IP-Adresse ist personenbezogenes Datum: Die Frage, ob eine IP-Adresse ein personenbezogenes Datum darstellt, war viele Jahre umstritten, ist aber heute geklärt: IP-Adressen sind personenbezogene Daten.
IP-Adresse ist personenbezogenes Datum
Spätestens seitdem der Bundesgerichtshof (VI ZR 135/13) und auf dessen Vorlage der EUGH (C-582/14) sich positioniert haben, ist klar: IP-Adressen sind personenbezogene Daten, da es möglich ist, den Inhaber des Internetanschlusses zu ermitteln und somit den Rückschluss auf eine konkrete Person herzustellen. Dies entspricht auch dem abstrakten Wortlaut des Art. 4 Nr. 1 DSGVO. Der BGH stellte im Leitsatz klar:
Die dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Internetseite, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, stellt für den Anbieter ein personenbezogenes Datum im Sinne des § 12 Abs. 1 und 2 TMG in Verbindung mit § 3 Abs. 1 BDSG dar (Fortführung von EuGH NJW 2016, 3579).
Im Folgenden stelle ich die (veralteten!) Informationen zum damaligen Streit zu Recherchezwecken weiterhin zur Verfügung.
Übersicht über den früheren Meinungsstand: IP-Adressen als personenbezogenes Datum
Die ablehnende Meinung hat ein starkes Argument, dass vor allem unter den Praktikern Zustimmung findet: Der einfache Webmaster hat meistens gar keine Wahl ob IP-Adressen gespeichert werden. Auch sei die Speicherung zur Erhöhung der Sicherheit und Leistungssteigerung notwendig. Es ist unzumutbar und übertrieben, von Webmastern zu verlangen, IP-Adressen zu speichern, Ansprüche in dem Bereich würden für Webmaster ein Kostenrisiko bedeuten, wobei sie meistens der Willkür Ihrer Provider ausgeliefert sind. Ausserdem ist es überzogen, da der normale Webmaster selbst ja gar nicht die IP einem Benutzer zuordnen kann.
Diese Argumentation mag auf der Hand liegen, begegnet aber vielen Gegen-Argumenten:
- Die Begrifflichkeiten des BDSG gelten auch für das TMG. Dabei stellt das BDSG ausdrücklich für den personenbezug darauf ab, ob ein Datum auch mittelbar einer Person zugeordnet werden kann. Ob also die IP nur mittelbar einer Person zugeordnet werden kann ist unbedeutend, solange es überhaupt geschehen kann. Der ausdrückliche Wortlaut des Gesetzes darf insofern nicht ignoriert werden, sonst begeht man einen Rechtsfehler.
- Der Gesetzgeber hat zwar die Begrifflichkeiten des BDSG auch im TMG einschlagen lassen, aber offensichtlich ausdrücklich die Privilegierungen des BDSG für den familiären Bereich im TMG nicht zur Anwendung kommen lassen. Das rechtspolitische Argument, man würde private Webmaster über Gebühr belasten, da sie ja auf den Provider angewiesen sind, kann hier insofern nicht gelten, da es ebenfalls gegen die gesetzliche Intention steht.
- Die Nutzung einer Begrifflichkeit wie „relativer Personenbezug“ steht im Widerspruch zur Entscheidung des BVerfG, dass es kein personenbezogenes Datum geben kann, das nicht schützenswert ist. Hier wird über die Hintertüre, je nach verarbeitender Stelle, wieder eine ausdrücklich untersagte Gewichtung von Daten vorgenommen.
- Jedenfalls ich werfe den Vertretern der ablehnenden Meinung Verschleierung vor: Man kann auch bei Anerkennung des Personenbezugs Auswege in der aktuellen Gesetzeslage suchen, etwa indem man den Webserver als Dienst nach §11 III TMG einstuft und somit die Datenschutzregelungen des TMG nur eingechränkt Anwendung finden. Dieser Weg wäre sauber und nicht mit Verfassungsrechtlichen Problemen (siehe 3) behaftet.
- Ebenfalls steht der Weg offen, bei gemieteten Webhosting-Produkten nicht den mietenden Kunden, sondern den betreibenden Anbieter (Provider) als Diensteanbieter (des Servers, nicht der Webseite!) einzustufen und einzig diesen in Anspruch zu nehmen. Auch hier wäre eine Entlastung der Webmaster problemlos möglich. Das versteht man aber nur, wenn man sauber zwischen den Diensten trennt: Die Webseite ist der eine Dienst, für den der Webmaster verantwortlich ist. Der Webserver mit seinen Logfiles aber ist wieder ein eigener Dienst, für den man den Server-Betreiber einstehen lassen muss, da nur dieser die Kontrolle darüber hat. Nur wer die Kontrolle hat kann den jeweiligen Dienst als „seinen“ betrachten.
- Das früher angebrachte Argument, der Webmaster kann gar keine Auflösung erreichen, ist zudem heute falsch, da §101 II UrhG ausdrücklich die Möglichkeit der Auskunft auf zivilrechtlichem Wege vorsieht. Hinzu kommt, dass eine Vorratsdatenspeicherung beschlossen wurde, die auch bei dynamischen IP-Adressen auf 6 Monate nachvollziehen lässt, wer „dahinter steht“. Für das Schutzbedürfnis des Nutzers ist es dabei gleichgültig, ob der Anbieter nun selbst auflösen kann, oder Ermittlungsbehörden sich jederzeit Zugriff auf die Logfiles verschaffen können.
- Zu guter Letzt bleibt festzuhalten, dass nur bei umfassenden Datenerhebungen (etwa im Rahmen von großen Unternehmen wie Google) dem Anwender direkte Gefahr durch die verarbeitende Stelle droht. In der Tat ist der kleine Webmaster keine direkte Gefährdung. Die grösste Gefahr geht vielmehr von Ermittlungsbehörden aus, die sich auf Logfiles Zugriff verschaffen. Während Ermittlungsbehörden einerseits problemlos eine IP einer Person zuordnen können, werden gerade kleine Webmaster das Kostenrisiko eines Prozesses scheuen und die Herausgabe im Regelfall nicht verweigern. Hier zeigt sich der wahre Schutzbedarf des Betroffenen, der durch die Argumentation aus Sicht des Webmasters verschleiert wird. IPs als personenbezogenes Datum einzustufen und zu schützen ist nicht nur Schutz des Betroffenen, sondern auch des Webmasters.
Interessant und für den Laien sicherlich nahe liegend ist dann das Argument, Anschlussinhaber (dem die IP zugeordnet wird) und eigentlicher Nutzer können ja auseinander fallen. Das aber kann keine Rolle spielen: Das BDSG spricht ja gerade ausdrücklich davon, dass die Daten „einer Person“ zugeordnet werden können und nicht unbedingt dem aktuellen Nutzer.
Andernfalls ginge es ja auch um „Nutzerbezogene Daten“ und nicht um „Personenbezogene Daten“. Auch wenn es nicht gefallen mag – notfalls sind Gerichte schnell bereit, auf den Anschlussinhaber abzustellen (Dazu auch den Bereich auf Schwarz-Surfen.de beachten). Die Tatsache, dass eine IP also nicht unbedingt zum konkreten Nutzer führt, spricht gerade dafür, sie besonders zu schützen, da sehr schnell Unbeteiligte in Anspruch genommen werden können. Die gleiche Argumentation ist hinsichtlich bekannter Techniken wie IP-Spoofing oder einfacher Zahlendreher bei der Auskunftserteilung zu beachten.
Die Meinungen sind sehr gespalten: Im Gola/Schomerus findet man noch den Hinweis darauf, dass es sich um einen relativen Personenbezug handelt. Der Simitis sieht es anders, ebenso der Bundesdatenschutzbeauftragte (nachzulesen u.a. im Tätigkeitsbericht 2008), die Landesdatenschutzbeauftragten (Dazu nur Hessen, das Landesdatenschutzzentrum Schleswig Holstein und Niedersachsen) sowie das Bundesjustizministerium (Beleg zur Meinung des BMJ), wobei laut aktuellem Tätigkeitsbericht des Bundesdatenschutzbeauftragten (für das Jahr 2010, S.49) sowohl BMJ als auch BMI einen Personenbezug verneinen.
International ist die Frage – da das Datenschutzrecht durch die EU geprägt ist – natürlich ebenso ein Thema. Hier wird die Personenbezogenheit bejaht von der Artikel 29 Gruppe (Datenschutzgruppe auf EU-Ebene), ersten Gerichten in Schweden sowie dem schweizerischen Bundesverwaltungsgericht. Das schweizerische Bundesgerichts (1C_285/2009) dagegen sieht wohl keinen grundsätzlichen Personenbezug.
In der Literatur ebenfalls für den Personenbezug sind Hoeren (in seinem Skript zum Internetrecht), Kitz, GRUR 2003, 1014, 1018, Nordemann/Dustmann, CR 2004, 380, 386 sowie Czychowski/Nordemann in NJW 43/2008, 3095, 3096. Ausserdem Spindler/Dorschel, CR 2005, 38, 44 und Wüstenberg, TKMR 2003, 105, 107. Dagegen Eckhardt in K&R 2007, 602, 603. Wieder dafür mit klaren Worten der Kommentar zum UrhG von Wandtke/Bullinger, dort bei §101, Rn.34 liest man u.a.: „IP-Adressen sind eindeutig konkreten Personen zuordenbare Daten und daraus folgend Personenbezogen“. Die Meinung ist letztlich wohl auch im europäischen Kontext zunehmend zwingend (so dann auch Stadler in seinem Blog).
Die Rechtsprechung ist uneinheitlich: Das OLG Hamburg (5 W 126/10) sowie AG München (AZ 133 C 5677/08) verneinen den Personenbezug, anders das LG Darmstadt (AZ 25 S 118/2005, ebenso in 9 Qs 490/08 und 10 O 562/03) und LG Berlin (AZ 23 S 3/07). Bejahend dann wieder das AG Bonn (AZ 9 C 177/07) und das LG Köln (AZ 28 O 339/07). Auch das LG Köln (31 O 605/04 SH II) sieht den Personenbezug. Die Rechtsprechung aus Darmstadt wurde vom BGH (III ZR 40/06) bestätigt, wobei sich der BGH aber nicht ausdrücklich mit der Frage beschäftigt hat. Das VG Düsseldorf (27 L 990/09) sieht wohl auch eher den relativen Personenbezug (Rn.121), lässt die Frage letztlich aber offen.
Das AG Offenburg (4 Gs 442/07) lehnt – unter Rückgriff auf den Begriff des relativen Personenbezugs – den Personenbezug ab. Anders das LG Stuttgart (13 Qs 89/04) das den Personenbezug unproblematisch sieht, ebenso für den Personenbezug das KG Berlin (5 W 88/11).
Anmerkung zum AG München (AZ 133 C 5677/08): Dieses Urteil ist insofern kritisch zu sehen, als dass in der Begründung nur mit einem Satz das Modell des relativen Personenbezugs aus dem Gola/Schomerus zitiert wird. Ausführungen, warum dieses mehr als 10-Jahre alte Modell gegenüber den sonstigen Urteilen vorzugswürdig ist, vermisst man leider. Insofern ist es zwar ein Urteil, aber leider keine Diskussionsgrundlage. Gleiches gilt wohl beim LG Köln, wo man zwar nicht ausdrücklich auf den Gola/Schomerus verweist, aber ohne Thematisierung des Meinungsstreits nur davon spricht, dass es keinen Personenbezug gibt, „da die Schuldnerin die IP-Adressen keiner bestimmten Person zuordnen kann.“ Hier wird auf die verarbeitende Stelle und deren Möglichkeiten, also alleine auf die Lehre vom relativen Personenbezug abgestellt.
