Schlagwort-Archiv: IP-Adresse

Anonymität im Internet vs. Auskunftsansprüche (zugleich Urteilsbesprechung: LG München I, Urt. v. 3.7.2013 – 25 O 23782/12)

In den nachstehend skizzierten Gesamtkontext fügt sich nunmehr ein weiteres Urteil zu einer anderen Facette des Themas Anonymität im Internet ein. Dieses ist jedoch auf einer anderen Ebene angesiedelt als jene Urteile, die in den vergangenen drei Jahren für Furore sorgten. Entsprechend der im Datenschutzrecht üblichen Dreiteilung von zugrunde liegender Transportleistung (TKG), angebotenem Informations- und Kommunikationsdienst (TMG) und konkreten Inhalten (BDSG) bewegten sich jene Streitigkeiten auf Ebene der Transportleistung. Das nachstehend dargestellte Urteil des Landgericht München I in Bezug auf ein Bewertungsportal für Ärzte betrifft die Diensteebene (TMG), ebenso wie das vor einigen Jahren ergangene und damals in der Presse ebenfalls viel beachtete Urteil des BGH in Sachen Spickmich (Bewertungsportal für Lehrer).

Weiterlesen

OLG Frankfurt: Kein Anspruch gegen TK-Anbieter auf sofortige Löschung der IP-Adresse

Das OLG Frankfurt hatte sich in seinem Urteil vom 28.08.2013 (Az. 13 U 105/07 – Volltext) mit der Frage zu befassen, ob ein Internetprovider die IP-Adressen seiner Nutzer ohne Anlass für den Zeitraum von sieben Tagen speichern darf.

Inhalt der Entscheidung

Durch die Einwahl in das Internet wird dem Nutzer für die Dauer der jeweiligen Verbindung eine meist dynamische (d.h. bei jeder neuen Verbindung wechselnde) IP-Adresse zugewiesen. Der Kläger verlangt die sofortige Löschung der IP-Adresse nach dem Ende einer jeden Internetverbindung. Dagegen wendete die Beklagte zunächst ein, dass die IP-Adresse zu Zwecken einer ordnungsgemäßen Abrechnung erforderlich sei.

Der Dienstanbieter konnte allerdings nicht den Beweis antreten, dass die IP-Adressen zum Zweck der Entgeltermittlung und Abrechnung gespeichert werden müssen, sodass der BGH (Urteil v. 13.01.2011 – III ZR 146/10 – Volltext) dieser Argumentation nicht gefolgt ist. Die Beweislast treffe die Beklagte, da sie sich auf einen Erlaubnistatbestand berufe, der eine Ausnahme von ihrer grundsätzlichen – sofortigen – Löschunspflicht des § 96 Abs. 1 S. 3 TKG darstelle.

Gleichwohl könne eine Rechtfertigung auf § 100 Abs. 1 TKG gestützt werden, wonach der Dienstanbieter zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern an Telekommunikationsanlagen die Bestandsdaten und Verkehrsdaten der Teilnehmer und Nutzer erheben und verwenden darf, soweit dies erforderlich ist. Dabei komme es nicht darauf an, dass bereits eine solche Störung oder ein Fehler vorliege, sondern die Datenverwendung geeignet, erforderlich und angemessen ist, um abstrakten Gefahren entgegenzuwirken.

Weiterlesen

LG Berlin: Dynamische IP-Adressen sind nicht per se personenbezogene Daten

Landgericht Berlin, Urteil vom 31.01.2013 – 57 S 87/08

Leitsätze des Verfassers

1. Für die Auslegung des Wortes “bestimmbar” in § 3 Abs. 1 BDSG ist der subjektive Ansatz zugrundezulegen. Daher ist die dem Computer einer natürlichen Person dynamisch zugeteilte IP-Adresse für alle anderen an der IP-basierten Kommunikation Beteiligten (mit Ausnahme des die Adresse zuteilenden Internetzugangsdiensteanbieters (i.d.R. Betreiber des Tier-3 Telekommunikationsnetzes, z.B. NetCologne, Deutsche Telekom, etc.)), also insbesondere für die Betreiber von Internetseiten, für sich genommen ohne Weiteres kein personenbezogenes Datum i.S.v. § 3 Abs. 1 BDSG. Dies gilt auch, wenn der Betreiber der Internetseite die IP-Adresse eines auf die Seite zugreifenden Computers gemeinsam mit dem Zugriffszeitpunkt speichert.

