Personenbezogene Daten im Fokus:
Webtracker und die Datenschutzbelehrung

Zahlreiche Webseitenbetreiber verwenden Tools, die benutzerbezogene Dateien speichern. Google Analytics beispielsweise bietet Websitebetreibern die Möglichkeit, Daten der Nutzer der Website zu erheben und auszuwerten. Das Tracking von Besucherbewegungen, verwendeter Zeit, Browsertyp und ggf. der geographischen Position der User hilft, die Webpage zu optimieren.

Webtracker befinden seit einiger Zeit unter kritischer rechtlicher Beobachtung. Hintergrund ist, dass nach § 15 Abs. 1 Telemediengesetz (TMG) der Diensteanbieter personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben und verwenden darf, "soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen". Die Verwendung dieser Daten über das Ende des Nutzungsvorgangs hinaus ist nur erlaubt, "soweit sie für Zwecke der Abrechnung mit dem Nutzer erforderlich sind" (§ 15 Abs. 4 TMG).

Beides liegt beim Webtracking nicht vor, so dass eine Verwendung personenbezogener Daten unzulässig ist, wenn der Betroffene in die Erhebung und Auswertung nicht einwilligt. Problematisch ist daher, ob die erhobenen Daten personenbezogen sind. Von den regelmäßig erhobenen Daten ist dies vor allem für die IP-Adressen fraglich.

IP-Adressen und Personenbezogenheit

Gemäß § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) sind personenbezogene Daten "Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person". Die Gretchenfrage ist damit, ob eine natürliche Person allein aus einer IP-Adresse "bestimmbar" ist.

Es gibt verschiedene Auslegungsmöglichkeiten der Vorschrift. Nach der liberaleren Ansicht richtet sich die Bestimmbarkeit nach den Möglichkeiten der Person oder Stelle, die die Daten erhoben hat, den Nutzer zu identifizieren ("relativen Bestimmbarkeit"). Dies führt dazu, dass das gleiche Datum für einen Dienstleister Personenbezug haben kann, weil er aus der Information einen Rückschluss auf eine konkrete Person ziehen kann, während das Datum für andere Dienstleister neutral ist, weil sie keine Möglichkeit haben, die dahinterstehende Person zu identifizieren.

Für die alternative Auslegung der Vorschrift im Sinne einer "absoluten Bestimmbarkeit" genügt die theoretische Möglichkeit einer Identifizierung des Betroffenen, gleich ob das die Mitwirkung eines Dritten, illegale Methoden oder unverhältnismäßigen Aufwand erfordert. Nach dieser Ansicht genügt es etwa für die Annahme von Bestimmbarkeit, wenn der Websitebetreiber die IP-Adresse unter Mitwirkung des Accessproviders in der Lage ist, den Anschlussinhaber - und damit womöglich den Nutzer - zu identifizieren. Die Frage, wie wahrscheinlich eine Herausgabe der Daten durch den Accessprovider ist, stellt sich für die Anhänger dieser Ansicht nicht.

Rechtsprechung aus Berlin

In 2007 hat das Amtsgericht Berlin-Mitte (Urteil vom 27.3.2007, Az. 5 C 314/06) entschieden, dass die dynamische IP-Adresse des Klägers ein personenbezogenes Datum im Sinne des § 15 Abs. 1 TMG darstelle. Die II. Instanz hat das Urteil bestätigt, allerdings ohne auf die entscheidenden Fragen einzugehen (Landgericht Berlin vom 6.9.2007, Az. 23 S 3/07). In dem Fall ging es bekanntlich um die Speicherung von IP-Adressen der Nutzer durch das Bundesministerium der Justiz.

Das Amtsgericht begründete seine Ansicht mit einem Hinweis auf die zugrunde liegende EG-Datenschutzrichtlinie, wonach "bei der Entscheidung, ob eine Person bestimmbar ist, alle Mittel berücksichtigt werden sollten, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen".

Nach Auffassung des Gerichts hätte eine Verneinung des Personenbezuges von dynamischen IP-Adressen unter Umständen die Nichtanwendbarkeit der Vorschriften des TMG zur Folge. Dies führe dazu, "dass diese Daten ohne Restriktionen an Dritte, z.B. den Access-Provider, übermittelt werden können, die ihrerseits die Möglichkeiten haben, den Nutzer aufgrund der IP-Adresse zu identifizieren". Weiter meint das Amtsgericht, dass eine Bestimmbarkeit der Person auch dann gegeben sei, wenn der Betroffene nur mit illegalen Mitteln identifiziert werden kann.

