Dabei soll nicht die komplette IP-Adresse des Nutzers weitergegeben werden, sondern nur die ersten 24 Bit, also die ersten drei von vier Tupeln einer IP-Adresse. Das genügt, um die Herkunft des Nutzers ausreichend genau zu bestimmen.

Eben das ist der springende Punkt: Man benötigt für mitunter wichtige Informationen (wie den ungefähren Standpunkt des Users) nicht die vollständige IP. Von Google wird es hier (endlich) offen vertreten, man sollte es sich einfach merken.

Während im vorliegenden Fall durchaus Anhaltspunkte für eine Betrugsstraftat vorliegen, teilt die Kammer im Übrigen die Auffassung der Beschwerdeführerin, dass Anhaltspunkte für ein bandenmäßiges bzw. gewerbsmäßiges Handeln nicht vorliegen. Diesbezüglich fehlen jegliche Anhaltspunkte. Auch die Tatsaehe, dass sich der unbekannte Tater eines Anonymisierungsdienstes bediente, spricht ohne weitere Anhaltspunkte nicht für ein gewerbsmäßiges bzw. bandenmaßiges Handeln.

Zu Beachten ist auch die Entscheidung 2 Qs 86/2008 des gleichen Landgerichts: Hier sah das Gericht zumindest die Voraussetzungen der §§113a,b TKG gegeben als es um eine serienhafte Beleidigungswelle ging. Während im vorliegenden Fall das LG klar stellt, dass der Schaden (20 Euro) außer Verhältnis zum Grundrechtseingriff stand, sei dies im Falle der serienhaften Beleidigung anders zu werten.

Insgesamt ist der Aufsatz gut aufbereitet, begegnet aber schon bei Fußnote 1 Wertungswidersprüchen:

Eine sog. statische IP-Adresse ist hingegen dauerhaft einem bestimmten Anschluss zugeordnet. Die Inhaber solcher Anschlüsse sind in der Regel juristische Personen und lassen sich z.B. für die Region Europa in der Adressdatenbank der RIPE NCC (http://ripe.net/) nachschlagen.

Das ist bekannt, aber es besteht das Problem, dass jede dynamische IP-Adressse zugleich eine statische ist - es kommt auf die Betrachtung an. Der Nutzer der dynamischen IP kann sicherlich nicht über ripe.net ermittelt werden, sehr wohl aber der Provider, dem die IP als statische zugeordnet ist. Wie so oft wird aussen vor gelassen, dass eine IP letztlich (für irgendeinen) immer statisch ist.

Sehr kritisch muss im Fazit das hier stimmen:

[...] dass der Anwendungsbereich des BDSG dem Bestimmtheitsgebot nicht mehr genügt.

Das mag zwar stimmen, aber: Das Bestimmtheitsgebot in seiner stringenz auf die hier angespielt wird, gilt zum einen für strafrechtliche Normen (Art. 103 GG) oder für Verwaltungsakte. Keinesfalls aber ist jede ausfüllungsbedürftige Norm zugleich ein Verstoss gegen das Bestimmtheitsgebot - ansonsten müsste der Autor den Gefahrenbegriff des Polizeirechts ablehnen oder den §242 BGB. Solche “Argumente” sind abzulehnende Nebelkerzen.

Ebenfalls abzulehnen ist das Argument, dass Ermittlungsbehörden ja ohnehin die Daten zusammenführen dürften:

Es wäre widersprüchlich, den Träger des Grundrechts auf informationelle Selbstbestimmung vor Fällen gesetzlich zulässiger Zusammenführungen von Daten zu schützen, indem über die Auslegung des Begriffs des personenbezogenen Datums die Datenbestände als möglicher Gegenstand solcher erlaubter Zusammenführungen reduziert werden.

Hier wird verkannt, dass die Frage schon ist, ob überhaupt eine Grundlage zur Erhebung vorhanden ist. Ob einmal erhobene Daten zusammengeführt werden dürfen ist eine andere Frage und eine evt. erlaubte Zusammenführung darf auf keinen Fall ein Argument sein, eine nicht erlaubte Erhebung dennoch vorzunehmen.

