30. Januar 2009 - „Zwei Juristen – drei Meinungen“

Ist eine dynamische IP-Adresse personenbezogen oder nicht?

Datenschutzvorschriften sind nur anwendbar, wenn personenbezogene Daten vorliegen. Ob das der Fall ist, hat also unmittelbare praktische Auswirkungen. Wann eine dynamische IP-Adresse als personenbezogen anzusehen ist, wird von den Gerichten unterschiedlich beurteilt. Für die meisten Aufsichtsbehörden sind IP-Adressen generell personenbezogene Daten. Der DSB muss informiert sein, wie die Positionen sind.

ist-eine-dynamische-ip-adresse-personenbezogen-oder-nicht.jpeg
ob IP-Adressen personenbezogene Daten sind oder nicht, ist heftig umstritten (Foto: Gerd Altmann/PIXELIO).

Wer das Internet nutzt, bekommt von seinem Zugangsprovider normalerweise für die Dauer der Nutzung eine „dynamische“ IP-Adresse zugeteilt, mit der er ins Web gehen und dort Seiten aufrufen kann.

Jeder User bekommt für jede Sitzung eine neue IP-Adresse

Bereits Sekunden, nachdem dieser Nutzer wieder aus dem Netz gegangen ist, kann dieselbe IP-Adresse schon einem ganz anderen Nutzer zugeteilt sein. Daher auch der Name „dynamische IP-Adresse“ (im Unterschied zur statischen IP-Adresse, die einem einzelnen Kunden ständig zugeordnet bleibt – auch dann, wenn er gerade nicht online ist und sie gerade nicht braucht).

Die Folge der Verwendung einer dynamischen IP-Adresse: Speichert der Betreiber einer Seite in einem Log-File die dynamische IP-Adresse des einzelnen Seiten-Nutzers, kann er zwar feststellen, welcher Provider diese Adresse an einen Nutzer vergeben hat.

Der Nutzer lässt sich nicht identifizieren

Den Nutzer selbst kann er aber nicht feststellen.

Ist die dynamische IP-Adresse trotzdem personenbezogen oder nicht? Die Gerichte sind uneins.

Ein Geschäftsführer ärgert sich

Dem Geschäftsführer einer GmbH gefiel es nicht, dass der Betreiber einer Webseite in einem Log-File die IP-Adresse jedes Besuchers der Webseite auch noch dann speichert, wenn der Besucher die Seite wieder verlassen hat.

Er verlangte vom Betreiber der Webseite, diese Speicherung im Log-File zu unterlassen. Begründung: Die von einem Besucher jeweils genutzte dynamische IP-Adresse sei personenbezogen. Und eine Befugnis, diese personenbezogenen Daten auch noch zu speichern, nachdem er die Seite bereits wieder verlassen hat, sei nicht vorhanden.

Ein Richter in München sagt nein zum Personenbezug

Das Amtsgericht München – oder genauer: der Richter des Amtsgerichts, der mit diesem Fall befasst war – vertritt die Auffassung, dass dynamische IP-Adressen nicht zu den personenbezogenen Daten gehört.

Die wesentlichen Argumente:

  • Das Datenschutzrecht definiert personenbezogene Daten als „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)“ (siehe § 3 Abs. 1 BDSG).
  • Nach Auffassung des Richters kann bei einer dynamischen IP-Adresse der Betroffene aber jedenfalls vom Webseiten-Betreiber, der die Daten von Seitenbesuchern speichert, nicht bestimmt werden.
  • Das wäre nur möglich, wenn der Zugangsprovider illegalerweise auf Bitten des Seitenbetreibers mitteilen würde, wem er die dynamische IP-Adresse zum interessierenden Zeitpunkt zugeteilt hatte.
  • Diese theoretische Missbrauchsmöglichkeit kann aber nicht die Grundlage dafür bilden, eine dynamische IP-Adresse als personenbezogen anzusehen.
  • Folge: Es fehlt an der Bestimmbarkeit des Betroffenen, dem die Adresse zugeteilt war und damit am Personenbezug der dynamischen IP-Adresse.
Ein Richter in Berlin hatte das anders gesehen
Mit dieser Entscheidung setzt sich der Münchner Richter in ganz bewussten Gegensatz zu der Entscheidung eines Richters aus Berlin. Der hatte den Personenbezug bei einer dynamischen IP-Adresse bejaht. Seine Argumente:

  • Das Datenschutzrecht solle vor dem Missbrauch personenbezogener Daten schützen. Deshalb müsse die Möglichkeit eines solchen Missbrauchs sehr wohl einbezogen werden.
  • Und wenn ein Missbrauch vorkomme, sei der Personenbezug eben gegeben.
  • Folge: Die Bestimmtheit des Betroffenen ist gegeben und deshalb sei eine dynamische IP-Adresse als personenbezogen zu betrachten.

