Artikel-Feed

Personenbezogen?

Die Frage, ob eine IP-Adresse ein personenbezogenes Datum darstellt, ist bis heute umstritten. Ich stelle vorab klar: Ich bejahe dies. Dennoch möchte ich hier beiden Seiten die Möglichkeit geben, dargestellt zu werden. Bis vor einigen Jahren war es herrschende Meinung, dass eine IP-Adresse kein personenbezogenes Datum ist, vielmehr war vom relativen Personenbezug die Rede. Heute kann der relative personenbezug jedenfalls nicht mehr als h.M. bezeichnet werden, die Tendenz, dass der eindeutige Personenbezug als h.M. kommen wird, ist für mich (aufgrund der Stärke der Befürworter) absehbar. Einige sprechen daher schon jetzt von einer klaren h.M. pro personenbezug, das möchte ich aber so (noch) nicht sagen.

Kritisch ist die Frage natürlich nicht nur bei der Speicherung, sondern auch wenn externe Dienste wie Statistik-Tools genutzt werden, in deren Rahmen dann die IP an einen Dritten übermittelt wird. Hier besteht nicht nur eine große Gefahr für Webseiten-Betreiber, sondern auch für Agenturen, die solche Tools (unwissentlich) in Seiten Ihrer Kunden einbauen, die dann eine (zumindest für die Agentur) peinliche Abmahnung erhalten.

Die ablehnende Meinung hat ein starkes Argument, dass vor allem unter den Praktikern Zustimmung findet: Der einfache Webmaster hat meistens gar keine Wahl ob IP-Adressen gespeichert werden. Auch sei die Speicherung zur Erhöhung der Sicherheit und Leistungssteigerung notwendig. Es ist unzumutbar und übertrieben, von Webmastern zu verlangen, IP-Adressen zu speichern, Ansprüche in dem Bereich würden für Webmaster ein Kostenrisiko bedeuten, wobei sie meistens der Willkür Ihrer Provider ausgeliefert sind. Ausserdem ist es überzogen, da der normale Webmaster selbst ja gar nicht die IP einem Benutzer zuordnen kann.

Diese Argumentation mag auf der Hand liegen, begegnet aber vielen Gegen-Argumenten:

  1. Die Begrifflichkeiten des BDSG gelten auch für das TMG. Dabei stellt das BDSG ausdrücklich für den personenbezug darauf ab, ob ein Datum auch mittelbar einer Person zugeordnet werden kann. Ob also die IP nur mittelbar einer Person zugeordnet werden kann ist unbedeutend, solange es überhaupt geschehen kann. Der ausdrückliche Wortlaut des Gesetzes darf insofern nicht ignoriert werden, sonst begeht man einen Rechtsfehler.
  2. Der Gesetzgeber hat zwar die Begrifflichkeiten des BDSG auch im TMG einschlagen lassen, aber offensichtlich ausdrücklich die Privilegierungen des BDSG für den familiären Bereich im TMG nicht zur Anwendung kommen lassen. Das rechtspolitische Argument, man würde private Webmaster über Gebühr belasten, da sie ja auf den Provider angewiesen sind, kann hier insofern nicht gelten, da es ebenfalls gegen die gesetzliche Intention steht.
  3. Die Nutzung einer Begrifflichkeit wie “relativer Personenbezug” steht im Widerspruch zur Entscheidung des BVerfG, dass es kein personenbezogenes Datum geben kann, das nicht schützenswert ist. Hier wird über die Hintertüre, je nach verarbeitender Stelle, wieder eine ausdrücklich untersagte Gewichtung von Daten vorgenommen.
  4. Jedenfalls ich werfe den Vertretern der ablehnenden Meinung Verschleierung vor: Man kann auch bei Anerkennung des Personenbezugs Auswege in der aktuellen Gesetzeslage suchen, etwa indem man den Webserver als Dienst nach §11 III TMG einstuft und somit die Datenschutzregelungen des TMG nur eingechränkt Anwendung finden. Dieser Weg wäre sauber und nicht mit Verfassungsrechtlichen Problemen (siehe 3) behaftet.
  5. Ebenfalls steht der Weg offen, bei gemieteten Webhosting-Produkten nicht den mietenden Kunden, sondern den betreibenden Anbieter (Provider) als Diensteanbieter (des Servers, nicht der Webseite!) einzustufen und einzig diesen in Anspruch zu nehmen. Auch hier wäre eine Entlastung der Webmaster problemlos möglich. Das versteht man aber nur, wenn man sauber zwischen den Diensten trennt: Die Webseite ist der eine Dienst, für den der Webmaster verantwortlich ist. Der Webserver mit seinen Logfiles aber ist wieder ein eigener Dienst, für den man den Server-Betreiber einstehen lassen muss, da nur dieser die Kontrolle darüber hat. Nur wer die Kontrolle hat kann den jeweiligen Dienst als “seinen” betrachten.
  6. Das früher angebrachte Argument, der Webmaster kann gar keine Auflösung erreichen, ist zudem heute falsch, da §101 II UrhG ausdrücklich die Möglichkeit der Auskunft auf zivilrechtlichem Wege vorsieht. Hinzu kommt, dass eine Vorratsdatenspeicherung beschlossen wurde, die auch bei dynamischen IP-Adressen auf 6 Monate nachvollziehen lässt, wer “dahinter steht”. Für das Schutzbedürfnis des Nutzers ist es dabei gleichgültig, ob der Anbieter nun selbst auflösen kann, oder Ermittlungsbehörden sich jederzeit Zugriff auf die Logfiles verschaffen können.
  7. Zu guter Letzt bleibt festzuhalten, dass nur bei umfassenden Datenerhebungen (etwa im Rahmen von großen Unternehmen wie Google) dem Anwender direkte Gefahr durch die verarbeitende Stelle droht. In der Tat ist der kleine Webmaster keine direkte Gefährdung. Die grösste Gefahr geht vielmehr von Ermittlungsbehörden aus, die sich auf Logfiles Zugriff verschaffen. Während Ermittlungsbehörden einerseits problemlos eine IP einer Person zuordnen können, werden gerade kleine Webmaster das Kostenrisiko eines Prozesses scheuen und die Herausgabe im Regelfall nicht verweigern. Hier zeigt sich der wahre Schutzbedarf des Betroffenen, der durch die Argumentation aus Sicht des Webmasters verschleiert wird. IPs als personenbezogenes Datum einzustufen und zu schützen ist nicht nur Schutz des Betroffenen, sondern auch des Webmasters.

Interessant und für den Laien sicherlich nahe liegend ist dann das Argument, Anschlussinhaber (dem die IP zugeordnet wird) und eigentlicher Nutzer können ja auseinander fallen. Das aber kann keine Rolle spielen: Das BDSG spricht ja gerade ausdrücklich davon, dass die Daten “einer Person” zugeordnet werden können und nicht unbedingt dem aktuellen Nutzer.

Andernfalls ginge es ja auch um “Nutzerbezogene Daten” und nicht um “Personenbezogene Daten”. Auch wenn es nicht gefallen mag - notfalls sind Gerichte schnell bereit, auf den Anschlussinhaber abzustellen (Dazu auch den Bereich auf Schwarz-Surfen.de beachten). Die Tatsache, dass eine IP also nicht unbedingt zum konkreten Nutzer führt, spricht gerade dafür, sie besonders zu schützen, da sehr schnell Unbeteiligte in Anspruch genommen werden können. Die gleiche Argumentation ist hinsichtlich bekannter Techniken wie IP-Spoofing oder einfacher Zahlendreher bei der Auskunftserteilung zu beachten.

Die Meinungen sind sehr gespalten: Im Gola/Schomerus findet man noch den Hinweis darauf, dass es sich um einen relativen Personenbezug handelt. Der Simitis sieht es anders, ebenso der Bundesdatenschutzbeauftragte (nachzulesen u.a. im Tätigkeitsbericht 2008), die Landesdatenschutzbeauftragten (Dazu nur Hessen, das Landesdatenschutzzentrum Schleswig Holstein und Niedersachsen) sowie inzwischen des Bundesjustizministerium (Beleg zur Meinung des BMJ).

International ist die Frage - da das Datenschutzrecht durch die EU geprägt ist - natürlich ebenso ein Thema. Hier wird die Personenbezogenheit bejaht von der Artikel 29 Gruppe (Datenschutzgruppe auf EU-Ebene), ersten Gerichten in Schweden sowie dem schweizerischen Bundesverwaltungsgericht.

In der Literatur ebenfalls für den Personenbezug sind Hoeren (in seinem Skript zum Internetrecht), Kitz, GRUR 2003, 1014, 1018, Nordemann/Dustmann, CR 2004, 380, 386 sowie Czychowski/Nordemann in NJW 43/2008, 3095, 3096. Ausserdem Spindler/Dorschel, CR 2005, 38, 44 und Wüstenberg, TKMR 2003, 105, 107. Dagegen Eckhardt in K&R 2007, 602, 603.

Die Rechtsprechung ist uneinheitlich: Das AG München (AZ 133 C 5677/08) verneint den Personenbezug, anders das LG Darmstadt (AZ 25 S 118/2005, ebenso in 9 Qs 490/08 und 10 O 562/03) und LG Berlin (AZ 23 S 3/07). Bejahend dann wieder das AG Bonn (AZ 9 C 177/07) und das LG Köln (AZ 28 O 339/07). Auch das LG Köln (31 O 605/04 SH II) sieht den Personenbezug. Die Rechtsprechung aus Darmstadt wurde vom BGH (III ZR 40/06) bestätigt, wobei sich der BGH aber nicht ausdrücklich mit der Frage beschäftigt hat. Das VG Düsseldorf (27 L 990/09) sieht wohl auch eher den relativen Personenbezug (Rn.121), lässt die Frage letztlich aber offen.

Anmerkung zum AG München: Dieses Urteil ist insofern kritisch zu sehen, als dass in der Begründung nur mit einem Satz das Modell des relativen Personenbezugs aus dem Gola/Schomerus zitiert wird. Ausführungen, warum dieses mehr als 10-Jahre alte Modell gegenüber den sonstigen Urteilen vorzugswürdig ist, vermisst man leider. Insofern ist es zwar ein Urteil, aber leider keine Diskussionsgrundlage. Gleiches gilt wohl beim LG Köln, wo man zwar nicht ausdrücklich auf den Gola/Schomerus verweist, aber ohne Thematisierung des Meinungsstreits nur davon spricht, dass es keinen Personenbezug gibt, “da die Schuldnerin die IP-Adressen keiner bestimmten Person zuordnen kann.” Hier wird auf die verarbeitende Stelle und deren Möglichkeiten, also alleine auf die Lehre vom relativen Personenbezug abgestellt.

Im Fazit bemerkt man also eine bunte Mischung an Meinungen, wobei das Schwergewicht sich heute eindeutig in Richtung Personenbezug verlagert hat. Fakt ist: Das Risiko einer Inanspruchnahme als Webmaster ist schon jetzt beträchtlich und wächst täglich. Vor dem Hintergrund kann nur angeraten werden, die IP-Adresse nicht zu speichern und vor allem nicht an Dritte zu übermitteln. Jedenfalls sollte bei einer Speicherung in eigenen Logfiles eine Belehrung der User erfolgen. Dabei gibt es schon heute Provider, die die IP nicht speichern und Statistik-Anbieter, die (nach eigenen Angaben) datenschutzkonform arbeiten.

www.ferner.eu | www.rechtsanwalt-ferner.de | newsletter.ferner-alsdorf.de | stoererhaftung.ferner-alsdorf.de | auskunftsanspruch.ferner-alsdorf.de