Sehr gewieft und gelungen ist der Versuch auf Seite 13, ausgerechnet mit dem Grundrecht des Betroffenen eine Auskunft zu verweigern, weil Anschlussinhaber und Nutzer auseinanderfallen könnten - dann würde der Anschlussinhaber eine Auskunft erhalten, die nur dem Nutzer zusteht:

Es ist üblich, dass ein Internetanschluss z.B. in einer Familie oder einer Wohngemeinschaft von mehreren Personen verwendet wird. [...] Es besteht somit die Gefahr, dass derjenige, der für einen von mehreren Personen genutzten DSL-Anschluss als Kunde beim Access-Provider geführt wird, mit entsprechenden Auskunftsanfragen bei Webseitenbetreibern erfährt, wie die anderen Nutzer den Anschluss in letzter Zeit verwendet haben, selbst wenn diese Nutzer dagegen Vorkehrungen getroffen haben sollten. Dies wäre ein erheblicher Schaden für die informationelle Selbstbestimmung der anderen Nutzer des Anschlusses [...].

Der Hinweis auf Familien ist aber wenig gelungen (das könnte ich schnell aushebeln), stattdessen sollte man an Internet-Cafes denken.

Ich selbst lehne das Argument aber ab, da man mit dem gleichen Argument jeglichen Auskunftsanspruch ablehnen müsste - wie etwa legitimiert der Autor denn ungekürzte Einzelverbindungsnachweise bei Familienanschlüssen? Spätestens jetzt würde er wieder zur konkludenten Einwilligung der Betroffenen kommen, ebenso mit Begriffen wie “Sorgerecht” hantieren um eine Befugnis zu kreieren. Die Argumentation selbst halte ich daher im Ergebnis zwar für Brilliant, aber abzulehnen, da fehlerhaft.

Gänzlich muss ich aber dieses Fazit von ihm kritisieren:

Schließlich besteht für die Behandlung von IP-Adressen in Serverlogs als personenbezogenes Datum auch kein Schutzbedarf, denn gegen die Zusammenführung mit den Schlüsseldaten des Access-Providers besteht auch so bereits umfangreicher Schutz aus dem BDSG, dem TKG, dem StGB und dem Zivilrecht.

Das ist ein rechtspolitisches Argument, dass lediglich einen (in Frage zu stellenden) status quo festhält und ausser acht lässt, dass z.B. der Richtervorbehalt beim UrhG-Auskunftsanspruch bedenklich wackelt.

Soweit erforderlich, darf der Diensteanbieter Nutzungsdaten zum Erkennen, Eingrenzen oder Beseitigen von Störungen seiner für Zwecke seines Dienstes genutzten technischen Einrichtungen erheben und verwenden. Absatz 8 Satz 2 und Satz 3 gilt entsprechend.

Damit würde in der Tat eine Erlaubnisnorm zur Speicherung von IPs geschaffen, was die bekannten Probleme lösen könnte. Aber nur könnte, denn zur Aufbewarungsdauer wird auf den Absatz 8 verwiesen, in dem zu lesen ist:

Der Diensteanbieter hat die Daten unverzüglich zu löschen, wenn die Voraussetzungen nach Satz 1 nicht mehr vorliegen oder die Daten für die Rechtsverfolgung nicht mehr benötigt werden.

Wer also IPs erfasst, um statistische Daten zu erheben, mag noch unter den Absatz 9 fallen (”Erkennen … von Störungen”), muss diese aber “unverzüglich” löschen, wenn sie nicht mehr benötigt werden. Man mag nun restriktiv sagen “nicht mehr benötigt” sind sie sofort nach der Auswertung, oder das Tatbestandsmerkmal weit auslegen und sagen, dass eine mittelfristige Auswertung möglich sein muss - als Auslegungsmerkmal mag dann das TKG herhalten, dass die Löschung jedenfalls nach 6 Monaten zwingend vorschreibt.

Letztlich aber wird das Problem der Ungewissheit nur verschoben. Der Gesetzgeber vertut erneut die Chance einer ausdrücklichen Lösung des Problems.

Ob eine grundsätzliche Möglichkeit der Datenzusammenführung in Zusammenhang mit einer IP-Adresse zwingend bedeutet, dass es sich um personenbezogene Daten handelt, halten wir für wenig praxisgerecht und stimmen damit dem Kollegen Bahr zu [...]

