Kanzlei Mitarbeiter Kontakt Impressum Datenschutz

Sind IP-Adressen personenbezogene Daten?

22.02.2011 | Datenschutz und IT-Sicherheit | von Carsten Gerlach

Der niedersächsische Datenschutzbeauftrage hat kürzlich einem Website-Betreiber wegen der Verwendung von Google AdSense und "Zählpixeln" Bußgelder angedroht: bei Verwendung dieser Verfahren würden IP-Adressen der Website-Besucher an Dritte übertragen. IP-Adressen sind nach Auffassung der Datenschutzbehörden personenbezogene Daten gemäß BDSG. Diese Auffassung ist jedoch rechtlich kaum haltbar.

Harte Linie der Datenschutzbehörden


Die Datenschutzbehörden haben sich festgelegt: für sie sind IP-Adressen personenbezogene Daten. Auf dieser Basis soll nun offenbar eine harte Linie gegen Website-Betreiber durchgesetzt werden - beim Einsatz üblicher Verfahren für Werbung und Statistik (z.B. Google Analytics, Google AdSense, "Zählpixel") drohen Bußgelder.

So hat der niedersächsische Datenschutzbeauftrage kürzlich einem Website-Betreiber wegen der Verwendung von Google AdSense und "Zählpixeln" Bußgelder angedroht.

Sind Server-Logfiles rechtswidrig?


Betroffen sind aber nicht nur Nutzer von Google Analytics oder ähnlichen Diensten. Folgt man der Argumentation der Datenschutzbehörden, wäre schon der normale Betrieb eines Webservers rechtswidrig. So speichern alle Webserver per Default in ihren Logfiles IP-Adressen und die damit zusammenhängenden Zugriffe und Aktionen. Schon diese Speicherung würde gegen Datenschutzrecht verstoßen.

Die rechtliche Auffassung der Datenschutzbehörden findet allerdings keine Stütze im Bundesdatenschutzgesetz (BDSG). IP-Adressen sind nicht ohne weiteres personenbezogene Daten im Sinne des § 3 Abs. 1 BDSG.

Mittelbarer Personenbezug von IP-Adressen


Personenbezogen sind Daten, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Läßt sich aus den Daten ein unmittelbarer Bezug zu einer natürlichen Person nicht herstellen, sind die Daten also nur dann personenbezogen, wenn der Betroffene "bestimmbar" ist.

Eine IP-Adresse ist kein unmittelbar personenbezogenes Datum. Ein Personenbezug kann allenfalls mittelbar unter Verwendung von Zusatzwissen hergestellt werden.

Nur der Provider kann IP-Adressen Personen zuordnen

Eine Zuordnung der IP-Adresse zu einem Kunden und damit zu einer natürlichen Person kann ausschließlich von dem Zugangsanbieter (Provider) vorgenommen werden, zu dessen Adreßbereich die fragliche IP-Adresse gehört.

Nur der Provider weiß, welchem Kunden er eine bestimmte IP-Adresse zu einem bestimmten Zeitpunkt zugeteilt hat. Für Dritte ist ohne Auskunft des Providers nicht zu ermitteln, welcher Person (d.h., welchem Kunden des Providers) eine IP-Adresse zu einem bestimmten Zeitpunkt zugeordnet war. Aus öffentlich zugänglichen Datenbanken kann lediglich ermittelt werden, daß die jeweilige IP-Adresse aus dem Adreßbereich eines bestimmten Providers stammt.

Provider-Auskunft Voraussetzung für Individualisierung

Deshalb sind unter anderem auch die staatlichen Ermittlungsbehörden auf entsprechende Auskünfte der Provider angewiesen. Bei der Verfolgung netzgestützter Straftaten müssen die Staatsanwaltschaften regelmäßig Anfragen bei den Providers stellen, um die hinter einer bestimmten IP-Adresse stehende natürliche Person zu ermitteln. Weder der Webserver-Betreiber noch Google noch sonstige Dritte können ohne Auskunft des Providers den Personenbezug herstellen.

Absoluter und relativer Personenbezug


Das Datenschutzrecht differenziert nach ganz herrschender Meinung zwischen "absolutem" und "relativem" Personenbezug. Der Begriff des "personenbezogenen Datums" ist relativ. Dieselben Daten können für den einen anonym und für den anderen einer natürlichen Person zuordenbar sein.

IP-Adressen sind für die speichernde bzw. verarbeitende Stelle nur dann personenbezogene Daten, wenn sie von dieser Stelle einer natürlichen Person zugeordnet werden können. Dafür kommt es auf die Kenntnisse, Mittel und Möglichkeiten der speichernden Stelle an.

Entscheidend ist, ob das Zusatzwissen, das zur Herstellung des Personenbezugs erforderlich ist, für die speichernde bzw. verarbeitende Stelle zugänglich ist: sie muß den Personenbezug mit den ihr normalerweise zur Verfügung stehenden Hilfsmitteln und ohne unverhältnismäßigen Aufwand durchführen können.

Dies ist z.B. dann der Fall, wenn das zur Identifikation der Person notwendige Zusatzwissen aus allgemein zugänglichen Quellen verfügbar ist.

