Internet-Law

Das OLG Hamburg hat mit Urteil vom 16.08.2011 (Az.: 7 U 51/10) über die Frage entschieden, ob Google als Suchmaschinenbetreiber auf Unterlassung in Anspruch genommen werden kann, weil nach einer Google-Suche in der Trefferliste auf Webseiten verwiesen wird, die wiederum bestimmte Äußerungen über die Person des Klägers enthalten.

Obwohl das OLG Hamburg die Klage abgewiesen hat, wird das Urteil noch für Diskussionen sorgen, denn das OLG Hamburg hält eine Störerhaftung von Google nicht per se für ausgeschlossen.

In der Urteilsbegründung wird u.a. ausgeführt:

Dem Betreiber einer Suchmaschine zumutbar dürfte eine Prüfpflicht hinsichtlich der von der Suchmaschine aufgefundenen Internetseiten nur dann sein, wenn sie sich auf eine konkrete, formal erfassbare Verletzungsform bezieht; denn eine Suchmaschine sucht im Internet nach Eingabe des Suchbegriffs nicht nach gedanklichen Inhalten, sondern, ihrer Anlage als Maschine entsprechend, rein mechanisch nach Buchstaben- und Zeichenfolgen oder geometrischen Formen. Nur abstrakt beschriebene Inhalte kann sie in einem Internetauftritt nicht als Inhalte erkennen, wenn dessen Verfasser sie nicht offenbar, sondern verklausuliert oder in sonstiger Weise verborgen ausdrückt.

Das OLG hat die vom Bundesgerichtshof entwickelten Grundsätze über die Störerhaftung bei der bloßen Mitwirkung an der Verbreitung von Äußerungen Dritter – u.a. aus der Schöner-Wetten-Entscheidung –  auf den Betrieb einer Suchmaschine übertragen und meint deshalb, dass in Bezug auf einen konkret bezeichneten Inhalt Unterlassungsansprüche gegeben sein können.

Ob man hierbei allerdings tatsächlich redaktionelle Links und Suchmaschinentreffer ohne weiteres vergleichen kann, erscheint mir eher zweifelhaft. Wegen der überragenden Bedeutung der Suchmaschinen für die Suche im Web und dem Umstand, dass sowohl die Indexierung als auch die Suche vollständig automatisiert ablaufen, erscheint es vielmehr naheliegend von einem grundsätzlichen Ausschluss der Haftung eines Suchmaschinenanbieters auszugehen.

Der Hamburgische Datenschutzbeauftragte hat heute eine, zumindest für mich, überraschende Pressemitteilung herausggegeben, in der er erklärt, dass Webseitenbetreibern ab sofort ein beanstandungsfreier Einsatz von Google Analytics möglich sei. Parallel hat auch Google Deutschland eine Mitteilung seines betrieblichen Datenschutzbeauftragten dazu veröffentlicht.

Das ist zwar für Nutzer von Google Analytics im Ergebnis erfreulich, zeigt allerdings bei näherer inhaltlicher Betrachtung, dass Deutschland nunmehr endgültig zum datenschutzrechtlichen Schilda geworden ist.

Der Hamburger Datenschutzbeauftragte teilt u.a. mit, dass  Google das Verfahren nunmehr dahingehend geändert habe, dass auf Anforderung des Webseitenbetreibers das letzte Oktett der IP-Adresse vor jeglicher Speicherung gelöscht wird, so dass darüber keine Identifizierung des Nutzers mehr möglich ist. Gleichzeitig verlangt er aber, dass der Webseitenbetreiber mit Google einen Vertrag zur Auftragsdatenverarbeitung nach den Vorschriften des Bundesdatenschutzgesetzes abschließen soll.

Diese Ausführungen sind datenschutzrechtlich widersprüchlich und auch widersinnig. Wenn tatsächlich eine Anonymisierung der IP-Adressen der Nutzer vor einer Übermittlung an Google stattfindet, dann bedeutet dies nichts anderes, als dass an Google keine personenbezogenen Daten mehr übermittelt werden.

Damit entfällt aber nach dem Gesetz die Pflicht des § 13 TMG, über die Datenerhebung und -verwendung zu informieren und insoweit dann auch die Notwendigkeit einer Datenschutzerklärung. Eine Vereinbarung über eine Auftragsdatenverarbeitung kann dann ebenfalls nicht mehr geboten sein, weil diese ja gerade eine (externe) Verarbeitung personenbezogener Daten voraussetzt.

Die Forderung nach einer schriftlichen Vereinbarung zwischen dem Webseitenbetreiber und Google i.S.v. § 11 BDSG ist aber auch deshalb fragwürdig, weil die inhaltlichen Anforderungen des § 11 BDSG in dieser Konstellation schwerlich erfüllbar sind. Erforderlich wäre es nämlich, dass Google an die Weisungen des Webseitenbetreibers gebunden ist (§ 11 Abs. 3 BDSG) und, dass Google dem Webseitenbetreiber umfangreiche Prüf- und Kontrollmöglichkeiten einräumt.

Google hält insoweit auch schon eine standardisierte Vereinbarung bereit, die Google sogar unterschreiben und zurückschicken will. Diese Vereinbarung genügt m.E. aber den inhaltlichen Anforderungen des § 11 BDSG, insbesondere, was die Kontrollrechte angeht, nicht. Denn die Kontrollmöglichkeit wird von Google darauf beschränkt, dass der Webseitenbetreiber als Auftraggeber einen Prüfbericht eines Wirtschaftsprüfers einsehen kann.

Auch die Konstruktion erscheint unklar. Offenbar soll diese Vereinbarung nach der Ansicht Googles mit Google Deutschland getroffen werden, während die Datenverarbeitung aber in den USA stattfindet. Die Auftragsdatenverarbeitung in Ländern außerhalb des EWR unterfällt aber letztlich nicht der Vorschrift des § 11 BDSG.

Machen wir es also nicht komplizierter als es ist. Wenn mittels Google Analytics, bei Einsatz des sog. IP-Masking, keine personenbezogenen Daten mehr übermittelt werden – und genau das besagt die Pressemitteilung des Hamburger Datenschutzbeauftragten – dann sind insoweit auch keinerlei datenschutzrechtliche Anforderungen mehr zu erfüllen. Denn das BDSG und das TMG gelten nur für die Verarbeitung personenbezogener Daten (§ 1 Abs. 2 BDSG, § 12 TMG).

Die bayerische Aufsichtsbehörde hat mir übrigens bereits zu Beginn des Jahres, im Rahmen einer Mandatsbearbeitung, mitgteteilt, dass gegen den Einsatz von Google Analytics keine Einwände bestünden, wenn das von Google bereitgestellte Zusatztool zum sog. IP-Masking verwendet und zusätzlich eine ausreichende Datenschutzerklärung vorgehalten wird.

Ergänzend noch ein paar Links zum Thema:

Datenschutztheater (von Kris Köhntopp)

Google Analytics ist amtlich datenschutzkonform (Heise)

Die Diskussion zu meinem Post auf Google+

GOOGLE ANALYTICS IST DATENSCHUTZKONFORM NUTZBAR!? (von Laurent Meister)

In Bezug auf Facebook kann man immer wieder lesen, dass das soziale Netzwerk sich nicht an deutsche Datenschutzstandards hält. Aber gilt das deutsche Datenschutzrecht für Facebook überhaupt?

Der norwegische Datenschutzbeauftragte ist beispielsweise der Ansicht, dass das norwegische Datenschutzrecht auf Facebook keine Anwendung findet, sondern für norwegische Facebook-Nutzer vielmehr irisches Datenschutzrecht gelten soll, weil sich der europäische Hauptsitz von Facebook in Irland befindet. Nachdem Norwegen die Datenschutzrichtlinie der EU ebenso wie Deutschland umgesetzt hat, stellt sich die Frage, ob die norwegische Einschätzung korrekt ist und ob sie auch auf Deutschland übertragen werden kann.

