IP-Speicherung durch Webseiten-Betreiber rechtlich zulässig?
Ein Artikel von Rechtsanwalt Dr. Bahr Eine Frage, die sich schon viele Webseiten-Betreiber gestellt haben:
Wann und unter welchen Umständen darf ich die IP eines Besuchers speichern?
Antwort: Maßgebliches Gesetz hierfür ist das
"Teledienstedatenschutzgesetz"
(TDDSG).
1. Personenbezogene Daten:
Gemäß § 1 Abs.1 TDDSG gelten die Vorschriften nur für "personenbezogene Daten". § 3 Abs.1
Bundesdatenschutzgesetz (BDSG) definiert
personenbezogene Daten als
"Einzelangaben über persönliche oder sachliche Verhältnisse einer
bestimmten oder bestimmbaren natürlichen Person (Betroffener)."
Kernproblem ist hier das Merkmal der Bestimmbarkeit. Dabei gilt es
zwischen dynamischen und statischen IP-Adressen zu differenzieren.
a) Dynamische IP-Adressen:
Bei der dynamischen IP-Vergabe ist es nicht ohne weiteres möglich, aus
den Daten auf die Person Rückschlüsse zu ziehen. Dazu bedürfte es einer
Einsichtnahme in die jeweiligen Log-Verzeichnisse des Access-Providers.
Eine solche Einsichtnahme ist jedoch durch §§ 4 Abs.4, 6 Abs.3 TDDSG
grundsätzlich ausgeschlossen. Insoweit ist hier eine natürliche Person
nicht bestimmbar. Etwas anderes gilt nur dann, wenn wenn man die IP
durch sonstige Daten (z.B. Foren-Registrierung: E-Mail-Adresse etc.)
individualisieren kann. Dann ist sehr wohl von personenbezogenen Daten
auszugehen.
b) Statische IP-Adressen:
Anders ist dies, wenn es sich um eine statische IP-Nummer handelt. Hier
wird im Regelfall eine Identifikation auch ohne Rückgriff auf die
Log-Files des Access-Providers möglich sein. Insofern handelt es sich
dann um eine "bestimmbare natürliche Person" und somit um
personenbezogene Daten.
Jetzt werden sicherlucg viele Leser protestieren: Ein normales Logfile
kennt keine Person, sondern nur eine IP-Adresse! Auch statische IPs sind
höchstens nur an einen Rechner, Netzdrucker oder ein sonstiges
technisches Gerät gebunden, nicht aber an eine Person. An einem PC kann
jedermann sitzen. In kleineren Betrieben surfen mehrere Mitarbeiter über
ein und dieselbe IP-Nummer
Dass es sich hier dennoch um personenbezogene Daten handelt, soll
folgendes Beispiel verdeutlichen:
Person X benutzt ein Hotelzimmer (= IP). Anhand der bloßen Tatsache,
dass er das Hotelzimmer benutzt hat, wird kaum die Person des X bestimmbar sein.
Nehmen wir nun als 1. Alternative an, Person X würde dauerhaft (wie Udo
Lindenberg im Hamburger Atlantic) dort gastieren (= statische IP). Und
nehmen wir einmal die 2. Alternative an, Person X würde dort nur für
einen Tag gastieren.
In beiden Fällen hätte ich zunächst nur die identische Information: Das
Hotel-Zimmer wurde benutzt, ich erhalte keine unmittelbaren Daten über
die gastierende Person.
Jetzt ist aber die Frage: Wie wahrscheinlich bzw. möglich ist es, dass ich anhand dieser Info die Person identifizieren kann?
2. Alternative: 99,9% Wahrscheinlichkeit, dass sich niemand an die Person X erinneren kann, da ein Gast unter vielen.
1. Alternative: Hier wird sich sicherlich der Portier an Person X erinnern. Ebenso der Mann aus dem Zigaretten-Laden gegenüber, der
Kiosk-Besitzer eine Seitenstraße weiter, bei dem Person X morgens immer die Zeitung kauft.
Jetzt kann sich jeder selbst fragen, OB und WANN er bei der 1.
Alternative eine Bestimmbarkeit der Person bejaht und somit
"personenbezogene Daten" vorliegen.
Das oben Erläuterte ist in der Rechtsprechung, soweit hierzu überhaupt
Entscheidungen vorliegen, und auch in der Literatur sehr umstritten. So wird z.T. auch die Ansicht vertreten, dass eine IP in keinem Fall
personenbezogene Daten enthält.
Ebenso uneinheitlich wird die Frage beantwortet, was gilt, wenn der
Webseiten-Betreiber sowohl dynamische als auch statische IPs speichert. Spätestens hier stellt sich das Problem, wie der Webseiten-Betreiber denn auf Anwender-Seite technisch eine derartige Differenzierung
hinbekommen will. Überwiegend wird in einem solchen Fall die Ansicht
vertreten, dass für einen solchen Sachverhalt sämtliche IPs als
personenbezogene Daten zu behandeln sind, da eine Unterscheidung nicht
möglich ist.
2. Erlaubte Gründe für die Speicherung: Erlaubte Gründe für eine Speicherung sind:
a) Zustimmung des Nutzers: Hier gilt es, die besonderen Pflichten
des § 4 TDDSG genau zu beachten
b) zu Abrechnungszwecken (§ 6 TDDSG): Z.B. wenn der Webseiten-Betreiber
eine kostenpflichtige Dienstleistung ins Netz stellt, die der Nutzer in Anspruch nimmt. Dann ist die Speicherung von bestimmten Daten erlaubt.
c) aus Schutzgründen: § 9 BDSG statuiert das Schutzzweck-Prinzip. Danach müssen und dürfen die speichernden Stellen die "technischen und
organisatorischen Maßnahmen treffen, die erforderlich sind", um die
geltenden Gesetze einzuhalten.
Was dies im einzelnen bedeutet ist, ist sehr umstritten. Muss der § 9
BDSG so interpretiert werden, dass ein Foren-Betreiber pauschal die IPs seiner Nutzer loggen darf, um im Falle einer Beleidigung oder sonstiger
Straftaten den betreffenden Täter verfolgen zu können? Käme das nicht einer rechtswidrigen Vorrats-Speicherung gleich?
In diesem Zusammenhang interessant ist die Auseinandersetzung bei
Speicherung der Flatrate-IP durch die Deutsche Telekom. Eigentlich hätte
es hier keiner Speicherung der IP bedurft, da bei einer Flaterate
pauschal abgerechnet wird. Das Regierungspräsidum Darmstadt entschied
jedoch mit
Schreiben vom 14.01.2003, dass eine solche Speicherung
dennoch zulässig sei.
Diese Entscheidung hat
vehementen Widerstand ausgelöst. In Hamburg
z.B. wird die Speicherung von IPs bei Flatrate vom
Datenschutzbeauftragen als rechtswidrig eingestuft. Juristisch ist
die Entscheidung des Regierungspräsidums wenig überzeugend und kommt
einer "bloßen Speicherung auf Vorrat" sehr nahe.
3. Resümee:
Und was soll ich denn nun praktisch machen? wird sich so mancher
Webseiten-Betreiber fragen.
Einfache Antwort: Überlegen Sie sich, ob Sie wirklich die IP Ihres
Nutzers benötigen. Wenn Ihre Antwort ja lautet, teilen Sie dem
Betroffenen vorab mit, dass Sie die jeweilige loggen. Schreiben Sie dies deutlich und klar in Ihre Nutzungsbedingungen. Und: Achten Sie dabei auf die
Hinweispflichten nach dem TDDSG!
