Menü

Gefährliches Adressgedächtnis

Von

Inhaltsverzeichnis

Logs mit IP-Adressen gehören zum Alltag desjenigen, der einen Webserver betreibt. Möglicherweise ist er dadurch, ohne es zu ahnen, bereits ein gewohnheitsmäßiger Rechtsbrecher. Bis jetzt streiten Juristen nämlich leidenschaftlich um die Frage, ob das Datenschutzrecht die Speicherung von IP-Adressen bei Website-Betreibern verbietet. Für erhebliche Unruhe sorgte im März 2007 ein gegen das Bundesjustizministerium ergangenes Urteil des Amtsgerichts (AG) Berlin-Mitte [1]. Es erklärte IP-Adressen zu personenbezogenen Daten – für den Umgang damit sieht das Datenschutzrecht strenge Beschränkungen vor. Mit diesem Urteil war in dem betreffenden Verfahren zwar noch nicht das letzte Wort gesprochen, denn es kam anschließend zu einer Berufungsverhandlung vor dem Landgericht (LG) Berlin. Dort setzte man sich aber lediglich mit prozessualen Sonderfragen auseinander und fällte in der Sache keine andere Entscheidung. So blieb die amtsgerichtliche Einordnung bestehen, nach der IP-Adressen als personenbezogene Daten gelten müssten. Bestehen blieb damit aber auch ein heftiger Streit in der Fachwelt, ob das so denn richtig sein könne.

Wichtig – aber warum?

Im Zusammenhang mit dem Internet-Betrieb ist wohl keine juristische Kontroverse so häufig und so gründlich missverstanden worden wie der Streit um die Einordnung von IP-Adressen. In Online-Foren bemühen Interessierte in diesem Zusammenhang meist sehr schnell den Ärger um Abmahnungen und die zur Identifikation von Rechtsverletzern im Vorfeld verwendeten IP-Recherchen. Damit verengt sich das Blickfeld auf vorbelastete Lieblingsthemen und die eigentlichen rechtlichen Knackpunkte geraten aus dem Blickfeld. Tatsächlich geht es beim Streit, wie mit IP-Adressen zu verfahren ist, nicht um Fragen des Beweiswerts. Insbesondere ist es in diesem Zusammenhang nicht relevant, ob ein über die IP-Adresse ermittelter Missetäter im Netz verlässlich bestimmt werden kann und was diese IP-Adresse wirklich über Tat und Täter auszusagen vermag. Auch die als juristischer Dauerbrenner geltende Diskussion, ob IP-Adressen sogenannte Verkehrsdaten oder doch nur Bestandsdaten darstellen und unter welchen Voraussetzungen Strafverfolger deshalb darauf zugreifen können [2], hat damit zunächst einmal nur wenig zu tun.

Weitreichende Folgen

Die Frage, ob IP-Adressen personenbezogene Daten darstellen – und wenn ja, unter welchen Voraussetzungen –, ist eine Kontroverse aus dem Bereich des Datenschutzes. Der Begriff der "personenbezogenen Daten" ist ein feststehender, juristischer Fachterminus, den speziell das Bundesdatenschutzgesetz (BDSG) bestimmt. Personenbezogene Daten sind in besonderer Weise geschützt. So dürfen solche Daten nach § 4 BDSG nur unter bestimmten Voraussetzungen erhoben, verarbeitet, übermittelt oder sonst genutzt werden. Sollten also IP-Adressen als personenbezogene Daten gelten, dürfte man damit nur sehr eingeschränkt umgehen. Website-Betreiber dürften die IP-Daten ihrer Besucher überhaupt nicht mehr erheben. Vorbei wären dann die Zeiten der möglichst detaillierten Auswertung von Besucherströmen und deren Lokalisierung. Wer IP-Adressen dennoch auch nur speichern würde, beginge eine Ordnungswidrigkeit. Schon die nur fahrlässige – also noch nicht einmal gezielte und gewollte – Erhebung oder Verarbeitung dieser Daten würde eine Ordnungswidrigkeit darstellen, die nach § 43 BDSG mit einem Bußgeld geahndet würde. Die Höhe dieses Bußgeldes könnte theoretisch bis zu 250.000 Euro betragen, wobei sicherlich kein Gericht eine solche Größenordnung ansetzen würde. Falls ein solcher Rechtsverstoß sogar vorsätzlich und gegen Entgelt erfolgte, läge eine Straftat vor. Unter bestimmten Voraussetzungen würde dies eine bis zu zweijährige Freiheitsstrafe nach sich ziehen. Dergleichen Aussichten sind schon geeignet, Website-Betreibern schlaflose Nächte zu bereiten. Es bietet sich an, diese mit dem Grübeln über die Frage zu verbringen, wem die beschriebenen Regelungen nutzen sollen.


