Die Frage, ob IP-Adressen personenbezogene Daten sind oder nicht, ist nicht nur eine akademische, denn sie hat auch durchaus Praxiswert: Vom Nutzungsverhalten über Suchmaschinenauswertung, Logfileschreiben und Profilbildung zu (illegalem) Filesharing, überall stehen IP-Adressen im Mittelpunkt.
Sehr schnell spielen dann wirtschaftliche oder politische Interessen die Hauptrolle, so dass man das Gefühl hat, die Argumente gehen vom gewünschten Ergebnis aus und nicht nach der Sach- und Rechtslage.
Der Inhalt im Überblick
Überblick im Bezug auf das Datenschutzrecht
Die erste Abgrenzung sollte man bei der Anwendbarkeit von Datenschutzrecht im Verhältnis zu anderen Rechtsgebieten wie Urheberrecht oder Strafrecht ziehen.
Beginnt man beim Datenschutzrecht, lautet die erste Frage daher, ob IP-Adressen personenbezogene Daten im Sinne von § 3 Abs. 1 BDSG sind. Hierfür ist erforderlich, dass durch das Datum (Einzelangabe über persönliche oder sachliche Verhältnisse) eine natürliche Person bestimmt oder bestimmbar werden kann. In diesem Blog ist darüber schon berichtet worden.
In Rechtsprechung und Literatur haben sich im Zusammenhang mit dynamischen IP-Adressen im Wesentlichen zwei Ansätze gebildet, der absolute und der relative Personenbezug.
- Die Verfechter des absoluten Personenbezugs argumentieren, dass hinter jeder IP-Adresse ein Anschlussinhaber steht, der damit identifiziert werden kann, auch wenn hierfür die Mitwirkung des Internet Service Providers (ISP) erforderlich ist. Die Tatsache, dass nicht jeder Anschlussinhaber eine natürliche Person ist, ist dabei nicht relevant, ausreichend sei es, wenn auch nur bei einem Teil der Bezug zu Menschen hergestellt werden kann.
- Der relative Personenbezug geht von den faktischen Möglichkeiten Desjenigen aus, der die IP-Adresse zur Kenntnis nimmt, erhebt, verarbeitet oder nutzt. Hier ist bei vielen Beteiligten (z.B. dem durchschnittlichen Webseitenbetreiber) mit eigenen Mitteln – also ohne Aufklärung durch den ISP – in der Regel kein Personenbezug herzustellen.
Konsequenzen für Behandlung von IP-Adressen
Der Blog Internet-Law hat sich vor knapp einem Jahr ausführlich mit der Thematik auseinandergesetzt und brachte des weiteren zur Auslegung die Europäische Datenschutzrichtlinie ins Spiel. Europarechtlich sei relativ deutlich zum Ausdruck gebracht worden, dass es nicht nur auf die Möglichkeiten der speichernden Stelle ankommt, sondern es genügt, wenn ein Dritter (also z.B. der ISP) den Personenbezug herstellen kann.
Das Argument wird nicht von der Hand zu weisen sein – zumal diesem Ansatz des absoluten Personenbezugs auch die meisten Aufsichtsbehörden folgen (und die wären es, die im Zweifelsfall Bußgelder verhängen würden). Die pragmatische Umsetzung der letzten Jahre bestand folgerichtig auch darin, den Personenbezug anzunehmen und die IP-Adressen entsprechend dem Datenschutzrecht zu behandeln – z.B. wie auf dieser Website, auf der Sie gerade sind, vor einer möglichen Auswertung zu anonymisieren.
Urteil zu Filesharing und IP-Adressen
Beim Urheberrecht ist es dagegen eigentlich egal, ob die IP-Adresse personenbezogen ist oder nicht. Wichtig ist hier vielmehr, ob eine konkrete Person identifiziert werden kann.
In diesem Zusammenhang hat jetzt ein New-Yorker Richter geurteilt, dass dass zur Belangung von Nutzern von BitTorrent und anderer Tauschbörsen die IP-Adresse nicht ausreiche:
Der Richter ist der Auffassung, dass es heikel sei, die für einen Internetzugang bezahlende Person mit jener Person gleichzusetzen, die die IP-Adresse des Zugangs für einen illegalen Download verwendet hat. Die starke Verbreitung von drahtlosen Netzwerken, über die mehrere Personen mit derselben IP-Adresse ins Netz gelangen, stütze sein Argument. Richter Brown empfiehlt daher anderen Richtern seinem Beispiel zu folgen.
Ganz übertragbar auf unsere Verhältnisse ist das Urteil aber nicht. Wer sein W-Lan bei Einrichtung nicht nach dem Stand der Technik gegen unerlaubte Mitnutzung absichert, haftet laut dem Bundesgerichtshof (I ZR 121/08) unter Umständen für über den Anschluss begangene Urheberrechtsverletzungen, insoweit war die Ausgangslage etwas verschieden.
Auch dieses Urteil trägt als weiteres Puzzlestück zur Rechtsfindung bei. Sinnvoll ist auf jeden Fall eine gesetzliche Nachbesserung – vielleicht auch im Rahmen der EU-Datenschutzrichtlinie?