Schon seit Jahren schwelt ein juristischer Meinungsstreit darüber, ob die IP-Adresse stets ein personenbezogenes Datum ist oder nicht. Diese Frage ist entscheidend für die Zulässigkeit der Speicherung und Verarbeitung der IP-Adresse. Ein Urteil des LG Berlin setzt nun neue Akzente.
Einzelheiten zur Entscheidung lesen Sie hier
Sachverhalt
Beklagte in dem Verfahren war die Bundesrepublik Deutschland als Betreiberin diverser öffentlich zugänglicher Internetportale mit aktuellen Informationen von Bundesbehörden und Bundesorganen. Auf den meisten dieser Portale wurden die Seitenzugriffe in einer Protokolldatei gespeichert.
Die Protokolldateien enthielten Daten, die während eines Seitenaufrufs vom zugreifenden System automatisch übertragen werden, darunter auch die IP-Adresse sowie Datum und Uhrzeit des Abrufs.
Als Gründe für die Speicherung der IP-Adresse in diesen Protokolldateien nannte die Beklagte
- Abwehr von Angriffen
- Grundlage für die Strafverfolgbarkeit von Angriffen durch die Identifizierung des Angreifers und
- Abschreckungswirkung aufgrund der Strafverfolgbarkeit
Der Kläger sah in der Speicherung seiner IP-Adresse in den Server-Protokollen einen Verstoß gegen das Telemediengesetz (TMG) und zugleich gegen sein Grundrecht auf informationelle Selbstbestimmung.
Das TMG erlaube die Speicherung von personenbezogenen Nutzungsdaten, mithin also auch der IP-Adresse, über den Nutzungsvorgang hinaus nur zu Abrechnungszwecken (§ 15 Abs. 4 TMG). Die Beklagte speichere seine IP-Adresse aber nicht zu diesem Zweck, womit die Speicherung unzulässig sei und einen Unterlassungsanspruch begründe.
Die Entscheidung
Das LG Berlin (Urt. v. 31.1.2013 – 57 S 87/08) gab der Klage als Berufungsinstanz teilweise statt und verurteilte die Beklagte dazu, es zu unterlassen
“die Internetprotokolladresse (IP-Adresse) des zugreifenden Hostsystems des Klägers, die im Zusammenhang mit der Nutzung öffentlich zugänglicher Telemedien der Beklagten im Internet (…) übertragen wird, in Verbindung mit dem Zeitpunkt des jeweiligen Nutzungsvorganges über das Ende des jeweiligen Nutzungsvorganges hinaus zu speichern oder durch Dritte speichern zu lassen,
– sofern der Kläger während eines Nutzungsvorganges selbst seine Personalien, auch in Form einer die Personalien des Klägers ausweisenden E-Mail-Anschrift, angibt und
– soweit die Speicherung nicht im Störungsfall zur Wiederherstellung der Verfügbarkeit des Telemediums erforderlich ist.”
IP-Speicherung ohne Zugriffszeitpunkt zulässig
In der Urteilsbegründung stellt das Gericht zunächst fest, der Kläger habe keinen Anspruch auf Unterlassung der Speicherung der IP-Adresse als solche, d.h. ohne den Zeitpunkt des Zugriffs, und weist damit den Hauptantrag des Klägers zurück.
Die IP-Adresse sei dann kein personenbezogenes Datum im Sinne von §§ 12 TMG, 3 Abs. 1 BDSG, denn ohne den Zeitpunkt des Zugriffs könne von der Beklagten kein Bezug zwischen Kläger und IP-Adresse hergestellt werden.
Personenbezug erst bei Eingabe des Klarnamens
Weiter führt das Gericht aus, die IP-Adresse sei im vorliegenden Fall selbst in Verbindung mit dem Zugriffszeitpunkt für den Seitenbetreiber kein personenbezogenes Datum, solange der Seitenbesucher nicht seinen Klarnamen auf der Seite eingebe. Dem Betreiber der Seite fehle das erforderliche Zusatzwissen um einen Personenbezug herzustellen, dies könne er nur mit Hilfe eine Auskunftserteilung durch den Zugangsanbieter.
