Betreiber von Webseiten, insbesondere von Onlineshops sollten bezüglich des Speicherns und Lesens von IP-Daten für statistische Zwecke vorsichtig sein. Unter bestimmten Umständen verstößt das Aufzeichnen dynamischer IP-Adressen der Besucher gegen datenschutzrechtliche Bestimmungen.
Anlass unserer Meldung sind uns vorliegende Abmahnungen:
- Zitat:
„…wir zeigen an, dass wir die rechtlichen Interessen von A. T… vertreten. Eine ordnungsgemäße Bevollmächtigung wird anwaltlich versichert.“
„Namens und in Vollmacht unseres Mandanten teilen wir Ihnen das Folgende mit:
Unser Mandant besuchte am 2.8.2013 um 13,31 Uhr die von Ihnen unter der Domain xxyz.de betriebene Webseite. Dabei erfassten und speicherten Sie u.a. die IP – Adresse unseres Mandanten ohne Erlaubnis und ohne, dass hierzu eine Einwilligung seitens unseres Mandanten vorlag.
Zu Beweiszwecken haben wir den Quellcode Ihrer Seite gespeichert“
Zitat Ende
Der Rest der Abmahnung dürfte jedem klar sein. Auch wird hier auf eine Fülle von Vorschriften und Gesetzen verwiesen, die wir nicht im Einzelnen aufführen wollen. Es bleibt abzuwarten wie hier die Richter entscheiden. Meines Erachtens ist die Abmahnung unzulässig. Es dürfte eine Reihe von Shop Betreibern geben, die der lieben Ruhe wegen zahlen.
Die Gesetzesänderung zum 1.8.2013 „Deckelung der Abmahnkosten bzw. der Abmahstreitwerte“ greift hier nicht, da in dem geschilderten Fall eine Urheberrechtsverletzung vorliegt. Es sind also die vollen Gebühren bis zu 1.500,- möglich.
Erläuterungen:
Zum Schutz des Besuchers müssen dessen personenbezogenen Daten gelöscht werden, sobald er die Webseite verlassen hat. Hierfür gibt es jedoch Ausnahmen. So ist die Speicherung von Daten für Abrechnungszwecke (Adressen, Kontodaten) ebenso gestattet wie die von Informationen, ohne welche eine Nutzung des jeweiligen Internetangebotes nicht möglich wäre (E-Mail-Adressen). Zudem ist die Datenspeicherung erlaubt, wenn eine ausdrückliche Einwilligung des Kunden vorliegt.
Wie das Landgericht Berlin als Berufungsinstanz in seinem Urteil vom 31. Januar 2013 (Az.: 57 S 87/08) attestierte, gelten IP-Adressen für sich noch nicht als personenbezogene Daten. Speichert der Verwender also ausschließlich die dynamische IP-Adresse ohne weitere Zusatzinformationen, ist keine Verletzung des Datenschutzrechtes gegeben. Das heißt, Anbieter dürfen diese Daten speichern, selbst dann, wenn zugleich der genaue Zeitpunkt des Zugriffs erfasst wird.
Anders ist die Situation zu bewerten, sobald zusätzlich gespeicherte Informationen eine Identifizierung erlauben. In diesem Fall liegen personenbezogene Daten vor, welche dem Datenschutz unterliegen. Die Speicherung der IP-Adresse ist also prinzipiell bei allen Arten von Webapplikationen ausgeschlossen, die persönliche Angaben, beispielsweise Adressen, abfragen (Shops, Foren etc.). Erfolgt dennoch eine Registrierung der IP-Daten ohne Einwilligung des Nutzers, kann ein Bußgeld von bis zu 50.000 Euro fällig werden.
Die einfachste Möglichkeit diesbezüglichem Ärger aus dem Weg zu gehen, wäre, die IP-Adresse nicht zu speichern. Damit lässt sich diese jedoch auch nicht mehr zur Abwehr unerwünschter Zugriffe oder für die Statistik verwenden. Eine weitere Option bietet das Abspeichern in anonymisierter Form. Auf diese Weise kann die IP-Adresse zukünftig keiner bestimmten Person zugeordnet werden, die Unterscheidbarkeit bleibt aber dennoch weitgehend erhalten. Eine Verschlüsselung indes genügt nicht, da nach einer Rückrechnung wieder die originalen IP-Adressen vorliegen würden.
Nach Anonymisierung der Daten dürfen nur noch die ersten acht Bit der Adresse frei ersichtlich sein. Damit haben jedoch einige der aus dem angloamerikanischen Bereich stammenden Statistikprogramme ein Problem, die (noch?) nicht mit gekürzten IP-Adressen umgehen können. Soweit eine entsprechende Einstellmöglichkeit überhaupt vorliegt, ist sie meist so gut versteckt, dass der Nutzer fast nur durch Zufall darauf aufmerksam wird. Darüber hinaus gibt es unter den Softwareherstellern schwarze Schafe, die nicht nur die IP-Adressen, sondern auch andere Details ausspionieren und diese gewinnbringend verkaufen. Einige Hoster erfüllen die Vorgaben des Datenschutzes ebenfalls noch nicht. Hier sind Besitzer von Online-Shops gut beraten, ihren Hostern eine Frist zur Umstellung zu setzen. Wer einen eigenen Server betreibt, muss sich entsprechend selbst um eine Änderung kümmern.
Viele Online-Anbieter nutzen Google Analytics als Webanalysetool. Um den datenschutzkonformen Einsatz seines Analysewerkzeuges zu gewährleisten, stellt Google eine Code-Erweiterung namens „anonymizeIp“ zur Verfügung. Wird diese genutzt, erfolgt eine automatische Löschung der letzten 8 Bit (zwei Oktette) der IP-Adressen und somit eine Anonymisierung. Eine grobe Lokalisierung ist so zwar weiterhin möglich, jedoch wird dies von den deutschen Datenschutzbehörden als ausreichend akzeptiert.
Nach wie vor bleibt die Speicherung von IP-Adressen problematisch. Daher sollten Betreiber von Webseiten insbesondere dann Vorsicht walten lassen, wenn bereits andere Daten von Kunden erfasst wurden, die mit den IP-Adressen in Verbindung gebracht werden könnten. Außerdem ist häufig nicht erkennbar, ob der Nutzer eine dynamische oder eine statische IP-Adresse benutzt. Bei letzterer wäre eine Zuordnung zum Gerät und somit eine Identifikation generell möglich.
Peter Lehnert
Neuss Norf, Mainstraße 85