Internet-Law

Onlinerecht und Bürgerrechte 2.0

27.6.11

Datenschutz: IP-Adressen als personenbezogene Daten

Die Diskussion um die Frage, ob IP-Adressen personenbezogene Daten sind, wird mittlerweile nicht mehr ausschließlich von Juristen geführt, was man angesichts ihrer Bedeutung für den Datenschutz im Netz nur begrüßen kann.

Ich möchte dies zum Anlass nehmen, die rechtliche Streitfrage ausführlicher zu erläutern und die unterschiedlichen Positionen darzustellen. Ausgangspunkt soll die gesetzliche Regelung sein, die wir in § 3 Abs. 1 BDSG

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)

und in Art. 2 a) der EU-Datenschutzrichtlinie

alle Informationen über eine bestimmte oder bestimmbare natürliche Person („betroffene Person“); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind

finden.

Ein personenbezogenes Datum liegt also dann vor, wenn eine Person bestimmbar ist, wofür es nach der Richtlinie ausreicht, dass die Person indirekt identifiziert werden kann.

Was folgt hieraus für IP-Adressen? Bei dynamischen IP-Adressen kann zumindest mithilfe des Zugangsproviders ermittelt werden, welche Person Anschlussinhaber bzw. Kunde des Providers ist. Dass es sich hierbei nicht um ein theoretisches Szenario handelt, zeigen die Fälle des Filesharing, in denen in jedem Jahr mehrere hunderttausend Anschlussinhaber identifiziert und anschließend abgemahnt werden. Genügt das also, um von einem personenbezogenen Datum auszugehen?

In der juristischen Literatur und auch der bislang eher spärlichen Rechtsprechung besteht seit längerer Zeit Streit darüber, wann eine Person in diesem Sinne bestimmbar ist.

Die Theorie vom absoluten Personenbezug, die insbesondere von den Datenschutzbehörden von Bund und Ländern vertreten wird, geht davon aus, dass es ausreichend ist, wenn irgendein Dritter in der Lage ist, einen Personenbezug herzustellen. Dieser Ansicht zufolge sind IP-Adressen stets personenbezogene Daten, weil zumindest der Access-Provider diese Zuordnung vornehmen kann.

Die Theorie vom relativen Personenbezug nimmt demgegenüber an, dass es maßgeblich darauf ankommt, ob die Stelle, die die IP-Adresse speichert, in der Lage ist, eine (natürliche) Person zu ermitteln und zwar mithilfe der ihr selbst zur Verfügung stehenden Mittel. Das würde bedeuten, dass IP-Adressen nicht per se als personenbezogen zu betrachten sind. Der Betreiber einer Website, der IP-Adressen loggt, kann nämlich regelmäßig mit eigenen Mitteln keinen Personenbezug herstellen.

Aber selbst das ist nicht immer so eindeutig. Nehmen wir das Beispiel Google. Man wird auf den ersten Blick der Ansicht sein, dass ein Anbieter wie Google grundsätzlich nicht in der Lage ist, mithilfe der IP-Adresse eine konkrete Person zu identfizieren. Das sieht aber bereits dann anders aus, wenn ein Nutzer einen Google-Account unterhält, weil er einen der zahlreichen Google-Dienste (Mail, blogger.com, Analytics, AdWords) nutzt und zudem dort gerade eingeloggt ist. In diesem Fall kann Google den Personenbezug selbst herstellen.

In der juristischen Literatur gibt es für beide Ansichten eine Reihe von Vertretern, ein eindeutiges Übergewicht einer der beiden Meinungen ist nicht festzustellen. Je nachdem, was man liest, wird mal die eine und dann wieder die andere Auffassung als herrschend bezeichnet. In der Rechtsprechung sieht es ähnlich aus, wobei dort in der Tendenz eher die Ansicht vom relativen Personenbezug vorherrscht. In diesem Sinne haben sich z.B. das OLG Hamburg, das Landgericht Frankenthal (MMR 2008, 687), das Verwaltungsgericht Düsseldorf und das Amtsgericht München geäußert.