Meine IP-Adresse gehört mir?

Der Datenschutz dient der Durchsetzung des Grundrechts auf informationelle Selbstbestimmung. Dieses wird nicht ausdrücklich im Grundgesetz erwähnt, wie etwa das Recht auf Meinungsfreiheit oder das Fernmeldegeheimnis, sondern es ist erst nachträglich vom Bundesverfassungsgericht (BverfG) entwickelt und im Rahmen des sogenannten Volkszählungsurteils 1983 formuliert worden [3]. Der einzelne Bürger, so die Karlsruher Richter, sei in seiner freien Entfaltung gehemmt, wenn er den Überblick darüber verlieren würde, wer was über ihn weiß. Die Warnungen aus der damaligen Urteilsbegründung erscheinen heutigen Lesern erstaunlich aktuell: "Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen." Freie Entfaltung der Persönlichkeit setze deshalb "unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus." Diese Daten sind deshalb besonders schützenswert. Der Gesetzgeber hat speziell ihrer Sensibilität mit dem Bundesdatenschutzgesetz und den Datenschutzgesetzen der Länder Rechnung getragen. Naheliegenderweise unterliegen dabei nicht alle Arten von Daten dem gleichen Schutz: So betrifft etwa die Information darüber, dass in der vergangenen Stunde 200 Autos eine bestimmte Straße befahren haben, keine konkreten Personen. Dass aber Herr X mit seinem Wagen gestern um genau 20 Uhr dieselbe Straße befuhr, ist eine Angabe, die sich auf eine konkrete Person bezieht. Genau das meinen Juristen, wenn sie von personenbezogenen Daten sprechen.

Bezogen und beziehbar

Der Gesetzgeber erkannte, dass es nicht ausreicht, solche Daten zu schützen, die wie im angeführten Beispiel unmittelbar auf Personen bezogen sind. Deshalb gelten etwa nach § 3 BDSG nicht nur Daten einer "bestimmten", sondern auch Daten einer nur "bestimmbaren" Person als personenbezogene Daten. Doch damit beginnen bereits die Probleme. Die Frage, ob Daten von Haus aus auf eine Person bezogen sind oder nicht, ist noch eher leicht zu beantworten. Ob hingegen Daten personenbeziehbar sind, lässt sich nicht nur in der Praxis schwer entscheiden – vielmehr ist schon auf rechtlicher Ebene stark umstritten, welche Maßstäbe dabei gelten sollen. Ab wann Daten im Sinne des BDSG als personenbeziehbar gelten, ist so etwas wie die Gretchenfrage des Datenschutzes. Jede Information lässt sich von irgendjemandem mit beliebig hohem Aufwand einer Person zuordnen und sich somit auf diese beziehen. Wenn also jede theoretisch denkbare Möglichkeit in dieser Hinsicht relevant sein sollte, wäre beinahe jede Information ein personenbeziehbares Datum. Juristen sprechen bei diesem Verständnis von einer absoluten Beziehbarkeit: Jeder nur irgendwo irgendwie vorhandene Weg, einen Bezug zu einer Person herzustellen, reichte dann bereits aus, um die rechtlichen Einschränkungen des BDSG aktiv werden zu lassen. Sollte hingegen der Begriff der Personenbeziehbarkeit nur relativ verstanden werden, wäre die Anwendbarkeit des BDSG nicht uferlos, sondern eine Frage des Einzelfalls: Ob Informationen in den Händen von jemandem, der Daten erhebt, speichert oder sonst nutzt, auf eine Person beziehbar sind oder nicht, hinge beim relativen Personenbezug vom Wissen und den Fähigkeiten dieses mit den Daten umgehenden Jemand (oder der betreffenden Stelle, Behörde, Firma usw.) ab. Was demnach beispielsweise für einen institutionellen Betreiber einer vernetzten Datenbank mit Einwohnermelde-, Konten- und Telekommunikationsdatenbeständen durchaus als personenbezogenes Datum gelten müsste, bliebe etwa für einen privaten Website-Betreiber, der technische Besucherdaten keinen Personendaten zuordnen könnte, eine bloße anonyme Information. Über die Frage, welcher Maßstab für das Verständnis des Datenschutzes der richtige ist, haben sich Datenschützer, Gerichte und Unternehmen heillos zerstritten. Der Gesetzgeber hat diese Frage bei der Schaffung des BDSG durchaus erkannt – und sie gewissermaßen schulterzuckend offen gelassen.


