AG München: IP-Adresse kein personenbezogenes Datum.

Das Amtsgericht München hat mit Urteil vom 30.09.2008 entschieden, dass für den Betreiber einer Internetseite die dynamisch vergebene IP-Adresse der Nutzer dieser Seite kein personenbezogenes Datum sei und daher die IP-Adresse auch gespeichert werden dürfe. Zumindest für den Betreiber einer Internetseite sei es nicht möglich die hinter einer dynamisch vergebenen IP-Adresse stehende Person zu bestimmen. Die Frage der – zumindest mittelbaren – Bestimmbarkeit ist datenschutzrechtlich ausschlaggebend für die Frage, ob ein bestimmtes Datum personenbezogen ist oder nicht.

Die Leitsätze des Gerichts lauten:

1. Dynamische IP-Adressen sind grundsätzlich keine personenbezogenen Daten im Sinne des § 3 Abs. 1 BDSG.

2. Einer in den Log-Files eines Webserver gespeicherten (dynamischen) IP-Adresse fehlt die Bestimmbarkeit i.S.v. § 3 BDSG, wenn die datenspeichernde Stelle (hier: Betreiber eines Internetportals) die hinter der Einzelangabe (hier: IP-Adresse) stehende Person nicht mit den ihr normalerweise zur Verfügung stehenden Kenntnissen und Hilfsmitteln und ohne unverhältnismäßigen Aufwand bestimmen kann.

3. Der Betreiber eines Internetportals kann den hinter einer dynamischen IP-Adresse stehenden Nutzer nur mit Hilfe des Access Providers ermitteln, der aber mangels Rechtsgrundlage Angaben über den Nutzer nicht ohne weiteres zur Verfügung stellen darf. Die theoretisch denkbare, aber dann illegale Möglichkeit einer Identifikation des Nutzers durch den Access Provider und Weitergabe der Daten an den Portalbetreiber entspricht nicht der Definition der Bestimmbarkeit der personenbezogenen Daten (vgl. zuvor Leitsatz 2). Eine illegale Handlung kann nicht als normalerweise und ohne großen Aufwand durchzuführende Methode angesehen werden.

Das Urteil steht im Widerspruch zu einer Entscheidung des Amtsgerichts Berlin-Mitte vom 27.03.2007. Das Amtsgericht hatte hier dem Betreiber einer Webseite die Speicherung der IP-Adressen der Nutzer der Seite untersagt mit der Begründung es seien personenbezogene Daten, die dem Bundesdatenschutzgesetz (BDSG) unterlägen. Gerade die Bestimmbarkeit einer Person, so das Gericht in diesem Fall, sei nicht nur gegeben, wenn der Betroffene mit legalen Mitteln identifiziert werden könnte. Das Datenschutzrecht solle gerade vor dem Missbrauch von Daten schützen, so dass eine derartige Einschränkung des Begriffs der Bestimmbarkeit von Personen nicht gerechtfertigt erscheine.

Fazit:

Es bleibt spannend. Nach Meinung des Verfassers stellt eine dynamische IP-Adresse kein personenbezogenes Datum dar, da nur über die Staatsanwaltschaften oder die Gerichte nach rechtsstaatlichem Verfahren eine Zuordnung über den Access-Provider des Nutzers möglich wäre. Dies dürfte nicht genügen, um dem Erfordernis der „Bestimmbarkeit“ einer natürlichen Person im Sinne des Bundesdatenschutzgesetzes gerecht zu werden. Allerdings zeigen die beiden oben genannten gegensätzlichen Entscheidungen, dass es sich hier um ein Thema handelt, dass uns noch lange begleiten wird. Bis zur endgültigen Klärung sollten Webseitenbetreiber daher sehr vorsichtig mit der Speicherung solcher Nutzerdaten sein, diese wenn möglich unterlassen oder zumindest in ausführlichen Datenschutzbelehrungen über die Verwendung und das Vorgehen mit diesen Daten informieren. 

Timo Schutt

Rechtsanwalt & Fachanwalt für IT Recht