c't magazin für computer technik 24/2013 - since

Recht I Datenschutznehmer fast durchgängig mitdem Internet verbunden ist undnur täglich eine kurze Zwangstrennungerfolgt. Der Surfer istalso zumindest an verschiedenenTagen mit verschiedenenIP-Adressen im Netz unterwegs.Während der Access-Providervorübergehend weiß, welchemAnschluss er dynamisch welcheIP-Adresse zugewiesen hat, sehendie mit dieser Adresse besuchtenWebsite-Betreiber nur Adressen,hinter denen sich zu verschiedenenZeitpunkten verschiedeneSurfer oder Anschlussinhaber verbergen.Diese unterschiedlichen Wissenspositionensind es, die demDatenschutz endlose Diskussionenbescheren: Wenn das Rechtvor der Nutzung solcher Datenschützt, welche auf Menschenbeziehbar sind - was ist dann derMaßstab für die Beziehbarkeit?Auch wenn also der Website­Betreiber den Anschlussinhaber,der Seiten bei ihm abruft, nichtkennt: Stellen für ihn die anfallenden IP-Adressen dennochein datenschutzrechtliches Problemdar, weil zumindest der Access-Providerdie Information aufden Anschlussinhaber beziehenkann? Oder kommt es allein aufdie Handlungsmöglichkeiten desWebsite-Betreibers an? Dannwären IP-Adressen ohne Zusatzinformationendatenschutzrechtlichfür ihn irrelevant.Die einander gegenüberstehendenAnsätze machen sich anzwei Begriffen der Beziehbarkeitvon Daten fest: auf der einenSeite steht der "relative", auf deranderen der "absolute". Welcherist angemessen? Der Gesetzgeberhatte das Problem zwar erkannt,sich aber ausdrücklich nicht füreine der beiden Seiten entscheidenwollen - bösen Zungen zufolgewohl aus Ratlosigkeit.Eine Überdosis Schutzln seinem ausführlichen Urteil erläutertdas LG Berlin diese Diskussionund hält den relativenBegriff für richtig: Für die Frage,ob Daten auf Menschen bezogenwerden können, komme es alleinauf die Möglichkeiten der jeweiligenStelle, also etwa des Providersan. Der absolute Begriffwürde zu einer "uferlosen unddamit unpraktikablen Ausdehnungdes Datenschutzes führen".Nach Auffassung der BerlinerRichter kann das auch der Gesetzgebernicht gewollt haben.Schutzwürdig oder nicht?Die Frage, ob IP-Adressenals personenbezogene oder-beziehbare Daten geltenmüssen und der Umgangdamit also dem Datenschutzrechtunterliegt, ist in derdeutschen Rechtsprechungumstritten.IP-Adressen seien deshalb nurdann ein Fall für den Datenschutz,wenn der jeweilige Anbietersowohl "technisch" alsauch "rechtlich" in der Lage sei,die Information mit einer konkretenPerson zu verbinden.Eine bloße IP-Adresse verbundenmit einem Zeitstempelkönne der Website-Betreiber keinerPerson zuordnen - dazufehle ihm auf technischer Ebeneschlicht die Kenntnis. GegenüberAccess-Providern gibt es zwarAuskunftsansprüche - die verbreitetenTauschbörsenabmahnungenberuhen darauf, dasseine Providerauskunft zu einemAnschlussinhaber führt. Abereine solche Auskunft einzuholenist eben nicht grundsätzlich jedermannmöglich. Vielmehr bestehtein solcher Anspruch nur inSonderfällen, insbesondere beibestimmtem Tatverdacht. Ansonstenist es sogar Access-Providernausdrücklich und untergesetzlicher Strafandrohung verboten,über die Zuordnung vonIP-Adressen zu sprechen.Deshalb könne ein typischerWebsite-Betreiber IP-Adressennicht per se auf Personen beziehenund dürfe also loggen, ohnemit den Einschränkungen desDatenschutzrechts in Konflikt zugeraten.Anders sieht die Sache aus,wenn der Website-Betreiber