In Berlin wurde die Bundesrepublik verurteilt

Da er keine Rechtsgrundlage für eine Speicherung der IP-Adresse sah, verurteilte der Berliner Richter den Webseitenbetreiber dazu, die Speicherung der IP-Adresse von Seitenbenutzern künftig zu unterlassen.

Pikant dabei: Seitenbetreiber war in diesem Fall die Bundesrepublik Deutschland, genauer: Das Bundesministerium der Justiz (BMJ).

Personenbezug ja, denn das BMJ hätte über die Zugangsprovider die entsprechenden User herausbekommen können

Anders gesagt: Der Richter bejahte den Personenbezug, weil er die Möglichkeit in Betracht zog, das Bundesministerium der Justiz werde sich an Zugangsprovider wenden und die würden dem Bundesministerium der Justiz illegalerweise (nämlich unter – übrigens strafbarer – Verletzung des Fernmeldegeheimnisses) mitteilen, wem die dynamische IP-Adresse zu einem bestimmten Zeitpunkt zugeteilt war.

Viel Vertrauen in den Justizapparat scheint der Herr Amtsrichter also nicht zu haben.

In München verlor der Kläger – aber aus ganz anderem Grund

Dass der Kläger in München dagegen verlor, überrascht nach den oben dargestellten Argumenten nicht: Dort meinte der Richter ja, dynamische IP-Adressen seien nicht personenbezogen.

Und dann ist klar, dass ihre Speicherung auch nicht untersagt werden kann. Denn das käme ja nur in Betracht, wenn sie personenbezogen wären.

Umso verwirrender ist es auf den ersten Blick, dass es auf diese Argumentation gar nicht ankam! Der Grund: Der Geschäftsführer als Kläger behauptete gar nicht, dass er selbst das Internet benutzt hatte. Er argumentierte lediglich, das sei durch „die GmbH“ geschehen (also etwa durch Mitarbeiter für Zwecke der GmbH).

Es macht aber einen Unterschied, ob der Geschäftsführer für sich selbst klagt („in eigenem Namen“, so war es geschehen) oder für die Gmbh (also als „GmbH, vertreten durch den Geschäftsführer“, darum ging es gerade nicht). Somit musste er den Prozess von vornherein verlieren.

Die Begründung war eigentlich nicht nötig

Das sagte das Gericht auch ganz klar, und mehr hätte es auch gar nicht tun müssen, um die Klage abzuweisen. Denn es war offensichtlich, dass Rechte des Geschäftsführers gar nicht verletzt sein konnten, wenn er die Webseite, auf der IP-Adressen gespeichert werden, gar nicht besucht hatte.

Aber offensichtlich hatte der Richter Zeit (oder Lust), dem Berliner Gericht zu widersprechen. In der Fachsprache heißen solche Begründungen, die an sich gar nicht nötig wären, „obiter dicta“ oder in der Einzahl „obiter dictum“ („beiläufige Äußerung“).

Sie sind unter Juristen eher verpönt, weil eben für die Lösung eines Falles überflüssig, kommen aber – so wie hier – vor.

Für den Zugangsprovider sind die IP-Adressen auf jeden Fall personenbezogen!
Um Missverständnisse zu vermeiden: Für den Zugangsprovider handelt es sich bei dynamischen IP-Adressen, die er einer natürlichen Person zuteilt, immer um personenbezogene Daten. Denn er weiß ja, zu wem die Adresse wann gehört hat.
Der Betreiber einer besuchten Seite weiß es dagegen nicht, weil ihm die nötigen Informationen fehlen.

Die Urteile sind zu finden unter:

Dr. Eugen Ehmann
Dr. Eugen Ehmann ist Regierungsvizepräsident von Mittelfranken (Bayern). Er befasst sich seit über 20 Jahren ständig intensiv mit Fragen des Datenschutzes in Unternehmen und Behörden.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln