Internet-Law

Onlinerecht und Bürgerrechte 2.0

16.5.17

Wieder mal: IP-Adressen als personenbezogene Daten

Der BGH hatte (erneut) die Frage zu entscheiden, ob die vom Betreiber eines Webservers geloggten IP-Adressen der Nutzer der Website als personenbezogene Daten im datenschutzrechtlichen Sinne zu betrachten sind. Der BGH hatte die Frage zunächst an den EuGH vorgelegt und nach der Entscheidung des EuGH nunmehr in der Sache entschieden (Urteil vom 16. Mai 2017 – VI ZR 135/13).

In seiner heutigen Entscheidung bejaht der BGH den Personenbezug von IP-Adressen aus Sicht des Betreibers des Webservers. In der Pressemitteilung des Bundesgerichtshofs heißt es dazu:

Eine dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Internetseite, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, stellt für den Anbieter ein (geschütztes) personenbezogenes Datum dar.

Auch wenn bislang lediglich die Pressemitteilung vorliegt, darf man bezweifeln, dass der BGH die Rechtsprechung des EuGH damit korrekt umsetzt. Denn die Vorlagefrage zum Personenbezug von IP-Adressen hatte der EuGH folgendermaßen beantwortet:

Art. 2 Buchst. a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass eine dynamische Internetprotokoll-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Website, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, für den Anbieter ein personenbezogenes Datum im Sinne der genannten Bestimmung darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen.

Entscheidend ist also, ob der Betreiber des Onlinediensts/Webservers über rechtliche Mittel verfügt, die es ihm erlauben, mithilfe des Access-Providers die Nutzer zu identifizieren. Solche rechtlichen Mittel gibt es in Deutschland allerdings nicht allgemein, sondern nur in Ausnahmefällen aufgrund puntktueller gesetzlicher Regelungen wie z.B. § 101 Abs. 2 und Abs. 9 UrhG oder im Falle von strafbarem Verhalten über den Umweg als Betroffener Einsicht in die Ermittlungsakte der Staatsanwaltschaft nehmen zu können. Grundsätzlich verfügt der Betreiber eines Webservers also nicht über die rechtlichen Mittel, einen User anhand der IP-Adresse zu identifizieren.

posted by Stadler at 12:23  

8 Comments

  1. Damit müsste aber doch jetzt jeder Betreiber einer nicht strikt privaten Webseite technisch-organisatorische Maßnahmen und eine Vereinbarung zur Auftragsdatenverarbeitung (ADV) vorlegen, oder nicht? Dazu muss er ja den Benutzer nicht identifizieren können – es reicht, dass er personenbezogene Daten verarbeitet.

    Comment by Harald Milz — 16.05, 2017 @ 14:27

  2. Offensichtlich sieht es der BGH wohl doch so, dass in Deutschland jeder „Anbieter von Online-Mediendiensten“ die rechtlichen Mittel hat mit Hilfe des ISPs die Person hinter einer IP zu bestimmen.

    Ansonsten sollte man mal ein RFC schreiben, dass in das IP eine Vereinbarung zur Auftragsdatenverarbeitung einbaut.

    Comment by Heinz Handtuch — 16.05, 2017 @ 17:19

  3. „… als Betroffener Einsicht in die Ermittlungsakte der Staatsanwaltschaft nehmen zu können.“

    Früher, d.h. vor Bestehen eines eigenen Auskunftanspruchs nach dem UrhG war doch das allgemeine Vorgehen um an die Person, hinter der IP zu kommen
    1) Anzeige
    2) Akteneinsicht
    3) Verfahren aus 1) nicht weiter verfolgen
    Das ginge ja heute wohl auch noch. Ob die Anzeige wirklich begründet ist, ist da erst einmal gleichgültig, so dass das im Grundsatz immer geht.

    Comment by thorstenv — 17.05, 2017 @ 09:02

  4. Die Kritik an der Entscheidung des BGH greift viel zu Kurz. Allerdings hat auch auch der EuGH m.E. in der Sache kein überzeugendendes Urteil abgeliefert.
    Dass die „rechtlichen Mittel“ wie beschrieben die einzige Möglichkeit der Identifizierung seien, ist ja schon eine Binsenweisheit. Sobald ich mich irgendwo mit meiner E-Mail-Adresse, die einen Klarnamen enthält anmelde (man denke allein an alle Personen, die eine E-Mail-Adresse mit dem Schema „vorname.nachname@provider.de“ nutzen). Ist zumindest ein Name bekannt. Ob der mit viel oder wenig Aufwand zu ermitteln ist – darauf kommt es ja wohl nicht an.
    Will sagen: Neben die „rechtlichen Mittel“ treten auch noch eine große Masse anderer Daten, die ebenfalls Angefragt werden können, und mit denen zumindest eine Wiedererkennung von Nutzern möglich ist.

    Comment by Zypri — 17.05, 2017 @ 11:02

  5. @Zypri – das zu speichernde Datum hat die Form etwa wie „192.0.2.42“ und ist frei von memotechnischer Namensgebung. Es fällt an beim – anonym gewünschten – Surfen.

    Die Voraussetzung „rechtliche Mittel“ ist genau dann keine Binse, wenn die Entscheidung des BGH diese Vorbedingung nicht umfasst, wie die Presseerklärung befürchten lässt.

    Comment by Wolf-Dieter Busch — 17.05, 2017 @ 14:23

  6. Ich weiß gar nicht, ob die Rechtsprechung auf der Höhe der Zeit ist. Die IP lässt sich bereits jetzt bis auf die Hausnummer des Onliners zurückverfolgen. Persönlich, in der Tat! Der BGH trottelt mal so rum und kommt bei einer sowieso glasklaren Sache endlich mal wieder zu einem Urteil. Ein Lob für diese Rechtsfernen aus dem Weltraum im Richteramt.

    Es ist nicht die Frage, wer, was, wie feststellen kann, speichern darf oder nicht. Es wird gemacht, die Software zahlreicher Anbieter ist auf dem Markt. Worüber wurde entschieden? Wer wußte es nicht schon immer? Wie sieht die Praxis seit Jahrzehnten aus? Wen interessiert der BGH? Warum gibt es eigentlich Proxy, Tor und Rewebber? Weil die IP so anonym war und ist?

    Wann wird der BGH abgeschafft? Alte Säcke und Idioten mit Beamtenstatus kosten Steuergeld.

    Comment by Dengi Fieber — 27.05, 2017 @ 13:47

  7. Tipp an BGH: Wir befinden uns im Jahr 2001, Anruf bei meinem Provider, was ist mit der IP-Nummer? Antwort: „Das ist ihre private Nummer, mit der sie ins Netz gehen, sie ist geheim und wird niemals von unserem Unternehmen weitergegeben. Es ist eine ganz intime Nummer, die auch Sie bitte niemandem mitteilen.“

    Das waren noch schöne Zeiten!

    Comment by Dingi Fieber — 27.05, 2017 @ 14:19

  8. Vielleicht sollte darauf abgestellt werden, ob die faktische Identifitzierungsmöglichkeit ausreicht.

    Comment by Arne Rathjen RA — 1.06, 2017 @ 16:39

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.