(PresseBox) - Kauft ein Kunde in einem Online-Shop ein, so erhalten Shopbetreiber im Zuge der Bestellung dessen Adresse. Hierbei handelt es sich zweifelsohne um ein personenbezogenes Datum. Im Internet wird darüber hinaus die IP-Adresse des Nutzers übertragen. Doch ist diese mit einer Anschrift gleichzusetzen und somit ebenfalls vom Datenschutzrecht umfasst? Was müssen Online-Händler bei einer Speicherung der IP-Adresse beachten? Das erläutert Madeleine Pilous, Legal Consultant bei Trusted Shops.
Technischer Hintergrund: Was sind IP-Adressen?
Um die Übermittlung von Datenpaketen im Internet zu ermöglichen, müssen diese Pakete eine Zieladresse enthalten. Hierbei handelt es sich bei dem aktuellen IPv4-Standard um eine Nummer bestehend aus vier Bytes, deren Wert zwischen 0 und 255 liegen kann (z.B. 134.95.52.240). Jedes Endgerät, welches im Internet kommunizieren möchte, benötigt eine solche IP-Adresse.
In der Regel werden IP-Adressen dynamisch vergeben. Dies bedeutet, dass dem Nutzer bei jeder neuen Verbindung mit dem Internet eine neue IP-Adresse zugewiesen wird. Ein Nutzer kann daher an unterschiedlichen Tagen unterschiedliche IP-Adressen haben.
Aus technischer Sicht lässt sich die Übertragung der IP-Adresse nicht verhindern. Bei jedem Abruf von Informationen einer Webseite wird diese IP-Adresse an den angefragten Server gesendet, um überhaupt eine Antwort zu ermöglichen.
Wann greift das BDSG?
Das BDSG schützt nur personenbezogene Daten. § 3 Abs. 1 BDSG bestimmt:
?Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person."
Als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann. Ob dies für IP-Adressen in jedem Fall erfüllt ist, ist allerdings umstritten.
Meinungsstreit über die Bestimmbarkeit
Eine Rechtsauffassung stellt hierbei auf das Wissen der verantwortlichen Stelle ab (?relativer Personenbezug?). Danach ist eine IP-Adresse nur ein personenbezogenes Datum, wenn die datenverarbeitende Stelle über das entsprechende Zusatzwissen für eine Identifizierung verfügt. Auch die Mehrheit der deutschen Gerichte ist bislang der relativen Theorie gefolgt (z.B. LG Berlin, Urteil v. 31.01.2013, 57 S 87/08).
Die Gegenauffassung vertritt, dass ein Personenbezug bereits dann vorliegt, wenn ein Dritter einen Bezug zwischen der Angabe und dem Betroffenen herstellen kann (?absoluter Personenbezug?). Bei diesem Dritten kann es sich auch um den Internetzugangsanbieter handeln. Dieser Theorie folgen v.a. Datenschützer, wie etwa der Düsseldorfer Kreis (Gremium der Datenschutzbeauftragten von Bund und Ländern) oder die Artikel-29-Datenschutzgruppe (unabhängiges Datenschutz-Beratungsgremium der EU).
Verfahren vor dem EuGH
Klare höchstrichterliche Rechtsprechung gibt es bislang noch nicht. Allerdings hat der BGH im Dezember 2014 dem Europäischen Gerichtshof zwei Fragen zur Vorabentscheidung vorgelegt (Beschluss v. 28.10.2014, VI ZR 135/13). Diese betreffen zum einen die Frage, ob eine IP-Adresse, die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, auch dann schon ein personenbezogenes Datum darstellt, wenn nicht er, sondern nur ein Dritter (hier: Zugangsanbieter) über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt. Zum anderen soll der EuGH klären, ob eine Speicherung nach § 15 Abs. 1 TMG gerechtfertigt sein kann. Dieser gestattet eine Erhebung und Verwendung personenbezogener Daten ohne Einwilligung "soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen". Die für alle Webseitenbetreiber äußerst bedeutsame Entscheidung des EuGH steht allerdings noch aus.
Was bedeutet das für Online-Händler?
Eine Übertragung der IP-Adresse ist notwendig, um die Kommunikation zwischen dem Server der Webseite und dem Router des Nutzers zu ermöglichen. Hierauf haben Webseitenbetreiber keinerlei Einfluss.
