Sind IP Adressen personenbezogene Daten?

Die Frage, ob IP-Adressen personenbezogene Daten sind, wurde in der deutschen Rechtsprechung bisher kontrovers beurteilt. Die Beantwortung dieser Frage ist allerdings für die Beurteilung der Zulässigkeit der Speicherung von IP-Adressen (beim Internet-Provider, Webseitenbetreiber) und der Anwendbarkeit von Datenschutz von Bedeutung. Bei der Nutzung von Internetportalen werden Nutzerdaten (Zeit, Ort, IP-Adresse, Web-Seite) erhoben und gespeichert, die Aufschluss über das Nutzerverhalten geben können.

Im vom BGH erhobenen Vorabentscheidungsverfahren, zur Klage des Patrick Breyer gegen die Bundesregierung, hatte der Generalanwalt des Europäischen Gerichtshofs (EuGH) nun auch zu dieser Frage Stellung zu bezogen (Rs. C-582/14).

Zum Sachverhalt

Patrick Breyer, Richter und Landtagsabgeordneter der Piraten Partei Schleswig-Holstein will gegen die systematische Vorratsspeicherung von IP-Adressen vorgehen; es kann verfolgt werden, wer wann was im Internet liest, schreibt oder sucht. Die Internetnutzer haben ein Recht auf Anonymität und auf nicht verfolgbare Internetnutzung, so Breyer. Auch sei eine Speicherung personenbezogener Daten für die Funktionsfähigkeit von Telemedien weder erforderlich noch angemessen.

Die Bundesregierung hält die Speicherung der IP-Adressen für zulässig, da sie keine personenbezogenen Daten darstellen.

IP-Adresse

Was ist eine IP-Adresse? Die IP-Adresse (Internetprotokoll-Adresse) ist eine Ziffernfolge aus binären Zahlen, die einem Gerät (Tablet, Computer, Smartphone) zugewiesen wird, dieses eindeutig identifiziert und ihm den Zugang zum elektronischen Kommunikationsnetz ermöglicht. Ähnlich einer Postanschrift wird die IP-Adresse verwendet, um Daten von einem Absender zum Empfänger zu transportieren. IP-Adressen sind nicht an einen bestimmten Ort gebunden und einem Computer können mehrere IP-Adressen zugeordnet sein. Die Internetzugangs- bzw. Internetdiensteanbieter (= Internet Service Provider = ISP, z.B. Telekom) vergeben dem Anschlussinhaber je nach Vertragsbedingungen statische oder dynamische IP-Adressen.

Statische IP-Adressen bleiben bei jeder Internetverbindung stets die gleiche, wohingegen dynamische IP-Adressen variieren.

Personenbezug von IP-Adressen

Personenbezogene Daten sind nach § 3 I BDSG alle Informationen über eine bestimmte oder bestimmbare natürliche Person (betroffene Person). Als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann. Dabei kommt es auf die Kenntnisse, Mittel und Möglichkeiten der verantwortlichen Stelle an, die den Bezug ohne erheblichen Aufwand mit den ihr zur Verfügung stehenden Hilfsmitteln durchführen kann (Gola/Schomerus/Gola/Klug/Körffer, BDSG § 3 Rn. 10).

Zum Personenbezug von IP-Adressen gibt es verschiedene Ansätze. Zum einen gibt es die Vertreter der objektiven Theorie, die bereits die theoretische Möglichkeit einen Personenbezug herzustellen, genügen lassen. Dabei muss nicht notwendig der Webseitenbetreiber selbst den Bezug herstellen können, es genüge wenn die Identifizierung von einem Dritten (z.B. dem Provider) bereits möglich ist. Zum anderen gibt es die relative Theorie, der nur auf die Verhältnisse der verarbeitenden Stelle (Webseitenbetreiber) abstellt, auf Kenntnisse von Dritten (wie dem Provider) kommt es nicht an. Demnach ist der Nutzer nicht bestimmbar und es besteht kein Personenbezug.

Hinsichtlich der „festen“ bzw. „statischen“ IP-Adressen, die unveränderlich sind und die dauerhafte Identifizierung des mit dem Netz verbundenen Geräts ermöglichen, besteht unstreitig ein Personenbezug.

Die Frage bezieht sich daher lediglich auf „dynamische“ IP-Adressen. Ein Personenbezug ist anhand der IP-Adresse in diesem Fall lediglich mit Zusatzwissen herstellbar, den der Provider i.d.R. hat.