Im Fazit zu den verbreiteten Meinungen bemerkt man also eine bunte Mischung an Meinungen, wobei das Schwergewicht sich heute eindeutig in Richtung Personenbezug verlagert hat. Fakt ist: Das Risiko einer Inanspruchnahme als Webmaster ist schon jetzt beträchtlich und wächst täglich. Vor dem Hintergrund kann nur angeraten werden, die IP-Adresse nicht zu speichern und vor allem nicht an Dritte zu übermitteln. Jedenfalls sollte bei einer Speicherung in eigenen Logfiles eine Belehrung der User erfolgen. Dabei gibt es schon heute Provider, die die IP nicht speichern und Statistik-Anbieter, die (nach eigenen Angaben) datenschutzkonform arbeiten.
Personenbezug von IP-Adressen und Filesharing
Das OLG Hamburg (5 W 126/10) hat festgestellt, dass die IP-Adressen, die bei der Ermittlung von Nutzern gesammelt werden (etwa von Logistep) die in Tauschbörsen Material anbieten, rechtmässig erhoben werden. Der Beschluss (dort auf Seite 4) hängt m.E. an einer einzigen und von mir gerne thematisierten Frage: Wie stuft man IP-Adressen ein – als Personenbezogenes Datum, oder nicht?
Ich thematisiere diese Frage hier auf meiner Seite, das OLG kommt offensichtlich zu dem Ergebnis, dass es sich um kein personenbezogenes Datum handelt – eine vertretbare Ansicht, keine Frage. Befremdlich wirkt aber auf mich der innere Widerspruch: Da wird ein Datum einzig und alleine zu dem Zweck gesammelt, um einen Benutzer zu identifizieren, der dann auch nur über dieses Datum identifiziert wird, und dennoch wird – ohne nähere Argumentation – festgestellt, dass kein Personenbezug vorliegt. Freilich ist es ja gerade der Gag der Lehre vom „relativen Personenbezug“, dass bei dem gleichen Datum für den einen Verarbeiter ein Personenbezug vorliegen kann, für den anderen aber nicht. Dem steht aber weiter im Widerspruch, dass §3 BDSG ausdrücklich auch dann einen Personenbezug annimmt, wenn nur mittelbar das Datum einer Person zugeordnet werden kann – wie auch im vorliegenden Fall.
Meine Meinung zur Lehre vom relativen Personenbezug ist klar, schon insofern liegt auf der Hand, dass ich diese Entscheidung sehr kritisch sehe. Dennoch ist sie (natürlich) durchweg vertretbar, gerade aber weil die Frage des Personenbezugs von IP-Adressen nunmehr wieder offen ist (die Lehre vom relativen Personenbezug ist heute keine h.M. mehr, aber bei weitem auch keine M.M.) würde ich mir von Gerichten ein paar Worte mehr zu diesem Thema wünschen. So wäre in Fällen wie dem vorliegenden m.E. zu überdenken, ob man im §101 IX UrhG eine Ermächtigungsklausel zur Erhebung von IP-Adressen erblicken kann – die Qualifizierung der IP-Adressen als personenbezogenes Datum wäre insofern schadlos.
Für Betroffene bedeutet das erst einmal: Eine Verteidigungs-Hoffnung weniger. Und mit Blick auf die Rechtsprechung insgesamt möchte ich hier auch nicht behaupten, dass das eine abwegige Einzelfall-Entscheidung ist. Vielmehr dürfte in dieser speziellen rechtlichen Frage je nach Gericht eine mitunter überraschende Antwort zu erwarten sein.
Entscheidung des Bundesgerichtshofs zum Personenbezug von IP-Adressen
Der Bundesgerichtshof (I ZR 174/14) hat scheinbar am Rande geklärt, dass IP-Adressen personenbezogene Daten sind. So liest sich bei Rn.77:
Personenbezogene Daten im Sinne des § 3 Abs. 1 BDSG sind unter anderem die IP-Adressen, weil der Access-Provider einen Bezug zwischen den IP-Adressen und der Person des Nutzers herstellen kann (…)
Aus meiner Sicht ist dies aber keine allgemeine Entscheidung des BGH dahin, dass IP-Adressen personenbezogene Daten sind. Zur Erinnerung: Die Rechtsprechung behilft sich (aus meiner Sicht dogmatisch fehlerhaft) seit Jahren damit, dass durch die Lehre vom relativen Personenbezug IP-Adressen nicht als personenbezogene Daten einzustufen sind. Diese Lehre vom relativen Personenbezug, begründet in den 1980ern, setzt darauf an, dass ein Personenbezug zwar theoretisch vorhanden sein kann, praktisch aber ein solcher Bezug häufig wegen des enormen Aufwands nicht herzustellen ist und somit ein personenbezogenes Datum zu verneinen ist. Die Gegner dieser Auffassung, zu denen ich auch gehöre, verweisen darauf, dass dies weder mit dem Schutzgedanken noch mit dem Gesetzeswortlaut in Einklang zu bringen ist.
