1. Auch wenn das VG ausdrücklich die Frage, ob IP-Adressen personenbezogene Daten sind, offen lässt: Bei Rn. 121 liest man sehr deutlich heraus, dass man sich nur mit der Lehre vom relativen Personenbezug auseinandersetzt.
2. Interessant ist die Feststellung, dass die Verarbeitung der IP-Adresse zur “GeoLokalisation” mitunter ohne Einwilligung möglich sein soll. Dies zumindest dann, wenn die GeoLokalisation der Nutzer zum rechtmäßigen Angebot der Webseite (hier ging es um Glücksspiel) nötig sein soll, dann greift §15 I TMG.

Die Überlegung mit der Geolokalisation ist durchaus überzeugend, doch auch hier bleibt die Frage, ob man das juristische Problem nicht durch einen technischen Kniff lösen kann: Wenn die IP-Adresse durch das Script (ohne dauerhafte Speicherung) erhoben wird und durch eine Zufallsfunktion die letzte Ziffer der IP um 1 erhöht oder vermindert wird, handelt es sich m.E. um kein personenbezogenes Datum mehr. Das Ergebnis kann aber immer noch zur eindeutigen Geolokalisation genutzt werden.

Hinweis: Wer es nicht kennt - es gibt z.B. für PHP sehr brauchbare kostenlose Klassen, mit denen man solche Zuordnungen vornehmen kann. Die sicherlich bekannteste ist die freie (und kostenlose) IP2Country-Klasse, die es auch in kostenpflichtigen Varianten gibt.

Nunmehr habe ich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) angefragt, ob man eine Einschätzung geben kann, wie realistisch ein gezieltes Ausnutzen solcher Probleme wäre, sprich: Kann man das auch wirklich umsetzen, oder handelt es sich vielmehr um eine eher theoretische Möglichkeit? Es gibt zu dieser Frage noch keine “Hausmeinung” des BSI, allerdings wollte mein Ansprechpartner diese Möglichkeit als “eher praxisfern” einstufen und “sehr aufwändig”. Das deckt sich insoweit auch mit meiner bisherigen Einschätzung der Lage.

Aktuell sehe ich daher keine wirkliche Chance, mit Verweisen auf IP-Fälschungen vor Gericht zu argumentieren:

1. Im Rahmen des IP-Spoofings wird man beim Filesharing das Problem haben, dass eine echte Kommunikation gar nicht möglich wäre
2. Beim Berufen auf BGP-Probleme wird man sich der Aussage ausgesetzt sehen, dass es sich um ein nur theoretisches Problem handelt

Vorher zum Thema:

• IP-Adressen als Beweismittel in Frage stellen?
• IP-Adressen: Fragwürdige Beweismittel?

Dem ist erst einmal grundsätzlich zuzustimmen, wobei mir mitunter kurioseste Beweisfeststellungen untergekommen sind. Insbesondere wurde in einem mir berichteten Fall, einem Anschluss nicht zugeordnete IP-Adressen (da Provider keine Daten mehr hatte) in einem Prozess mittels Indizienbeweis (!) willkürlich einem Anschlussinhaber zugeordnet. Insofern kann ich nur davor warnen, allzu blauäugig mit technischer Vorbildung zu erwarten, dass Richter IP-Adressen in irgendeiner Form in ihrem Wert hinterfragen.

Es ist mir aber wichtig, an dieser Stelle vor begrifflichen Verwechslungen zu warnen: In dem von Heise beschriebenen Fall geht es nicht um IP-Spoofing. Beim IP-Spoofing werden die Kopfdaten der IP-Pakete gefälscht, was in der Tat eine andere IP-Adresse vortäuschen kann. Allerdings würde die Antwort beim Absender nicht ankommen, weswegen Digiprotect zu Recht (mit einem peinlichen Tippfehler) meint:

Das Fälschen von IP-Adressen (sog. IP-Spooting) kann bei der Erfassung von Internet-Tauschbörsen ausgeschlossen werden. Zwar ist es technisch mittlerweile möglich, sich als Inhaber einer anderen IP-Adresse auszugeben. Dies wäre im Rahmen einer Tauschbörse allerdings nutzlos, da in diesem Fall kein Datenaustausch zwischen den Teilnehmern stattfinden könnte.