Der Personenbezug der dynamischen IP-Adresse sei aber dann zu bejahen, wenn der Nutzer seinen Klarnamen, z.B. auch durch eine (personalisierte) E-Mail-Adresse, über Formulareingaben offen lege, etwa bei Bestellung einer Broschüre.
Dies gelte selbst dann, wenn Formulareingaben und Serverprotokolle getrennt gespeichert würden und eine Zusammenführung nicht beabsichtigt ist.
Relative Personenbeziehbarkeit maßgeblich
Bei der Frage der Personenbeziehbarkeit der IP-Adresse folgt die Kammer dem Ansatz des sogenannten “relativen Personenbezuges”, nach dem die Frage der Zuordenbarkeit zu einer bestimmten Person allein an den Möglichkeiten der verarbeitenden Stelle zu bemessen ist.
Ist die verarbeitende Stelle wie hier ein Webseitenbetreiber, so ist die IP-Adresse nach diesem Ansatz ohne weiteres Zusatzwissen nicht personenbeziehbar. Für einen Internetprovider, der über das entsprechende Zusatzwissen verfügt, ist die IP-Adresse hingegen stets personenbezogen.
Absoluter Personenbezug ist abzulehnen
Den im Gegensatz dazu stehenden Ansatz des “absoluten Personenbezuges”, bei dem die rein objektive Möglichkeit der Zuordnung zu einer bestimmten Person die Personenbeziehbarkeit begründen soll, in der Konsequenz also unter Berücksichtigung des “gesamten Weltwissens”, so die Begründung, lehnt das Gericht ausdrücklich ab.
Nach Auffassung der Kammer führe das absolute Verständis
“zu einer uferlosen und damit unpraktikablen Ausdehnung des Datenschutzes, die vom Gesetzgeber so nicht gewollt ist.”
Keine Einwilligung durch Formulareingaben
Den Einwand der Beklagten, der Nutzer würde durch Ausfüllen eines Bestellformulars mit seinen Klardaten die Einwilligung auch zur Speicherung seiner IP-Adresse erteilen, wies das Gericht im Übrigen zurück. Die mit der Preisgabe dieser Daten verbundene Einwilligung sei inhaltlich beschränkt auf den mit dem jeweiligen Formular verbundenen Zweck. Die Erhebung und Speicherung der IP-Adresse sei hiervon nicht erfasst.
Fazit
Mit der Einbeziehung der Speicherung des Zugriffszeitpunktes und der Eingabe von Klardaten setzt das Gericht neue Akzente in der Diskussion um den Personenbezug von IP-Adressen. Es folgt dem Ansatz des relativen Personenbezuges, knüpft diesen jedoch an konkrete zusätzliche Bedingungen. Allerdings beschränken sich die Ausführungen allein auf dynamische IP-Adressen, also solchen IP-Adressen, die einem Nutzer automatisch und regelmäßig wechselnd vom Zugangsanbieter zugewiesen werden.
Die Personenbeziehbarkeit statischer IP-Adressen bleibt hingegen vollkommen unberücksichtigt, was dem Urteil letztlich seine praktische Relevanz rauben könnte, da der Betreiber einer Website nicht in der Lage sein wird, die Seitenzugriffe dahingehend zu unterscheiden, ob der Zugriff von einer dynamischen oder statischen IP-Adresse erfolgt.
Darüber hinaus handelt es sich hier nur um eine weitere instanzgerichtliche Entscheidung, während eine abschließende höchstrichterliche Klärung weiterhin aussteht. (lk)
IP Adressen sind nie personenbezogen. Es ist die schier grenzenlose Inkompetenz und Ignoranz deutscher Richter und Anwälte die vom Tuten und Blasen keine Ahnung haben. Da können wir auch gleich erwarten, dass Mehlwürmer das Spaceshuttle fliegen können.
IP-Adressen sind, ob fest oder dynamisch nie personenbezogen.
Bei dynamischen ist der Bezug zur Adresse / WE nur durch zeitnahe, richterlich erlaubte Auskunft durch den Internetzugangsprovider zu erreichen.
