Offene Netze und Recht

Auf Telemedicus hat Adrian Schneider die datenschutzrechtliche Komponente zum neuen Vorfall analysiert, bei dem Google eingestanden hat, für Google Street View nicht nur die Daten eines WLAN sondern auch Nutzdaten aus den Netzen erfasst zu haben (dazu nähere Informationen bei heise-online).

Dabei kommt Adrian Schneider zu folgendem Ergebnis:

“Denn datenschutzrechtlich ist selbst in einem solch gravierenden Fall die Rechtslage nicht eindeutig. Die Aufsichtsbehörden müssten nachweisen, dass tatsächlich „personenbezogene Daten” durch Google erhoben wurden, um etwa ein Bußgeld gegen den Konzern verhängen zu können. Doch das wird bei reinen Datenfragmenten nur in seltenen Einzelfällen gelingen – wenn überhaupt.”

Allerdings muss man sich dabei auch die Möglichkeiten vor Augen führen, die Google mit den erhobenen Daten beabsichtigt hat: Google hat die Daten zum WLAN-Knoten (nicht die Nutzdaten) schließlich erhoben, um eine Karte von WLANs für ganz Deutschland zu erstellen. Diese nutzt Google (zumindest in anderen Ländern) bereits zur Geolokalisierung. Das hat zur Folge, dass Google auch in der Lage sein dürfte, die sehr genaue Position eines WLAN-Knotens festzustellen.

Für einen Personenbezug nach BDSG reicht es aber aus, dass die Person bestimmbar ist (zum Personenbezug von Geodaten s. Forgo/Krügel, MMR 2010, 17). Ausreichend dafür ist, dass mit nicht unverhältnismäßigem Aufwand ein Personenbezug herstellbar ist (Gola/Schomerus, § 3 BDSG Rn. 10, 44). Dies dürfte jedenfalls bei Ein-Personen-Haushalten der Fall sein. Sowohl die WLAN-Knoten-Informationen als auch die Nutzdaten können also möglicherweise (z.B. zusammen mit dem Telefonbuch, oder was auch immer Google zur Verfügung hat) auf eine Person bezogen werden. Damit unterfallen die gesamten Daten dem BDSG und sind rechtswidrig erhoben worden (eine Analyse für die separierten WLAN-Knoten-Informationen findet sich auch bei Telemedicus hier). Es ist auch kaum davon auszugehen, dass Google die Datenfragmente nicht mit Bezug zum erfassten WLAN gespeichert hat.

Die Datenschutzbehörden sollten sich also von Google erklären lassen, welche Verknüpfungsmöglichkeiten Google geplant hat und mit seinen Ressourcen realisieren könnte.

Noch eine allgemeine Bemerkung am Ende: Bei den technischen Möglichkeiten und Ressourcen, die Google hat, ist die Rechnung nach dem BDSG relativ einfach: Sobald Google ein Datum hat, das auf eine Person beziehbar ist (z.B. bei einem GMail-Account), sind alle Daten, die Google mit Rechenkraft oder unter Rückgriff auf andere Quellen eindeutig in Bezug zu diesem Datum setzen kann, personenbezogen.

Im Blog des AK Vorratsdatenspeicherung ist ein kurzer Beitrag als Antwort auf Härting, NJW-aktuell 3/2010, S. 10: „Spuren im Netz“, erschienen.
Darin belegt er erneut, dass die IP-Adresse ein personenbezogenes Datum ist, und setzt sich kurz mit der entgegenstehenden mM auseinander, der sich Härting angeschlossen hatte (s. zur IP-Adresse und Personenbezug ausführlich hier und hier und hier).
Weiter behandelt der Beitrag kurz das vom BGH statuierte Recht auf Anonymität (BGH NJW 2009, 2888, 2893; eingehend Mantz, Rechtsfragen offener Netze, 2008, S. 67 ff.).

Ein lesenswerter Beitrag, der auch in NJW-aktuell 11/2010, S. 18 erschienen ist.

Wie Daten-Speicherung.de berichtet, hat der Berliner Datenschutzbeauftragte dem Blogger Niggemeier untersagt, IP-Adressen seiner Nutzer ohne Einwilligung zu speichern.

Der Berliner Datenschutzbeauftragte sieht also – mit der wohl h.M. – IP-Adressen als personenbezogene Daten an. Diese Auffassung gilt natürlich auch gegenüber Bloggern.

Auf Daten-Speicherung.de finden sich weitere Hintergründe und eine Auseinandersetzung mit den Argumenten des Anwalts von Niggemeier.

Zur Problematik von IP-Adressen s. näher

• hier
• IP-Adressen-Recht

LG Hamburg, Urt. v. 11.03.2009 – 308 O 75/09 – Vorhalten von Verkehrsdaten “auf Zuruf”

Leitsätze und Volltext finden sich in der JurPC, Web-Dok. 124/2009.

