Datenschutz im Internet: Aktuelle Diskussion zur Frage, ob IP-Adressen personenbezogene Daten im Sinne des BDSG sind

Eine neue Abmahnwelle verunsichert die Webseiten-Betreiber in Deutschland: Webmaster erhalten vermehrt E-Mails, in denen sie zur Zahlung eines Geld-Betrages aufgefordert werden. Daneben wird von ihnen verlangt, eine Unterlassungserklärung abzugeben. Begründung: die Webseiten-Betreiber hätten IP-Adressen der Besucher der eigenen Webpage in Logfiles gespeichert; dies sei unzulässig und begründe einen Haftungstatbestand. Der folgende Beitrag beleuchtet den aktuellen Stand der Diskussion, ob es sich bei IP-Adressen um personenbezogene Daten im Sinne des BDSG handelt.

Einführung: Was ist eine IP-Adresse?

Eine IP-Adresse ist eine Adresse in Computernetzen. Damit ein Computer im Internet agieren kann, muss er eindeutig identifizierbar sein. Deshalb wird eine individuelle IP-Adresse allen Geräten zugewiesen, welche an das Netz angebunden sind und macht so die einzelnen Computer erreichbar. Aufgrund der IP-Adresse können die einzelnen Router die Datenpakete an den richtigen Computer transportieren.

Nach dem Adresssystem IPv4 bestehen IP-Adressen aus 4 Zahlenblöcken. Diese Zahlenblöcke liegen zwischen 0 und 255 und werden durch einen Punkt getrennt (so zum Beispiel: 123.45.67.189). Insgesamt ergibt sich eine 32 stellige Binärzahl.

Da dieses Adresssystem nicht genug Adressen für alle Internetuser bietet, werden nach einen Zufallssystem die IP-Adressen teilweise für jede Nutzungseinheit des Internets neu vergeben (dynamische IP-Adressen). Teilweise haben User aber eine ihrem Rechner fest zugewiesene Adresse (statische IP-Adresse).

Da dynamische IP-Adressen vom Access-Provider bei jeder Einwahl in das Internet neu vergeben werden, tritt der Nutzer bei jeder „Session“ unter einer anderen Adresse auf. Hat der Nutzer eine statische IP-Adresse tritt er unter derselben Adresse bei jeder Nutzung auf.

Das System IPv4 wird über kurz oder lang durch das System IPv6 ersetzt werden. IPv6 eröffnet insgesamt eine 128-stellige Binärzahl zur Adressierung. Da es dadurch genug  IP-Adressen für alle Internetteilnehmer geben wird, wird das Bedürfnis die Adressen immer wieder dynamisch zu verteilen nicht mehr bestehen.

Nicht abschließend geklärt: sind IP-Adressen personenbezogene Daten?

Ob IP-Adressen personenbezogene Daten im Sinne von § 3 Abs. 1 Bundesdatenschutzgesetz („BDSG“) darstellen, wird von den Gesetzgebern und Behörden weltweit unterschiedlich beurteilt. In den meisten Ländern sind sowohl dynamische wie auch statische IP-Adressen inzwischen von den Datenschutzbehörden als personenbezogene Daten qualifiziert worden (so zum Beispiel in Österreich, Schweden, Deutschland u.a.). Teilweise entscheiden die Datenschutzbehörden auch nach der Frage, für welche Person letztlich die IP-Adresse ein personenbezogenes Datum darstellen kann. So ergeben sich teilweise unterschiedliche Auffassungen für den Access-Provider, den Service-Provider und dritte Personen.

Worum dreht sich die Diskussion?

Die Diskussion steht und fällt mit der Frage, wie das Merkmal „bestimmbar“ in § 3 Abs. 1 BDSG auszulegen ist (gemäß dieser Vorschrift sind personenbezogene Daten die „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“).

Ein Datum ist als „bestimmbar“ (und damit personenbezogen) zu qualifizieren, wenn nach der Lebenserfahrung oder wissenschaftlichen Prognose die nicht ganz unwahrscheinliche Möglichkeit besteht, den Betroffenen zu bestimmen. Damit wird der Begriff des Personenbezugs als relativer Begriff verstanden, der eine Wahrscheinlichkeitsüberlegung enthält.

Diese Begriffsbestimmung lässt sich auch auf die Diskussion zum Entwurf der europäischen Datenschutzrichtlinie zurückführen, so dass festgestellt werden muss, dass nach dem Willen des Gesetzgebers eine ausreichend hohe Wahrscheinlichkeit bereits genügt, um die Bestimmbarkeit einer Person anzunehmen. Rechnet man die hypothetische Möglichkeit die Zugangsdaten letztlich vom Accessprovider zu bekommen, zur Bestimmbarkeit, so ist die IP-Adresse als personenbezogenes Datum zu beurteilen.

Aber wer sitzt hinter dem Computer?

Das wesentliche Gegenargument ist, dass letztlich durch die IP-Adresse nur ein bestimmter Computer und nicht eine bestimmte Person individualisiert wird. Es kann nicht festgestellt werden, welche Person den Computer gerade bedient. Dies ist insbesondere relevant, wenn Familien oder Bürogemeinschaften nur einen Computer verwenden. Diesem Argument ist allerdings gleich wieder entgegenzuhalten, dass in den meisten Fällen (fast jeder hat einen eigenen Computer oder ein Smartphone, welches letztlich nur eine Person bedient) eine Individualisierung durchaus möglich ist.

Wohl herrschende Meinung: IP-Adressen sind personenbezogene Daten

Die (wohl inzwischen) herrschende Meinung, dass IP-Adressen personenbezogene Daten sind, wird sowohl vom Bundesjustizministerium wie auch vom Düsseldorfer Kreis (dem inoffiziellen Beratungsgremium der Datenschutz-Aufsichtsbehörden des nicht-öffentlichen Bereichs) geteilt (vgl. hierzu auch unseren Beitrag zum Thema Google Analytics).

Unterscheidung bei statischer und dynamischer IP-Adresse?

Entsprechend der Unterscheidung im aktuellen IP-Adressen-Adressierungssystem wird auch in der Rechtsdiskussion eine Unterscheidung geschaffen: teilweise wird angenommen, dass jedenfalls statische IP-Adressen immer als personenbezogene Daten zu begreifen sind, während eine abweichende Ansicht für die dynamische Adresse gelten soll, da letztlich nur der Access-Provider weiß, wem eine bestimmte IP-Adresse zu einem bestimmten Zeitpunkt zugeordnet ist.

Abweichende Ansicht: das AG München

So auch das AG München im Urteil vom 30.9.2008 (Az.: 133 C 5677/08): Nach diesem Urteil werden IP-dynamische Adressen nicht als personenbezogene Daten eingestuft, dementsprechend sei die Speicherung in sog. Logfiles zulässig. Da der Webmaster letztlich nicht ohne den Access-Provider den einzelnen Computer individualisieren kann und ein Auskunftsverlangen an den Access-Provider rechtswidrig wäre, wird eine Bestimmbarkeit ausgeschlossen.

Ist die Speicherung denn nun zulässig?

Wenn wir entgegen dem AG München und mit dem Bundesjustizministerium und den Aufsichtsbehörden nun annehmen, dass IP-Adressen personenbezogene Daten sind, so stellt sich dementsprechend die in den „Abmahnungen“ gerügte Frage, ob die Speicherung der IP-Adresse rechtlich zulässig ist.

Dabei ist zu beachten, dass sich durchaus aus dem Telemediengesetz wie aus dem BDSG im Einzelfall Erlaubnistatbestände ergeben können, welche die Speicherung von IP-Adressen in Logfiles und ähnlichem zulassen. Im Zweifel sollte der Webseiten-Betreiber hier Rechtsrat einholen, sollte er abgemahnt worden sein.

Fazit

Nach wohl inzwischen herrschender Meinung handelt es sich bei IP-Adressen um personenbezogene Daten. Werden Webseiten-Betreiber hier mit Abmahnungen konfrontiert, sie hätten in Logfiles und ähnlichem diese Daten gespeichert, empfiehlt sich die Einholung von Rechtsrat. Häufig ist eine derartige Speicherung zulässig. Davon getrennt zu betrachten ist die Frage nach der Zulässigkeit der gezielten Verarbeitung von IP-Adressen, beispielsweise durch Zugriffsanalyse-Tools wie Google Analytics (siehe hierzu unseren Artikel zur datenschutzkonformen Nutzung von Google Analytics).


Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Rechtsanwältin Alma Lena Fritz

Telefon: 089-1891 7360
E-Mail: email@iitr.de


Information bei neuen Datenschutz-Artikeln

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Artikel und aktuelle Entwicklungen im Datenschutzrecht.


 
Beitrag veröffentlicht am 24. Juni 2010.

8 Kommentare

  1. jens.ferner schrieb:

    Ich versuche, sämtliche Urteile und Argumente der Literatur hier zu sammeln:

    http://www.ip-adressen-recht.de/personenbezogen/

  2. Fake-Abmahnungen wegen angeblicher Speicherung von IP-Adressen im Umlauf – Internetrecht München – Rechtsanwalt Christos Paloubis schrieb:

    [...] häufiger auseinandergesetzt. Ausführlich befasst sich auch der Kollege RA Dr. Kraska in seinem Blog mit der [...]

  3. Urteil: Kein Anspruch auf sofortige Löschung von IP-Adressen | Das Datenschutz-Blog schrieb:

    [...] der “Personenbeziehbarkeit” durchaus in Frage (vgl. hierzu auch unsereArtikel “Aktuelle Diskussion zur Frage, ob IP-Adressen personenbezogene Daten im Sinne des BDSG sind” und “Google Analytics erfüllt zentrale Forderung der [...]

  4. OLG Frankfurt: kein Anspruch auf sofortige Löschung von IP-Adressen (Datenschutz) | BILDSCHIRMZEITUNG schrieb:

    [...] der “Personenbeziehbarkeit” durchaus in Frage (vgl. hierzu auch unsereArtikel “Aktuelle Diskussion zur Frage, ob IP-Adressen personenbezogene Daten im Sinne des BDSG sind” und “Google Analytics erfüllt zentrale Forderung der [...]

  5. Ist die IP-Adresse personenbezogen? (Update) | Das Datenschutz-Blog schrieb:

    [...] Aktuelle Diskussion zur Frage, ob IP-Adressen personenbezogene Daten im Sinne des BDSG sind [...]

  6. Bernd Hoyer schrieb:

    Sehr geehrte Damen und Herren,
    meiner Meinung nach wird in der Diskussion bzw in dem Artikel ein technischer Aspekt vergessen oder nicht berücksichtigt: Bei Firmen die PC in einem Netzwerk HINTER einer Firewall. Eine wichtige Aufgabe der FW ist es ja, die IP-Adr. der einzelnen PC zu verbergen, d. h. von aussen “sieht” man nur die IP der FW. Ich bin kein Jurist, deshalb die Vermutung, nur bei einem dringenden Verdacht darf der Admin die Logfiles, auf denen die tatsächliche IP des PC steht herausgeben oder? Die Diskussion wie sieht in dem sehr guten Artikel abgebildet wird, trifft doch nur für 1:1 Verbindungen, d. h. Provider-Nutzer zu, und wenn der ein Netzwerk mit FW d. h. eigenen internen dynamischen IP zuordnung hat???
    Der Blick alleine nur auf das BDSG gerichtet, ist nur die halbe Sicht. Wie heisst es liebe Juristen, in abgewandelter Form: Mit zwei Augen ( BDSG UND Technik) sieht man besser.

    MfG

  7. Datenschutz bei ortsbezogenen Diensten in iPhone Apps | antarctica.de/hauf.org schrieb:

    [...] auch die IP-Adresse – ist vermutlich personenbezogen – des Requests nicht in den Logfiles gespeichert wird, sollte diese maskiert oder [...]

  8. IP Adresse schrieb:

    [...] mal geht es auch um die Speicherung, habe mich jetzt nochmal belesen und diesen Artikel gefunden Datenschutz: sind IP-Adressen personenbezogene Daten? | Das Datenschutz-Blog da steht drinnen es ist erlaubt unter bestimmten vorraussetzungen. Es gab doch aber mal ne Klage [...]

Einen Kommentar verfassen

Bitte beachten Sie: Kommentare auf dieser Seite werden moderiert, das heisst immer erst von einem Admin gelesen und dann ggfs. freigeschaltet. Dadurch wird es etwas dauern bis der Kommentar erscheint, beachten Sie bitte auch die Hinweise im Bereich "About".