2. Das zuvor nicht-personenbezogene Datum IP-Adresse wird aber zu einem personenbezogenen Datum i.S.v. § 3 Abs. 1 BDSG, sobald und solange die für die Speicherung verantwortliche Stelle – also i.d.R. der Betreiber der Internetseite – über Zusatzinformationen, bzw. Kontextwissen verfügt, welches die Zuordnung der IP-Adresse zu einer bestimmten natürlichen Person zulässt. Derartiges Kontextwissen liegt insbesondere dann vor, wenn der auf die Internetseite zugreifende Nutzer im Rahmen der Benutzung der Internetseite seinen Namen (auch als Teil seiner E-Mail-Adresse) angibt. Dabei kommt es nicht auf die korrekte Identifikation der Person an, die tatsächlich die IP-Adresse zur Kommunikation verwendet hat, sondern nur darauf, dass die IP-Adresse (irgend-)einer bestimmten natürlichen Person zugeordnet werden kann.

3. Dagegen reicht es für den Bezug einer (dynamischen) IP-Adresse zu einer “bestimmbaren” natürlichen Person i.S.v. § 3 Abs. 1 BDSG nicht per se aus, dass die verantwortliche Stelle (hier: der Betreiber der Internetseite) die theoretische Möglichkeit hat, durch ein Auskunftsverfahren i.S.v. § 101 UrhG gegen den die dynamische Zuordnung vornehmenden Internetzugangsdiensteanbieter oder vermittelt durch eine Akteneinsicht im Rahmen eines Strafverfahrens Kenntnis von der Identität der auf die Internetseite zugreifenden Person erlangen zu können. Für die Frage, ob eine natürliche Person in diesem Sinne “bestimmbar” ist, ist nur auf das Kontextwissen abzustellen, welches bei der verantwortlichen Stelle tatsächlich vorhanden ist, sowie ergänzend auf diejenigen Zusatzinformationen, die von der verantwortlichen Stelle mit einem Aufwand beschafft werden können, bei dem es nach der allgemeinen Lebenserfahrung zu erwarten steht, dass die verantwortliche Stelle diesen zur Aufdeckung der Identität auf sich nehmen wird. Weil dies eine Frage des konkreten Einzelfalls ist, entzieht sich die dahingehende Bewertung von (dynamischen) IP-Adressen einer pauschalen Beurteilung, ob es sich um personenbezogene Daten handelt oder nicht.

4. Die getrennte Speicherung von IP-Adresse und Zugriffszeitpunkt in verschiedenen Datenbeständen schließt nicht aus, dass die IP-Adresse – sobald die verantwortliche Stelle Kontextinformationen erlangt -  zum personenbezogenen Datum i.S.v. § 3 Abs. 1 BDSG wird, es sei denn, es wäre jedermann in der Position der verantwortlichen Stelle, also objektiv, unmöglich, die IP-Adresse mit dem zur Identifikation benötigten Kontextwissen zusammen zu führen.

Auswirkungen für die Praxis:

Ob eine IP-Adresse ein personenbezogenes Datum ist oder nicht, ist die zentrale Gretchenfrage, die sich jeder Betreiber einer Internetseite stellen muss, der die Benutzung seiner Seite auch nur erfassen, geschweige denn darauf aufbauend auswerten möchte. Das vom Landgericht Berlin erlassene Berufungsurteil festigt die vorhandene Rechtsprechung, die entgegen dem von den Aufsichtsbehörden i.S.v. § 38 BDSG teilweise vertretenen objektiven Ansatz die “Bestimmbarkeit” nach dem subjektiven Ansatz beurteilt, also auf das Wissen, die Möglichkeiten der verantwortlichen Stelle und den vernüftiger Weise zu erwartenden Aufwand abstellt. Dies mindert zwar die Rechtssicherheit, erhöht aber die Gerechtigkeit im Einzelfall. Ob der Anwendungsbereich des Datenschutzrechts – der maßgeblich von der Bewertung von Informationen als personenbezogene Daten abhängt – muss daher immer genau im Einzelfall geprüft werden. Eine rechtssichere pauschale Aussage wird man in der Regel nur dahingehend treffen können, dass bei Zweifelsfällen eher vom ein personenbezogenen Datum und daher von der Anwendbarkeit des Datenschutzrechts ausgegangen werden sollte.