Wieder einmal ein Urteil, das an der (Rechts-)Wirklichkeit vorbei geht. Insbesondere die Figur eines “gesetzlichen Schuldverhältnisses” zwischen Access Provider und Rechtsinhaber, aufgrund dessen gespeichert werden soll, ist überhaupt nicht gesetzlich begründbar. Ganz im Gegenteil: Nach meiner Auffassung resultiert diese Ansicht gerade in einer Umkehr der gesetzlichen Regelungen in TKG und BDSG, nach denen eine Speicherung nur aufgrund einer gesetzlichen Grundlage und nicht aufgrund eines wie auch immer gearteten gesetzlichen Schuldverhältnisses gespeichert werden darf (zur fehlenden Verpflichtung zur Erhebung von Daten bei Access Providern, die ähnlich der Pflicht zur Datenspeicherung zu bewerten ist s. auch eingehend Mantz, Rechtsfragen offener Netze, S. 273 ff., Download hier). Selbst wenn man ein solches gesetzliches Schuldverhältnis annehmen würde, würde die Speicherung vermutlich trotzdem unter dem Vorbehalt der Einwilligung nach §§ 4, 4a BDSG stehen, denn ein “gesetzliches Schuldverhältnis” ist noch lange keine “gesetzliche Regelung” i.S.d. § 4 BDSG.

S. dazu auch:

• Maaßen, MMR 2009, 511
• Eingehend bei Daten-Speicherung.de
• Blog von Stefan-Lutz: “Die Entscheidung ist so lesenswert wie lebensfremd. Es bleibt zu hoffen, dass das Hanseatische Oberlandesgericht diese Entscheidung wieder aufhebt. Ob Berufung gegen das Urteil eingelegt wurde ist bislang nicht bekannt.”

Auszug aus dem Urteil:

a) Der Auskunftsanspruch nach § 101 Abs. 2 UrhG und damit das gesetzliche Schuldverhältnis zwischen dem Verletzten und dem Provider als Grundlage der Pflicht der Antragsgegnerin zur Vorhaltung der Verbindungsdaten über das Verbindungsende hinaus entsteht bereits mit der rechtsverletzenden Verbindung über eine von dem Provider einem Kunden zugewiesene IP-Adresse und sie konkretisiert sich auch für den Provider mit der Kenntniserlangung von der Verletzung; so dass dieser von dem Zeitpunkt an verpflichtet ist, entsprechend der vorstehenden Ausführungen die Daten für eine Auskunft vorzuhalten, um der Auskunftspflicht auch nachkommen zu können. Dass die Zulässigkeit der Verwendung der Verkehrsdaten – und damit die Überprüfung aller Anspruchsvoraussetzungen – einem Richtervorbehalt unterliegt, ändert daran nichts. Denn dadurch soll einerseits der besonderen Schutzbedürftigkeit von Verkehrsdaten bei der Verwendung gegenüber Dritten im Zusammenhang mit der Auskunft Rechnung getragen werden und andererseits sollen Internet-Provider und Telekommunikationsunternehmen von Anspruchsprüfung entlastet werden (BT-Drucks. 16/5048, S. 40). Eine konstitutive Bedeutung für das Entstehen des Auskunftsschuldverhältnisses kommt dem Verfahren nach § 101 Abs. 9 UrhG damit nicht zu.

b) Die begehrte Vorhaltung der Verkehrsdaten ist datenschutzrechtlich zulässig. Zwar sind Verkehrsdaten grundsätzlich gemäß § 96 Abs. 2 Satz 2 TKG nach Beendigung einer Verbindung zu löschen. Hier besteht aber eine Ermächtigung zur weiteren Vorhaltung der Daten zum Zwecke der Auskunft gemäß § 96 Abs. 2 Satz 1 TKG i.V.m. § 101 Abs. 2, 9 UrhG.

aa) Die datenschutzrechtlichen Regeln des Telekommunikationsgesetzes (TKG) sind grundsätzlich anwendbar, da die Antragsgegnerin einen reinen Zugangsdienst anbietet (vgl. § 1 Abs. 1 Telemediengesetz). Ferner stellt nach Auffassung der Kammer nicht nur die dynamische IP-Adresse als solche ein Verkehrsdatum im Sinne von § 3 Nr. 30 TKG dar, sondern auch die Verknüpfung der dynamischen IP-Adresse (zu einem bestimmten Zeitpunkt) mit Namen und Adressen der Kunden (Bestandsdaten) unterfällt den Regeln über Verkehrsdaten (siehe hierzu Fromm/Nordemann/Czychowski, a.a.O., § 101 Rn. 66).

