LG Berlin: Speicherung von dynamischen IP-Adressen als Verstoß gegen Datenschutzrecht?

Schon seit geraumer Zeit besteht Uneinigkeit darüber, ob (dynamische) IP-Adressen von den Betreibern einer Website gespeichert werden dürfen oder ob dies einen datenschutzrechtlichen Verstoß darstellt. Kern der Frage ist dabei, inwieweit (dynamische) IP-Adressen als personenbezogene Daten im Sinne des Bundesdatenschutzgesetz (BDSG) anzusehen sind. Das LG Berlin (31.01.2013; Az.: 57 S 87/08) hatte nunmehr darüber zu entscheiden, ob dynamische IP-Adressen als personenbezogene Daten anzusehen sind, lesen Sie mehr zu dieser Entscheidung.

Inhaltsverzeichnis

I. Was ist eine IP-Adresse
II. Was sind personenbezogene Daten
III. Sind IP-Adressen personenbezogene Daten
1. Relative Bestimmbarkeit
2. Absolute Bestimmbarkeit
3. Bisherige Gerichtsentscheidungen (Auswahl)
4. Unterscheidung bei statischer und dynamischer IP-Adresse?
IV. Die Entscheidung des LG Berlin zu dynamischen IP-Adressen
V. Einwilligung in die Speicherung der dynamischen IP-Adresse
VI. Fazit

I. Was ist eine IP-Adresse

Eine IP-Adresse ist eine Adresse in Computernetzen. Damit ein Computer im Internet agieren kann, muss er eindeutig identifizierbar sein. Deshalb wird eine individuelle IP-Adresse allen Geräten zugewiesen, welche an das Netz angebunden sind und macht so die einzelnen Computer erreichbar. Aufgrund der IP-Adresse können die einzelnen Router die Datenpakete an den richtigen Computer transportieren. Nach dem Adresssystem IPv4 bestehen IP-Adressen aus 4 Zahlenblöcken. Diese Zahlenblöcke liegen zwischen 0 und 255 und werden durch einen Punkt getrennt (so zum Beispiel: 123.45.67.189). Insgesamt ergibt sich eine 32 stellige Binärzahl.

Da dieses Adresssystem nicht genug Adressen für alle Internetuser bietet, werden nach einem Zufallssystem die IP-Adressen teilweise für jede Nutzungseinheit des Internets neu vergeben (dynamische IP-Adressen). Teilweise haben User aber eine ihrem Rechner fest zugewiesene Adresse (statische IP-Adresse). Da dynamische IP-Adressen vom Access-Provider bei jeder Einwahl in das Internet neu vergeben werden, tritt der Nutzer bei jeder „Session“ unter einer anderen Adresse auf. Hat der Nutzer eine statische IP-Adresse tritt er unter derselben Adresse bei jeder Nutzung auf.

II. Was sind personenbezogene Daten

Die Definition des Begriffs der personenbezogenen Daten leitet sich aus dem Bundesdatenschutzgesetz (BDSG) ab. Dabei ist für das deutsche Recht zunächst der § 3 BDSG maßgeblich, der sich auf Art. 2 a) der Datenschutz-RL 95/46/EG stützt, wonach es sich bei personenbezogenen Daten

"um Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person "

handelt.

III. Sind IP-Adressen personenbezogene Daten

Fraglich ist, ob es sich bei der IP-Adresse um ein personenbezogenes Datum handelt. Hierfür müsste es sich bei IP-Adresse um ein Datum handeln, welches eine natürliche Person "bestimmbar" macht, die Juristen streiten gerade über diese rechtliche Einordnung von IP-Adressen. Im Rahmen dieses Streits haben sich zwei rechtliche Lager herausgebildet: Während eine Ansicht die Bestimmbarkeit danach beurteilt, ob der jeweilige Diensteanbieter die Person hinter der IP-Adresse ermitteln kann (relative Bestimmbarkeit), möchte eine andere Ansicht danach entscheiden, ob irgendjemand in Lage ist, von der erhobenen IP-Adresse auf die dahinter stehende natürliche Person zu schließen (absolute Bestimmbarkeit).

1. Relative Bestimmbarkeit

Nach der Auffassung der relativen Bestimmbarkeit kommt es darauf an, ob gerade die erhebende Person oder Stelle die Möglichkeit hat, den Nutzer mit den erhobenen Daten zu identifizieren. Diese Ansicht zur Bestimmbarkeit des personenenbezogenen Datums führt zu dem Ergebnis, dass eine IP-Adresse für die eine Person ein personenbezogenes Datum darstellen kann (nämlich dann, wenn ein Rückschluss auf die natürliche Person möglich ist), während es sich für eine andere Person gerade nicht als personenenbezogenes Datum darstellen kann.

2. Absolute Bestimmbarkeit

Nach der Ansicht der absoluten Bestimmbarkeit handelt es sich bei der IP-Adresse dann um ein personenenbezogenes Datum, wenn die theoretische Möglichkeit einer Identifizierung der natürlichen Person besteht, ganz gleich, ob hierfür die Mitwirkung eines Dritten, illegale Methoden oder ein unverhältnismäßiger Aufwand notwendig wird.

3. Bisherige Gerichtsentscheidungen (Auswahl)

Rechtsprechung, welche IP-Adressen nicht als personenbezogenes Datum qualifiziert hatten:

OLG Hamburg, Beschluss vom 03.11.2010, Az.: 5 W 126/10
AG München, Urteil vom 30.09.2008, Az.:133 C 5677/08

Rechtsprechung, welche IP-Adressen als personenbezogenes Datum qualifiziert hatten:

LG Darmstadt, Urteil vom 07.12.2005, Az.: 25 S 118/2005
LG Berlin, Urteil vom 06.09.2007, Az.: 23 S 3/07
LG Köln, Urteil vom 12.09.2007, Az.: 28 O 339/07
BGH, Beschluss vom 26.10.2006, Az.: III ZR 40/06 (wobei sich der BGH nicht ausdrücklich mit der Frage beschäftigt hatte)

Auch hatte der EUGH in einem Urteil (vom 24.11.2011, Az.: C-70/10) – ohne eine inhaltliche Einschränkung – festgestellt, dass es sich bei IP-Adressen in jedem Fall um personenbezogene Daten handeln soll. Es ist allerdings darauf hinzuweisen, dass es in dieser Sache vor dem EuGH gerade um eine Klage gegen einen Access-Provider ging, der in seiner Funktion jederzeit nachverfolgen kann, welche IP-Adresse wem und wann zugeordnet ist. Die Bedeutung dieser Entscheidung ist hinsichtlich der Einordnung von IP-Adressen als personenbezogene Daten nicht allzu hoch einzustufen.

4. Unterscheidung bei statischer und dynamischer IP-Adresse?

Entsprechend der Unterscheidung im aktuellen IP-Adressen-Adressierungssystem wird auch in der Rechtsdiskussion eine Unterscheidung geschaffen: teilweise wird angenommen, dass jedenfalls statische IP-Adressen immer als personenbezogene Daten zu begreifen sind, während eine abweichende Ansicht für die dynamische IP-Adresse gelten soll, da letztlich nur der Access-Provider weiß, wem eine bestimmte IP-Adresse zu einem bestimmten Zeitpunkt zugeordnet ist. Dass IP-Adressen in der Hand eines Access-Providers als personenbezogene Daten zu qualifizieren sind, hatte das LG Berlin in seiner Entscheidung ebenfalls so gesehen:

"Auf dieser Grundlage ist allgemein anerkannt, dass die IP-Adresse in der Hand des Zugangsanbieters (”Acces-Provider”), der über die Bestands- und Vertragsdaten seiner Kunden und über die seinen Kunden für den jeweiligen Internetzugriff zugewiesenen IP-Adresse verfügt, ein personenbezogenes Datum ist (Urteil des BVerfG vom 02.03.2010 zur Vorratsdatenspeicherung, 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08, zit. nach juris; Urteil des BGH vom 12.05.2010, I ZR 121/08, zit. nach juris; Urteil des BGH vom 13.01.2011, 111 ZR 146/10, zit. nach juris)."

