend feststellt ist nämlich

"die mit der Preisgabe der Klardaten verbundene Einwilligung (...) inhaltlich beschränkt auf den mit der jeweiligen Email bzw. dem jeweiligen Formular verbundenen Zweck."

VI. Fazit

Die bloße Erhebung und Speicherung von dynamischen IP-Adressen ist nach dem LG Berlin nicht datenschutzrechtlich relevant, da es sich in diesem Fall bei der dynamischen IP-Adresse nicht um ein personenbezogenes Datum handle. Sollte der speichernden Stelle allerdings Zusatzinformationen vorliegen, welche eine Idenitifzierung der hinter der dynamischen IP-Adresse stehenden natürlichen Person ermöglichten, so handle es sich um personenbezogene Daten mit der Folge, dass eine Erhebung und Speicherung nur mit Zustimmung des Betroffenen zulässig sei.
Das Urteil des LG Berlin ist für die Praxis allerdings wenig hilfreich, da der Internetseitenbetreiber nicht erkennen kann, ob es sich um eine dynamische oder eine statische IP-Adresse handelt, so dass etwaige Maßnahmen, zur Nichtspeicherung weiterer Zusatzinformationen, dem Seitenbetreiber nicht effektiv vor einem Datenschutzverstoß helfen können.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Bildquelle:
© alphaspirit - Fotolia.com

Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

3 Kommentare

H
Handel-SM-de 25.11.2018, 13:01 Uhr
falsche Histerie
Datenschutz über alles; aber jede Petition unterschreiben inkl. Adressangabe zum Schutz der "rot-grün-gestreiften Hummel". Gibt e eigentlich keine Tabletten gg. diese übertriebene Histerie?
J
Johann 26.04.2018, 16:52 Uhr
SABTA? (Sicheres Auftreten bei totaler Ahnungslosigkeit)
Was werden da für juristische Pirouetten in luftleerem Raum gedreht?! Kann man denn von einem KFZ-Kennzeichen zwingend auf den Fahrzeugführer schließen? Nach der vorgetragenen Logik wäre das so. Eine natürliche Person ist in der Praxis mindestens zwei Ebenen von einer eindeutigen IP entfernt - egal, ob diese dynamisch ist oder nicht. Die erste Ebene ist der Router, welcher NAT (Network Adress Translation) macht für die Geräte im LAN. Man kann von einer IP also nicht einmal auf ein Endgerät schließen. Auch ein Schulzentrum, in dem 300 Endgeräte zeitgleich online sind, erscheint aus Sicht des Internet auf IPv4-Ebene nur mit einer einzigen IP. Die zweite Ebene: Wer nutzt das Endgerät? Auch diese Frage ist völlig offen und kann nicht beantwortet werden. Ob bei dem Endgerät eine Benutzeranmeldung erfolgen muss, spielt dabei i.d.R. auch keine Rolle, da selbst diese Anmeldung nicht eindeutig sein kann. Bei modernen Mobilgeräten, die per WLAN in Netz sind, entfällt auch diese Anmeldung. Ebenso kann ein Mobilgerät den eigenen Netzzugang per Tethering freigeben für weitere Geräte. ERGO: Eine eindeutige IP allein sagt GAR NICHTS über die Person, welche über die besagte IP online war. Offenbar war AMs "Neuland" doch keine Vorlage für's Fremdschämen, sondern die bittere Beschreibung der Realität im 21. Jahrhundert...
F
Frank 21.10.2013, 18:54 Uhr
?!?!
Hat vielleicht schon mal jemand darüber nachgedacht, das sich im Falle eines Betrugs, z.B. Identitätsklau, die Speicherung der IP bei einer Bestellung mit Datum Uhrzeit rentieren könnte? Z.B. als Ermittlungshilfe für die Kriminalpolizei?
Eine Pauschale Speicherung von IP's nur weil irgendjemand den Shop besucht hat ist natürlich absoluter nonsens - das würde vielleicht die NSA machen?
Aber im Rahmen einer Bestellung bzw. eines Vertragsabschlusses macht die Speicherung der IP für den Kunden und den "Shopbetreiber" Sinn auch wenn hier mal wieder mehr gespeichert wird.

weitere News

EuGH: Fehlendes Verarbeitungsverzeichnis führt nicht automatisch zu einer unzulässigen Datenverarbeitung
(16.02.2024, 10:48 Uhr)
EuGH: Fehlendes Verarbeitungsverzeichnis führt nicht automatisch zu einer unzulässigen Datenverarbeitung
Auch weiterhin gilt: Die Weitergabe von E-Mail-Adressen an Paketdienstleister zu Paketankündigungszwecken bedarf einer Einwilligung
(05.01.2024, 13:23 Uhr)
Auch weiterhin gilt: Die Weitergabe von E-Mail-Adressen an Paketdienstleister zu Paketankündigungszwecken bedarf einer Einwilligung
EuGH: Keine Spürbarkeitsschwelle für immateriellen Schadensersatz nach DSGVO
(02.01.2024, 09:42 Uhr)
EuGH: Keine Spürbarkeitsschwelle für immateriellen Schadensersatz nach DSGVO
Hamburger Datenschutzbeauftragter: Gemeinsame Verantwortlichkeit nach DSGVO bei geteilter Kundendatenbank im Unternehmensverbund
(04.12.2023, 08:13 Uhr)
Hamburger Datenschutzbeauftragter: Gemeinsame Verantwortlichkeit nach DSGVO bei geteilter Kundendatenbank im Unternehmensverbund
Die Übertragung von Kundendaten bei Shop-Veräußerung: Datenschutzrechtliche Pflichten + Muster
(14.11.2023, 14:19 Uhr)
Die Übertragung von Kundendaten bei Shop-Veräußerung: Datenschutzrechtliche Pflichten + Muster
VG Berlin: Mitwirkungsobliegenheit des Betroffenen bei Auskunft nach DSGVO
(26.10.2023, 17:52 Uhr)
VG Berlin: Mitwirkungsobliegenheit des Betroffenen bei Auskunft nach DSGVO
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.
Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.
Ihre IT-Recht Kanzlei
Vielen Dank!
© 2004-2024 · IT-Recht Kanzlei