bb) Nach § 96 Abs. 2 Satz 1 TKG dürfen diese Daten über das Ende der Verbindung hinaus verwendet werden, soweit sie zum Aufbau weiterer Verbindungen oder für die in den §§ 97, 99, 100und 101 TKG genannten oder für die durch andere gesetzliche Vorschriften begründeten Zwecke erforderlich sind. Bei der Auskunftserteilung nach § 101 Abs. 2 i.V.m. Abs. 9 UrhG handelt es sich um einen solchen durch eine andere gesetzliche Vorschrift begründeten Zweck. Dementsprechend enthält § 101 Abs. 10 UrhG auch den aufgrund des Zitiergebots des Artikel 19 Abs. 1 Satz 2 GG erforderlichen ausdrücklichen Hinweis, dass durch § 101 Abs. 2 in Verbindung mit Abs. 9 das Fernmeldegeheimnis (Art. 10 GG) eingeschränkt wird. Dieses Verständnis der Regelungen des § 101 UrhG wird bestätigt durch die Begründung des Regierungsentwurfs zum Gesetz zur Verbesserung der Durchsetzung der Rechte des geistigen Eigentums zur Parallelvorschrift des § 140b PatG (BT-Drucksache 16/5048 Seite 39 f). Dort wird zunächst dargestellt, dass die Verkehrsdaten nach bisheriger Rechtslage aufgrund des einfachgesetzlich (§ 88 TKG) und verfassungsrechtlich (Art. 10 Absatz 1 GG) geschützten Fernmeldegeheimnisses trotz bestehenden Bedürfnisses von Rechtsinhabern keinen zivilrechtlichen Auskunftsanspruch gegen einen Accessprovider ermöglichten. Die Regelung des Absatzes 9 mit dem Richtervorbehalt wird dann als Lösung dargestellt, die allen beteiligten Interessen am besten gerecht wird, wobei abschließend ausdrücklich auf die damit verbundene Einschränkung des Fernmeldegeheimnisses hingewiesen wird.

cc) Soweit § 96 Abs. 2 Satz 1 TKG dem Wortlaut nach nur bereits nach § 96 Abs. 1 TKG für eigene Zwecke gespeicherte Verkehrsdaten erfasst, steht das der weiteren Vorhaltung nicht entgegen.

Wenn die Verwendung von für eigene Zwecke gespeicherter Daten für die Beauskunftung nach § 96 Abs. 2 Satz 1 TKG i.V.m. § 101 Abs. 2 i.V.m. Abs. 9 UrhG datenschutzrechtlich zulässig ist, dann muss dies erst recht für solche Daten gelten, die zwar nicht schon für eigene Zwecke vorgehalten werden, die aber zur Erfüllung der gesetzlichen Auskunftspflicht erhoben werden. Dies gilt insbesondere auch deshalb, weil die Speicherung der Daten gegenüber der Verwendung der Daten für eigene Zwecke des Access-Providers für sich genommen eine deutlich geringere datenschutzrechtliche Relevanz hat (vgl. BVerfG MMR 2008, 303, 304: „Ein besonders schwerwiegender und irreparabler Nachteil […] liegt in der Datenspeicherung allein nicht.“).

Dabei ist weiter zu berücksichtigen, dass eine kurzzeitige Speicherung für eigene Zwecke nach § 96 Abs. 2 Satz 1 TKG nach Auffassung der Kammer ohnehin generell zulässig ist (so zutreffend auch AG Bonn MMR 2008, 203). Demgemäß speichern mehrere Diensteanbieter die Daten noch sieben Tage nach Verbindungsende. Es kann nicht zu Lasten der Auskunftsberechtigten gehen, dass die Antragsgegnerin von dieser zulässigen Möglichkeit keinen Gebrauch macht.

Im übrigen verkennt die Antragsgegnerin bei ihrer Argumentation, dass die Verbindungsdaten im Zeitpunkt des weiteren Speicherbegehrens auf Zuruf bereits während der laufenden rechtverletzenden Verbindung jedenfalls für technische Zwecke, nämlich zur Aufrechterhaltung der Verbindung, rechtmäßig für eigene Zwecke vorgehalten werden.