Für grenzüberschreitende Sachverhalte enthält § 1 Abs. 5 Bundesdatenschutzgesetz (BDSG) Kollisionsregeln, die in Umsetzung der Datenschutzrichtlinie geschaffen wurden. Das BDSG gilt jedenfalls dann, wenn eine Niederlassung in Deutschland als verantwortliche Stelle Daten erhebt, verarbeitet oder nutzt. Befindet sich die Niederlassung in einem anderen Mitgliedsstaat der EU, ist das dortige nationale Datenschutzrecht anzuwenden. Befindet sich die maßgebliche Niederlassung demgegenüber im EU-Ausland – also z.B. in den USA – gilt wiederum das BDSG, wenn eine Datenerhebung im Inland erfolgt.

Eine derartige Niederlassung ist aber nur dann gegeben, wenn sie auch die datenschutzrelevanten Handlungen vornimmt. Erwägungsgrund 19 der Richtlinie spricht davon, dass in der Niederlassung die effektive und tatsächliche Ausübung einer (datenverarbeitenden) Tätigkeit mittels fester Einrichtungen erfolgen muss. Vor diesem Hintergrund dürfte Facebook weder in Deutschland noch in Irland eine entsprechende Niederlassung unterhalten.

Die Datenverarbeitung findet nämlich nicht in Deutschland statt und auch die zu Grunde liegenden wesentlichen Entscheidungen werden nicht von europäischen Niederlassungen getroffen, sondern allein von der amerikanischen Facebook-Mutter.

Die abweichende norwegische Ansicht stützt sich primär auf die Nutzungsbedingungen von Facebook, in denen es u.a. heißt, dass für Nutzer außerhalb der USA und Kanada eine Vertragbeziehung nur mit Facebook Irland zustande kommt. Nachdem § 1 Abs. 5 BDSG aber nicht vertraglich abbedungen werden kann, ist allein entscheidend, wo die datenverarbeitende Tätigkeit tatsächlich stattfindet und welche Stelle hierüber entscheidet. Bereits ein Blick in die Datenschutzrichtlinie von Facebook bestätigt, dass die Datenerfassung und -verarbeitung in den Vereinigten Staaten von Amerika (so wörtlich Ziff. 9) erfolgt. In den Nutzungsbedingungen (Ziff. 16) heißt es ebenfalls:

Du bist damit einverstanden, dass deine persönlichen Daten in die USA weitergeleitet und dort verarbeitet werden.

Facebook gibt also selbst an, dass die Datenverarbeitung in den USA stattfindet. Damit ist aber auch klar, dass die Facebook Inc. verantwortliche Stelle im datenschutzrechtlichen Sinne ist.

Dafür spricht auch der Umstand, dass Facebook ein weltweit einheitlicher Dienst ist, der zentral von Kalifornien aus betrieben und gesteuert wird. Die wesentlichen Entscheidungen fallen also weder in Deutschland noch in Irland, sondern allein in den USA.

Das BDSG ist in solchen Fällen wie gesagt dann anwendbar, wenn die verantwortliche Stelle Daten im Inland (Deutschland) erhebt, verarbeitet oder nutzt. Die entscheidende Frage lautet bei sozialen Netzwerken wie Facebook, Google Plus oder auch Twitter also, ob Daten in Deutschland erhoben werden. Die Anbieter sozialer Netze erheben zweifellos Daten von inländischen Nutzern, die diese an ihrem heimischen Rechner eingeben. Ob das als Datenerhebung im Inland zu qualifizieren ist, hängt nach Art. 4 Abs. 1 der Richtlinie  davon ab, ob der Verantwortliche auf Mittel zurückgreift, die sich im Inland befinden. Nach überwiegender Ansicht ist der Standort des Clients – also des Rechners des Nutzers – zumindest dann ein maßgebliches Mittel, wenn sich der Anbieter erkennbar (auch) an deutsche Nutzer richtet bzw. auf den deutschen Markt abzielt. Das trifft aber auf die großen sozialen Netzwerke durchwegs zu.