Welche Ansicht ist also richtig? Wenn man sich am Wortlaut der Richtlinie orientiert, dürfte mehr für die Annahme eines absoluten Personenbezugs sprechen. Denn nach Art. 2a) der Datenschutzrichtlinie ist eine Person schon dann als bestimmbar anzusehen, wenn sie indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer. Wenn man die IP-Adresse also als eine Art Kennnummer betrachtet, dann ermöglicht sie über den Umweg des Providers indirekt eine Identifizierung einer natürlichen Person. Diese Ansicht wird noch verstärkt durch Erwägungsgrund 26 der Datenschutzrichtlinie, der u.a. besagt:

Bei der Entscheidung, ob eine Person bestimmbar ist, sollten alle Mittel berücksichtigt werden, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen. Die Schutzprinzipien finden keine Anwendung auf Daten, die derart anonymisiert sind, daß die betroffene Person nicht mehr identifizierbar ist.

Damit ist europarechtlich relativ deutlich zum Ausdruck gebracht worden, dass es nicht nur auf die Möglichkeiten der speichernden Stelle ankommt, sondern es genügt, wenn ein Dritter (Provider) den Personenbezug herstellen kann.

In einem der aktuellen juristischen Aufsätze zum Thema (Sachs, CR 2010, 547) wird die Rechtslage so zusammengefasst, dass sich die Frage anhand der Kriterien der juristischen Methodenlehre nicht eindeutig beantworten lässt, es aber zweifelhaft erscheint, ob die in Deutschland bislang vorherrschende Ansicht vom relativen Personenbezug aufgrund der Regelungen der Datenschutzrichtlinie und der Haltung der Aufsichtsbehörden aufrecht erhalten werden kann.

De lege ferenda halte ich das Ergebnis, dass eine IP-Adresse immer personenbezogen sein soll, aber nicht für sinnvoll, weil damit nach geltendem Recht streng genommen Serverlogs ganz generell und insgesamt unzulässig wären. Die notwendige Lösung besteht darin, internetspezifische Erlaubnistatbestände zu schaffen. Das wäre auch vor dem Hintergrund der Einführung von IPv6 wünschenswert, weil sich dadurch die Personenbeziehbarkeit noch erhöhen wird.

Neue Erlaubnistatbestände würden allerdings im Ergebnis zu einer Aufweichung des aber ohnehin nicht mehr praxistauglichen Datenschutzrechts führen. Bestrebungen in diese Richtung dürften deshalb auf erheblichen Widerstand insbesondere der Datenschutzbehörden stoßen. Aus diesem Grund werden wir wohl weiterhin mit einem Datenschutzrecht leben müssen, das die Onlinewirklichkeit nicht ausreichend abbildet.

posted by Stadler at 11:51  

11 Comments

  1. Gut, daß hier der Hinweis kam, daß IPv6 der Personenbeziehbarkeit von Datenspuren Vorschub zu leisten vermag. Nachdem ich den Artikel „IPv6 im Hinblick auf die Machtfragen“ veröffentlichte, durfte ich mir von manchen Postprivatisten anhören, daß meine dort geäusserten Sorgen absurd seien.

    Vielen Dank für diesen Beitrag.

    Comment by Peter Piksa — 27.06, 2011 @ 12:19

  2. Wer in unserer Gesellschaft soll den ersten Stein ins Internet werfen, ohne sich selbst zu treffen?
    Die einzige Alternative wird sein das der erfahrene User nur noch seine Möglichkeit zur Verschleierung über Proxyserver anlegen wird, die dann insbesonders von der neu geschaffenen Dienststelle in Bonn (ehem. Hardthöhe) überwacht werden.
    ADE du freies Internet „und Orson Wells hatte recht“ es existiert der gläserne Mensch 18 Jahre nach seiner Prophezeiung!

    Comment by P.S.aus Hi. — 27.06, 2011 @ 12:26

  3. Ist es dann nicht sinnvoll, solche eventuell-anonymen Daten unter dem Gesichtspunkt der unmittelbaren Möglichkeiten zur Identifizierung zu betrachten?