In vielen Fällen ergeben sich jedoch keine Anhaltspunkte für Zweifel. Alle Internetseiten, die nur Inhalte zum Abruf durch Anklicken bereit halten, ohne die Möglichkeit vorzusehen, dass der Nutzer auch nur irgendeine Art von Tastatureingabe machen kann (kein Login, kein Kontaktformular, keine Kommentarmöglichkeit, etc.), setzen den Betreiber der Internetseite so gut wie nie der Gefahr aus, Wissen zu erlangen, welches zur Identifikation eines Nutzers genutzt werden könnte. Für die Anbieter solcher Internetseiten, die kein Kontextwissen über den Nutzer vermitteln, ist durch das vorliegende Urteil klargestellt, dass das deutsche Datenschutzrecht für ihre Tätigkeiten rund um die Internetseite keine Anwendung findet, solange die Betreiber auch sonst kein Kontextwissen erlangen. Dies ergibt sich aus dem wichtigsten Aussagegehalt des Urteils, oben im Leitsatz zu 3. formuliert (aus den Gründen II – 3) b) bb) (1) (b)), dass die theoretische Möglichkeit der Erlangung des Wissens über die der IP-Adresse zuzuordnende Person bei Dritten, insbesondere beim Internetzugangsdiensteanbieter, nicht dafür ausreichend ist, für den Betreiber einer Internetseite die IP-Adresse (eines sonst nicht bekannten Nutzers) zu einem personenbezogenen Datum zu machen. Das bedeutet für derartige Internetseiten die unbeschränkte Möglichkeit des Trackings des Nutzerverhaltens auf der Seite, z.B. mittels Google Analytics. Erklärungen zum Datenschutz i.S.v. § 13 Abs. 1 TMG können denkbar schlank gefasst werden, mit der Auskunft: “Im Zusammenhang mit dem Abruf dieser Internetseite werden keine personenbezogenen Daten erhoben, verarbeitet oder genutzt.”

Zweifel bestanden insoweit nur bezüglich der Frage, ob das (zu) weitgehende Verständnis der Aufsichtsbehörden nicht doch möglicherweise von einem Gericht geteilt wird. Dies erscheint nach dem sehr überzeugend begründeten Urteil des Landgerichts Berlin in Zukunft noch unwahrscheinlicher. Das Landgericht Berlin hat ausdrücklich die Revision zum Bundesgerichtshof zugelassen, da es der Auffassung ist, dass es sich um eine Rechtsfrage von grundsätzlicher Bedeutung handelt und dass die Fortbildung des Rechts eine Entscheidung des Bundesgerichtshofs erforderlich macht. Die Beklagte – die Bundesrepublik Deutschland – täte im Sinne des Gemeinwesens gut daran, eine Entscheidung des Bundesgerichtshofs herbeizuführen, selbst wenn die zuständigen Behördenvertreter das vorliegende Urteil für richtig und überzeugend halten sollten.

Bemerkenswerte Randnotiz:

Die Beklagte hatte argumentiert, sie müsse die Daten der Nutzer über die Beendigung der Nutzungsvorgänge hinaus speichern, um die von ihr zur entgeltfreien Nutzung angebotenen Internetseiten gegen technische Angriffe (insbesondere DoS) zu verteidigen. Was jedoch dem Anbieter von Telekommunikationsdiensten gem. § 100 Abs. 1 TKG erlaubt ist (Verarbeitung personenbezogener Daten über die Beendigung des Nutzungsvorgangs hinaus, für Zwecke des Erkennens, Eingrenzens oder Beseitigens von Störungen), ist dem Anbieter von Telemedien gem. § 12 Abs. 1 TMG verboten. Der ursprünglich im Gesetzesentwurf geplante (zu § 100 TKG parallele) Erlaubnistatbestand in § 15 Abs. 9 TMG wurde nie als Gesetz erlassen. Auch die aufgrund der besonderen Beklagten in diesem Zusammenhang durchaus interessante Norm des § 5 Abs. 1 BSIG konnte jedoch das von der Beklagten zugestandene Verhalten nicht rechtfertigen.