Das LG Berlin (Urt. v. 06.09.2007 - Az.: 23 S 3/07) hat entschieden, dass die Speicherung von IPs und sonstigen personenbezogenen Daten rechtswidrig ist.
Beklagte war das Bundesjustizministerium. Der Kläger begehrte die Unterlassung der Datenspeicherung (ua. IP-Adresse, Host), die beim Besuch der Webseite www.bmj.bund.de erfolgte.
Zu Recht, wie die Berliner Richter entschieden.
In der 1. Instanz bewertete das AG Berlin (5 C 314/06) die IPs als personenbezogene Daten iSd. des Datenschutzrechts:
"Die Daten, die die Beklagte (...) speicherte (...), stellen nach zutreffender Ansicht personenbezogene Daten im Sinne des § 15 Abs. 1 TMG dar. Nach zutreffender Ansicht sind IP-Adressen personenbezogene Daten. Nach Auffassung des Gerichts gilt das auch im Verhältnis zur Beklagten und sonstigen Betreibern von Internetportalen, auf die Zugriff genommen werden kann (...).
Nach zutreffender Ansicht des Hessischen Datenschutzbeauftragten (...) ist es durch die Zusammenführung der personenbezogenen Daten mit Hilfe Dritter bereits jetzt ohne großen Aufwand in den meisten Fällen möglich, Internetnutzer aufgrund ihrer IP-Adresse zu identifizieren. Eine Verneinung des Personenbezuges von dynamischen IP-Adressen (...) hätte zur Folge, dass diese Daten ohne Restriktionen an Dritte z.B. den Access-Provider übermittelt werden könnten, die ihrerseits die Möglichkeit haben, den Nutzer aufgrund der IP-Adresse zu identifizieren, was mit dem Grundgedanken des Datenschutzrechts nicht vereinbar ist.
Abgesehen davon wird die Rechtsauffassung der Beklagten insoweit nicht geteilt, als vorgetragen wird, dass eine Bestimmbarkeit der Person nur gegeben sei, wenn der Betroffene mit legalen Mitteln identifiziert werden könne. Zu Recht weist der Kläger darauf hin, dass das Datenschutzrecht gerade vor dem Missbrauch von Daten schützen soll, so dass eine derartige Einschränkung des Begriffs der Bestimmbarkeit von Personen seitens des Gerichts als nicht gerechtfertigt erachtet wird.
Dann setzt sich das Gericht mit der Frage auseinander, ob nicht ein sachlicher Grund für die Datenspeicherung bestand:
"Es bestand vorliegend auch keine Rechtfertigung für die Speicherung der Daten seitens der Beklagten. Nach § 15 Abs. 1, Abs. 4 TMG ist eine Speicherung zur Ermöglichung der Inanspruchnahme und zu Zwecken der Abrechnung zulässig; gemäß Absatz 8 der Vorschrift auch dann, wenn Anhaltspunkte bestehen, dass entgeltliche Leistungen nicht oder nicht vollständig vergütet werden sollen.
Keine dieser Voraussetzungen ist vorliegend gegeben. Eine Rechtfertigung für die Speicherung ergibt sich auch nicht aus § 9 BDSG. Zu Recht weist Schmitz in Spindler/Schmitz/Geis § 6 TDDSG Rn. 86 darauf hin, dass die Verweisung des TKG und des TDDSG auf den allgemeinen Teil des BDSG bezüglich § 9 BDSG nur so verstanden werden kann, dass diese Vorschrift die Umsetzung der Vorschriften des TKG bzw. des TDDSG bewirken soll und nicht deren „Aufhebung“."
Im Klartext: Ein Rückgriff auf § 9 BDSG als Ermächtigungsgrundlage für die Speicherung lehnt das Gericht aus systematischen Gründen ab. Es verneint damit die Möglichkeit aus sonstigen Gründen (z.B. IP-Speicherung, um DDoS-Attacken oder Forum-Spamming abzuwehren) die Daten zu speichern.