Die letzte Frage ist dann die, ob die Kollisionsregel des § 1 Abs. 5 BDSG auch für die datenschutzrechtlichen Vorschriften des Telemediengesetzes (TMG) gilt. Aus § 1 Abs. 5 TMG ergibt sich, dass das TMG keine Regelungen im Bereich des Internationalen Privatrechts trifft, weshalb es bei den allgemeineren Kollisionsregeln, also § 1 Abs. 5 BDSG, verbleibt.

Facebook (wie auch Google+ und Twitter) müssen deshalb im Hinblick auf ihre deutschen Nutzer die datenschutzrechtlichen Vorschriften der §§ 11 ff. TMG und die des BDSG befolgen. Dieselbe rechtliche Schlussfolgerung ist nach meiner Einschätzung auch für alle anderen EU-Staaten zu ziehen.

Der Hamburgische Datenschutzbeauftragte hatte sich Anfang des Jahres als Steinewerfer im Glashaus entpuppt, nachdem er einräumen musste, dass seine eigene Website – damals Teil von „hamburg.de“ – gemessen an den eigenen Kriterien nicht datenschutzkonform war. Ein zentraler Kritikpunkt war das Tracking-Tool der Fa. INFOnline GmbH, das u.a. von der IVW für ihre Reichweitenmessung eingesetzt wird.

Dieses Tracking-Tool soll nunmehr datenschutzkonform ausgestaltet sein, wie der Hamburgische Datenschutzbeauftragte in einer Pressemitteilung erläutert, u.a. weil die erfassten IP-Adressen um das letzte Oktett gekürtzt werden, wie es heißt.

Das würde dann aber auch bedeuten, dass Google Analytics ebenfalls datenschutzkonform sein müsste, wenn das von Google angebotene sog. IP-Masking eingesetzt wird. Ich bin gesapnnt, ob der Hamburger Datenschutzbeauftragte, der auch für Google zuständig ist, diese Schlussfolgerung ebenfalls ziehen wird.

Die Datenschutzerklärung von hamburg.de bleibt allerdings in Teilen dieskussionswürdig, insbesondere was die Passage zu den Social-Plug-Ins (Ziff. 6) angeht.

Die Frage der Markenrechtsverletzung durch Verwendung von fremden Marken als Keywords bei der Schaltung von Anzeigen im Rahmen von Google-AdWords ist nach der Entscheidung des EuGH wieder beim BGH gelandet, dessen Entscheidung allerdings keine große Überraschung mehr beinhaltet.

Der Leitsatz des heute im Volltext veröffentlichten Urteils des BGH vom 13.01.2011 (Az.: I ZR 125/07) lautet:

Gibt ein Dritter ein mit einer Marke identisches Zeichen ohne Zustimmung des Markeninhabers einem Suchmaschinenbetreiber gegenüber als Schlüsselwort an, damit bei Eingabe des mit der Marke identischen Zeichens als Suchwort in die  Suchmaschine ein absatzfördernder elektronischer Verweis (Link) zur Website des Dritten als Werbung für der Gattung nach identische Waren oder Dienstleistungen in einem von der Trefferliste räumlich getrennten, entsprechend gekennzeichneten Werbeblock erscheint (Adwords-Werbung), liegt darin keine Benutzung der fremden Marke im Sinne von Art. 5 Abs. 1 Satz 2 Buchst. a MarkenRL, § 14 Abs. 2 Nr. 1 MarkenG, wenn die Anzeige selbst weder das Zeichen noch sonst einen Hinweis auf den Markeninhaber oder auf die von diesem angebotenen Produkte enthält, der angegebene Domain-Name vielmehr auf eine andere betriebliche Herkunft hinweist.