Bei den von Heise angesprochenen Routenfälschungen läuft es aber anders: Hier ist eine Kommunikation in der Tat möglich, die IP-Adresse wird wahrhaftig ausgeliehen. Was aber im Heise-Artikel fehlt ist die Frage, die ein Richter stellen wird: Mit welchem Aufwand ist ein BGP-Spoofing verbunden und wie realistisch erscheint es? Dabei möchte ich, unter Berufung auf meine frühere Arbeit im Bereich IT-Sicherheit, den Aufwand erst einmal auf “sehr hoch” einschätzen und für den normalen Tauschbörsen-Nutzer eher nicht möglich. Das passt auch zu dem kürzlich von einem Gerichts-Sachverständigen erstellten Gutachten, das zum Ergebnis kommt, dass es sich im Bereich fehlerhafter IP-Adressen bei Logistep um eine nur theoretische Möglichkeit handelt.

Aber: Damit ist noch nichts zu Fehlern bei Providern gesagt, die wenn, dann auch gleich mit breiter Wirkung auftreten - auch hierauf weist Heise hin. Dazu kommt, dass es via UMTS vielleicht sogar der Regelfall ist, dass IP-Adressen von mehreren Usern zugleich genutzt werden.

Das Fazit von Heise ist auf jeden Fall richtig: IP-Adressen werden in deutschen Gerichtssälen zu blauäugig genutzt. Es bleibt zu hoffen, dass sich das - möglichst bald - ändert.

Links dazu

• IP-Adressen: Fragwürdige Beweismittel?
• Info Seite zur Filesharing-Abmahnung

Im digitalen Zeitalter werden Musik- oder Filmdateien illegal verbreitet. Gegen diese Art der Urheberrechtsverletzung geht die Musik- und Filmindustrie als Rechteinhaber nun vor. Sobald ein Nutzer eine Datei, die in einem Peer-to-Peer-Netzwerk angeboten wird, auf den eigenen PC heruntergeladen hat, wird diese Datei häufig automatisch auf dem Computer dieses Nutzers zum Download für andere Nutzer angeboten. Nicht etwa das Herunterladen, sondern das Anbieten einer urheberrechtlich geschützten Datei stellt einen Verstoß gegen § 19 a Urhebergesetz (UrhG) dar.

Hinweis: Dazu bitte auch die Webseite rund um die Filesharing-Abmahnung von mir beachten.

Auskunftsanspruch des Rechteinhabers

Zur Verfolgung dieses Verstoßes hat der Gesetzgeber den Rechteinhabern in § 101 Abs. 2 UrhG das Recht eingeräumt, Auskunft über die Identität des Rechteverletzers zu erhalten. Um diesen Auskunftsanspruch verwirklichen zu können, wird die IP-Adresse des Rechteverletzers samt Datum und Uhrzeit benötigt. Die Rechteinhaber bedienen sich bestimmter Dienstleister, die mit Hilfe einer Software und anhand von sogenannten Signaturen die zum Download angebotenen eigenen Dateien erkennen und die IP-Adresse mit Datum und Uhrzeit des anbietenden PC’s speichern.

Der Rechteinhaber stellt dann unter Angabe der so gesammelten Daten (IP-Adresse, Datum, Uhrzeit) bei dem zuständigen Landgericht einen Antrag, dem jeweiligen Internet-Zugangsprovider die Auskunftserteilung unter Verwendung der Verkehrsdaten zu gestatten (so genannter Antrag auf Gestattung). Denn da bei der Ermittlung der Identität des Rechteverletzers das Fernmeldegeheimnis betroffen ist, ist für die Auskunftserteilung eine vorherige richterliche Anordnung über die Zulässigkeit der Verwendung der Verkehrsdaten erforderlich (§ 101 Abs. 9 UrhG).