weitereInformationen über den einzelnenSurfer erhält, insbesonderevon diesem selbst. Das Gerichtspricht davon, dass eventuellein Website-Besucher "währendeines Nutzungsvorgangs selbstseine Personalien, auch in Formeiner die Personalien ... ausweisendenE-Mail-Anschrift" angibt.Hier liegt es auf der Hand, dassder Website-Betreiber nun ebendoch den Surfer persönlich kennt.Und damit sind dann alle in demZusammenhang gespeichertenInformationen datenschutzrechtlichrelevant, also eben auch IP­Adresse und andere dazugehörigeInhalte der Logfiles.Die Vertreter der BundesrepublikDeutschland hatten im Prozesseingewandt, dass das Web­Portal der Regierung möglicheFormulareingaben, über die manSurfer identifizieren kann, getrenntvon den Logs speichertund verarbeitet. Die Logs, umdie es ging, seien deshalb fürsich betrachtet eben doch nichtauf Personen beziehbar. DieseArgumentation ließen die BerlinerRichter jedoch nicht gelten:Eine Verbindung der intern vorliegendenDatenbestände seiproblemlos möglich, und eskomme "nicht darauf an, ob dieBeklagte den Abgleich vornehmenwill oder nicht".Insgesamt unterscheidet derAnsatz der Berliner Richter alsodanach, ob IP-Adressen in denHänden eines bestimmten Unternehmensoder auch öffentlichenPortalbetreibers nun demDatenschutz unterliegen odernicht. Formulare, etwa fürs Newsletter-Abo,oder Login-Funktionenstellen in aller Regel den datenschutzrechtlichrelevantenPersonenbezug her, und derSite-Betreiber muss dann dieEinschränkungen des Datenschutzrechtsbeachten.Es kommt drauf anDamit bleibt die Anwendbarkeitdes Datenschutzes häufig eineFrage des Einzelfalls und hängtdavon ab, ob eingegebene Datenwirklich den Nutzer identifizieren.Wenn es etwa um eine Versandanschriftgeht, dürfte das offensichtlichsein. Bei E-Mail-Adressenhingegen ist es schon nicht mehrso einfach: Längst nicht jede erlaubtden Rückschluss auf denNamen einer Person.Wenn also im Einzelfall die Bedingungendafür erfüllt sind,dass IP-Adressen dem Datenschutzunterliegen - dann, sodas Gericht, sind Logging undjede weiter gehende Verarbeitungder Adressen unzulässig.Die Richter nahmen auch potenzielleGegenargumente vorweg:Gebe der Nutzer sich durch dieEingabe weiterer Daten zu erkennen,so dürfe man darin nichtetwa seine Einwilligung zum beliebigenLogging sehen. Auchein bloßes abstraktes Interessedes Website-Betreibers an weitgehendenAuswertungsmöglichkeitenrechtfertige nicht einedurchgängige Freizügigkeit beimUmgang mit Online-Besucherdaten.Das gelte erst recht für dieArgumentation, dass es "dochalle so machen".Abrechnungszwecke könnendie Speicherung solcher Datenrechtfertigen, die für die Abrechnungerforderlich sind. Dafür, sodas Gericht, brauche man abernormalerweise wohl keine IP­Adressen. Wenig rücksichtsvollgehen die Berliner Richter auchmit Sicherheitserwägungen desWebsite-Betreibers um: Es gebeschlicht keine Vorschriften, diesolche Interessen aufg reifen.Zwar erlaube das Telekommunikationsgesetz(TKG) die Speicherungbestimmter Daten, um dieSicherheit der eigenen Systemezu gewährleisten. Diese Vorschriftenseien jedoch nicht aufWebsite-Betreiber anwendbar.Sie gälten lediglich für sogenannteTelekommunikationsdiensteanbieter,also etwa E-Mail- oderVoiP-Provider.Was bleibtAuch dieses Urteil des LG Berlinmarkiert keinen endgültigenStand in der Streitfrage. Eswurde nicht rechtskräftig und188c't 2013, Heft 24