IP-Adresse speichern

Unsicherheit macht sich immer wieder breit, wenn es um die Speicherung von IP-Adressen geht. Richtig ist jedenfalls, dass man mit Hilfe der IP-Adresse eine Person identifizieren kann.Lesen Sie, was das LG Berlin gegen die Bundesrepublik in Sachen Ip-Adresse und personenbezogenes Datum entschieden hat.

Das Identifizieren einer IP-Adresse bzw. die Zuordnung zu einer Person ist kompliziert. Man benötigt eine Auskunft des Internetproviders. Bei der dynamischen IP-Adresse handelt es sich um eine Nummernfolge, die dem Internetnutzer ­ sobald er eine Internetverbindung herstellt – für die Dauer des jeweiligen Nutzungsvorgangs von seinem Zugangsanbieter (Access-Provider) zugewiesen wird. Meldet er sich vom Internet wieder ab bzw. unterbricht der Router die Internetverbindung (geschieht meist alle 24h automatisch), erhält der Nutzer bei einem neuen Zugang eine neue IP-Adresse.

Wer die Adresse der Besucher seiner Internetseiten erfasst, der kann also z.B. bei einer Straftat versuchen, den mutmaßlichen Täter zu identifizieren. Teilt man die Erfassung der Adresse mit, so hat dies eine gewisse Abschreckungswirkung. Abwehrmaßnahmen können sich im Falle eines Angriffs direkt gegen den Angreifer richten.

IP-Adresse als personenbezogenes Datum

Da man die Hilfe des Access-Providers benötigt, sehen manche Stimmen in der IP-Adresse kein personenbezogenes Datum, da die Person eben nicht ohne weiteres bestimmbar sei (relatives Verständnis). Den Vertretern der härteren Linie reicht es aus, dass irgendjemand existiert, der die Adresse auflösen kann (absolutes Verständnis).

LG Berlin gegen den deutschen Staat

Das LG Berlin (Urt. v. 31.1.2013, Az. 57 S 87/08) hatte es in 2. Instanz mit einer Klage gegen die Bundesrepublik Deutschland zu tun. Ein Betroffener verlangte, dass bei seinen Besuchen auf offiziellen Webseiten die IP-Adresse nicht mehr über den Zeitpunkt des Besuchs hinaus gespeichert werden sollte. Das Urteil lässt sich übertragen, denn der Staat wurde hier im sogenannten Gleichordnungsverhältnis angegangen (nicht wegen hoheitlicher Maßnahmen).

Das Gericht setzte auf das relative Verständnis. Das absolute Verständnis führe zu einer uferlosen und damit unpraktikablen Ausdehnung des Datenschutzes, die vom Gesetzgeber so nicht gewollt sei.

Personenbezogen ist nach dem Urteil ein Datum dann, wenn die Bestimmung der Person technisch und rechtlich möglich ist und zudem nicht einen Aufwand erfordert, der außer Verhältnis zum Nutzen der Information für die verarbeitende Stelle steht. Das wird im Rahmen einer Abwägung festgestellt. Man schaut sich also an, wer da mit welchen Möglichkeiten ausgestattet die Daten erhebt.

Wenn der Webseitenbesucher seine Daten verrät

In Fällen, in denen der Nutzer seinen Klarnamen, z. B. auch durch eine entsprechende E-Mail­ Adresse, offen legt, etwa um während einer Kommunikationssitzung eine Broschüre zu bestellen oder in einem Shop einzukaufen, ist nach den genannten Parametern ein Personenbezug der dynamischen IP-Adresse zu bejahen, da das Kriterium der Bestimmbarkeit erfüllt ist. Die Richter zur Verknüpfung:

„Zwar besteht die IP-Adresse selbst nur aus Ziffern; jedoch kann die Beklagte durch Abgleich der IP-Adresse in Verbindung mit dem Zeitpunkt des jeweiligen Zugriffs und mit dem Zeitpunkt der unter dem Klarnamen erfolgten Kontaktaufnahme, den Klarnamen des Nutzers mit der jeweiligen IP-Adresse verknüpfen. Die Beklagte kann jedenfalls in dem Augenblick der Eingabe/Sendung die im Web-Server gespeicherte IP-Adresse dem Nutzer selbst und ohne Einbeziehung des Zugangsanbieters zuordnen und ist sodann vielfach in der Lage, das Surfverhalten des Nutzers während dessen Besuch auf ihrem Portal unter der bekannten IP-Adresse nachzuvollziehen.“

Eine Einwilligung durch Eingabe der E-Mail-Adresse oder ähnliches sahen die Richter nicht.

Gemäß § 15 Abs. 4 TMG dürfen personenbezogene Daten (Nutzungsdaten) über das Ende des Nutzungsvorganges hinaus nur verwendet werden, soweit sie für Zwecke der Abrechnung mit dem Nutzer erforderlich sind. Weiter Anhaltspunkte für eine Speicherung sah das Gericht nicht.

IP-Adressen und Speicherung des Besuchszeitpunkts

In dem Urteil wurde noch hervorgehoben, dass die Speicherung von IP-Adressen ohne Benutzungszeitpunkt noch in Ordnung ist (kein personenbezogenes Datum), denn ohne den Zeitpunkt des Zugriffes kann ein Bezug zwischen den persönlichen Angaben des Besuchers und der jeweiligen IP-Adresse auch unter Ausschöpfung aller technischen Möglichkeiten nicht hergestellt werden.

IP-Adressen ohne ergänzende Infos

Das Gericht hielt fest, dass es kein Recht des Betroffenen auf anonymes surfen gebe. Da nur der Access-Provider der IP-Adresse einen bestimmten Anschlussinhaber zuordnen könne, sei die Erhebung der Adresse mit Zeitangaben noch so lange in Ordnung (kein personenbezogenes Datum), bis eben der Betroffene Eingaben zu seiner Person mache (E-Mailadresse, Adressdaten etc.).

Fazit

Das Gericht hat ein abgewogenes Urteil gefällt. Nicht jede Erhebung einer IP-Adresse stellt gleich einen Datenschutzverstoß dar. Erst wenn der Webseitenbetreiber weitere Informationen erhält, die z.B. der Besucher selbst angibt, muss die IP-Adresse zumindest unbrauchbar gemacht werden. Dies kann durch Kürzung geschehen. Shop- und Webseitenprogrammierer sind gefragt, solche auf die Eingabe von Daten reagierende Lösungen zu schaffen. Das Urteil bedeutet natürlich noch nicht die Ende der Diskussion, aber eine gute Basis für die Praxis.