dd) Das Recht auf informationelle Selbstbestimmung der betroffenen Kunden der Antragsgegnerin steht nicht entgegen. Dieses Recht steht hier in einem Spannungsverhältnis mit dem Eigentumsrecht der Rechteinhaber (Fromm/Nordemann/Czychowski, a.a.O., § 101 Rn. 71). Das Urheberrecht ist als geistiges Eigentum gemäß Art. 14 GG geschützt. Diese Eigentumsposition darf den Rechteinhabern nicht dadurch faktisch entzogen werden, dass sie sich mangels Kenntnis der konkreten Verletzer nicht gegen Rechtsverletzungen im Internet zur Wehr setzen können. Das Recht auf informationelle Selbstbestimmung der betroffenen Nutzer, denen die IP-Adresse jeweils zugeordnet wird, muss demgegenüber zurücktreten. Dies folgt zum einen daraus, dass die Verwendungsmöglichkeiten der Information, wem eine IP-Adresse zu einem bestimmten Zeitpunkt zugewiesen worden ist, sehr beschränkt sind. Zum anderen macht derjenige, der seinen Anschluss der Öffentlichkeit zugänglich macht, auch die ihm für diesen Zeitraum zugewiesene IP-Adresse öffentlich, so dass sein Schutzbedürfnis auch aus diesem Grund als gering zu bewerten ist (OLG Köln, GRUR-RR 2009, 9, 10 f. – Ganz anders ).

ee) Eine ausufernde Speicherung von Verkehrsdaten wird über das Erfordernis einer „offensichtlichen Rechtsverletzung“ verhindert.

ff) Eine weitergehende datenschutzrechtliche Ermächtigung zur Speicherung der Verkehrsdaten ist entgegen der Ansicht der Antragsgegnerin nicht erforderlich. Aus § 111 TKG und § 113 a TKG folgt nicht, dass Diensteanbieter nur aufgrund einer besonderen gesetzlichen Anordnung zur Speicherung von Verkehrsdaten zwecks Erfüllung gesetzlich normierter Auskunftsansprüche Dritter verpflichtet sind. Beide Regelungen betreffen nämlich Auskünfte gegenüber Behörden und nicht gegenüber Privaten. Im Verhältnis zwischen Staat und Diensteanbieter muss eine öffentlichrechtliche Pflicht zur Speicherung aufgrund des Vorbehalts des Gesetzes erst durch Gesetz geschaffen werden. Vorliegend besteht aber eine zivilrechtliche Speicherpflicht bereits aus dem gesetzlichen Schuldverhältnis des § 101 Abs. 2 UrhG. Aus diesem Grund sind auch die von der Antragsgegnerin zitierten Erwägungen des Bundesverwaltungsgerichts (Urteil vom 22.10.2003, Az.: 6 C 23.02, MMR 2004, 114 ff.) auf die hier zu beurteilende Fallgestaltung nicht unmittelbar anwendbar. So hat das Bundesverwaltungsgericht seine Entscheidung zu § 90 Abs. 1 TKG a.F., der eine Pflicht der Diensteanbieter zur Führung von Kundendateien vorsah, maßgeblich darauf gestützt, dass § 90 Abs. 1 TKG a.F. gerade nicht das Verhältnis der Diensteanbieter zu ihren Kunden anspreche, sondern die Beziehung zwischen dem Diensteanbieter und dem Staat (MMR 2004, 114, 116).

gg) Dem Gesetzgebungsverfahren zu § 101 Abs. 2, Abs. 9 UrhG kann auch nicht entnommen werden, dass eine Speicherpflicht dem Willen des Gesetzgebers widerspricht. Der Rechtsausschuss hat lediglich eine Verwendung von allein nach § 113 a TKG gespeicherten Daten im Rahmen von Bestandsdatenauskünften abgelehnt und insofern klargestellt, dass die Verwendung von diesen gespeicherten Daten grundsätzlich auf die Erteilung von Auskünften für hoheitliche Zwecke beschränkt bleiben soll (BT-Drucks. 16/6979, S. 46). Ausschließlich in diesem Zusammenhang ist auch der Verweis der Rechteinhaber auf ein Vorgehen nach § 406 e StPO i.V.m. §§ 161, 163 StPO i.V.m. § 113 TKG (BT-Drucks. 16/6979, S. 46) zu sehen. Die Frage, ob sich eine Berechtigung zur Speicherung auch aus anderen Normen als § 113 a TKG ergeben kann, wird demgegenüber vom Rechtsausschuss nicht erörtert.

hh) Schließlich steht die Speicherung der Daten selbst – anders als die Übermittlung der Daten – nicht unter dem Richtervorbehalt des § 101 Abs. 9 UrhG. Der Richtervorbehalt bezieht sich nach der insoweit klaren Regelung des § 101 Abs. 9 Satz 1 UrhG auf die Verwendung der Verkehrsdaten für die Auskunft nach § 101 Abs. 2 UrhG. Das setzt, wie die Antragsgegnerin an anderer Stelle zutreffend argumentiert, vielmehr das Vorhandensein der Verkehrsdaten voraus, also deren Speicherung, dessen Sicherung für das Auskunftsverfahren gerade Gegenstand dieses Verfahrens ist.

ii) § 96 Abs. 2 Satz 1 TKG i.V.m. §§ 101 Abs. 2, Abs. 9 UrhG stellt somit eine datenschutzrechtliche Ermächtigungsgrundlage zur Speicherung der für die Auskunft nötigten Verkehrsdaten dar.