Allerdings war es auch für Anhänger der Lehre vom relativen Personenbezug kein ernsthaftes Thema, dass jedenfalls zur Zugangsprovider die IP-Adresse ein personenbezogenes Datum ist! Das bedeutet, gleich welcher Ansicht man folgt, für den Access-Provider liegt in jedem Fall ein personenbezogenes Datum vor. So hatte ich auch schon BGH, III ZR 391/13, so verstanden, dass für Provider bei IP-Adressen ein Personenbezug anzunehmen ist. Ein weiteres Indiz ist, dass der BGH an dieser Stelle gar nichts zu dem seit Jahren schwelenden Meinungsstreit schreibt und nicht einmal den relativen Personenbezug anspricht, vielmehr kurz und ausdrücklich für Access-Provider den Bezug feststellt. Dies auch bewusst: Die Frage ist vom BGH dem EuGH (C-582/14) vorgelegt worden, man wird sich nun nicht vorschnell postieren, auch wenn die Entscheidung des EUGH meines Erachtens vorhersehbar ist.
Entscheidung des EUGH zu IP-Adressen
Es war von Anfang an absehbar, dass dem EUGH das letzte Wort in dieser Frage gebührt.
Inzwischen hat (am 24.11.2011) der EUGH (C‑70/10) allerdings – ohne inhaltliche Einschränkung – festgestellt, dass es sich bei IP-Adressen in jedem Fall um personenbezogene Daten handeln soll. Die Auswirkungen auf die bisherige Diskussion sind allerdings noch nicht abzusehen.
In der Rechtssache C‑582/14 hat der Generalanwalt beim EUGH am 12. Mai 2016 folgendes beantragt:
- Gemäß Art. 2 Buchst. a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist eine dynamische IP-Adresse, über die ein Nutzer die Internetseite eines Telemedienanbieters aufgerufen hat, für Letzteren ein „personenbezogenes Datum“, soweit ein Internetzugangsanbieter über weitere zusätzlichen Daten verfügt, die in Verbindung mit der dynamischen IP-Adresse die Identifizierung des Nutzers ermöglichen
- Art. 7 Buchst. f der Richtlinie 95/46 ist dahin auszulegen, dass der Zweck, die Funktionsfähigkeit des Telemediums zu gewährleisten, grundsätzlich als ein berechtigtes Interesse anzusehen ist, dessen Verwirklichung die Verarbeitung dieses personenbezogenen Datums rechtfertigt, sofern ihm Vorrang gegenüber dem Interesse oder den Grundrechten der betroffenen Person zuerkannt worden ist. Eine nationale Rechtsvorschrift, die die Berücksichtigung dieses berechtigten Interesses nicht zulässt, ist mit dem genannten Artikel nicht vereinbar.
Sollte der EUGH dem folgen, wäre der Streit entschieden und die IP-Adresse ein personenbezogenes Datum. Allerdings müsste bei jedem Erlaubnis- oder Verbotstatbestand im Datenschutzrecht damit am Ende auch eine Interessenabwägung stattfinden, womit datenschutzrechtliche Zulässigkeiten immer in einem Abwägungsprozess stünden.
- Russische Militärische Cyber-Akteure nehmen US- und globale kritische Infrastrukturen ins Visier - 11. September 2024
- Ransomware Risk Report 2024 von Semperis - 11. September 2024
- Künstliche Intelligenz in Deutschland – Status, Herausforderungen und internationale Perspektiven - 10. September 2024