Virtuelle Hausnummern

Das angesprochene Berliner Urteil aus dem Jahr 2007 stützte sich auf eine absolute Beziehbarkeit: IP-Adressen könnten irgendwie immer Personen zugeordnet werden, seien deshalb besonders geschützt. In dem Fall, den es zu entscheiden galt, wurden sie in Logfiles gespeichert – das sei eben rechtswidrig. Basta. Während Datenschützer ob dieser Einschätzung jubelten und viele Website-Betreiber angesichts der sich daraus ergebenden Folgen verunsichert bis genervt reagierten, waren etliche Juristen vor allem überrascht. Auch wenn die Frage nach absolutem oder relativem Bezug kontrovers diskutiert wird, hält wohl die Mehrheit der Rechtsexperten den relativen Bezug für richtig – da alles andere uferlos erscheint. Tatsächlich hat das AG München Ende September 2008 in der strittigen Frage genau entgegengesetzt geurteilt wie der rigorose Richter aus Berlin-Mitte [4]. IP-Adressen seien keine personenbezogenen Daten im Sinne von § 3 BDSG. Der Beklagte in dem Rechtsstreit, den es in München zu entscheiden galt, war Betreiber eines Webportals. Beim Aufruf seiner Website wurden die IP-Adressen der Besucher in den Log-Dateien des Webservers gespeichert. Der Kläger erfuhr davon und verlangte Unterlassung, da es sich bei den IP-Adressen um personenbezogene Daten handle, deren Speicherung ohne Einwilligung der Betroffenen rechtswidrig sei. Das Amtsgericht sah dies jedoch anders. Die Münchner stellten auf die relative Betrachtungsweise ab. Der Website-Betreiber könne zunächst nicht die hinter einer Adresse stehende Person identifizieren. Dies könne nur der Zugangs-Provider tun – und der muss die betreffenden Personendaten auf Verlangen von Strafverfolgern herausrücken. Seit neuestem muss er zudem nach zivilrichterlichem Segen Inhabern von Urheberrechten gegebenenfalls Auskunft darüber erteilen, wer hinter einer ermittelten IP-Adresse steht. Ansonsten ist es dem Provider aber ausdrücklich verboten, beliebigen Dritten die Identität der hinter einer IP-Adresse stehenden Person zu nennen. Gerade deshalb seien diese Adressen für Webseiten-Betreiber keine personenbezogenen Daten, so das Münchner Gericht. Deshalb sei auch ihre Speicherung in Logfiles nicht rechtswidrig.