Das Berliner Urteil war spektakulär, aber nicht frei von Zweifeln. Dem Websitebetreiber ist es nämlich in der Regel nicht möglich, den Besucher aus der IP-Adresse individuell zu identifizieren. Ohne weitere Informationen (z.B. durch eine gleichzeitige vertragliche Beziehung mit dem Nutzer), fehlt ihm die Zuordnungsmöglichkeit. Die Accessprovider sind weder bereit noch verpflichtet, weitere Daten herauszugeben, so dass sich der Anschlussinhaber allenfalls mit Hilfe der Staatsanwaltschaft ermitteln lässt. Zudem ist damit eine eindeutige Identifizierung des Nutzers nicht möglich, weil etwa bei Unternehmensanschlüssen oder Internet Cafes eine Bestimmung des Surfenden unmöglich ist.

Rechtsprechung aus München

Im Unterschied zu der Berliner Rechtsprechung hat das Amtsgericht München im September letzten Jahres entschieden, dass eine dynamische IP-Adresse für einen Websitebetreiber kein personenbezogenes Datum im Sinne von § 3 Abs. 1 BDSG darstellt (Urteil vom 30.9.2008, Az. 133 C 5677/08). Es fehle an der notwendigen Bestimmbarkeit.

Die für einen Websitebetreiber normalerweise zur Verfügung stehenden Informationen und Hilfsmittel würden es nicht ermöglichen, die hinter der IP-Adresse stehende natürliche Person ohne unverhältnismäßigen Aufwand zu ermitteln.

Das Gericht vertritt die Auffassung, dass - obwohl es theoretisch für den Beklagten möglich wäre den Anschlussinhaber mit Hilfe des Accessproviders zu identifizieren - diese Möglichkeit mangels Rechtsgrundlage faktisch nicht besteht. Das Münchener Gericht entschied, dass eine illegale Handlung "kaum als normalerweise und ohne großen Aufwand durchzuführende Methode angesehen" werden könne.

Folgen der Unsicherheit

Ein Konsens unter den Juristen wurde seit dem nicht erreicht. Es spricht aber deutlich mehr für den relativen Bestimmbarkeitsbegriff. Es muss darauf ankommen, ob derjenige, der die Daten erhebt oder verarbeitet, aus den Daten natürliche Personen identifizieren kann. Dies ist im Verhältnis Websitebetreiber zu Internet-Nutzer regelmäßig nicht der Fall. Danach sind gespeicherte IP-Adressen keine personenbezogenen Daten in Sinne § 3 Abs. 1 BDSG.

Stellt man sich jedoch auf den Standpunkt, dass es sich bei der IP-Adresse des Surfenden um ein personenbezogenes Datum handelt, führt dies einerseits zu einer Informationspflicht. Gemäß § 13 Abs. 1 TMG besteht nämlich eine Unterrichtungspflicht des Webseitenbetreibers zu Beginn des Nutzungsvorgangs, über Zweck, Art und Umfang der Datenerhebung und Datenverwendung. Andererseits ist die Erhebung der IP-Adresse in diesem Falle aber nur bei einer Einwilligung gestattet, weil die Erlaubnistatbestände der §§ 13 ff. TMG nicht greifen, so dass der Nutzer vor der Erhebung einwilligen muss.

Während sich die Informationspflicht noch erfüllen lässt, ist die Einholung der Einwilligung praktisch unmöglich, weil dies einen Dialog mit dem Nutzer vor der Speicherung der IP-Adressen voraussetzen würde.

Jeder Websitebetreiber, der über Webtracking-Dienste IP-Adressen erhebt, hat daher drei Möglichkeiten:

  • Er kann die Regelungen über personenbezogene Daten unter Hinweis auf die relative Bestimmbarkeit ignorieren. Gegebenenfalls drohen die Inanspruchnahme von Betroffenen und Wettbewerbern, gegen die man sich - mit guten Chancen - wehren könnte.
  • Integration einer Einwilligungsabfrage auf einer Landing-Page vor Erhebung der IP-Adressen auf der Website. Abgesehen von der abschreckenden Wirkung ist dies natürlich insbesondere bei Deep-Links problematisch.
  • Verwendung einer Datenschutzerklärung als Kompromisslösung, die auf der Website verlinkt ist und dem Nutzer mitteilt, welche Daten erhoben und zu welchem Zweck und in welcher Weise diese verwendet werden.
Datenschutzerklärung

