Datenschutz ist ein wichtiges Thema, das in unserer digitalisierten Welt immer wieder zu Streitigkeiten führt. Nicht nur zwischen Klägern und Angeklagten, sondern sogar zwischen den juristischen Instanzen selbst. Dies gilt auch für die Frage, ob (dynamische) IP-Adressen von Webseiten-Betreibern gespeichert werden dürfen oder ob das einen Verstoß gegen das Datenschutzrecht darstellt. Stolze acht Urteile liegen dazu bislang vor – eine eindeutige Regelung gibt es immer noch nicht. Seitenbetreibern dürfte eine Entscheidung jedoch so oder so nichts nutzen: Ob eine IP statisch oder dynamisch ist, kann von ihnen sowieso nicht festgestellt werden.
Schadenfälle, die aus Datenschutzverletzungen hervorgehen, habe ich immer mal wieder auf meinem Schreibtisch liegen. Oft sind die Verstöße dabei eine Folge von Unwissenheit. Warum auch die bis dato jüngste Entscheidung, das Urteil des LG Berlin aus vergangenem Jahr, nicht für Aufklärung sorgt, zeige ich heute auf meinem Blog.
Personenbezug von IP-Adressen
Wie soll man sich als Freiberufler mit eigener Website datenschutzkonform verhalten, wenn sich selbst die Richter uneinig sind, was zulässig ist und was nicht? Die Speicherung von IP-Adressen beschäftigt die Gerichte seit Ende 2005.
Dreh- und Angelpunkt der Diskussion ist dabei der Personenbezug von IP-Adressen. Unter personenbezogenen Daten werden nach §3 des Bundesdatenschutzgesetzes „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“ verstanden. Auf den Punkt gebracht: Durch die IP-Adresse wird eine Person identifizierbar.
Die Speicherung solcher personenbezogener Daten ist hierzulande deshalb nur eingeschränkt zulässig, da sie in das Grundrecht auf informationelle Selbstbestimmung eingreift. Je nachdem, ob die IP-Adresse nun als personenbezogenes Datum eingeordnet wird oder nicht, stellt deren Speicherung also einen Verstoß gegen das Datenschutzgesetz dar.
Vier von sechs Urteilen bestätigten bislang, dass eine natürliche Person durch die IP „bestimmbar“ gemacht werden kann und qualifizierten IP-Adressen damit als personenbezogenes Datum.
Unterscheidung von statischen und dynamischen IP-Adressen
Mit dem aktuellsten Urteil zum Thema wird es noch etwas komplizierter: Das Landgericht Berlin entschied im Januar vergangenen Jahres, dass bei der Frage nach dem Personenbezug zu beachten sei, ob die IP-Adresse statisch oder dynamisch ist.
Eine statische IP ist einem bestimmten Nutzer zugeordnet und nach Auffassung des Gerichts damit klar personenbezogen. Im Gegensatz dazu wird eine dynamische IP bei jedem Zugriff aufs Internet neu vergeben – letztlich kann also nur der Provider nachvollziehen, welcher Nutzer unter welcher IP im Internet unterwegs war.
Das LG Berlin gelangte deshalb zu folgender Ansicht: Die bloße Erhebung und Speicherung einer dynamischen IP-Adresse stellt noch keinen datenschutzrechtlich relevanten Akt dar.
Machte dabei aber eine entscheidende Einschränkung: Verfügt der Website-Betreiber allerdings über Zusatzinformationen, die eine Identifizierung der Person hinter der IP möglich machen (z.B. Name oder E-Mail-Adresse), so ist auch die dynamische IP als personenbezogenes Datum anzusehen. Die Folge: Eine Speicherung ohne Einwilligung der betroffenen Personen wäre unzulässig (= Datenschutzverstoß).
Bedeutung des Urteils für die Praxis
In der Praxis hat das Urteil für die Betreiber von Websites geringe bis keine Bedeutung. Zwar wissen sie nun, in welchen Fällen die IP-Adressen von Nutzern gespeichert werden dürfen und wann nicht – ob eine dynamische oder eine statische IP-Adresse vorliegt, kann von ihnen jedoch nicht festgestellt werden. Einzig dem Provider ist das möglich.
Vor Datenschutzverstößen wird also auch das Urteil des LG Berlin nicht effektiv schützen. Da sieht man mal wieder, dass Gerichte oft an der Lebenswirklichkeit des Volkes vorbei urteilen 🙂
Weiterführende Informationen:
- PC von Hackern ausgespäht, angegriffen, lahmgelegt: Folgen für Dienstleister – und wie ihr Euch schützen könnt
- Urteil OLG Hamburg: Mangelhafte Datenschutzerklärungen können wettbewerbsrechtlich abgemahnt – und die Internet-Agentur zur Kasse gebeten werden
- Datenschutzverstoß durch offenen E-Mail-Verteiler wird mit Bußgeld geahndet
- 1.200 Euro Kostenforderung: Einsatz von Google Analytics als teure Abmahnfalle