In der aktuellen MMR (Heft 8 ) ist ein sehr interessanter Aufsatz von Stefan Maaßen mit dem Titel “Urheberrechtlicher Auskunftsanspruch und Vorratsdatenspeicherung” erschienen.

Auf den urheberrechtlichen Auskunftsanspruch (hier) und die Problematik der Vorratsdatenspeicherung (hier) wurde schon des öfteren in diesem Blog hingewiesen.

Maaßen analysiert zunächst den aktuellen Stand der Rechtsprechung und weist auf die unterschiedlichen von den Gerichten angelegten Maßstäbe hin (dazu s. auch schon hier; ferner Mantz, K&R 2009, 21 m.w.N.; weitere Aufsätze zum Thema hier).

• Datenschutzrecht

Anschließend geht der Autor auf die datenschutzrechtliche Problematik ein.

“Entscheidend ist insoweit, dass in jedem Einzelfall eine Abwägung zwischen dem Datenerhebungsinteresse und den schutzwürdigen Belangen des Betroffenen zu erfolgen hat. Die Praxis der Rechteinhaber, die IP-Adressen in einem automatisierten, softwaregestützten Verfahren zu erheben, genügt diesen Anforderungen schon deswegen nicht, weil eine Einzelfallabwägung nicht erfolgt. I.Ü. dürften die schutzwürdigen Belange des Dritten überwiegen. Denn zum Zeitpunkt der Erhebung ist nicht bekannt, ob der Anschlussinhaber als Verletzer oder Störer einer Urheberrechtsverletzung in Anspruch genommen werden kann. So ist denkbar, dass es sich bei dem Anschlussinhaber um den Betreiber eines Hot Spots oder den Inhaber eines unbefugt genutzten nicht-öffentlichen Internetzugangs handelt, die nicht Störer i.S.d. Urheberrechts sind. Die bloße Möglichkeit, dass die Datenerhebung zur Durchsetzung urheberrechtlicher Ansprüche erforderlich ist, vermag einen von privater Stelle initiierten und automatisiert durchgeführten Eingriff in das Recht auf informationelle Selbstbestimmung des betroffenen Anschlussinhabers jedenfalls nach gegenwärtiger Gesetzeslage nicht zu rechtfertigen und könnte sogar ein zivilprozessuales Beweisverwertungsverbot zur Folge haben.”

• Vorratsdatenspeicherung

Zudem schließt sich der Autor der wohl mittlerweile h.M. an, dass eine Herausgabe von Daten, die nur für die Vorratsdatenspeicherung und zu keinem anderen Zweck (insb. nicht § 96 TKG wg. einer Flatrate) gespeichert wurden, *nicht* herausgegeben werden dürfen.

“Wenn der Provider keine auch nur kurzfristige Speicherung von Verkehrsdaten für eigene Zwecke vornimmt, sondern allein seiner Pflicht zur Vorratsdatenspeicherung aus § 113a TKG nachkommt, ist die Erfüllung des urheberrechtlichen Auskunftsanspruchs rechtlich unmöglich.”

S. zu dieser Thematik auch Gietl/Mantz, CR 2008, 810; Jenny, CR 2008, 82; Hoeren, NJW 2008, 3099.

• Speicherung auf Zuruf (LG Hamburg)

Interessant sind weiter die Ausführungen zu einem Urteil des LG Hamburg zur Speicheranordnung zum Zweck späterer Auskunftserteilung (LG Hamburg, Urteil vom 11.03.2009 – 308 O 75/09, JurPC Web-Dok. 124/2009). Dieses hatte eine Verpflichtung des Provider zur Speicherung “auf Zuruf” angenommen und mit einem gesetzlichen Schuldverhältnis begründet, das durch die rechtsverletzende Inanspruchnahme des Providers zwischen Rechteinhaber und Provider entstehen soll. Nach meiner Auffassung resultiert diese Ansicht gerade in einer Umkehr der gesetzlichen Regelungen in TKG und BDSG, nach denen eine Speicherung nur aufgrund einer gesetzlichen Grundlage und nicht aufgrund eines wie auch immer gearteten gesetzlichen Schuldverhältnisses gespeichert werden darf (zur fehlenden Verpflichtung zur Erhebung von Daten bei Access Providern, die ähnlich der Pflicht zur Datenspeicherung zu bewerten ist s. auch eingehend Mantz, Rechtsfragen offener Netze, S. 273 ff., Download hier). Selbst wenn man ein solches gesetzliches Schuldverhältnis annehmen würde, würde die Speicherung vermutlich trotzdem unter dem Vorbehalt der Einwilligung nach §§ 4, 4a BDSG stehen, denn ein “gesetzliches Schuldverhältnis” ist noch lange keine “gesetzliche Regelung” i.S.d. § 4 BDSG.
Maaßen steht dieser Lösung des LG Hamburg ebenfalls kritisch gegenüber und bezweifelt weiter, ob eine Umsetzung dieses “Hamburger Modells” überhaupt verfassungsrechtlich zulässig wäre.