Nur für denjenigen, der über das zur Identifikation benötigte Zusatzwissen verfügt, ist die Bezugsperson bestimmbar und das entsprechende Datum somit personenbezogen - für andere aber nicht.

Eine andere Auffassung würde zu einer uferlosen Anwendung des Datenschutzrechts führen. Letztlich können (fast) alle Daten in einer bestimmten Kombination und mit geeignetem Zusatzwissen wieder auf bestimmte Personen zurückbezogen werden. Eine solche unbeschränkte Anwendung des BDSG lag aber erkennbar nicht in der Absicht des Gesetzgebers und unterfällt nicht dem Schutzzweck der Datenschutzgesetze.

Personenbezug der IP-Adresse nur für den Provider


Unter Berücksichtigung dieser Grundsätze handelt es sich bei IP-Adressen nur für den jeweiligen Provider um personenbezogene Daten, da die der jeweiligen Adresse zugeordnete natürliche Person nur für ihn bestimmbar ist. Die zur Identifikation notwendigen Daten sind Dritten weder bekannt noch aus allgemein zugänglichen Quellen verfügbar.

Nachfrage beim Provider für Dritte nicht möglich

Insbesondere kann das legale Bekanntwerden der Zusatzinformation nach sozialüblichen Maßstäben ausgeschlossen werden. Niemand kann ohne weiteres und nach Belieben durch Nachfragen beim Provider einen Personenbezug von IP-Adressen herstellen.

Die beim Provider gespeicherten Daten unterliegen nach § 88 TKG dem Fernmeldegeheimnis: nach § 88 Abs. 3 Satz 3 TKG darf der Provider solche Daten nur an Dritte weitergeben, soweit das TKG oder eine andere gesetzliche Vorschrift dies vorsieht und sich dabei ausdrücklich auf Telekommunikationsvorgänge bezieht.

Kein Personenbezug für Webserver-Betreiber

Website-Betreiber, aber auch Anbieter von Diensten wie Google Analytics, haben weder Kenntnis noch Zugriff auf die beim Provider gespeicherten Verkehrsdaten habe und keine Zuordnung einer IP-Adresse zu einer bestimmten Person vornehmen. Für sie handelte es sich demnach bei IP-Adressen nicht um personenbezogene Daten im Sinne der §§ 15 Abs. 1 TMG, 3 Abs. 1 BDSG.

Rechtsauffassung des OLG Hamburg


Das OLG Hamburg hat in einem Beschluß vom 3. November 2010 (Az.: 5 W 126/10) diese Auffassung bestätigt. Bei IP-Adressen kann nach Ansicht des Gerichts ein Personenbezug mit normalen Mitteln ohne weitere Zusatzinformationen nicht hergestellt werden. In dem vom Gericht entschiedenen Fall wurde ein Personenbezug erst durch die Staatsanwaltschaft hergestellt, die entsprechende Auskünfte des Providers veranlaßte. Erst zu diesem Zeitpunkt und durch Beschaffung der Zusatzinformationen wurde der Personenbezug hergestellt.

Rechtsauffassung der Datenschutzbehörden kaum haltbar


Die Rechtsauffassung der Datenschutzbehörden ist unserer Auffassung nach kaum haltbar. IP-Adressen sind nur für den jeweiligen Provider personbezogene Daten. Für Webserver-Betreiber - aber auch für Dritte wie Google - sind IP-Adressen keine personenbezogene Daten und damit datenschutzrechtlich irrelevant. Damit ist insbesondere das Anlegen von Logfiles und der Einsatz von Tools wie z.B. Google Analytics oder Google AdSense datenschutzrechtlich unbedenklich.

23.04.2024

Ausgezeichnet


JUVE-Handbuch 2016/2017 empfiehlt erneut TCI Rechtsanwälte

mehr

 

Datenschutzgrundverordnung (DSGVO)

Am 25. Mai 2018 tritt die Datenschutz-Grundverordnung (DS-GVO) in Kraft. Wir beraten Sie zu den neuen Anforderungen, den drohenden Risiken und zur der Umsetzung erforderlicher Maßnahmen zur Gewährleistung der Datenschutz- Compliance.

mehr

 

IT-Beschaffung und Ausschreibung

Sie finden bei uns Informationen zur Ausschreibung und Beschaffung von Software durch die öffentliche Hand - z.B. Beschaffung von Gebrauchtsoftware, Open-Source-Software oder über Rahmenverträge.

mehr

 

Aktuelle Veröffentlichungen

Carsten Gerlach, Sicherheitsanforderungen für Telemediendienste - der neue § 13 Abs. 7 TMG, in: CR 2015, 581


Carsten Gerlach, Personenbezug von IP-Adressen, in: CR 2013, S. 478


Carsten Gerlach, Vergaberechts- probleme bei der Verwendung von Open-Source-Fremdkomponenten, in: CR 2012, S. 691


Michael Karger, BGH: "Handlungsanweisung" für Hostprovider bei möglicherweise persönlichkeitsrechtsverletzendem Blogbeitrag, in: GRUR-Prax 2012, S. 35

 

IT-Recht im beck-blog

blog zum IT-Recht von Dr. Michael Karger im Experten-blog des Verlags C.H. Beck