Bei einer weiteren Verwendung oder Speicherung der IP-Adresse ist jedoch aufgrund der unklaren Rechtslage Vorsicht geboten. Nur wenn IP-Adressen anonymisiert werden, stellen sie in jedem Fall kein personenbezogenes Datum mehr dar.
Wenn IP-Adressen pseudonymisiert für Nutzungsprofile z.B. zum Zwecke der Marktforschung verwendet werden, bedarf dies einer Unterrichtung in der Datenschutzerklärung. Das betrifft insbesondere Webanalyse-Tools. Tools, bei denen IP-Adressen ungekürzt übertragen werden, sind kritisch zu beurteilen.
Sobald Online-Händler die IP-Adressen mit Kundendaten zusammenführen und so den direkten Personenbezug selbst herstellen, ist in jedem Fall eine Bestimmbarkeit der Person gegeben. Dann bedarf die Speicherung einer ausdrücklichen Einwilligung des Kunden. Diese kann etwa über eine anzuklickende Checkbox im Bestellprozess erfolgen. Die bloße Unterrichtung in der Datenschutzerklärung wäre hier nicht auseichend.
Abschließender Tipp
Wann IP-Adressen als ein personenbezogenes Datum anzusehen sind, ist höchst umstritten. Bis zu einer Klärung durch den EuGH sollten Online-Händler allerdings Vorsicht walten lassen. Dies gilt insbesondere, wenn Sie die IP-Adresse mit anderen personenbezogenen Daten des Nutzers in Verbindung bringen können, etwa weil diese im Rahmen einer Bestellung erhoben wurden.
Wenn Sie sich unsicher sind, ist aus datenschutzrechtlicher Sicht grundsätzlich die Einholung einer Einwilligung anzuraten. Aufgrund der Komplexität des Themas und der bestehenden Unsicherheiten sollte im Zweifel eine Beratung durch einen spezialisierten Rechtsanwalt erfolgen.
Trusted Shops ist seit über 15 Jahren die bekannteste europäische Vertrauensmarke im Bereich E-Commerce. Das 1999 gegründete Kölner Unternehmen stellt mit dem Gütesiegel inklusive Käuferschutz, dem Kundenbewertungssystem und dem Abmahnschutz ein ?Rundum-sicher-Paket? bereit: Anhand von strengen Einzelkriterien wie Preistransparenz, Kundenservice und Datenschutz überprüft Trusted Shops seine Mitglieder und vergibt sein begehrtes Gütesiegel. Mit dem Käuferschutz, den jeder zertifizierte Online-Shop bietet, sind Verbraucher etwa bei Nichtlieferung von Waren abgesichert. Darüber hinaus sorgt das Kundenbewertungssystem für nachhaltiges Vertrauen bei Händlern und bei Käufern. Trusted Shops stellt die Unabhängigkeit und Echtheit der Bewertungen über eine mehrstufige Überprüfung sicher. Das Abmahnschutzpaket von Trusted Shops schützt Online-Händler vor teuren wettbewerbsrechtlichen Abmahnungen aufgrund fehlerhafter Rechtstexte. Weitere Informationen: http://www.trustedshops.de
Trusted Shops ist seit über 15 Jahren die bekannteste europäische Vertrauensmarke im Bereich E-Commerce. Das 1999 gegründete Kölner Unternehmen stellt mit dem Gütesiegel inklusive Käuferschutz, dem Kundenbewertungssystem und dem Abmahnschutz ein ?Rundum-sicher-Paket? bereit: Anhand von strengen Einzelkriterien wie Preistransparenz, Kundenservice und Datenschutz überprüft Trusted Shops seine Mitglieder und vergibt sein begehrtes Gütesiegel. Mit dem Käuferschutz, den jeder zertifizierte Online-Shop bietet, sind Verbraucher etwa bei Nichtlieferung von Waren abgesichert. Darüber hinaus sorgt das Kundenbewertungssystem für nachhaltiges Vertrauen bei Händlern und bei Käufern. Trusted Shops stellt die Unabhängigkeit und Echtheit der Bewertungen über eine mehrstufige Überprüfung sicher. Das Abmahnschutzpaket von Trusted Shops schützt Online-Händler vor teuren wettbewerbsrechtlichen Abmahnungen aufgrund fehlerhafter Rechtstexte. Weitere Informationen: http://www.trustedshops.de