• Schluss

Im Fazit schließlich verweist Maaßen darauf, dass ohne eine gesetzliche Regelung nichts geht.

“Um den berechtigten Interessen der Rechteinhaber an einer effektiven Durchsetzung ihrer Ansprüche Rechnung zu tragen, sind gesetzliche Vorgaben erforderlich, welche den Umgang mit IP-Adressen auf eine tragfähige datenschutzrechtliche Grundlage stellen. Eine Ausweitung des § 113b TKG dürfte aus verfassungsrechtlichen Gründen als Lösung ausscheiden.”

In der MMR ist ein Aufsatz von Paul Voigt mit dem Titel “Datenschutz bei Google” (MMR 2009, 377) erschienen.

Der Autor untersucht hierbei die datenschutzrechtliche Relevanz der Erstellung von Profilen, die über die Verknüpfung von IP-Adressen und Cookies gespeichert werden. Dabei stellt er auch die Ansichten zum Personenbezug der IP-Adresse dar. Im Ergebnis geht er davon aus, dass jedenfalls bei Google aufgrund der Vielzahl personalisierter Dienste ein Personenbezug besteht oder hergestellt werden kann. Als Folge daraus sei die Speicherung über einen längeren Zeitraum als die reine Nutzungszeit nach § 12 Abs. 1 TMG datenschutz- und damit rechtswidrig.

Interessant finde ich die Einschränkung, die der Autor macht: Google sei nur bei anmeldepflichtigen Diensten in der Lage, Personenbezug herzustellen.

Schließlich liegt eine datenschutzrechtliche Relevanz im Regelfall nur dann vor, wenn der Nutzer ein Konto bei einem anmeldepflichtigen Google-Dienst hat. In allen anderen Fällen wäre bei IP-Adressen und Cookies nach dem oben Gesagten nicht von einem Personenbezug auszugehen.

Das ist meiner Auffassung nach zu eng. Denn in vielen Fällen kann Google über andere, frei verfügbare Informationen seine Profile mit ebensolchen Personeninformationen kombinieren (s. zur Lösbarkeit der Anonymität über Personenprofilgraphen hier) und damit Personenbezug herstellen. Im Fazit stellt der Autor doch darauf ab, dass die Gefährdung des Allgemeinen Persönlichkeitsrechts zu verhindern sei:

Das Datenschutzrecht soll aber das Allgemeine Persönlichkeitsrecht einfachrechtlich schützen. Verhindert werden soll nicht nur tatsächlicher Missbrauch, sondern bereits die Gefährdung des Rechts auf informationelle Selbstbestimmung.

Wenn man diesem Gedanken aber konsequent folgt, dann besteht wenigstens die Gefahr, dass Google auch bei den nicht anmeldepflichtigen Diensten Personenbezug herstellt – mit dem Ergebnis einer Rechtswidrigkeit der Speicherung.

Der Autor empfiehlt Google zur Lösung, seine Datensätze um “personenbeziehbare Daten zu entschlacken”, also im Grunde alles zu löschen, was eine Deanonymisierung nach § 3 Abs. 9 BDSG ermöglichen würde. Die technischen Schwierigkeiten für die Dienste von Google nimmt der Autor dabei in Kauf – in Anbetracht des rechtsverletzenden Verhaltens bei der Speicherung von Daten auch eine Selbstverständlichkeit.

S. auch:

• Steidle/Pordesch, Im Netz von Google. Web-Tracking und Datenschutz, DuD 2008, 324
• “Vorsicht, Google!” in der NZZ Folio
• Lesetipp: Gabriel, Cornels: Webtracking und Datenschutz – ein „hidden problem“, MMR 2008, Heft 11, XIV
• Privatsphärenschutz in Soziale-Netzwerke- Plattformen

Daten-speicherung.de hat bereits Anfang Mai über ein Schreiben des Bundesministeriums der Justiz (BMJ) berichtet, in dem das BMJ sehr deutlich die Auffassung vertritt, dass IP-Adressen absoluten Personenbezug aufweisen – mit der wohl h.M. in der Rechtsprechung und der Literatur (dazu s. mit Nachweisen hier und hier, ferner bei Gabriel/Cornels, MMR 2008, Heft 11, S. XIV).