Vorschlag des Generalanwalts

Nach dem Erwägungsgrund (26) i.V.m. Art. 2 a) der DS-RL gelten die Schutzprinzipien für alle Informationen über eine u.a. bestimmbare Person. Bei der Entscheidung hinsichtlich der Bestimmbarkeit, sollten alle Mittel berücksichtigt werden, die u.a. auch vernünftigerweise von einem Dritten eingesetzt werden könnten. Damit können laut Generalanwalt nur bestimmte mit Zusatzwissen ausgestattete Dritte, hier der Provider, gemeint sein, an die sich der Telemedienbetreiber (Online-Anbieter) wenden könne, um dieses Wissen zur Identifizierung zu nutzen.

Nach dessen Auffassung stellt demzufolge eine dynamische IP-Adresse für einen Telemedienanbieter dann ein personenbezogenes Datum dar, wenn der Internetzugangsanbieter (meist Telefongesellschaften) mit Hilfe zusätzlicher, bei ihm vorhandener Informationen den Nutzer identifizieren kann. Hierbei kommt es nicht darauf an, ob der Telemedienanbieter auf dieses Zusatzwissen zugreife, sondern lediglich zugreifen könne (MMR-Aktuell 2016, 379066). Nicht jeder beliebige Dritte ist folglich gemeint.

Folge

Daraus folgt für die Fallentscheidung, nach Meinung des Generalanwalts, jedoch nicht, dass die Speicherung der IP-Adresse generell unzulässig ist. Sie kann neben der Strafverfolgung mit dem Zweck die Funktionsfähigkeit des Telemediums zu gewährleisten, gerechtfertigt sein. Als Rechtsgrundlage dient hier Art. 7 f) DS-RL, wonach die Verarbeitung von Nutzerdaten dann erforderlich ist, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person, die gem. Art. 1 I DS-RL geschützt sind, überwiegen (MMR-Aktuell 2016, 379066).

Landgericht Berlin

Dasselbe Anliegen wurde bereits 2013 vor dem LG Berlin (Az.: 57 S 87/08) abgelehnt. Diese folgt der relativen Theorie und sieht in der Erhebung und Speicherung dynamischer IP-Adressen noch keinen datenschutzrechtlich relevanten Akt und lehnt den Personenbezug der dynamischen IP-Adresse ab. Erst, wenn der speichernden Stelle selbst Zusatzinformationen vorliegen, die die Identifizierung hinter der IP-Adresse betroffenen Person ermöglichen, handelt es sich um ein personenbezogenes Datum und infolgedessen ist Datenschutzrecht anwendbar. Nach Meinung des LG kommt es nicht auf die Möglichkeit an, sich die notwendige Information von einem Dritten beschaffen zu können. Sollten also beim Webseitenbetreiber selbst Kontaktdaten (E-Mail, Adresse, Name) hinterlassen werden, so ist dann ein Personenbezug zu bejahen und folglich die Speicherung der IP-Adresse unzulässig. Allein das Aufsuchen der Webseite, stellt noch keinen Personenbezug für den Webseitenbetreiber dar. Die betroffene Person bleibt für diesen anonym. Der Speicherung steht dann kein Grund entgegen und ist zulässig.

Ergebnis

Zwei unterschiedliche Meinungen stehen sich folglich gegenüber.

Laut Generalanwalt des EuGH: Da die Möglichkeit zumindest einer indirekten Identifizierung der betroffenen Person durch dynamische IP-Adressen gegeben ist, sind IP-Adressen personenbezogene Daten. Die Zulässigkeit der Speicherung von IP-Adressen ist im Rahmen einer Interessenabwägung zu entscheiden. (Dazu mehr BeckRS 2016, 81027).

Laut LG Berlin: Da sonst die Möglichkeit der Verfolgung von Straftaten grundsätzlich nicht gegeben wäre, muss sofern die Anonymität gewahrt bleibt, die Speicherung von IP-Adressen zulässig sein.

Die Entscheidung des EuGH bleibt abzuwarten.

 

Haben Sie Fragen? Kontaktieren Sie gerne: RA Nicole Schmidt, LL.M.
Leistung: Rechtsberatung Datenschutz

Tags: , , , , , , , , , , , , ,

Comments are closed.