    Wenn ich konkret einen Dienst anbiete, bei dem die IP-Adresse zum einen zur anonymen Auswertung (Serverlogs, Zugriffszahlen, …), aber auch zur ungefähren Geo-Referenzierung gebraucht (i.d.R. über einen externen Dienstleister) wird, kann ich selbst noch keinen direkten Personenbezug herstellen, solange die Beziehung der IP-Adresse zu einem Account nicht gespeichert wird.
    In meinem Verständnis wird es tatsächlich dann zu einer personenbezogenen Information, sobald ich einen Track-Record IPAccountReale Person erstelle.
    Und welche Kriterien gelten (oder sollten gelten) dann für Datenschutzsiegel für solche Dienste? Sollte man die IP-Adresse nicht-umkehrbar verschlüsseln in den Serverlogs, die IP gar nicht speichern oder nur nicht mit der Person verknüpfen?
    Oder mache ich mich gar strafbar, wenn ich diese Logs so anonymisiere, dass ich selbst keinen Bezug mehr herstellen kann? Gerade in Kombination mit Problemen um das Feld „user generated content“ und deren Überwachung (Stichwort „heise-foren-urteile“).

    Comment by RB — 27.06, 2011 @ 13:23

  4. Zum Thema Serverlogs würde ich den 100 TKG in Verbindung mit 1 Abs 3 TMG heranzehen und damot Servlogs rechtfertigen. Wahrscheinlich nicht ganz sauber, aber die beste Lösung, die mir einfällt.

    Comment by Vsnfd — 27.06, 2011 @ 17:38

  5. Nachtrag, afaik wird auch von den Aufsichtsbehörden eine kurze (7 Tage?) Speicherung der IP im Serverlogzur Störungsbeseitigung akzeptiert.

    Comment by Vsnfd — 27.06, 2011 @ 17:41

  6. Wenn man das TKG auf Webserver bzw. die beim Betrieb von Websites anfallenden Daten für anwendbar hält, was mir schwierig erscheint, weil die parallele Anwendbarkeit von TMG und TKG eigentlich nicht vorgesehen ist.

    Die Datenschutzaufsicht lässt – aus pragmatischen Gründen – regelmäßig eine Speicherung von 7 Tagen durchgehen. Notwendig ist aber auch das technisch kaum.

    Comment by Stadler — 27.06, 2011 @ 21:33

  7. Hallo,

    der Artikel fängt stark an, danke für den Teil. Am Ende jedoch hätte ich mir noch etwas mehr Inhalt gewünscht. Denn nehmen wir mal an, dass IP Addressen personenbeziehbar sind, so kann man daraus ja nicht zwingend folgern, dass Serverlogs mit IP Addressen verboten sind.

    Denn wenn es zechnische, rechtliche und organisatorische Gründe gibt personenbezogene Daten zu speichern, so sind diese ja doch sehr wohl zugelassen (wie soll man auch sonst Geschäfte machen).

    Ob es nun für einen Sitebetreiber zwingend notwendig ist sich gegen DDOS zu schützen oder im Nachhinein bei Exploits indizienbeweise zu haben oder nicht – ist eine IMHO genauso spannende Frage wie die Frage nach der personenbeziehbarkeit.

    Noch ein Wort zu IPV6: ja in der Tat, da es mit IPV6 nicht mehr nötig sein wird NAT zu machen, und da die meisten Home-Router das auch garnichtmehr anbieten wird aus der ipv4 addresse die den Wohnungsanschluss repräsentiert eine IPV6 addresse die (für kurze Zeit dank Privacy Extension) das Endgerät idendifiziert. Ob das nun besser/schlechter für privacy ist – da kann man gut streiten.