Durch die dabei erfolgende Registrierung der zugreifenden IP-Adresse und die sich anschließende Bestandsdatenauskunft nach den §§ 161, 163 StPO i. V. m. § 113 TKG können Name und Anschrift des jeweiligen Anschlussinhaber ermittelt werden. [...]

Die Homepageüberwachung führt zu einer Speicherung und Verwendung personenbeziehbarer und damit personenbezogener Daten im Sinne des § 3 Abs. 1 BDSG, mithin zu einem Eingriff in das Grundrecht auf informationelle Selbstbestimmung, der dem Gesetzesvorbehalt unterliegt. Darüber hinaus erscheint auch das durch Art. 5 Abs. 2 Satz 1 GG geschützte Recht, sich aus allgemein zugänglichen Quellen ungehindert zu unterrichten, beeinträchtigt.

Zu den weiteren Einzelheiten s. hier. S. auch weitere Meldungen zum Tag “IP-Adresse”

In der Literatur wird dieser Personenbezug in letzter Zeit teilweise bestritten (Eckhardt, K&R 2007, 602, 603; zuletzt Meyerdierks, MMR 2009, 8), auch das AG München folgt der Gegenauffassung. Eine Entscheidung des BGH in dieser Frage ist bisher nicht in Sicht.

Das schweizerische Bundesverwaltungsgericht hat mit Urteil vom 27.05.2009 (Az.: A-3144/2008) entschieden, dass eine IP-Adresse als personenbeziehbares Datum dem Datenschutzrecht unterfällt. Bemerkenswert ist der Ansatz, den das SchweizBVerwG hierfür verfolgt:

Ob eine Person bestimmbar ist, muss anhand objektiver Kriterien im konkreten Fall beurteilt werden, wobei insbesondere auch die Möglichkeiten der Technik, wie zum Beispiel die beim Internet verfügbaren Suchwerkzeuge, mitzuberücksichtigen sind. Entscheidend ist nicht, ob derjenige, der die Daten bearbeitet, den für eine Identifizierung erforderlichen Aufwand betreiben kann oder will, sondern ob damit gerechnet werden muss, dass ein Dritter, der ein Interesse an diesen Angaben hat, bereit ist, eine Identifizierung vorzunehmen (BELSER, a.a.O., Rz. 6 zu Art. 3 DSG; DAVID ROSENTHAL, in: Rosenthal/Jöhri, Handkommentar zum Datenschutzgesetz, Zürich 2008, Rz. 24 f. zu Art. 3 DSG).

Damit wendet das SchweizBVerwG (richtigerweise) einen sehr weiten Ansatz an. Denn es lässt ausreichen, dass ein Dritter mit diesem Datum einen Personenbezug herstellen kann.

Bei IP-Adressen handelt es sich um technische Informationen, die eine eindeutige Identifizierung eines Rechners zulassen. Dabei können statische IP-Adressen, die einem Rechner fest zugeteilt sind, wie die Beklagte in ihrer Duplik selber darlegt, vergleichbar einer Telefonnummer als Personendaten qualifiziert werden. Im Ergebnis muss dasselbe aber auch für dynamische IP-Adressen gelten: Zwar können weder die Beklagte noch die Urheberrechtsinhaber selber die hinter einer IP-Adresse stehende Person bestimmen. Der Provider muss diese Information nur im Zusammenhang mit der Verfolgung von Straftaten und nur gegenüber Behörden offenlegen. Die Person ist daher lediglich anhand der IP-Adresse nicht bestimmbar (ROSENTHAL, a.a.O., Rz. 27 zu Art. 3 DSG). Wird jedoch eine Straftat verübt, ändert sich die Situation. Nicht nur steigt das Interesse an der Bestimmung der Person hinter der IP-Adresse, mit der Einleitung einer Strafuntersuchung erhält der Urheberrechtsinhaber auch indirekt das Mittel in die Hand, die Person zu identifizieren. Dadurch werden die betreffenden Aufzeichnungen automatisch zu Personendaten auch bezüglich der so ermittelbaren bzw. ermittelten Person und nicht mehr nur des registrierten Inhabers der IP-Adresse (ROSENTHAL, a.a.O., Rz. 27 zu Art. 3 DSG). Wie die Praxis zeigt, sind gerade Urheberrechtsinhaber bereit, strafrechtlich vorzugehen, um die Identifizierung der Daten von Internetnutzern zu erwirken. Sie können, objektiv betrachtet, ein konkretes Interesse an der entsprechenden Information für sich beanspruchen. Daher ist auch damit zu rechnen, dass ein in seinen Rechten verletzter Urheberrechtsinhaber den nötigen Aufwand auf sich nimmt, diese Daten zu identifizieren. Ob sodann ein Strafverfahren zum gewünschten Erfolg führt oder allenfalls im konkreten Fall vorzeitig eingestellt wird, ändert dagegen nichts an der grundsätzlichen Bestimmbarkeit der Daten. In diesem Sinne erachtet auch die Datenschutzgruppe der Europäischen Union dynamische IP-Adressen als personenbezogene Daten gemäss Art. 2 Bst. a der Richtlinie 95/46/EG, deren Definition von Personendaten sehr ähnlich ist mit derjenigen in Art. 3 Bst. a DSG.