IV. Die Entscheidung des LG Berlin zu dynamischen IP-Adressen

Das Landgericht Berlin folgt in seiner Entscheidung (31.01.2013; Az.: 57 S 87/08) der Ansicht der relativen Bestimmbarkeit des Personenbezugs von IP-Adressen und lehnt die Ansicht der absoluten Bestimmbarkeit als eine uferlose und damit unpraktikable Ausdehnung des Datenschutzes, welche vom Gesetzgeber so nicht gewollt sei, ab. Sodann führt das LG Berlin in seiner Begründung zur relativen Bestimmbarkeit das Folgende aus:

"Nach dem hier vertretenen relativen Ansatz muss die Bestimmung der Person technisch und rechtlich möglich sein und darf zudem nicht einen Aufwand erfordern, der außer Verhältnis zum Nutzen der Information für die verarbeitende Stelle steht. Es hat eine Abwägung im Einzelfall zu der Frage zu erfolgen, ob der Datenschutz erforderlich ist bzw. wie weit er reichen soll. Bei der Abwägung ist insbesondere zu berücksichtigen,
welche Hürden bestehen, bevor die verarbeitende Stelle an die Zusatzinformation herankommt,
• ob und welche Missbrauchszenarien eine Rolle spielen,
• ob der Schutz des Klägers auch ohne den von ihm geforderten, umfassenden Datenschutz ausreichend ist,
• wie der gesellschaftliche Anspruch auf Strafverfolgung auch von Straftaten im Internet im Verhältnis zum Schutz des Klägers in Ansehung seines Anspruches auf Anonymität im Internet zu bewerten ist,
• wie groß die Gefahr ist, dass gegen tatsächlich unbeteiligte Anschlussinhaber ermittelt wird."

Insofern gelangt das LG Berlin zur Ansicht, dass die Erhebung und Speicherung einer dynamischen IP-Adresse für sich noch keinen datenschutzrechtlich relevanten Akt darstellt, da die bloße dynamische IP-Adresse noch kein personenbezogenes Datum sei. Sollte der speichernden Stelle allerdings Zusatzinformationen vorliegen, welche eine Idenitifzierung der hinter der dynamischen IP-Adresse stehenden natürlichen Person ermöglichten, so handle es sich um personenbezogene Daten mit der Folge, dass eine Erhebung und Speicherung nur mit Zustimmung des Betroffenen zulässig sei. Das Gericht führte hierzu aus:

"In Fällen, in denen der Nutzer seinen Klarnamen, z. B. auch durch eine entsprechende E-Mail Adresse, offen legt, etwa um während einer Kommunikationssitzung eine Broschüre zu bestellen, ist nach den genannten Parametern ein Personenbezug der dynamischen IP-Adresse zu bejahen, da das Kriterium der Bestimmbarkeit erfüllt ist (...). Zwar besteht die IP-Adresse selbst nur aus Ziffern; jedoch kann die Beklagte durch Abgleich der IP-Adresse in Verbindung mit dem Zeitpunkt des jeweiligen Zugriffs und mit dem Zeitpunkt der unter dem Klarnamen erfolgten Kontaktaufnahme, den Klarnamen des Nutzers mit der jeweiligen IP-Adresse verknüpfen. Die Beklagte kann jedenfalls in dem Augenblick der Eingabe/Sendung die im Web-Server gespeicherte IP-Adresse dem Nutzer selbst und ohne Einbeziehung des Zugangsanbieters zuordnen und ist sodann vielfach in der Lage, das Surfverhalten des Nutzers während dessen Besuch auf ihrem Portal unter der bekannten IP-Adresse nachzuvollziehen."

V. Einwilligung in die Speicherung der dynamischen IP-Adresse

Die Speicherung und Verwendung von personenbezogenen Daten greift in das Grundrecht auf informationelle Selbstbestimmung ein. Ein solcher Eingriff kann nur durch Gesetz oder durch Einwilligung des Betroffenen gerechtfertigt sein. Diese Einwilligung hat sich jedoch eindeutig auf die Speicherung der IP-Adresse in Verbindung mit der Eingabe des Klarnamens zu beziehen. Die Übersendung der Klardaten via E-Mail oder einem auf dem Internetportal zur Verfügung gestellten Formular kann daher nicht als entsprechende Einwilligung verstanden werden. Wie das LG Berlin treffend feststellt ist nämlich

"die mit der Preisgabe der Klardaten verbundene Einwilligung (...) inhaltlich beschränkt auf den mit der jeweiligen Email bzw. dem jeweiligen Formular verbundenen Zweck."

