c't magazin für computer technik 24/2013 - since

Recht I DatenschutzDr. Mare StöringAlter Streit, neue AspekteIP-Adressen und DatenschutzEine Entscheidung des Berliner Landgerichts bringt Schwung in die seitJahren andauernde Diskussion darüber, ob beim Umgang mit IP-Adressendas Datenschutzrecht greift. Gleichzeitig werfen 1Pv6 und die geplanteEU-Datenschutz-Grundverordnung neue Fragen auf.nde März 2007 sorgte dasE Berliner Amtsgericht Mittemit einem Urteil für Unruhe, mitdem es dem Bundesjustizministerium(BMJ) verbot, die Besucherdatenvon Websurfern aufdessen Internet-Portal .,www.bmj.bund.de" aufzuzeichnen. DasGericht entschied, dass !P-Adressenpersonenbezogene Datenim Sinne des Datenschutzesseien [1]. Diese lapidar klingendeAussage ist rechtlich und auchwirtschaftlich pures Dynamit.Das Bundesdatenschutzgesetz(BDSG) verbietet weitgehendden Umgang mit Daten, die aufeinzelne Menschen bezogen sindoder zumindest bezogen werdenkönnen.Wenn nicht nur Name, Wohnort,Geburtsdatum und ähnlicheklassische Angaben zur Identität,sondern tatsächlich auch IP­Adressen im Internet dem Datenschutzunterliegen, hat dasweitreichende Folgen. Dann dürfeninsbesondere Website-Betreibernur noch sehr eingeschränktmit IP-Adressen ihrerBesucher verfahren. SolcheDaten fallen notwendigerweisebei der Übermittlung von Informationenim Internet an. Daslässt sich nicht verhindern undist für sich genommen auchnicht Gegenstand eines Verbots.Jede anschließende Speicherungoder Auswertung dieserDaten wäre nach der Maßgabedes Amtsgerichts Berlin-Mitteaber unzulässig. Damit wärendie Zeiten der möglichst detailliertenAuswertung von Besucherströmenund deren Lokalisierungvorbei. Selbst ein Loggingaus Sicherheitserwägungenheraus stünde rechtlich auf sehrdünnem Eis. Bußgelder, theoretischim sechsstelligen Bereich,wären bei Verstößen denkbar.Realistisch müssten Serverbetreiberzumindest Streit mit Behörden,verunsicherte Website-Besucherund Abmahnungen vonMitbewerbern befürchten.Zwei Juristen,drei MeinungenAll das macht sich an der Kernfragefest, ob IP-Adressen vereinfachtgesagt Daten über Menschensind, ob sie im Zweifel alsoAuskunft über den jeweiligenSurfer oder den Inhaber von dessenInternet-Anschluss geben.Die viel beachtete Entscheidungdes Amtsgerichts lag auf einerLinie mit der Auffassung der fürden Datenschutz zuständigenBehörden - aber sie war nichtdas letzte Wort in dieser Angelegenheit.Das BMJ legte nämlich Rechtsmitteldagegen ein, und im Berufungsverfahrenvor dem Landgericht(LG) Berlin gerieten plötzlichandere Gesichtspunkte in denVordergrund [2]. Zwar bestätigtendie Richter am LG im Ergebnisden Urteilsspruch der Vorinstanz,aber nicht deren Auffassung überden datenschutzrechtlichen Charaktervon IP-Adressen. Der spieltefür das Verfahren gar keineRolle mehr; für dessen Ausgangerwiesen sich vielmehr prozessualeSonderfragen als entscheidend.Die Fachwelt stritt sich somitweiter darüber, wie denn IP­Adressen nun datenschutzrechtlichzu bewerten seien [3].Berliner ImpulseAnfang 2013 hatte das LG Berlinerneut Gelegenheit, sich zurFrage des Datenschutzes bei IP­Adressen zu äußern. Und fastwirkt es so, als hätten die Richterdas Bedürfnis verspürt, ganznachdrücklich Klarheit in die Diskussionzu bringen. Denn ihr Urteilist ungewohnt umfassendund detailliert begründet [4].Wieder hatte ein Internetnutzereinen Portalbetreiber verklagt.Letzterer speicherte inLogdateien die IP-Adressen seinerBesucher, Datum und Uhrzeitder Zugriffe, die Menge derübertragenen Daten sowie Informationendarüber, welche Seitenaufgerufen, welche Suchbegriffeverwendet wurden und obder jeweilige Abruf erfolgreichwar. Der klagende Websurfer sahsich darin in seinem Grundrechtauf informationeile Selbstbestimmungverletzt, rügte alsoeinen Datenschutzverstoß desPortalbetreibers.Pikanterweise war der beklagtePortalbetreiber auch diesmalnicht irgendwer, sondern dieBundesrepublik Deutschland - esging um Webseiten der Bundesregierung.Abgesehen davon,dass der Kläger damit wohl aufgroßes Medienecho hoffen durfte,war dieser Umstand jedochbedeutungslos. Datenschutzrechtlichhätte es ebenso gut umeinen privaten Website-Betreibergehen können.Ausschlaggebend waren diegespeicherten IP-Adressen: NachAuffassung des Klägers protokolliertedas Logging unzulässigerweiseDaten über die Besucherder Website. Das verbietet dergesetzliche Datenschutz - wenner denn hier greift. Jetzt kam esalso wieder auf die Frage an, obIP-Adressen ein Fall für den Datenschutzsind.Im Ergebnis gaben die Richterdem Kläger teilweise Recht. Sieerklärten die Speicherung der IP­Adressen in bestimmten Sondersituationenfür unzulässig. Per seund normalerweise seien IP­Adressen aber keine personenbezogenenDaten und damitauch kein Fall für den Datenschutz.Beziehungsfragen186Das umfassende Urteil bezogsich lediglich auf 1Pv4-Adressenund hierbei auch nur auf jene,die ein Access-Provider dynamischvergibt. Das trifft auf dentypischen privaten Internetzugangzu: Wenn sich Modem oderRouter neu ins Netz einklinken,weist der Provider aus dem Bereich,den er zur Verfügung hat,eine gerade freie Adresse zu. Dasgilt selbst dann, wenn ein Teilc't2013, Heft 24