Im Internetzeitalter verfügen Behörden des Bundes, der Länder und die Kommunen regelmäßig über eine eigene Webseite, auf der inhaltliche Informationen und Darstellungen sowie Kontaktmöglichkeiten zu finden sind. Bürger und andere Interessierte rufen diese Seiten auf. Beim Aufruf wird regelmäßig die dynamische IP-Adresse des Benutzers gespeichert.
Eine für alle Behörden wichtige Entwicklung ist die neue Rechtsprechung des Landgerichts Berlin, die zu einem grundlegenden Wandel in der bisherigen Datenspeicherungspraxis führen muss.
1. Die neue "Berliner Rechtsprechung"
Auf die Klage eines im Arbeitskreis Vorratsdatenspeicherung tätigen Juristen gegen die Bundesrepublik Deutschland, vertreten durch das Bundesjustizministerium (BMJ), hatte zunächst das Amtsgericht Berlin mit Urteil vom 27.03.2007 (Az: 5 C 314/06, MIR 377-2007) entschieden, dass IP-Adressen als personenbezogene Daten im Sinne von § 15 Telemediengesetz (TMG) anzusehen sind. Der Kläger hatte zuvor die Internetseite des BMJ besucht. Dort war seine dynamische IP-Adresse nach der bisherigen Praxis gespeichert worden.
Das BMJ wurde durch das Amtsgericht Berlin verurteilt, es zu unterlassen, die folgenden personenbezogenen Daten des Klägers, die im Zusammenhang mit der Nutzung des Internetportals http://www.bmj.bund.de übertragen werden, über das Ende des jeweiligen Nutzungsvorgangs hinaus zu speichern: Name der angerufenen Da-tei, Datum und Uhrzeit des Abrufs, übertragene Datenmenge, Meldung, ob der Abruf erfolgreich war sowie die Internetprotokollseite des zugreifenden Hostsystems. Anspruchsgrundlage war nach Ansicht des Gerichts § 15 Abs. 4 TMG in Verbindung mit § 1004 BGB in entsprechender Anwendung unter dem Gesichtspunkt einer Verletzung des Rechts auf informationelle Selbstbestimmung als Bestandteil des allgemeinen Persönlichkeitsrechts gemäß der Artikel 1 und 2 des Grundgesetzes. Weiter sei § 15 Abs. 4 TMG (sowie die außer Kraft getretene Vorschrift des § 6 TDDSG) ein Schutzgesetz im Sinne von § 823 Abs. 2 BGB. Daher sei auch § 823 Abs. 2 BGB in Verbindung mit § 1004 BGB in entsprechender Anwendung als Anspruchsgrundlage für den Kläger heranzuziehen.
Dynamische IP-Adressen stellen nach der Begründung des AG Berlin in Verbindung mit den weiteren von dem BMJ gespeicherten Daten personenbezogene Daten im Sinne von § 15 TMG dar, da es sich um Einzelangaben über bestimmbare natürliche Personen im Sinne von § 3 Abs. 1 BDSG handelt. EU-rechtlich sei bestimmt, dass bei der Entscheidung, ob eine Person bestimmbar ist, alle Mittel berücksichtigt werden müssen, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden können, um die betreffende Person zu bestimmen. Das Amtsgericht kommt zu dem Schluss, dass es durch die Zusammenführung der personenbezogenen Daten mit Hilfe Dritter bereits jetzt ohne großen Aufwand in den meisten Fällen möglich ist, Internetnutzer aufgrund der IP-Adresse zu identifizieren.
Seitens des BMJ bestand nach Darstellung des Gerichts keine Rechtfertigung, diese Daten zu speichern. Nach § 15 Abs. 1 und 4 TMG sei eine Speicherung zur Ermöglichung der Inanspruchnahme und zu Zwecken der Abrechnung zulässig. Gemäß § 15 Abs. 8 TMG sei weiter eine Speicherung erlaubt, wenn Anhaltspunkte bestehen, dass entgeltliche Leistungen nicht oder nicht vollständig vergütet werden sollen. Keine dieser Voraussetzungen sei allerdings gegeben. Eine Rechtfertigung der Datenspeicherung ergebe sich für das BMJ auch nicht aus § 9 BDSG.
Der Kläger hatte mit dem Verfahren ein Unterlassen des BMJ gefordert. Die dafür erforderliche Wiederholungsgefahr lag nach Ansicht des Amtsgerichts Berlin vor, obwohl das BMJ seine Speicherungspraxis zwischenzeitlich geändert hatte. Durch die vorangegangene, nach Auffassung des Gerichts rechtswidrige Speicherungspraxis, wurde eine tatsächliche Vermutung für das Bestehen einer Wiederholungsgefahr begründet, an deren Widerlegung hohe Anforderungen zu stellen seien. Allein der Hinweis des BMJ, dass die Daten künftig nicht mehr gespeichert würden, da Angriffe auf die Internetseite durch andere Sicherungsmaßnahmen abgewendet werden könnten, wird zur Beseitigung der Wiederholungsgefahr nicht als ausreichend erachtet. Insoweit hätte es einer strafbewehrten Unterlassungserklärung des BMJ bedurft.
Die Bundesrepublik Deutschland legte gegen das Urteil des Amtsgerichts Berlin Berufung vor dem Landgericht Berlin ein. Das Landgericht folgte mit Urteil vom 05.09.2007 (Az: 23 S 3/07, MIR 378-2007) in seiner grundsätzlichen Auffassung dem Amtsgericht. Da dieses nach Ansicht des Landgerichts Berlin den ursprünglichen Klageantrag zu weit gefasst habe, wurde der Urteilsspruch modifiziert und es erging ein Anerkenntnisurteil. Das Landgericht Berlin verpflichtete die Bundesrepublik Deutschland, vertreten durch das BMJ, es zukünftig zu unterlassen, die nachfolgend aufgelisteten personenbezogenen Daten des Klägers, die im Zusammenhang mit der Nutzung des Internetportals http://www.bmj.de übertragen werden, über die Dauer des Nutzungsvorgangs hinaus zu speichern: a) die Internetprotokolladresse (IP-Adresse) des zugreifenden Hostsystems und
b) sofern auch die Internetprotokolladresse des zugreifenden Hostsystems gespeichert wird, den Namen der abgerufenen Datei bzw. Seite, Datum und Uhrzeit des Abrufs, die übertragene Dateimenge sowie die Meldung, ob der Abruf erfolgreich war.
Da es vorstellbar ist, dass der Kläger mit unterschiedlichen IP-Adressen auf die Internetseite des BMJ zugreift, war das Ministerium gezwungen, diese Verpflichtungen generell umzusetzen. Obwohl derartige Entscheidungen grundsätzlich nur "inter partes" wirken, d. h. zwischen den Parteien des Rechtsstreits, kommt dieser Rechtsprechung doch eine allgemeine Bedeutung zu. Das BMJ erstellt nach Presseberichten nur noch anonyme Statistiken über die Besucher seiner Webseite .
2. Die bisherige Rechtsprechung
Die Speicherung von IP-Adressen blieb bisher in der Rechtsprechung eher unberücksichtigt. In der letzten Zeit sind zwei Entscheidungen bekannt geworden, deren Ursprung auf Konflikten zwischen Telekommunikationsunternehmen und deren Nutzern basierte. Großen Einfluss hatten diese Entscheidungen allerdings auf die Verfolgung von urheberrechtlichen Verstößen, so z. B. bei der Ahndung des illegalen Nutzens sog. "Tauschbörsen" im Internet ("Filesharing"). Die beiden nun vorgestellten Entscheidungen sorgten dafür, dass die für die Identifikation der Nutzer notwendigen IP-Adressen nicht für eine längere Zeitdauer gespeichert werden dürfen. Dies führte dazu, dass eine Verfolgung von urheberrechtlichen Verstößen erschwert wurde.
2.1. Landgericht Darmstadt (Urt. v. 25.01.2006, 25 C 118/05)
In dem Urteil des Landgerichts Darmstadt wurde einem führenden Telekommunikationsunternehmen hinsichtlich der Bereitstellung von DSL-Internetanschlüssen u.a. aufgegeben, die dynamische IP-Adresse, die dem Nutzer bei Beginn einer jeden Verbindung zum Internet zugeordnet wird, unmittelbar nach dem Ende der jeweiligen Verbindung zu löschen. Die Speicherung sei weder für die Entgeltermittlung und -abrechnung notwendig oder zum Nachweis der Richtigkeit der Abrechnung. Die Speicherung des übertragenen Datenvolumens wurde dem beklagten Unternehmen untersagt.
Die wesentliche Begründung für die Untersagung der Speicherung des Datenvolumens stellte für das LG Darmstadt § 96 Abs. 1 Nr. 2 Telekommunikationsgesetz (TKG) dar. Danach darf ein Datenvolumen nur erhoben werden, wenn hiervon ein Entgelt abhängt. In dem vorliegenden Fall bestand zwischen den Parteien ein DSL-Flatrate-Vertrag, so dass eine volumenabhängige Abrechnung nicht erfolgte.