    Gruss
    Bernd

    Comment by Bernd Eckenfels — 27.06, 2011 @ 22:59

  8. @Bernd
    So einfach ist es leider nicht. Im Datenschutz gilt das Verbot mit Erlaubnisvorbehalt. Du brauchst also zur Speicherung von pers. Daten eine Erlaubnis. Diese kann aus dem Gesetz stammen oder aus einer Einwilligung des Betroffenen. Im Gesetz gibt es leider keine Grundlage für Webseitenbetreiber. §15 TMG sieht die Speicherung nur zu Abrechnungszwecken vor. Eine Einwilligung des Betroffenen liegt auf einer Webseite normalerweise auch nicht vor. Also gibt es keine Grundlage für die Speicherung.
    Daher stammt ja auch meine nicht ganz zulässige Anwendung des §100 TKG. Die Norm ist aber, wie von @Stadler in Nr. 6 gesagt, eigentlich nicht zulässig. Es handelt sich halt um eine zielorientierte Argumentation.
    Wenn auf der Webseite aus anderem Grund bereits personenbez. Daten verarbeitet werden, z.B. bei einem Onlineshop, könnte man noch über §9 BDSG nachdenken. Stichworte wären dann Verfügbarkeitskontrolle, Eingabekontrolle und Zugangs-/Zugriffskontrolle. Der §9 BDSG steht meiner Meinung nach eh in einem Spannungsverhältnis zum rest des BDSG.
    Im Ergebnis denke ich aber, wir sind uns einig, dass eine vernünftige Rechtsgrundlage im TMG oder BDSG wünschenswert und notwendig ist.

    Comment by vsnfd — 28.06, 2011 @ 07:53

  9. Ja ja, schöne und große Worte fallen hier, nun muß ich den schwarzen Schaaaf mal spielen. Zu erst stellen sich mir immer die Fragen „warum wollen so viele Menschen immer GEHEIM (Anonym) agieren? Was versuchen sie zu verbergen / zu verschleiern?“. Denn man könnte auch die Ansicht vertreten „…hinter dem stehen, was man macht oder verbockt!“. Durch die Möglichkeiten der Proxy Nutzung ist ja vorhanden und dadurch kann man ja sich anonymisieren (u.a. Deaktivierung der Referer-Übermittlung usw.) – was aber genau an dieser Stelle eher mal kritiert und hinterfragt werden sollte!
    In Zeiten wie dieser, wo Terrorismus, die abnormale Verbreitung von Porno-Seiten (unter derer Kinderpornografien), Hacker und vielem mehr, bin ich der Meinung, dass dies (IP-Tracking) nicht nur erlaubt werden sollte, sondern sogar zwingen erforderlich werden müsse. Am liebsten würde ich bei meinen Seiten sogar soweit gehen, dass ich nur identifizierbaren Personen den Zugang erlaube, denn da bräuchte ich nicht mich mit Spam- / Hack- / Trojanerschutz herum ärgern (na gut, würde ich dennoch machen müssen, da es LEIDER die Proxy-Geschichte noch gibt), aber vielleicht versteh ihr was ich meine.

    Ich lasse keine unbekannte personen zu mir nachhause und vorallem nicht, wenn sie sich auch noch strikt weigern, sich vorzustellen ;)

    Ich finde, dass die Entwicklung in fast schon eine abartige Richtung geht und der Schaden eben genau durch die Anonymität im Internet, alle möglichen Spinner animiert, alle möglichen Schäden zu verursachen und jeder kann sich selbst jetzt informieren, in welchen dimensionen und beträgen sich diese Schäden in nicht nur Unternehmen sich beziehen.

    Und zum Schluss noch ein Beispiel: ich bin anonym hier – warum? Weil wenn ich hier meinen Namen Web-Adressen usw. offen legen würde, viele die mit meiner Ansicht nicht klar kommen, schön anonym mich belästigen könnten (da brauch ich nicht alle möglichen Arten aufzählen wie) – ganz nach dem Motto: Ich bin eh anonym, also NERVE ich aus allen Wolken! Und wenn jetzt jemand sagt „das können sie doch auch so…“, ich habe das alles schon erlebt und eins weiss ich, Menschen sind anonym stark, aber wenn sie real vor einem stehen NICHT!

    Comment by Murrig — 14.08, 2011 @ 00:44

  10. find ich gut

    Comment by Anonymous — 22.02, 2012 @ 17:32

  11. 4388 484194I ran into this page accidentally, surprisingly, this really is a fantastic site. The web site owner has done a fantastic job writing/collecting articles to post, the information here is actually insightful. You just secured yourself a guarenteed reader. 190973

    Comment by gAdLRklddm — 6.08, 2013 @ 00:23

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.