IP-Adressen sind folglich entgegen der Ansicht der Beklagten als Personendaten im Sinne des DSG anzusehen.

Das SchweizBVerwG formuliert dies in sehr angenehmer Deutlichkeit. Es ist damit auf einer Linie mit der h.M. in der deutschen Literatur und Rechtsprechung (s. dazu mit weiteren Nachweisen hier und hier).

Das Urteil im Volltext hier (PDF, 152 kb).

S. dazu auch:

• Daten-speicherung.de
• Weitere Meldungen zum Tag “IP-Adresse”

Schon in Heft 11 der MMR 2008, auf S. XIV, ist ein kurzer Übersichtsaufsatz von Gabriel und Cornels erschienen, in dem die Positionen zum Personenbezug von IP-Adressen nochmal aufgearbeitet und gegenübergestellt werden.

Dabei stellen Gabriel und Cornels noch einmal heraus, dass die Gerichte teilweise auch die Herstellung eines Personenbezuges über die Datenbanken der Access Provider für ausreichend erachten – eine Möglichkeit, die über § 101 UrhG oder § 406e StPO realisierbar und damit nicht von der Hand zu weisen ist (dazu s. schon hier und bei Datenschutzbeauftragter Online).

Sehr interessant ist auch das Fazit, in dem die Autoren aufgrund der Nichtunterscheidbarkeit von statischen und dynamischen IP-Adressen beim Host Provider (und nur für den bestreiten manche den Personenbezug) für eine Gleichstellung und damit die Annahme eines Personenbezuges eintreten:

Festzuhalten bleibt, dass in der Lit. nicht abschließend geklärt ist, inwieweit IP-Adressen personenbezogene Daten sind. Die derzeitige Rspr. ist unergiebig und uneinheitlich, höchstrichterliche Rspr. zu diesem Problem fehlt. Gerade die Brisanz dieser Frage verlangt jedoch noch einer zumindest einheitlichen Rspr. Wenn statische IP-Adressen allerdings personenbezogene Daten sind, müsste dies i.E. auch für dynamische IP-Adressen gelten, zumindest solange beide Arten technisch gar nicht voneinander unterschieden werden können, bevor sie gespeichert werden (Roßnagel, Hdb. Datenschutzrecht, S. 1299 Fußn. 140; Gundermann, K&R 2000, 227; Ihde, CR 2000, 413).

Und schon ist das Wireless Community Weekend (WCW) 2009 wieder vorbei. Von meiner Seite noch einmal vielen Dank an alle. Wieder eine Superatmosphäre, ein sehr spannendes und gleichzeitig sehr entspanntes Wochenende (ja, das geht). Es hat viel Spaß gemacht und bei so guten Vorzeichen werde ich nächstes Jahr sicher wieder dabei sein.
Wer nachlesen und/oder nachhören will, was auf dem WCW 2009 passiert ist, s. im Wiki hier, außerdem den Live-Radio-Beitrag von Radio Corax vom WCW hier (OGG, ca. 120min, ca 200 MB, das Interview mit mir findet sich auch hier).
Ich danke auch für die spannende Diskussion zum Thema “Update Recht”, die Folien mit dem Titel “Update Recht – Entwicklung des Rechts offener Netze 2008/2009″ dazu sind ebenfalls online (hier, die Folien wurden im Hinblick auf die Dateigröße (nur) im Design geändert). Wie gewohnt, ging der Vortrag natürlich nicht um 18h los, sondern ca. 19.45h, also quasi pünktlich. Aufgrund der intensiven Teilnahme und Diskussion ist außerdem aus einem geplanten 30-Minuten-Vortrag (plus reservierte 10 Minuten für Fragen) ein Vortrag von fast zwei Stunden geworden. In diesem Sinne können die Folien natürlich nur als grobe Leitlinie dienen.

Die Diskussion hat wieder einmal gezeigt, dass die Gesetzeslage und die technische Realität in vielen Punkten überhaupt nicht zusammenpassen. Dies zeigt sich ganz extrem an offenen Netzen, in denen ganz unterschiedliche technische Konstellation realisiert werden, die sich zudem schnell ändern können. Speziell Vorratsdatenspeicherung ist in offenen Netzen in aller Regel vollkommen sinnlos und trotzdem besteht hier sehr große Rechtsunsicherheit.

• Download Präsentation “Update Recht – Entwicklung des Rechts offener Netze 2008/2009″