§ 96 Abs. 2 TKG stellte nach Ansicht des Gerichts keine Rechtsgrundlage für die Speicherung der IP-Adressen dar. Auch eine Speicherung nach § 97 Abs. 2 TKG sei unzulässig. Die IP-Adresse sei weder für die Entgeltabrechnung noch die Entgeltermittlung notwendig. Soweit das beklagte Unternehmen vorgetragen hatte, dass eine Speicherung nach § 97 Abs. 1 Satz 2 TKG erforderlich sei, da die Dienste über ein öffentliches Telefonnetz eines fremden Betreibers erbracht werden, folgte das Gericht auch dieser Argumentation nicht, da gem. § 96 Abs. 2 Satz 2 TKG die nicht erforderlichen Daten nach Beendigung der Verbindung unverzüglich zu löschen sind.
Die Regelung des § 100 Abs. 1 und Abs. 3 TKG wurde von dem LG Darmstadt ebenfalls nicht als Rechtsgrundlage zur Speicherung der IP-Adresse angesehen. Nach diesen Bestimmungen darf der Diensteanbieter zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern an Telekommunikationsanlagen die Bestands- und Verkehrsdaten der Teilnehmer erheben und verwenden. Diese Bestimmung sei allerdings vorfallsbezogen und erlaube keine generelle Speicherung aller Verkehrsdaten der Kunden. Letztlich verneint das Gericht auch § 9 Bundesdatenschutzgesetz (BDSG) als Rechtsgrundlage für eine generelle Speicherung der IP-Adressen über das Ende der Verbindung hinaus. Die Verwendung einer Kunden-ID oder der Telefonnummer anstelle der IP-Adresse sei ausreichend und genügen dem Grundsatz der Datensparsamkeit.
Eine Berufung des Telekommunikationsunternehmens gegen diese Entscheidung wurde vom Bundesgerichtshof mit Beschluss vom 26. Oktober 2006 (Az: III ZR 40/06) aus prozessualen Gründen verworfen, so dass die Entscheidung des LG Darmstadt Rechtskraft erlangte.
Das beklagte Telekommunikationsunternehmen änderte darauf hin seine Abrechnungspraxis und speicherte die IP-Adressen für eine Zeitdauer von 7 Tagen .
2.2. Amtsgericht Bonn (Urt. v. 05.07.2007, Az: 9 C 177/07)
Gegenstand dieser Entscheidung war der Anspruch eines Nutzers von Telekommunikationsdienstleistungen gegenüber seinem Anbieter. Beantragt wurde in diesem Rechtsstreit die Löschung u. a. der IP-Adressen auch für einen Zeitraum von unter 7 Tagen. Das Amtsgericht lehnte diese Klage ab. Eine Speicherung von einer Dauer von 7 Tagen sei zulässig. Dies folge aus § 100 Abs. 1 TKG. Nach dieser Vorschrift sei eine Speicherung von Bestandsdaten gestattet, um dem Diensteanbieter die Möglichkeit zu geben, Störungen oder Fehler an Telekommunikationsunterlagen zu erkennen einzugrenzen oder zu beseitigen. Eine Speicherung über einen längeren Zeitraum sei allerdings nicht gestattet.
Im Rahmen einer weiter erforderlichen Interessenabwägung hob das Gericht hervor, dass das Fernmeldegeheimnis (Art. 10 Abs. 1 GG) für den Kläger zu beachten ist. Dabei berühre auch eine kurzfristige Speicherung seiner Verkehrsdaten die Interessen des Klägers an der Wahrung seines Fernmeldegeheimnisses nicht nur unerheblich. Andererseits sei das Interesse des Telekommunikationsunternehmens in die Betrachtung einzustellen, dessen schützenswertes Interesse am Schutz der Telekommunikationseinrichtungen (Art. 14 Abs. 1 GG) ebenfalls von Bedeutung ist. Unstreitig sei die Speicherung von IP-Adressen und Datenvolumen generell geeignet, einen Missbrauch aufzudecken. Eine Speicherung sei allerdings nach dem Grundsatz der Datensparsamkeit nur für einen kurzen Zeitraum zulässig. 7 Tage wurden hier als angemessen angesehen.
Diese beiden Entscheidungen, die auf den Klagen einzelner Nutzer beruhten, hatten unmittelbaren Einfluss auf die Speicherungspraxis bedeutender Telekommunikationsunternehmen und zeigen die Grundlinien der Rechtsprechung der Speicherung von IP-Adressen nach Maßgabe des TKG auf. Ob diese Leitlinien unmittelbar auf die Beurteilung der Speicherung von IP-Adressen auf behördlichen Webseiten übertragbar sind, ist fraglich. Es dürfte sich bei behördlichen Internetpräsenzen in der Regel nicht um Diensteanbieter im Sinne von § 3 Nr. 6 TKG handeln.
