Die Speicherung von IP-Adressen durch Webseitenbetreiber ist noch immer höchst umstritten. Für Datenschutzbehörden scheint jedoch inzwischen festzustehen, dass IP-Adressen personenbezogene Daten sind, die dem Datenschutzrecht unterliegen. Zunehmend werden daher aufsichtsrechtliche Maßnahmen eingeleitet. Doch wann ist eine IP-Adresse tatsächlich personenbezogen?
Lesen Sie hier, was bei der Speicherung von IP-Adressen zu beachten ist.
Die Zulässigkeit der Speicherung von IP-Adressen durch Webseitenbetreiber wird vor allem aufgrund zweier gegensätzlicher Entscheidungen des AG Berlin-Mitte (Urt. v. 27.03.2007 – 5 C 314/06) und des AG München (Urt. v. 30.09.2008 – 133 C 5677/08) äußerst kontrovers diskutiert.
Während das AG Mitte IP-Adressen prinzipiell für personenbezogene Daten i. S. d. § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) befand und die automatische Speicherung durch Webseitenbetreiber untersagte, verneinte das AG München einen Personenbezug bei dynamischen IP-Adressen, da die notwendige Bestimmbarkeit der Person hinter der Adresse nicht ohne Weiteres gegeben ist.
Die unterschiedlichen Entscheidungen der Gerichte spiegeln einen Meinungsstreit unter Juristen über den Personenbezug von IP-Adressen wider. Vor allem Datenschützer gehen dabei von der sog. objektiven Personenbeziehbarkeit aus, nach der die theoretische Möglichkeit eines Personenbezugs, auch unter Mitwirkung von Dritten, genügt, um die IP-Adresse unter die Definition des § 3 Abs. 1 BDSG fallen zu lassen.
Die derzeit noch herrschende Meinung vertritt hingegen die Ansicht des sog. relativen Personenbezugs, der die Mitwirkungsmöglichkeit Dritter außer Acht lässt und die Personenbeziehbarkeit allein anhand der Fähigkeiten und Kenntnisse der verarbeitenden Stelle prüft.
Eindeutig ist die Rechtslage allerdings, wenn Webseitenbetreiber IP-Adressen mit personenbezogenen Daten zusammenführen und so den direkten Personenbezug selbst herstellen, z. B. wenn Shopbetreiber bei einer Bestellung die IP-Adresse des Kunden zusammen mit dessen Bestelldaten speichern.
Hier läge in jedem Fall ein Verstoß gegen Datenschutzbestimmungen vor, sofern nicht zuvor die ausdrückliche Einwilligung des Kunden zur Speicherung eingeholt wurde. Ein solcher Verstoß kann mit Bußgeldern geahndet werden und Unterlassungsklagen der Betroffenen nach sich ziehen.
Unklarheit herrscht hingegen in den Fällen, in denen IP-Adressen automatisch in Server Logfiles protokolliert oder von Tracking-Tools zur anonymisierten Analyse des Nutzerverhaltens gespeichert werden.
Legt man den relativen Personenbezug zu Grunde, wäre die IP-Adresse in diesen Fällen kein personenbezogenes Datum, da dem Webseitenbetreiber allein anhand der IP-Adresse die Zuordnung zu einer bestimmten Person grundsätzlich nicht möglich ist.
Da die IP-Adresse jedoch ebenfalls in den Logfiles des Internet Providers gespeichert wird, wäre über diesen die Ermittlung des Anschlussinhabers und damit die Zuordnung zu einer bestimmten Person möglich. Geht man nun von der objektiven Personenbeziehbarkeit aus, wären IP-Adressen aufgrund dieser Möglichkeit personenbezogene Daten und die Speicherung demnach nur nach ausdrücklicher Einwilligung zulässig.
Diese Auffassung wird offenbar auch von den Datenschutzbehörden vertreten, die vermehrt Webseiten diesbezüglich überprüfen, insbesondere hinsichtlich der Verwendung von Tracking-Tools, die IP-Adressen speichern.
Bis zu einer höchstrichterlichen Klärung durch den BGH sollten daher Shopbetreiber, die auf Nummer sicher gehen wollen, vor der Speicherung von IP-Adressen generell eine ausdrückliche Einwilligung, z. B. über eine Opt-In-Checkbox, einholen oder ganz auf die Speicherung verzichten. Bei der Verwendung von Tracking-Tools sollte sichergestellt werden, dass diese keine IP-Adressen speichern.
Eine datenschutzrechtlich sichere Methode, Besucherverhalten zu analysieren, bietet beispielsweise das Tool von etracker.
Siehe auch hier im Blog: