Seite 3: Virtuelle Hausnummern

Inhaltsverzeichnis

Virtuelle Hausnummern

Das angesprochene Berliner Urteil aus dem Jahr 2007 stützte sich auf eine absolute Beziehbarkeit: IP-Adressen könnten irgendwie immer Personen zugeordnet werden, seien deshalb besonders geschützt. In dem Fall, den es zu entscheiden galt, wurden sie in Logfiles gespeichert – das sei eben rechtswidrig. Basta. Während Datenschützer ob dieser Einschätzung jubelten und viele Website-Betreiber angesichts der sich daraus ergebenden Folgen verunsichert bis genervt reagierten, waren etliche Juristen vor allem überrascht. Auch wenn die Frage nach absolutem oder relativem Bezug kontrovers diskutiert wird, hält wohl die Mehrheit der Rechtsexperten den relativen Bezug für richtig – da alles andere uferlos erscheint. Tatsächlich hat das AG München Ende September 2008 in der strittigen Frage genau entgegengesetzt geurteilt wie der rigorose Richter aus Berlin-Mitte [4]. IP-Adressen seien keine personenbezogenen Daten im Sinne von § 3 BDSG. Der Beklagte in dem Rechtsstreit, den es in München zu entscheiden galt, war Betreiber eines Webportals. Beim Aufruf seiner Website wurden die IP-Adressen der Besucher in den Log-Dateien des Webservers gespeichert. Der Kläger erfuhr davon und verlangte Unterlassung, da es sich bei den IP-Adressen um personenbezogene Daten handle, deren Speicherung ohne Einwilligung der Betroffenen rechtswidrig sei. Das Amtsgericht sah dies jedoch anders. Die Münchner stellten auf die relative Betrachtungsweise ab. Der Website-Betreiber könne zunächst nicht die hinter einer Adresse stehende Person identifizieren. Dies könne nur der Zugangs-Provider tun – und der muss die betreffenden Personendaten auf Verlangen von Strafverfolgern herausrücken. Seit neuestem muss er zudem nach zivilrichterlichem Segen Inhabern von Urheberrechten gegebenenfalls Auskunft darüber erteilen, wer hinter einer ermittelten IP-Adresse steht. Ansonsten ist es dem Provider aber ausdrücklich verboten, beliebigen Dritten die Identität der hinter einer IP-Adresse stehenden Person zu nennen. Gerade deshalb seien diese Adressen für Webseiten-Betreiber keine personenbezogenen Daten, so das Münchner Gericht. Deshalb sei auch ihre Speicherung in Logfiles nicht rechtswidrig.

Pyrrhussieg

Nun seufzten wiederum Datenschützer und Website-Betreiber jubelten. Zwar ist mit zwei einander entgegenstehenden Amtsgerichtsentscheidungen nicht viel Rechtsklarheit gewonnen. Aber auf den ersten Blick steht es nun jedem frei, sich auf die jeweils favorisierte Entscheidung zu berufen. Tatsächlich ist die Lage für Website-Betreiber eher noch komplizierter geworden als zuvor. Die Münchner Entscheidung ist nämlich alles andere als ein Freifahrschein zur Speicherung von IP-Adressen. Der relative Bezug erlaubt keinesfalls jede Speicherung, sondern differenziert nach den Fähigkeiten und Möglichkeiten desjenigen, der die Daten erhebt und damit umgeht. Der Betreiber einer kleinen Hobby-Homepage dürfte tatsächlich nicht in der Lage sein, Besucheradressen konkreten Personen zuordnen zu können. Anders sieht die Sache aber aus, wenn eine Website das Anlegen von Accounts anbietet und für den Zugang Identitätsangaben verlangt. Dann kann man Surfer eben doch identifizieren. Und wenn es um personalisierte Werbung geht, will man möglicherweise genau das auch tun. Das Münchner Urteil steht also für eine mitunter sehr komplizierte Entscheidung im Einzelfall unter Abwägung aller technischen Möglichkeiten. Sollten die IP-Adressen in den Händen des Website-Betreibers als personenbezogene Daten gelten, ist ihre Speicherung nur unter Ausnahmebedingungen erlaubt. Das Einverständnis des Surfers zur Speicherung ist dabei wohl die theoretisch wichtigste Erlaubnisregel. Ein solches Einverständnis darf man aber keinesfalls einfach automatisch bei jedem annehmen, der eine solche Seite mit einem entsprechenden Disclaimer besucht. Selbst wer das Einverständnis von Besuchern juristisch wasserdicht einholt, könnte schlussendlich noch Schwierigkeiten haben, technisch zwischen "einverstandenen" und "nicht einverstandenen" Nutzern zu differenzieren.

Zweifelhaftes Schlupfloch

Noch komplizierter wird das Ganze dadurch, dass es einen weiteren sogenannten Erlaubnistatbestand gibt. Der könnte auf den ersten Blick ein prächtiges Schlupfloch für Datensammler hergeben: Nach § 28 BDSG darf jedermann unter ganz eng umrissenen Bedingungen personenbezogene Daten erheben, speichern oder sonst nutzen. Die Hürden, die das Gesetz hierfür vorsieht, sind aber hoch. Sofern es um IP-Adressen geht, kommt der Fall in Betracht, dass "berechtigte Interessen der verantwortlichen Stelle" vorliegen. Schon wird deutlich, dass auch dies wieder eine Frage der Einschätzung ist, die eben im Streitfall ein Gericht trifft. Die Mehrheit der Juristen geht davon aus, dass allgemeine Belange wie etwa das Bemühen um die Serversicherheit nicht ausreichen, um ein berechtigtes Interesse an der Erhebung personenbezogener Daten zu begründen. Es bleibt also schwierig. Website-Betreiber, die ganz sichergehen wollen, tun gut daran, nach Möglichkeit auf das Erheben und Speichern von IP-Daten zu verzichten. Missgünstige Mitmenschen verfallen vielleicht ansonsten irgendwann auf die Idee, sie bei der Obrigkeit anzuschwärzen, die dann ein Bußgeld verhängen könnte. Kommerzielle Anbieter machen möglicherweise Bekanntschaft mit abmahnfreudigen Anwälten. Andererseits sollte man nicht vergessen, dass es außer den beschriebenen, einander widersprechenden Urteilen bislang keine Rechtsprechung zu dieser datenschutzrechtlichen Frage gibt. Das wiederum zeigt, wie klein in der Praxis das rechtliche Risiko beim Speichern von IP-Daten bis heute ist. Hinzu kommt noch: Während Unternehmen bei datenschutzrechtlichem Ärger immer negative Schlagzeilen und Vertrauensverlust fürchten müssen, können rein private Homepage-Kapitäne die Angelegenheit insgesamt entspannter betrachten. (psz)

Der Autor berät als Rechtsanwalt in einer internationalen Wirtschaftskanzlei (marc.stoering@osborneclarke.com).