Dazu von mir nochmals meine Standpunkte:

1. Nach mehr als 5 Jahren Tätigkeit im Bereich IT-Security ziehe ich, wie viele meiner früheren Kollegen, weiterhin in Zweifel, dass grundsätzlich die mittelfristige Speicherung von IP-Adressen zur Absicherung von Webseiten sinnvoll ist.
2. Wenn man darauf abstellt, dass nun mal die meisten Webserver IP-Adressen speichern und es insofern praxisfern wäre, die Speicherung zu verbieten, so darf es kein Argument sein, dass die breite Masse rechtsbrüchig handelt. Analog würde man sonst den Tatbestand der Hehlerei abschaffen, weil nur so Hehler ihrem Beruf nachgehen könnten.
3. Wer meiner Rechtsauffassung folgt, kriminalisiert nicht einfache Webmaster, da ich das Merkmal “Dienstbetreiber” eng auslege und nur denjenigen erfassen möchte, der die wirkliche Gewalt über den Webserver-Dienst hat. Dies ist im Regelfall nicht der Webmaster der ein Paket gebucht hat, sondern der Server-Betreiber, also Provider. Webmaster sind also bei mir keinen Ansprüchen ausgesetzt und brauchen keine Angst zu haben, die anderswo suggeriert wird.

Eine IP ist ein personenbezogenes Datum - wer der Meinung ist, dass wir für Webseiten eine weitere Regelung brauchen, der sollte auf Gesetzesänderungen drängen. Im übrigen verweise ich auf meine Ausführungen zum Thema.

Update: Das OVG NRW (13 B 33/09) hat den Beschluss bestätigt.

Hintergrund des Rechtsstreits sind Verfügungen der Bundesnetzagentur vom 5. August und vom 12. September 2008, mit denen die Telekom auf der Grundlage des Telekommunikationsgesetzes verpflichtet wurde, den Strafverfolgungs- und Sicherheitsbehörden (Staatsanwaltschaften, Verfassungsschutzbehörden, Bundesnachrichtendienst und Militärischer Abschirmdienst) auf Anfrage mitzuteilen, welchem Anschlussinhaber zu einem bestimmten Zeitpunkt eine bestimmte dynamische IP-Adresse zugeteilt war. Normalerweise werden IP-Adressen „dynamisch“, d.h. bei jedem Aufbau einer Internetverbindung neu vergeben und sind nicht fest (als „statische“ IP-Adresse) einem bestimmten Anschluss zugeordnet. Ist die Adresse und der Zeitpunkt ihrer Nutzung bekannt, kann der jeweilige Provider nach den bei ihm vorhandenen Verkehrsdaten den Anschlussinhaber eindeutig identifizieren.

Gegen die genannten Verfügungen hatte die Telekom bei der Bundesnetzagentur Widerspruch eingelegt, weil sie der Auffassung ist, die Auskunftsverpflichtung führe zu einer Verletzung des Fernmeldegeheimnisses, in das nur auf Grund einer richterlichen Anordnung im Einzelfall eingegriffen werden dürfe. Zugleich hat sie einen Antrag beim Verwaltungsgericht Köln gestellt, mit dem sie erreichen wollte, dass sie während der Dauer des Widerspruchsverfahrens und einer sich anschließenden gerichtlichen Klärung dieser Streitfrage vorerst keine Auskünfte erteilen muss.

Das Gericht hat diesem Antrag nicht entsprochen. Zur Begründung hat es ausgeführt, dass die aufgeworfenen Rechtsfragen offen seien und im gerichtlichen Eilverfahren nicht abschließend geklärt werden könnten. Bis zu einer endgültigen Klärung überwiege aber das öffentliche Interesse an der Auskunftserteilung, weil angesichts der zunehmenden Bedeutung der Kommunikation über das Internet anderenfalls eine effektive Strafverfolgung und die effektive Abwehr für Gefahren für die öffentliche Sicherheit und Ordnung erheblich erschwert würden.

Gegen den Beschluss kann innerhalb von zwei Wochen Beschwerde beim Oberverwaltungsgericht in Münster eingelegt werden. Der Beschluss wird in Kürze im vollen Wortlaut in die öffentliche Datenbank www.nrwe.de eingestellt (Az.: 21 L 1398/08).