Soll eine Datenschutzerklärung verwendet werden, muss jede Erhebung und Verarbeitung personenbezogener Daten erläutert werden. Im Hinblick auf das Webtracking mit Erhebung der IP-Adresse bietet sich folgender Text an:

Bei dem Besuch unserer Website speichern wir jeden Zugriff in einer Protokolldatei. Folgende Dateien werden dabei erfasst und bis zur automatisierten Löschung von uns gespeichert:
- die IP-Adresse des anfragenden Rechners,
- das Datum und die Uhrzeit des Zugriffs,
- der Name und die URL der abgerufenen Datei,
- die Website, von der aus der Zugriff erfolgte,
- ...

Die Erhebung und Verarbeitung dieser Daten erfolgt zu folgenden Zwecken: dauerhafte Gewährleistung der Systemsicherheit und -stabilität, technische Administration der Netzinfrastruktur, Optimierung unseres Internet-Angebots und Erstellung und Auswertung einer internen Statistik.

Die Datenschutzerklärung muss für den Nutzer jederzeit abrufbar sein und sollte ähnlich dem Webimpressum über die Navigation der Website leicht zugänglich sein. Wer weitere personenbezogene Daten oder zu anderen Zwecken erhebt, muss die Datenschutzerklärung natürlich erweitern und anpassen.

 

Fazit

Die gesetzlichen Bestimmungen zur Frage der Personenbezogenheit von IP-Adressen sind nicht eindeutig. Vieles spricht dagegen, dass IP-Adressen für Websitebetreiber Personenbezug aufweisen. Das letzte Wort ist hier noch nicht gesprochen. Wer zeigen möchte, dass ihm der Datenschutz ein wichtigen Anliegen ist, kann eine Datenschutzerklärung formulieren lassen und auf die Website aufnehmen. Zu einhundert Prozent rechtssicher ist die Website damit aber nicht.

 
Über den Autor

Dr. Martin Schirmbacher ist Partner bei HÄRTING Rechtsanwälte, Berlin.

Dr. Martin Schirmbacher
HÄRTING Rechtsanwälte
Chausseestr. 13
10115 Berlin
Telefon: +49 30 28 30 57 40
Fax: +49 30 28 30 57 44
Email: schirmbacher@haerting.de
Web: www.haerting.de

Kommentare

Mathias schrieb am 09.03.2009:
Für mich ergibt sich eine ganz praktische Frage … Es ist für einen Websitebesucher nicht ersichtlich, ob der Webserver die IP-Adresse etc. überhaupt protokolliert, und es dürfte sehr schwierig sein, diese Information auf legalem Wege – d. h. ohne social engineering – zu erhalten. Wieso sollte ich deshalb in den Datenschutzerklärungen online angeben, dass die IP-Adresse protokolliert wird und damit evtl. sogar die Chancen auf einen Abmahner-Angriff erhöhen, indem ich die Protokollierung zugebe?
Martin Schirmbacher schrieb am 09.03.2009:
Ganz so schwierig scheint es für mich nicht zu sein herauszufinden, ob der Website-Betreiber Tracking Tools einsetzt. Für Firefox gibt es z.B. Counterpixel: http://snipurl.com/dfxbj.
Aber in der Tat: Wo kein Kläger da kein Richter.

Besten Gruß

Martin Schirmbacher
Mathias schrieb am 09.03.2009:
Nunja, es geht ja nicht um beliebige Tracking-Tools. Ob z. B. Google Analytics eingesetzt wird, ist tatsächlich leicht herauszufinden (und Google weist ja in den AGB darauf hin, dass jeder Website-Betreiber den User darauf hinweisen muss), doch ich kenne keine Möglichkeit, wie herauszufinden sein kann, ob der Server die IP-Adresse speichert. Sicher, das machen 99+% aller Webserver, aber für den User ist das nicht sichtbar.
Katja schrieb am 19.05.2009:
Gibt es es denn Alternativen zu dem komfortablen Trackingssystems Google Analytics, die 100% konform mit der Rechtsprechung sind?
Kommentar abgeben
Name
E-Mail (wird nicht veröffentlicht)
Spamschutz: Wieviel ist 2+2?
Kommentar