Die betreffenden Verkehrsdaten dürfen jedoch nur sieben Tage vom Internet-Zugangsprovider zu Datensicherheitszwecken aufbewahrt werden, so dass die Gerichte dazu übergegangen sind, unmittelbar nach Antragstellung des Rechteinhabers durch eine einstweilige Anordnung ein fristgemäßes Löschen der Verkehrsdaten zu verhindern. Mit dem sogenannten Sicherungsbeschluss werden die Internet-Zugangsprovider zuerst einmal, die betreffenden Verkehrsdaten aufzubewahren.

Ein Rückgriff auf die nach § 113 Telekommunikationsgesetz (TKG) zu speichernden Vorratsdaten ist übrigens gesetzlich ausgeschlossen.

Stellt das Gericht fest, dass die Voraussetzungen des Auskunftsanspruches aus § 101 Absatz 2 UrhG vorliegen und ist somit die Verwendung der Verkehrsdaten zulässig ist, ergeht der so genannte Gestattungsbeschluss. Erst dieser Beschluss führt zu einer Herausgabe des Namens und der Adresse durch den Internet-Zugangsprovider an den Rechteinhaber beziehungsweise an die ihn vertretende Anwaltskanzlei.

Der Rechteinhaber kann dann die zivilrechtlichen Schritte gemäß §§ 97, 97a UrhG (Abmahnung, Aufforderung zur Abgabe einer Unterlassungserklärung und zur Zahlung von Schadensersatz) gegen den ermittelten Rechteverletzer einleiten.

Auskunftsanspruch des Rechteverletzers

Gemäß § 33 Absatz 1 BDSG muss, wer erstmals personenbezogenen Daten für eigene Zwecke ohne Kenntnis des Betroffenen speichert, den Betroffenen von der Speicherung, der Art der Daten, der Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung und der Identität der verantwortlichen Stelle benachrichtigen.

Sobald der Rechteinhaber die Daten der Internet-Zugangsprovider erstmalig erhält, muss er sie hierüber also informieren. Seiner Benachrichtigungspflicht kommt der Rechteinhaber regelmäßig in Form von Abmahnungen etc. nach.

Eine konkrete Auskunft des Internet-Zugangsprovider, welche Daten weitergegeben wurden, kann unter Berufung auf § 34 Abs. 1 Nr. 2 Bundesdatenschutzgesetz (BDSG) nicht eingefordert werden. Denn die genannte Vorschrift kennt keine Verpflichtung zur Beauskunftung der Daten, die weitergegeben wurden, sondern lediglich den Empfänger oder Kategorien von Empfängern.

Tatsächlich wäre der Internet-Zugangsprovider auch gar nicht in der Lage, eine solche Auskunft zu erteilen. Schließlich muss er die betreffenden Verkehrsdaten nach Abschluss des Vorgangs löschen. Welche IP-Adresse dem Rechteverletzer zu einem bestimmten Zeitraum zugeordnet wurde, kann der Internet-Zugangsprovider folglich nicht mehr beauskunften.

1. Heise berichtet, dass es bei einem Anbieter möglich war, fremde IP-Adressen zu nutzen, um im Internet zu arbeiten
2. Udo Vetter berichtet in seinem Lawblog, dass - wohl im Rahmen einer Akte? - ein “grösserer Telefonanbieter” bekannt gegeben hat, dass IP-Adressen beim Surfen via UMTS/GPRS geteilt werden, somit keinen Beweiswert haben

Ohne ausschweifende Ausführungen stellt Meyer auf S. 233 mit Blick auf Suchanfragen und Webtracking fest:

Für Google handelt es sich damit bei den gespeicherten IP-Adressen um personenbezogene Daten [...]  dass wie bei den Suchanfragen schon aufgrund der Verwendung der IP-Adressen von einer Verarbeitung personenbezogener Daten ausgegangen werden muss.

