LG Berlin: Bloße Speicherung dynamischer IP-Adressen ist zulässig - Stolperfallen für Seitenbetreiber bleiben
Lange Zeit herrschte Uneinigkeit darüber, ob die Speicherung (dynamischer) IP-Adressen durch den Website-Betreiber aus datenschutzrechtlicher Sicht zulässig ist, oder nicht. Zahlreiche Urteile der jüngeren Vergangenheit haben IP-Adressen und deren Speicherung zum Gegenstand. Ausschlaggebend für die Bewertung ist dabei die Frage, ob IP-Adressen personenbezogene Daten darstellen. Ein Thema, mit dem sich vergangenes Jahr auch das Landgericht Berlin auseinandersetzte und entschied: Die bloße Speicherung von dynamischen IP-Adressen ist zulässig – allerdings mit entscheidenden Einschränkungen. Und genau die sorgen in der Praxis von Seitenbetreibern und Co. weiterhin für Stolperfallen.
Auf der exali.de InfoBase gehen wir auf das Urteil des LG Berlin ein – und erklären, warum die Entscheidung in der Praxis für noch mehr Fragezeichen in puncto datenschutzkonformes Verhalten sorgt.
Knackpunkt IP-Adresse – Personenbezogen oder nicht?
Die IP-Adresse ist sozusagen die Adresse des Computers, an die die Daten verschickt werden, damit eine Website aufgerufen werden kann. Auf unseren Spaziergängen durchs Internet geben wir unsere Adresse viele Male preis. Dass diese bei jeder unserer Stationen gespeichert wird, möchte eigentlich niemand - schließlich könnte unser Weg durchs World Wide Web damit exakt rekonstruiert werden.
Und nicht nur das: Durch die IP-Adresse ist ein Computer eindeutig identifizierbar. Man muss jedoch zwischen dynamischen und statischen IP-Adressen unterscheiden. Statisch ist eine IP dann, wenn ein Nutzer bei jedem Besuch unter derselben Adresse auftritt. Die dynamische wird dagegen bei jeder Nutzung neu vergeben.
Strittig war bislang die Frage, ob es sich bei IP-Adressen um personenbezogene Daten handelt. Dies ist insofern relevant, als dass die Speicherung personenbezogener Daten in Deutschland nicht ohne Weiteres zulässig ist – sie greift in das Grundrecht auf informationelle Selbstbestimmung ein.
Größtenteils werden statische IPs als personenbezogene Daten anerkannt, während dynamische IP-Adressen lediglich in der Hand des Providers als solche gelten. Nur der Anbieter kann nämlich nachvollziehen, wer zu welchem Zeitpunkt unter welcher IP im Internet unterwegs war.
Urteil: Dynamische IP + Zusatzinformationen = unzulässig
In seinem Urteil folgt das LG Berlin dieser Auffassung – stellt aber klar: Die Erhebung und Speicherung von dynamischen IP-Adressen an sich stellt noch keinen datenschutzrechtlich relevanten Akt dar. Die bloße dynamische IP-Adresse sei kein personenbezogenes Datum, begründen sie ihre Entscheidung.
Mit einer entscheidenden Einschränkung: Allerdings könne eine dynamische IP zum personenbezogenen Datum werden, wenn Zusatzinformationen vorliegen, die eine Identifizierung der Person möglich machen (z.B. E-Mail-Adresse oder Name).
Konkret bedeutet das: Wer als Anbieter einer Website dynamische IP-Adressen speichert und zusätzlich Informationen vorliegen hat, die eine Identifizierung der Personen hinter den IP-Adressen ermöglichen, darf diese IPs nur mit Zustimmung der Betroffenen speichern.
Das Problem dabei: Ob eine statische oder eine dynamische IP-Adresse vorliegt, kann vom Betreiber der Website nicht festgestellt werden – eine Vermeidung von Datenschutzverstößen bleibt damit schwierig. Stolperfallen in puncto rechtskonformes Verhalten sind also vorprogrammiert.
Deshalb ist es auch wichtig, mit den Kunden (Usern / Besuchern) durch Datenschutzerklärungen bzw. festgelegte Nutzungsbedingungen auf der Webseite zu „vereinbaren“, was an Daten gespeichert wird.
Weiterführende Informationen
- Gerichtsurteil: Fehlende Datenschutzerklärung ist wettbewerbswidrig – doppeltes Haftungsrisiko für Dienstleister
- Datendiebstahl: Eigenschäden durch Hackerangriffe und Cyberkriminalität abdecken - Interview Ralph Günther von exali.de
- Datenschutzverstoß: Unternehmen muss Bußgeld wegen offenen Verteilers in Kunden-Mail zahlen
© Nele Totzke - exali AG