Google+ hat nunmehr mehrfach die Profile solcher Nutzer gesperrt, die sich nicht mit ihrem tatsächlichen bürgerlichen Namen angemeldet haben. Ich bin gefragt worden, ob das Verhalten von Google nicht gegen § 13 Abs. 6 TMG verstößt. Danach muss der Diensteanbieter grundsätzlich gewährleisten, dass der Nutzer den Dienst auch anonym oder pseudonym nutzen kann.

Die Regelung wirkt auf den ersten Blick eindeutig. Aber nur solange man davon ausgeht, dass das Profil bei Google+ nicht selbst ein Telemedium im Sinne des TMG und/oder RStV darstellt. Eine solche Annahme halte ich zwar für gewagt, sie wird aber zu Twitter- und Facebook-Profilen durchaus, vielleicht sogar mehrheitlich, vertreten.

Daran unmittelbar schließt sich nämlich dann die Frage an, ob solche Profile den Impressumspflichten des TMG oder RStV unterliegen, was einer anonymen oder pseudonymen Nutzung entgegenstehen würde.

Wann Blogs einer Impressumspflicht unterliegen, habe ich an anderer Stelle dargelegt. Die weit verbreitete Ansicht, die meisten Menschen würden ja privat bloggen und unterlägen deshalb keiner Pflicht zur Anbieterkennzeichnung, ist in dieser Form jedenfalls nicht haltbar.

Denn nach § 55 Abs. 1 RStV benötigen nur solche Telemedien, die ausschließlich persönlichen und familiären Zwecken dienen, kein Impressum. Und das ist wesentlich enger als der Begriff privat. Wer also privat bloggt, twittert oder bei Google+ postet, um der Welt da draußen etwas mitzuteilen, der beschränkt sich nicht auf persönliche oder familiäre Zwecke. Andererseits ermöglicht es gerade Google+ mit der Einteilung in Kreise (Circles), eine Kommunikation auf den Familien- und Freundeskreis zu beschränken. Eine Nutzung ausschließlich für persönliche und familiäre Zwecke ist deshalb zumindest möglich und vorgesehen. Wie der Nutzer sein Profil tatsächlich nutzen will, weiß Google nicht vornherein und es ist auch nicht die Sache Googles dies festzulegen.

Vor diesem Hintergrund erscheint es mir rechtlich problematisch, wenn Google von jedem Nutzer verlangt, er müsse sich mit seinem korrekten bürgerlichen Namen anmelden und mit diesem auch in Google+ agieren.

Unlängst habe ich hier die Frage erörtert, ob IP-Adressen als personenbezogene Daten im Sinne des Datenschutzrechts zu betrachten sind oder nicht. Diese Frage hat weitreichende Konsequenzen im Hinblick auf die Speicherung und Verarbeitung von IP-Adressen, die Zulässigkeit von Statistik-Tools wie Google Analytics und das sog. Tracking ganz allgemein.

Dass sich die juristische Diskussion weiterhin im Fluss befindet und eine abschließende Klärung der Frage noch nicht absehbar ist, zeigt ein gerade in der Zeitschrift MultiMedia und Recht veröffentlichter Aufsatz von Krüger/Maucher mit dem Titel „IP-Adresse wirklich ein personenbezogenes Datum? – Ein falscher Trend mit großen Auswirkungen auf die Praxis“ (MMR 2011, 433).

Der Beitrag weist zunächst darauf hin, dass die Auswertung der Rechtsprechung und Literatur zu diesem Thema ein diffuses Bild ergibt. Die Autoren bieten sodann einen guten Überblick über die bisher ergangenen Entscheidungen sowie zu den unterschiedlichen Ansichten im juristischen Schrifttum. Krüger/Maucher selbst vertreten, was der Aufsatztitel schon nahelegt, mit durchaus nachvollziehbarer Argumentation die Theorie vom relativen Personenbezug und sind der Ansicht, dass IP-Adressen in den Händen fast aller datenverarbeitenden Stellen keinen Personenbezug aufweisen.

Das OLG Hamburg hat mit Urteil vom 26. Mai 2011 (Az.: 3 U 67/11), über das u.a. Heise berichtet, eine Haftung von Google für ehrverletzende Äußerungen in Suchergebnissen (Snippets) verneint. Danach kann es Google nicht untersagt werden, bestimmte Suchergebnisse anzuzeigen, die im Zusammenhang mit der Person des Klägers die Begriffe „Immobilie“ und „Betrug“ bzw. „Machenschaften“ enthielten.

Im vorangegegangen Verfügungsverfahren hatte es die Pressekammer das Landgerichts Hamburg – unter ihrem Vorsitzenden Buske – allerdings Google noch untersagt, diese Treffer anzuzeigen. Nachdem das OLG Hamburg diese Entscheidung bereits im Verfügungsverfahren aufgehoben hatte, war nunmehr auch die Hauptsacheklage erfolglos.

Das OLG Hamburg begründet seine Entscheidung u.a. damit, dass Google durch das Bereitstellen von Suchergebnissen nicht willentlich und adäquat-kausal zur Verletzung des Persönlichkeitsrechts des Klägers beigetragen habe und Suchergebnisse keine Äußerungen des Suchmaschinenbetreibers darstellen. Das ist in dieser Klarheit erfreulich.

Für jeden verständigen Nutzer einer Internetsuchmaschine sei es, so der Senat, außerdem offenkundig, dass der Suchmaschine nur die Nachweisfunktion für das Auffinden fremder Inhalte zukomme und gerade keine Äußerungen getätigt werden.

Das Gericht betont außerdem, dass Google auch nicht als Störer haftet, weil eine Prüfpflicht des Suchmaschinenbetreibers eine übermäßige Belastung darstellen würde, die sich „einschüchternd“ auf die Meinungsfreiheit auswirken könne. Interessant ist insoweit auch der Hinweis des Gerichts, dass sich Google als Suchmaschinebetreiber auf die Pressefreiheit berufen kann, was allerdings seit jeher für sog. Informationsmittler anerkannt ist. Hieraus zieht das OLG dann allerdings den durchaus interessanten Schluss, dass eine uneingeschränkte Verbreiterhaftung von Google für Suchtreffer zu einer verfassungsrechtlich nicht zulässigen Einschränkung der Meinungs- und Pressefreiheit führen würde. Das OLG spricht dann sogar von der Gefahr einer Zensur, die im Interesse eines freien Meinungs- und Informationsausstausches nicht hinnehmbar sei.

Darin muss man auch eine klare Ansage in Richtung der Pressekammer des Landgerichts Hamburg sehen, die für ihre meinungs- und pressefeindliche Rechtsprechung bekannt ist. Ein erfreuliches Urteil.

Der gesamte YouTube-Kanal von Greenpeace wurde kurzfristig gelöscht und das YouTube-Konto der Umweltschutzorganisation gekündigt. Hintergrund ist, dass Greenpeace in einem Video eine Star-Wars-Parodie dazu nutzt, den Autokonzern VW zu kritisieren. VW hat sich nach Ansicht von Greenpeace der dunklen Seite der Macht zugewandt, was Greenpeace in einem an Star Wars angelehnten Video-Spot filmisch darstellt. Das zu Google gehörende Videoportal YouTube reagierte schnell und forsch und hat neben dem Video gleich den gesamten Greenpeace-Kanal geschlossen. Erwirkt wurde die Löschung offenbar von Lucasfilm Ltd., der Produktionsfirma von Star Wars.

Eine einstweilige Verfügung oder sonstige gerichtliche Entscheidung gegen Greenpeace scheint bislang allerdings nicht zu existieren, denn die Kampagnenwebsite von Greenpeace ist nach wie vor online und auf dem Portal Vimeo ist das Video ebenfalls abrufbar.

Vermutlich hat sich Lucasfilm gegenüber Google/YouTube auf den amerikanischen Digital Millenium Copyright Act (DMCA) und das dort geregelte „Notice And Take Down“ Verfahren berufen. Danach erlangt ein Hoster eine Haftungsfreistellung, sofern er, auf eine Mitteilung des Rechteinhabers über eine (angebliche) Rechtsverletzung hin, das beanstandete Material zügig vom Netz nimmt. Es erscheint naheliegend, dass Lucasfilm eine entsprechende Aufforderung an YouTube geschickt hatte.

Unklar ist allerdings, worauf sich der Vorwurf der Urheberrechtsverletzung genau stützt. Die an Stars Wars angelehnte filmische Parodie erhält keine erkennbare Urheberrechtsverletzung. Gemutmaßt wurde allerdings, Lucasfilm würde sich an der Verwendung der Musik aus den Star Wars Filmen stören.

Ob provoziert oder unerwartet, die Geschichte wirkt wie ein cleverer Schachzug.  Die Krieger des Regenbogens haben sich in Jedi-Ritter verwandelt.;-)

Man kann natürlich auch wieder einmal auf Mrs. Streisand verweisen.

Update:
Der Film ist mittlerweile auch bei Vimeo gelöscht. Dort kann man folgendes lesen:

Sorry, „VW: The Dark Side“ was deleted at 12:10:45 Fri Jul 1, 2011. Vimeo has removed or disabled access to the following material as a result of a third-party notification by Lucasfilm Ltd. claiming that this material is infringing: VW: The Dark Side.

Damit erhärtet sich meine Vermutung, dass ein Notice-And-Take-Down-Verlangen nach dem DMCA gestellt worden ist.

Die Diskussion um die Frage, ob IP-Adressen personenbezogene Daten sind, wird mittlerweile nicht mehr ausschließlich von Juristen geführt, was man angesichts ihrer Bedeutung für den Datenschutz im Netz nur begrüßen kann.

Ich möchte dies zum Anlass nehmen, die rechtliche Streitfrage ausführlicher zu erläutern und die unterschiedlichen Positionen darzustellen. Ausgangspunkt soll die gesetzliche Regelung sein, die wir in § 3 Abs. 1 BDSG

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)

und in Art. 2 a) der EU-Datenschutzrichtlinie

alle Informationen über eine bestimmte oder bestimmbare natürliche Person („betroffene Person“); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind

finden.

Ein personenbezogenes Datum liegt also dann vor, wenn eine Person bestimmbar ist, wofür es nach der Richtlinie ausreicht, dass die Person indirekt identifiziert werden kann.

Was folgt hieraus für IP-Adressen? Bei dynamischen IP-Adressen kann zumindest mithilfe des Zugangsproviders ermittelt werden, welche Person Anschlussinhaber bzw. Kunde des Providers ist. Dass es sich hierbei nicht um ein theoretisches Szenario handelt, zeigen die Fälle des Filesharing, in denen in jedem Jahr mehrere hunderttausend Anschlussinhaber identifiziert und anschließend abgemahnt werden. Genügt das also, um von einem personenbezogenen Datum auszugehen?

In der juristischen Literatur und auch der bislang eher spärlichen Rechtsprechung besteht seit längerer Zeit Streit darüber, wann eine Person in diesem Sinne bestimmbar ist.

Die Theorie vom absoluten Personenbezug, die insbesondere von den Datenschutzbehörden von Bund und Ländern vertreten wird, geht davon aus, dass es ausreichend ist, wenn irgendein Dritter in der Lage ist, einen Personenbezug herzustellen. Dieser Ansicht zufolge sind IP-Adressen stets personenbezogene Daten, weil zumindest der Access-Provider diese Zuordnung vornehmen kann.

Die Theorie vom relativen Personenbezug nimmt demgegenüber an, dass es maßgeblich darauf ankommt, ob die Stelle, die die IP-Adresse speichert, in der Lage ist, eine (natürliche) Person zu ermitteln und zwar mithilfe der ihr selbst zur Verfügung stehenden Mittel. Das würde bedeuten, dass IP-Adressen nicht per se als personenbezogen zu betrachten sind. Der Betreiber einer Website, der IP-Adressen loggt, kann nämlich regelmäßig mit eigenen Mitteln keinen Personenbezug herstellen.

Aber selbst das ist nicht immer so eindeutig. Nehmen wir das Beispiel Google. Man wird auf den ersten Blick der Ansicht sein, dass ein Anbieter wie Google grundsätzlich nicht in der Lage ist, mithilfe der IP-Adresse eine konkrete Person zu identfizieren. Das sieht aber bereits dann anders aus, wenn ein Nutzer einen Google-Account unterhält, weil er einen der zahlreichen Google-Dienste (Mail, blogger.com, Analytics, AdWords) nutzt und zudem dort gerade eingeloggt ist. In diesem Fall kann Google den Personenbezug selbst herstellen.

In der juristischen Literatur gibt es für beide Ansichten eine Reihe von Vertretern, ein eindeutiges Übergewicht einer der beiden Meinungen ist nicht festzustellen. Je nachdem, was man liest, wird mal die eine und dann wieder die andere Auffassung als herrschend bezeichnet. In der Rechtsprechung sieht es ähnlich aus, wobei dort in der Tendenz eher die Ansicht vom relativen Personenbezug vorherrscht. In diesem Sinne haben sich z.B. das OLG Hamburg, das Landgericht Frankenthal (MMR 2008, 687), das Verwaltungsgericht Düsseldorf und das Amtsgericht München geäußert.

Welche Ansicht ist also richtig? Wenn man sich am Wortlaut der Richtlinie orientiert, dürfte mehr für die Annahme eines absoluten Personenbezugs sprechen. Denn nach Art. 2a) der Datenschutzrichtlinie ist eine Person schon dann als bestimmbar anzusehen, wenn sie indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer. Wenn man die IP-Adresse also als eine Art Kennnummer betrachtet, dann ermöglicht sie über den Umweg des Providers indirekt eine Identifizierung einer natürlichen Person. Diese Ansicht wird noch verstärkt durch Erwägungsgrund 26 der Datenschutzrichtlinie, der u.a. besagt:

Bei der Entscheidung, ob eine Person bestimmbar ist, sollten alle Mittel berücksichtigt werden, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen. Die Schutzprinzipien finden keine Anwendung auf Daten, die derart anonymisiert sind, daß die betroffene Person nicht mehr identifizierbar ist.

Damit ist europarechtlich relativ deutlich zum Ausdruck gebracht worden, dass es nicht nur auf die Möglichkeiten der speichernden Stelle ankommt, sondern es genügt, wenn ein Dritter (Provider) den Personenbezug herstellen kann.

In einem der aktuellen juristischen Aufsätze zum Thema (Sachs, CR 2010, 547) wird die Rechtslage so zusammengefasst, dass sich die Frage anhand der Kriterien der juristischen Methodenlehre nicht eindeutig beantworten lässt, es aber zweifelhaft erscheint, ob die in Deutschland bislang vorherrschende Ansicht vom relativen Personenbezug aufgrund der Regelungen der Datenschutzrichtlinie und der Haltung der Aufsichtsbehörden aufrecht erhalten werden kann.

De lege ferenda halte ich das Ergebnis, dass eine IP-Adresse immer personenbezogen sein soll, aber nicht für sinnvoll, weil damit nach geltendem Recht streng genommen Serverlogs ganz generell und insgesamt unzulässig wären. Die notwendige Lösung besteht darin, internetspezifische Erlaubnistatbestände zu schaffen. Das wäre auch vor dem Hintergrund der Einführung von IPv6 wünschenswert, weil sich dadurch die Personenbeziehbarkeit noch erhöhen wird.

Neue Erlaubnistatbestände würden allerdings im Ergebnis zu einer Aufweichung des aber ohnehin nicht mehr praxistauglichen Datenschutzrechts führen. Bestrebungen in diese Richtung dürften deshalb auf erheblichen Widerstand insbesondere der Datenschutzbehörden stoßen. Aus diesem Grund werden wir wohl weiterhin mit einem Datenschutzrecht leben müssen, das die Onlinewirklichkeit nicht ausreichend abbildet.