Es ist nun schwierig dies inhaltlich einzuordnen, da der Autor feststellt, dass Google auf Grund der Vielzahl von Datenquellen die IP-Adresse einer Person zuordnen könnte. Mit diesen Ausführungen bewegt sich der Autor einerseits auf dem Boden der Lehre vom relativen Personenbezug, was eine IP-Adresse nicht kategorisch zum personenbezogenen Datum erwachsen lässt. Andererseits weicht der Autor die Lehre erheblich auf, da eben die Primärquellen - nämlich die IP-Adresse zu Anschluss Zuordnung, weiterhin fehlt.

Sehr Interessant ist weiterhin die Analyse des BVerfG-Urteils durch Forgó und Krügel ab Seite 217. Diese kommen auf Seite 220 zu dem Ergebnis:

Wohl aber lässt sich der Argumentation die Tendenz entnehmen, IP-Adressen als personenbezogene Daten einzuordnen.

Leider bleiben die Autoren die Erklärung schuldig, wo sie das genau herauslesen: Ich - wohlgemerkt als Befürworter des Personenbezugs - lese beim BVerfG weiterhin die Tendenz zum relativen Personenbezug heraus. Das spricht ja auch nicht dagegen, dass das BVerfG die IP-Adressen als personenbezogenes Datum einordnet, nur eben bleibt die Befürchtung, dass es das nicht immer tun wird. Ich selbst habe das Urteil diesbezüglich zwar schon mehrfach durchgearbeitet, scheue aber noch eine Analyse auf dieser Seite, da das BVerfG sehr konturlos und schwammig arbeitet in diesem Bereich.

Im Ergebnis bin ich ein wenig enttäuscht und wünsche mir, dass Juristen bei dem Thema deutlich zwischen der Lehre vom relativen und vom absoluten Personenbezug unterscheiden. Alleine die Tatsache, dass eine IP-Adresse im konkreten Fall personenbezogen sein kann, ist noch keine Entscheidung in diesem dauernden Meinungsstreit, bei dem es wünschenswert gewesen wäre, wenn das BVerfG hier eindeutig Position bezogen hätte. Dass es das nicht getan hat, spricht für mich alleine dafür, dass man dort die Brisanz dieser Frage verkennt.

Ergänzend zu Breyer möchte ich aber auf zwei inhaltliche Fehler hinweisen, die den Artikel für mich kritikwürdig gestalten:

1. Auf Seite 10 spricht Härting von “den beiden einzigen Gerichtsentscheidungen, die es in dieser Frage gibt”. Das ist so nicht richtig, schon der Blick in meine Auflistung zeigt, dass es eine Fülle von Entscheidungen gibt, von denen nur eine einzige - nämlich das zitierte AG München - keinen Personenbezug gibt. Wobei nochmals festzuhalten ist, dass das AG München sich in seiner Entscheidung ohne argumentative Auseinandersetzung mit einem Zitat aus dem (inzwischen mehrere Jahre alten) Gola/Schomerus begnügt.
2. Härting möchte den Bogen zum “Computer-Grundrecht” spannen und meint damit das Grundrecht auf Integrität informationstechnischer Anlagen. Warum dieses Grundrecht betroffen sein soll, wenn - technisch bestimmungsgemäß - die IP-Adresse des IT-Systems ausserhalb des Systems gespeichert wird, erschliesst sich mir nicht. Hier ist nicht die Integrität der IT betroffen, sondern bestenfalls das Telekommunikationsgeheimnis (was abzulehnen ist, da nicht die Übermittlung der Daten an sich betroffen ist) und das Grundrecht auf informationelle Selbstbestimmung. Eben dies möchte der Autor ablehnen, bleibt aber die Erklärung schuldig, warum dies zwingend sein soll. M.E. ist die Idee, das Integritätsgrundrecht heranzuziehen zwar schön, aber schon begrifflich nicht möglich, da nicht das “Innenleben” in seiner Integrität betroffen ist, sondern vielmehr die äußere Erscheinungsformen der Nutzung.