Kommentar von RA Dr. Bahr:
Da haben wir nun den Salat: Die Berliner Richter legen - wenn auch sicherlich unbewusst - den Finger in die offene Wunde und stellen fest, dass eine deutsche Webseite grundsätzlich keine IPs speichern darf.
Die Entscheidung demonstriert anschaulich, dass es dem deutschem Gesetzgeber seit Jahren nicht gelungen ist, ein praxistaugliches Datenschutzrecht zum Online-Bereich zu verabschieden. Wenn nämlich die Legislative hier halbwegs klare und eindeutige Regelungen hergestellt hätte, bräuchte das Berliner Gericht nicht so im Nebel zu stochern und zu solch einem absolut praxisuntauglichen Ergebnis zu kommen.
Die Kritik ist somit primär an den Gesetzgeber zu richten.
Im deutschen Online-Datenschutzrecht ist nahezu alles ungeklärt. So ist z.B. vollkommen offen, ob der Einsatz von Cookies überhaupt in den Bereich der personenbezogenen Daten und damit in das Datenschutzrecht fällt. Der BGH hat zwar hinsichtlich der Speicherung von IP-Nummern scheinbar vor kurzem ein Machtwort gesprochen. Schaut man jedoch näher hin, ist dem ganz und gar nicht so: Denn der BGH hat sich inhaltlich zu der Frage, ob IPs personenbezogene Daten sind, nicht geäußert, sondern die Beschwerde vielmehr ausschließlich aus formalen Gründen abgelehnt.
Und auch niemand konnte bislang erklären wie die bestehenden Belehrungspflichten nach dem TMG praxistauglich umzusetzen sind, vgl. dazu unsere Telemedien-und-Recht-FAQ. Das TMG verlangt nämlich die vorherige Belehrung. Dies müsste dann so aussehen: Sie rufen die Webseite www.abcdefg.de auf. Anstatt dass Sie dort - wie üblich - den Inhalt der Webseite sehen, erfolgt zunächst die Belehrung. Nur wenn der User dieser Belehrung zustimmt, kommt er auf den eigentlichen Inhalt der Webseite. Alles klar? ;-)
Ach und vergessen Sie nicht, das Log-File für die erste Seite, auf der die datenschutzrechtliche Erklärung ist, auszuschalten. Denn bei dieser Seite dürfen Sie ja noch nichts speichern. Denn die erforderliche Einwilligung des Users bekommen Sie ja erst durch dessen Bestätigung auf dieser Seite.
Bei aller Problematik gilt es die Kirche im Dorf zu lassen. Denn von einer "Grundlagen"-Entscheidung - wie so manches Online-Magazin tituliert - ist das Urteil sowohl formal als auch inhaltlich weit entfernt.
Zum einen ist es das erste und einzige Urteil, das in diesem Umfang die IP-Speicherung verbietet. Alle bislang ergangenen sonstigen Entscheidungen haben hier eine weitaus differenziertere Ansicht vertreten. Zum anderen ist die Meinung, es handle sich um personenbezogene Daten in der juristischen Fachwelt außerordentlich umstritten und keineswegs - wie oben erläutert - durch den BGH geklärt.
Dass die praktischen Konsequenzen in der deutschen Online-Welt gewaltig wären, wenn sich diese Rechtsansicht durchsetzen würde, dürfte selbst dem Unbedarftesten schnell ersichtlich sein: Bereits der bloße Betrieb eines Standard-Webservers a la Apache würde zur Rechtswidrigkeit führen, da die IP-Speicherung im Log-File nach deutschem Recht verboten wären. Und: Zahlreiche bekannte Webservices wären rechtswidrig.
Aber, wie gesagt, die aktuelle Entscheidung sollte nicht überdramatisiert werden. Es ist nicht das erste "§$=&("-Urteil zum Online-Recht. Und wird auch nicht das letzte bleiben.