Deutsches Gericht befindet das Speichern von IP-Adressen durch ISPs zulässig

Am 30. September 2008 entschied das Amtsgericht München, dass Webseitenbetreiber nicht gegen den Datenschutz verstoßen, wenn sie die IP-Adressen ihrer User speichern, da die IP-Adressen an sich nicht als persönliche Daten eingestuft werden; das Urteil ist nicht rechtskräftig.

Der Fall wurde von einer Einzelperson mit dem Argument vor Gericht gebracht, dass die Speicherung von IP-Adressen in Logfiles durch einen Webpublisher einen Verstoß gegen den Datenschutz darstelle, weil die Informationen verwendet werden könnte, um Personen zu identifizieren und deren Identität mit den Websurfing-Gewohnheiten in Verbindung zu bringen. Das Gericht lehnte den Antrag ab und entschied dagegen.

Das Gericht sieht IP-Adressen nicht als persönliche Daten unter dem Deutschen Datenschutzgesetz an, weil die Information nicht einfach eingesetzt werden kann, um die Identität einer Person festzustellen und ein ISP könnte Drittpersonen nicht ohne gesetzliche Grundlage davon in Kenntnis setzen, wer zu einer gewissen Zeit welche IP-Adresse verwendet. Solche Informationen werden von ISPs nur dann zur Verfügung gestellt, wenn eine gerichtliche Verfügung vorliegt.

Das Urteil besagt auch, dass IP-Adressen die notwendige „Bestimmbarkeit“ fehle, um als persönliche Daten eingestuft zu werden, was bedeutet, dass die Identität der Person hinter der Information nicht ermittelt werden kann, ohne das ein unverhältnismäßiger Aufwand betrieben werden muss und ohne den Einsatz „normalerweise zur Verfügung stehenden Kenntnissen und Hilfsmitteln“.

Dennoch sollt die Bedeutung dieses Urteils nicht überbewertet werde. Es wurde von einem Amtsgericht ohne IT-Experten gefällt und der Richter ließ die abweichenden Entscheidungen von höheren Gerichtshöfen in Berlin vollkommen außer Acht. Das Urteil bezieht sich nur auf dynamische IP-Adressen.

Datenschutzaktivisten weisen darauf hin, dass IP-Adressen als persönliche Daten gelten und unter die Privatsphäre fallen müssten. Die Arbeitsgruppe Artikel 29 ist ebenfalls der Meinung, dass IP-Adressen von den ISPs und Suchmaschinen als persönliche Daten eingestuft werden sollten, selbst wenn sie nicht immer persönliche Daten darstellen. „Sofern der Internetdienstanbieter sich in der Position befindet, mit absoluter Sicherheit festzustellen, dass die Daten sich auf Personen beziehen, die nicht identifiziert werden können, muss er vorsichtshalber alle IP-Informationen als persönliche Daten behandeln. Diese Überlegungen gelten auch für die Betreiber von Suchmaschinen,“ hieß es in einem Bericht der Arbeitsgruppe Artikel 29 vom April.

Im Hinblick auf die Tatsache, dass IP-Adressen von einigen nicht als persönliche Daten angesehen werden, erklärte der Europäische Datenschutzbeauftragte Peter Hustinx in einem Interview mit EurActiv über die Datenschutzbestimmungen: „Von heute an besteht in diesem Zusammenhang eine gewisse Unsicherheit, und daher wird wahrscheinlich bald eine Untersuchung der Kommission vorliegen, um etwas mehr Klarheit zu erreichen. Die verbreitete Meinung der Datenschutzexperten lautet jedoch, dass IP-Adressen in vielen Situationen tatsächlich als persönliche Daten gelten. Daher sollten Websites, Internetdienstanbieter und andere Beteiligte sicherstellen, dass der Datenschutz eingehalten wird. Es ist äußerst wichtig, dass ausdrücklich auf diese Tatsache hingewiesen wird.“ Er ist außerdem der Ansicht, dass die Europäische Kommission die Anwendung bestehender Datenschutzregeln in Zusammenhang mit RFIDi klarstellen müsse, um damit „großen sozialen Gefahren“ vorzubeugen.

German court says IP addresses in server logs are not personal data (14.10.2008)

Hustinx: Tracking people 'easier' with RFID (3.10.2008)

AG München: IP-Adressen dürfen von Website-Betreibern gespeichert werden (7.10.2008)