Auch die rechtspolitischen Äußerungen von Härting können nicht ohne Widerspruch bleiben. Wenn er etwa feststellt

Wer an das Gute im Menschen glaubt, hält es für sehr fernliegend, dass man sich bei Google die Mühe macht, aus Milliarden Daten herauszufiltern, welche konkreten namentlich bekannten Personen welche Internetseiten genutzt haben.

Verkennt er die Probleme in meinen Augen voll und ganz. Zum einen ist es mir gleich, ob Google die Daten zuordnet - solange ein Dritter die Herausgabe der Logfiles verlangen kann. Passiert ist das schon, als Google YouTube-Logfiles zur Rechtsverfolgung an Viacom herausgeben musste, berichtet hatte seinerzeit Heise. Dieses Problem wird von Härting durch diesen Satz unangemessen verharmlost.

Weiterhin geht es nicht (nur) darum, dass ein einzelner Nutzer identifiziert wird, sondern dass wir in Zukunft pauschal auf Grund unseres - unerkannt angelegten - Profils kategorisiert werden. Die gesammelten Daten ermöglichen die Kategorisierung von Nutzern, ähnlich dem heutigen Auskunfteien-System. Es ist bekannt, dass man in der falschen Wohngegend Probleme mit Krediten oder Bestellungen auf Rechnung hat. Welche Möglichkeiten sich im Internet bieten bei einer ähnlich umfassenden Kategorisierung von Internetnutzern durch ein einzelnes marktbeherrschendes Unternehmen, kann ich mir weder ausmalen, noch möchte ich es herausfinden.

Gleichsam unpassend ist der dann folgende Satz

In das Weltbild vieler Skeptiker passt es zudem, dass das “Datenmonster” auch noch ausgerechnet im fernen Amerika beheimatet ist.

Dass man Kritiker, die nicht nur sachliche Argumente sondern inzwischen die überwiegende Mehrheit in Rechtsprechung und Literatur für sich verbuchen können, derart darstellen muss, ist überflüssig. Es ist Schade, in einer juristischen Zeitschrift solche Seitenhiebe dort lesen zu müssen, wo eigentlich eine sachliche Auseinandersetzung stattfinden sollte.

Allenfalls im Ergebnis mag ich Härting zustimmen: Der Gesetzgeber ist gefragt. Bis dahin aber kann nicht, wie von ihm wohl erhofft, ohne weitere Entscheidung auf eine Aktion des Gesetzgebers gewartet werden - das Problem existiert nun einmal und für Webmaster ist es ein ungewisser Zustand. Die verharmlosende Formulierung, dass es keine Rolle spielt, welches der beiden Amtsgerichte Recht hat, hilft da auch nicht weiter, da sich hier nur der Fehler von oben wiederholt: Keineswegs handelt es sich um nur zwei Gerichtsurteile, die Frage in dieser Formulierung ist schlicht falsch.

Es bleibt zu hoffen, dass dieses kurze Intermezzo nicht dazu führt, dass auch unter Juristen die ebenso praxisrelevante wie schwierige Frage des Personenbezugs von IP-Adressen vorwiegend emotional statt sachlich geführt wird. Die momentane unbefriedigende Rechtslage bedarf nicht nur einer dringenden verbindlichen Klärung, sondern eindeutiger Handlungsanweisungen für Betroffene, allen voran Webmastern.

Dabei soll nicht die komplette IP-Adresse des Nutzers weitergegeben werden, sondern nur die ersten 24 Bit, also die ersten drei von vier Tupeln einer IP-Adresse. Das genügt, um die Herkunft des Nutzers ausreichend genau zu bestimmen.

Eben das ist der springende Punkt: Man benötigt für mitunter wichtige Informationen (wie den ungefähren Standpunkt des Users) nicht die vollständige IP. Von Google wird es hier (endlich) offen vertreten, man sollte es sich einfach merken.