IP-Adressen als personenbezogenes Datum?
Schon seit Jahren steht die Frage im Raum, ob IP-Adressen stets ein personenbezogenes Datum darstellen oder nicht. Dieser juristische Meinungsstreit könnte bald endgültig geklärt sein. Der BGH wird in einer auf den 28. Oktober 2014 festgelegten Verhandlung (Az. VI ZR 135/13) darüber zu entscheiden haben, ob und wenn ja unter welchen Voraussetzungen dynamische IP-Adressen personenbezogene Daten darstellen und deshalb über den Zeitpunkt des Nutzungsvorgangs hinaus nicht erhoben und gespeichert werden dürfen.
Ursprünglich handelte es sich um ein Verfahren vor dem Amtsgericht Tiergarten aus dem Jahr 2008. In dem Streitfall ging es um die Tatsache, dass die Bundesrepublik Deutschland als Betreiberin mehrerer öffentlich zugänglicher Internetportale, die unter anderem aktuelle Informationen von Bundesbehörden und Bundesorganen enthielten, die Seitenzugriffe der Nutzer in Protokolldateien speicherte. Es wurden hierbei Daten gespeichert, die der Bundesrepublik Deutschland als Betreiberin dieser Seiten unter anderem die IP-Adresse sowie Datum und Uhrzeit des Abrufs der Seite verrieten. Der Kläger, eine Privatperson, die die betreffenden Seiten genutzt hatte, sah hierin einen Verstoß gegen das Telemediengesetz (TMG) sowie eine Verletzung seines Grundrechts auf informationelle Selbstbestimmung aus Art. 2 Abs. 1, 1 GG. Er stützte sich insbesondere darauf, dass die Speicherung über den Zeitpunkt der Nutzung hinaus stattfinde. Eine solche Datenerhebung sei nach §§ 12 Abs. 1, 15 Abs. 4 TMG aber nur zu Abrechnungszwecken erlaubt. Die Datenspeicherung der Beklagten diene nicht diesem Zweck, weshalb es sich um eine unzulässige Datenspeicherung handele. Das klägerische Begehren richtete sich daher auf die Unterlassung der Speicherung der dem Kläger zugewiesenen dynamischen (d.h. bei jeder neuen Verbindung mit dem Netz wechselnden) IP-Adressen über das Ende des jeweiligen Nutzungsvorgangs hinaus. Die Beklagte hingegen versuchte die von ihr getätigte Datenerhebung damit zu rechtfertigen, dass diese der Abwehr von Angriffen über das Internet diene. Sie bilde die Grundlage für die strafrechtliche Verfolgbarkeit solcher Angriffe. Die durch die Datenerhebung gewährleistete Strafverfolgbarkeit begründe zudem eine abschreckende Wirkung auf die Nutzer, sodass solchen Angriffen dadurch vorgebeugt werden könne.
Das erstinstanzliche Urteil des Amtsgerichts Tiergarten vom 13. August 2008 (Az. 2 C 6/08) wies die Klage als unbegründet vollumfänglich ab. Auf die Berufung des Klägers hin hat das Landgericht Berlin mit seinem Urteil vom 31.Januar 2014 für die Beantwortung der Frage nach der Personenbezogenheit von IP-Adressen und der damit zusammenhängenden Frage nach der Zulässigkeit der Datenerhebung jedoch neue Akzente gesetzt. Anders als das erstinstanzliche Urteil befand das Landgericht die Klage als teilweise begründet und gab ihr insoweit statt, als die Beklagte es zu unterlassen habe, die IP-Adresse des Klägers im Zusammenhang mit dem jeweiligen Nutzungszeitpunkt über das Ende des Nutzungsvorgangs hinaus zu speichern, wenn der Kläger während des Nutzungsvorgangs seine Personalien angegeben hat und soweit die Speicherung nicht im Störungsfall zur Wiederherstellung der Verfügbarkeit des Telemediums erforderlich ist. Für die Angabe der Personalien genüge auch die Angabe einer E-Mail-Anschrift, die die Personalien des Klägers ausweist.
Konkret bedeutet die Entscheidung des LG, dass dynamische IP-Adressen normalerweise nicht personenbezogene Daten sind und daher grundsätzlich gespeichert werden dürfen. Ausnahmsweise kann jedoch ein Personenbezug der IP-Adresse vorliegen, wenn Sie durch weitere Datenerhebungen flankiert wird, die zur Identifizierbarkeit des Nutzers führen. Hierfür reicht auch die Angabe einer personalisierten E-Mail-Adresse. Insgesamt richtete das LG seine Entscheidung damit am Grundsatz des relativen Personenbezugs. Demnach kommt es für den Personenbezug einer IP-Adresse darauf an, ob die verarbeitende Stelle die Möglichkeit hat, die Adresse einer Person tatsächlich zuzuordnen. Das sei, wie im Streitfall, bei einem Webseitenbetreiber ohne weiteres Zusatzwissen, d.h. ohne Angaben von Personalien etc., nicht der Fall. Anders liege es bei einem Internetprovider. Da dieser über das entsprechende Zusatzwissen verfügt, da er dem Kunden die Adresse schließlich zugeordnet hat, handele es sich hier immer um personenbezogene Daten. Das gilt auch hinsichtlich des Nutzerverhaltens von Bestandskunden. Hier besitzt der Provider in der Regel bereits persönliche Daten in Form von Bestands- und Vertragsdaten, sodass es sich hier bei der dynamischen IP-Adresse immer um ein personenbezogenes Datum handelt.
Den Einwand der Beklagten, der Nutzer willige mit der Angabe seiner Daten in deren Speicherung ein, wies das Gericht zurück. Die Einwilligung des Nutzers, Daten preiszugeben, beziehe sich allein auf den mit dem jeweiligen Formular verbundenen Zweck, nicht aber auf die Erhebung und Speicherung der IP-Adresse.
Zwar hat das LG Berlin der bedeutsamen Frage nach der Eigenart von dynamischen IP-Adressen in Bezug auf deren Personenbezogenheit einen eindeutigen Weg eingeschlagen. Es lässt jedoch die rechtliche Behandlung statischer IP-Adressen vollkommen außer Acht, weshalb das Urteil sich letztlich als für die Praxis von geringer Relevanz zeigen könnte. Denn die Betreiber von Websites sind regelmäßig nicht in der Lage, die Zugriffe auf ihre Seiten als von einer dynamischen oder statischen IP-Adresse ausgehend zu differenzieren.
Die Entscheidung des LG Berlin ist noch nicht rechtskräftig. Sie liegt zurzeit dem BGH vor, der diese im Rahmen der Revision der Parteien auf ihre Richtigkeit zu prüfen haben wird. Der BGH ließ jedoch bereits durchblicken, dass einige der betreffenden Rechtsfragen möglicherweise erst dem EuGH vorzulegen seien.