Seit einiger Zeit kochen die Diskussionen über den Datenschutz im Zusammenhang mit der Speicherung von IP-Adressen hoch. Über diese Diskussion kann ich mich nur wundern.

Zunächst einige Grundlagen: Die mit Abstand allermeisten Surfer surfen über eine dial-in Verbindung. Das bedeutet, dass sie über einen ISP (Internet Service Provider, bsp. T-Online, 1 & 1) ins Internet gehen. Da die Anzahl der IP-Adressen kleiner ist als die Anzahl aller Surfer, werden diese Adressen dynamisch vergeben. Spätestens alle 24 hat ein Surfer eine neue IP. Die Information, welche IP welchem Internetanschluss zu welchem Zeitraum zugeordnet wird, wird beim ISP gespeichert. Ohne Staatsanwalt gibt ein ISP diese Daten jedoch nicht heraus, das heißt: Es ist praktisch unmöglich, von einer IP auf einen Haushalt zu schließen. Erschwerend kommt hinzu, dass in einem Haushalt mehrere Personen leben können, selbst wenn die Zuordnung IP zu Internetanschluss möglich wäre, ist damit immer noch nicht klar, ob Herr Müller oder Frau Müller surft.

In einigen Ausnahmefällen gibt es feste IPs. Auch hier ist die Zuordnung nur dem Provider bekannt, es ist davon auszugehen, dass Privatleute, die über so eine IP verfügen, nebenbei wissen, was sie tun. Bei Firmen mit fester IP kann manchmal aus der IP auf die Firma geschlossen werden. Dies ist üblicherweise bei größeren Firmen der Fall, aus der IP ist aber nicht klar, welcher der 200 oder 5000 Mitarbeiter sich aktuell hinter der IP verbirgt.

Insofern sehe ich die Personenbezogenheit einer IP-Adresse aus praktischer Sicht als nicht gegeben an.

Klaus Blömeke

Spannender ist an dieser Stelle ein anderes Verfahren: Die derzeit unter Beschuss genommenen Internetdienste wie Google-Analytics, Facebook, Amazon und damit letztendlich alle mit Partnerprogramm agierenden Firmen identifizieren Surfer _nicht_ über die IP, da das aus den oben aufgeführten Gründen unpraktikabel und fehlerbehaftet ist. Über die IP wird üblicherweise bestenfalls eine regionale Zuordnung des Besuchers vorgenommen. Die Erfassung erfolgt statt dessen über einen sogenannten Cookie. 

Cookies

Diese Cookies sind nun - im Gegensatz zur IP-Adresse - auch für den Dienstleister, der den Cookie setzt, extrem personenbezogen. Beispiel Facebook: Wenn ein User bei Facebook angemeldet ist, so könnte Facebook sein gesamtes Surfverhalten über alle Webseiten verfolgen, die über eines der Facebook-Plugins verfügen (Like-Button oder ähnliches). Auf der anderen Seite stellt Facebook Dienste zur Verfügung, die von den Benutzern freiwillig genutzt werden, wer permanent bei Facebook angemeldet ist, tut das freiwillig. Fraglich ist, ob hier ein Datenübermittlung an Dritte erfolgt, da der Benutzer und FaceBook bereits in einer Beziehung stehen.

Nun sind die Daten, die ein Benutzer bei Facebook hinterlässt, freiwillig und beliebig anonymisierbar. Anders verhält es sich z. B. bei Amazon (als Beispiel, dies gilt für alle Firmen, die ein Partnerprogramm betreiben). Ein Besucher kommt über die Werbung irgendeiner Webseite zu Amazon. Dieser Mensch wird per Cookie bereits bei dem Besuch der fremden Webseite markiert, in dem Moment, wo er sich bei Amazon ein Buch kauft, hat Amazon recht viele persönliche Daten (Anschrift, Bankverbindung) sowie die Information über den Besuch der werbenden Seite.

Ebenso könnte Google, dank des recht flächendeckenden Einsatzes von Google-Analytics, das Surfverhalten eines spezifischen Besuchers über viele Webseiten hinweg verfolgen; hat dieser Besucher einen Google-Account, wäre dieses sehr personenbezogen. Aber auch hier erfolgt die Verfolgung des Besuchers nicht über die IP, sondern über einen Cookie.

Vor diesem Hintergrund stellt sich mir die Frage, mit welchem technischen Sachverstand die Datenschützer hier zu Entscheidungen kommen. Hier wird auf der einen Seite ein Splitter angeprangert, auf der anderen Seite ein Holzbalken übersehen.
 

Stellungnahme von Rechtsanwalt Stephan Stiletto aus Köln:

Auch aus rechtlicher Sicht halte ich es für unzutreffend, eine IP-Adresse als „personenbezogene Daten“ zu betrachten.

Im Falle sogenannter dynamischer IP-Adressen, welche im Privatbereich den Regelfall darstellen, ergibt sich dies denknotwendig bereits aus dem Umstand, dass die selbe IP-Adresse, die jetzt gerade Internetnutzer A zugeordnet ist, wenige Minuten später einem anderen Internetnutzer B zugeordnet sein kann, weil dynamische IPs bei jeder Einwahl in das Internet neu vergeben werden. Selbst die Zuordnung einer dynamischen IP zu einem bestimmten Rechner (Modem oder Router) kann deshalb nur dann erfolgen, wenn gleichzeitig die Uhrzeit der Verwendung dieser dynamischen IP mitgeteilt wird. Die dynamische IP-Adresse für sich genommen ist damit in keinem Fall personenbezogen, da sie den Nutzer im Sinne des § 3 Abs. 1 Bundesdatenschutzgesetz weder bestimmt, noch bestimmbar macht.

Aber auch feste IP-Adressen, also solche die dauerhaft einem bestimmten Rechner, Modem oder Router zugeordnet sind, können nicht als „personenbezogene Daten“ aufgefasst werden. Die statische IP kann nämlich allenfalls dem Inhaber des Internetanschlusses, keinesfalls aber einer bestimmten Person als Internetnutzer zugeordnet werden. Der Bundesgerichtshof hat – wenn auch in einem etwas anderen Zusammenhang – zu dieser Frage einmal ausgeführt:

„Der IP-Adresse kommt keine (mit einem eBay-Konto vergleichbare) Identifikationsfunktion zu. Anders als letzteres ist sie keinem konkreten Nutzer zugeordnet, sondern nur einem Anschlussinhaber, der grundsätzlich dazu berechtigt ist, beliebigen Dritten Zugriff auf seinen Internetanschluss zu gestatten. Die IP-Adresse gibt deshalb bestimmungsgemäß keine zuverlässige Auskunft über die Person, die zu einem konkreten Zeitpunkt einen bestimmten Internetanschluss nutzt.“ BGH, Urteil vom 12.Mai 2010, Az.: I ZR 121/08

Die Einordnung der IP – Adresse als „personenbezogene Daten“ ist demnach unzutreffend.

Stephan Stiletto