Pyrrhussieg

Nun seufzten wiederum Datenschützer und Website-Betreiber jubelten. Zwar ist mit zwei einander entgegenstehenden Amtsgerichtsentscheidungen nicht viel Rechtsklarheit gewonnen. Aber auf den ersten Blick steht es nun jedem frei, sich auf die jeweils favorisierte Entscheidung zu berufen. Tatsächlich ist die Lage für Website-Betreiber eher noch komplizierter geworden als zuvor. Die Münchner Entscheidung ist nämlich alles andere als ein Freifahrschein zur Speicherung von IP-Adressen. Der relative Bezug erlaubt keinesfalls jede Speicherung, sondern differenziert nach den Fähigkeiten und Möglichkeiten desjenigen, der die Daten erhebt und damit umgeht. Der Betreiber einer kleinen Hobby-Homepage dürfte tatsächlich nicht in der Lage sein, Besucheradressen konkreten Personen zuordnen zu können. Anders sieht die Sache aber aus, wenn eine Website das Anlegen von Accounts anbietet und für den Zugang Identitätsangaben verlangt. Dann kann man Surfer eben doch identifizieren. Und wenn es um personalisierte Werbung geht, will man möglicherweise genau das auch tun. Das Münchner Urteil steht also für eine mitunter sehr komplizierte Entscheidung im Einzelfall unter Abwägung aller technischen Möglichkeiten. Sollten die IP-Adressen in den Händen des Website-Betreibers als personenbezogene Daten gelten, ist ihre Speicherung nur unter Ausnahmebedingungen erlaubt. Das Einverständnis des Surfers zur Speicherung ist dabei wohl die theoretisch wichtigste Erlaubnisregel. Ein solches Einverständnis darf man aber keinesfalls einfach automatisch bei jedem annehmen, der eine solche Seite mit einem entsprechenden Disclaimer besucht. Selbst wer das Einverständnis von Besuchern juristisch wasserdicht einholt, könnte schlussendlich noch Schwierigkeiten haben, technisch zwischen "einverstandenen" und "nicht einverstandenen" Nutzern zu differenzieren.

Zweifelhaftes Schlupfloch

Noch komplizierter wird das Ganze dadurch, dass es einen weiteren sogenannten Erlaubnistatbestand gibt. Der könnte auf den ersten Blick ein prächtiges Schlupfloch für Datensammler hergeben: Nach § 28 BDSG darf jedermann unter ganz eng umrissenen Bedingungen personenbezogene Daten erheben, speichern oder sonst nutzen. Die Hürden, die das Gesetz hierfür vorsieht, sind aber hoch. Sofern es um IP-Adressen geht, kommt der Fall in Betracht, dass "berechtigte Interessen der verantwortlichen Stelle" vorliegen. Schon wird deutlich, dass auch dies wieder eine Frage der Einschätzung ist, die eben im Streitfall ein Gericht trifft. Die Mehrheit der Juristen geht davon aus, dass allgemeine Belange wie etwa das Bemühen um die Serversicherheit nicht ausreichen, um ein berechtigtes Interesse an der Erhebung personenbezogener Daten zu begründen. Es bleibt also schwierig. Website-Betreiber, die ganz sichergehen wollen, tun gut daran, nach Möglichkeit auf das Erheben und Speichern von IP-Daten zu verzichten. Missgünstige Mitmenschen verfallen vielleicht ansonsten irgendwann auf die Idee, sie bei der Obrigkeit anzuschwärzen, die dann ein Bußgeld verhängen könnte. Kommerzielle Anbieter machen möglicherweise Bekanntschaft mit abmahnfreudigen Anwälten. Andererseits sollte man nicht vergessen, dass es außer den beschriebenen, einander widersprechenden Urteilen bislang keine Rechtsprechung zu dieser datenschutzrechtlichen Frage gibt. Das wiederum zeigt, wie klein in der Praxis das rechtliche Risiko beim Speichern von IP-Daten bis heute ist. Hinzu kommt noch: Während Unternehmen bei datenschutzrechtlichem Ärger immer negative Schlagzeilen und Vertrauensverlust fürchten müssen, können rein private Homepage-Kapitäne die Angelegenheit insgesamt entspannter betrachten. (psz)

Der Autor berät als Rechtsanwalt in einer internationalen Wirtschaftskanzlei (marc.stoering@osborneclarke.com).


Literatur

[1] AG Berlin-Mitte, Urteil vom 27.3.2007, Az. 5 C 314/06

[2] Dr. Marc Störing, Ermittlungschaos, Unklare Rechtsgrundlage bei staatlichen Ermittlungen im Netz, c’t 17/08, S. 174

[3] BverfG, Urteil vom 15.12.1983 (BVerfGE 65, 1)

[4] AG München, Urteil vom 30. 9. 2008, Az. 133 C 5677/08

Anzeige