Statische IPs wird in 99,999 % aller Fälle immer ein Unternehmen für alle Mitarbeiter per Firewall und internem Proxy je Internetzugang mehrfach verwenden. Eine Zuordnung wäre damit nur möglich, wenn man durch den Zugangsprovider die Zuweisung per Ripe-Eintrag erhalten würde (was überhaupt nicht oft der Fall ist) UND parallel eine Firewall im Unternehmen den gesamten Internetverkehr überwachen und protokollieren würde. Dies steht aber in keinster Weise mit Datenschutzvorgaben im Einklang, sofern auch nur ein Mitarbeiter private Emails oder Websites aufrufen darf.
Aus dem Urteil resultiert dann also eine Vorgabe, die Eingabefälle für personenbezogene Daten per Subdomain und anderer Logfile-Vorgehensweise abzuwickeln.
Auch wenn das Urteil insofern eine Einschränkung der bisherigen Rechtsprechung bedeutet, so kann man doch feststellen, dass vorwiegend deutsche Unternehmen immer und immer mehr rechtlich eingegrenzt werden, während die NSA und den BND alles dürfen und amerikanische Unternehmen in keinster Weise ausgebremst werden. Die können schlicht und ergreifend auch in Deutschland tun und lassen, was sie wollen. Aufgrund fehlender Niederlassung geht da doch alles ins Leere.
@Frank & Christian
Dass IP-Adressen nie personenbezogen sind, mag Ihrer persönlichen Auffassung entsprechen. Mehrere Gerichte haben dies jedoch unter Zugrundelegung des im Beitrag auch erwähnten Ansatzes des “absoluten Personenbezuges” bereits anders beurteilt und auch die meisten deutschen Datenschutz-Aufsichtsbehörden folgen dem absoluten Ansatz.
Das LG Berlin hat im vorliegenden Urteil zwar konstatiert, dass der absolute Personenbezug abzulehnen sei. Bis zu einer endgültigen höchstrichterlichen Klärung bleibt es jedoch weiterhin riskant, sich bei der rechtlichen Beurteilung von IP-Adressen allein auf seine persönliche, unjuristische Einschätzung zu verlassen. Das obige Verfahren ist indes zur Revision beim BGH zugelassen, so dass es möglicherweise sogar zu einer höchstrichterlichen Klärung kommen könnte (wenn auch nur für dynamische IP-Adressen).
Also ich frage mich gerade auf welchen Stern die bisherigen Kommentatoren teilweise leben. Natuerlich kann man jede IP Adresse zurückverfolgen. Technisch gesehen!!! Ob dafür eine richterliche Erlaubnis notwendig ist oder nicht tut doch garnichts zur Sache.
Wir wissen doch längst das so eine Erlaubnis zwar notwendig sein soll aber es nicht ist.
Jede IP kann zurückverfolgt werden, egal wie auch immer.
Aufwachen!!!
Mein Post zu http://www.shopbetreiber-blog.de geht zum jetzigen Zeitpunkt über 9 Hops, das zeigt eine Traceroute. Das ist aber nur eine Momentaufnahme, die Route kann sich ändern. Hinter diesen 9 Hops verbergen sich tausende Geräte, Router und Switches und wiederum tausende Mitarbeiter, die allesamt an meinem Post beteiligt sind, in dem Moment, wenn ich hier auf Senden klicke.
Sie alle sorgen dafür, dass das, was ich hier tippe, auch so ankommt, wie ich es tippe. Oder vielleicht auch nicht. Genau das ist der Crux: Wir schenken denen, die unsere Daten vermitteln, ein schier unbegrenztes Vertrauen und tun grad mal so, als läge eine Punkt-Zu-Punkt-Verbindung zwischen dem Endgerät und dem Server vor. Die Verbindung erscheint uns durchsichtig, transparent.
Die Vertrauensfrage jedoch, sollte sich nicht nur auf die IP-Adressen beschränken, die zum Zeitpunkt einer Datenübertragung an den Endgeräten vorgegeben sind, und schon gar keine Aussage darüber treffen, wer an der Tastatur sitzt.
Es wäre nicht das Erstemal, dass beim Übermitteln von Daten Fehler auftreten, eagl aus welchem Grund:
Rufen wir die Netzbetreiber in den Zeugenstand 😉