VI. Fazit

Die bloße Erhebung und Speicherung von dynamischen IP-Adressen ist nach dem LG Berlin nicht datenschutzrechtlich relevant, da es sich in diesem Fall bei der dynamischen IP-Adresse nicht um ein personenbezogenes Datum handle. Sollte der speichernden Stelle allerdings Zusatzinformationen vorliegen, welche eine Idenitifzierung der hinter der dynamischen IP-Adresse stehenden natürlichen Person ermöglichten, so handle es sich um personenbezogene Daten mit der Folge, dass eine Erhebung und Speicherung nur mit Zustimmung des Betroffenen zulässig sei.
Das Urteil des LG Berlin ist für die Praxis allerdings wenig hilfreich, da der Internetseitenbetreiber nicht erkennen kann, ob es sich um eine dynamische oder eine statische IP-Adresse handelt, so dass etwaige Maßnahmen, zur Nichtspeicherung weiterer Zusatzinformationen, dem Seitenbetreiber nicht effektiv vor einem Datenschutzverstoß helfen können.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Bildquelle:
© alphaspirit - Fotolia.com

Link kopieren

Als PDF exportieren

Drucken

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

3 Kommentare

Diskutieren Sie mit

Handel-SM-de 25.11.2018, 13:01 Uhr

falsche Histerie

Datenschutz über alles; aber jede Petition unterschreiben inkl. Adressangabe zum Schutz der "rot-grün-gestreiften Hummel". Gibt e eigentlich keine Tabletten gg. diese übertriebene Histerie?

Johann 26.04.2018, 16:52 Uhr

SABTA? (Sicheres Auftreten bei totaler Ahnungslosigkeit)

Was werden da für juristische Pirouetten in luftleerem Raum gedreht?! Kann man denn von einem KFZ-Kennzeichen zwingend auf den Fahrzeugführer schließen? Nach der vorgetragenen Logik wäre das so. Eine natürliche Person ist in der Praxis mindestens zwei Ebenen von einer eindeutigen IP entfernt - egal, ob diese dynamisch ist oder nicht. Die erste Ebene ist der Router, welcher NAT (Network Adress Translation) macht für die Geräte im LAN. Man kann von einer IP also nicht einmal auf ein Endgerät schließen. Auch ein Schulzentrum, in dem 300 Endgeräte zeitgleich online sind, erscheint aus Sicht des Internet auf IPv4-Ebene nur mit einer einzigen IP. Die zweite Ebene: Wer nutzt das Endgerät? Auch diese Frage ist völlig offen und kann nicht beantwortet werden. Ob bei dem Endgerät eine Benutzeranmeldung erfolgen muss, spielt dabei i.d.R. auch keine Rolle, da selbst diese Anmeldung nicht eindeutig sein kann. Bei modernen Mobilgeräten, die per WLAN in Netz sind, entfällt auch diese Anmeldung. Ebenso kann ein Mobilgerät den eigenen Netzzugang per Tethering freigeben für weitere Geräte. ERGO: Eine eindeutige IP allein sagt GAR NICHTS über die Person, welche über die besagte IP online war. Offenbar war AMs "Neuland" doch keine Vorlage für's Fremdschämen, sondern die bittere Beschreibung der Realität im 21. Jahrhundert...

Frank 21.10.2013, 18:54 Uhr

?!?!

Hat vielleicht schon mal jemand darüber nachgedacht, das sich im Falle eines Betrugs, z.B. Identitätsklau, die Speicherung der IP bei einer Bestellung mit Datum Uhrzeit rentieren könnte? Z.B. als Ermittlungshilfe für die Kriminalpolizei?
Eine Pauschale Speicherung von IP's nur weil irgendjemand den Shop besucht hat ist natürlich absoluter nonsens - das würde vielleicht die NSA machen?
Aber im Rahmen einer Bestellung bzw. eines Vertragsabschlusses macht die Speicherung der IP für den Kunden und den "Shopbetreiber" Sinn auch wenn hier mal wieder mehr gespeichert wird.