3. Einfluss der "Berliner Rechtsprechung" auf andere Bundesbehörden
Andere Bundesbehörden als das BMJ scheinen die Praxis der Speicherung von IP-Adressen bislang nicht umgestellt zu haben. Dies wurde aus zwei parlamentarischen Initiativen bekannt.
3.1. Anfrage der FDP
Eine erste Anfrage wurde durch die Fraktion der FDP am 10.10.2007 initiiert. Angefragt wurde u.a., aufgrund welcher Ermächtigungsgrundlage das Bundeskriminalamt (BKA) die IP-Adressen der Besucher seiner Webseite speichert, zu welchem Zweck und wie lange diese IP-Adressen gespeichert werden.
Eine Antwort seitens der Bundesregierung erfolgte am 30.10.2007. Darin wurde hinsichtlich der Rechtsgrundlage der Speicherung der IP-Adressen ausgeführt:
"Bei der vom Bundeskriminalamt (BKA) genutzten Ermittlungsmethode der anlassbezogenen Speicherung von IP-Adressen werden alle Zugriffe, welche auf die gemäß §§ 131b, c der Strafprozessordnung (StPO) eingestellte Fahndungsseite zugreifen, durch Erhebung und Speicherung der zugreifenden IP-Adressen auf der Grundlage von §§ 161, 163 StPO protokolliert. Eine Anschlussinhaberfeststellung über den Provider gemäß § 100g StPO bzw. § 113 des Telekommunikationsgesetzes (TKG) erfolgt nur bei IP-Adressen, die eine signifikante Zugriffsfrequenz aufweisen, mithin nicht bei jeder erhobenen IP-Adresse. Der Personenbezug der IP-Adresse wird erst durch die Auskunft des Betreibers hergestellt.
Demnach ist die Erhebung, Speicherung und Abklärung der Inhaber von IP-Adressen im Rahmen eines Ermittlungsverfahrens - dem Wesen einer strafprozessualen Maßnahme folgend - nicht verdachtsunabhängig, sondern anlassbezogen. Insofern widerspricht dieses anlassbezogene Vorgehen des BKA nicht den Aussagen der für Verwaltungsbehörden maßgeblichen Urteile des AG Berlin Mitte bzw. der Berufungsinstanz LG Berlin vom 6. September 2007 (Az.: 23 S 3/07, vorgehend AG Berlin Mitte, vom 27. März 2007, Az.: 5 C 314/06), welche die verdachtsunabhängige und ohne Rechtsgrundlage vorgenommene, dauerhafte Speicherung der Zugriffsdaten auf Homepages für rechtswidrig erklärt haben."
3.2. Anfrage der Fraktion DIE LINKE
Die Bundestagsfraktion DIE LINKE hatte in ihrer Kleinen Anfrage vom 18.10.2007 in Anlehnung an die dargestellte "Berliner Rechtsprechung" insgesamt 13 Fragen an die Bundesregierung gerichtet. Vier der Fragen lauteten:
"1. Seit wann genau werden die IP-Adressen von Besuchern der Internetpräsenz des Bundeskriminalamtes (BKA) gespeichert, und hält diese Speicherung an?
2. Welche Daten werden gemeinsam mit der IP-Adresse gespeichert (Datum des Zugriffs, Dauer des Aufenthalts, vorher/nachher besuchte Seiten etc.)? (?)
11. Welche anderen Bundesministerien und nachgeordneten Bundesbehörden speichern die IP-Adressen der Besucher ihrer Internetpräsenzen, seit wann, und für welche Zeiträume?
12. Welche Bundesministerien und nachgeordneten Bundesbehörden haben diese Speicherung eingestellt, wann, und aus welchen Gründen?
13. Welche Position nimmt die Bundesregierung zur Forderung an private Anbieter von Internetseiten ein, keine IP-Adressen ihrer Besucher zu speichern, und welche Maßnahmen plant die Bundesregierung hierzu?"
Eine Antwort auf diese zweite Anfrage erfolgte am 07.11.2007 . Die Bundesregierung führte darin aus, dass sich die zitierte "Berliner" Gerichtsentscheidung lediglich auf die anlassunabhängige Speicherung von Nutzungsdaten nach dem Telemediengesetz (TMG) beziehe und auf die anlassbezogene IP-Adressen-Protokollierung des Bundeskriminalamts nicht übertragbar sei. Eine Protokollierung von IP-Adressen erfolge bei dem Bundeskriminalamt seit Juli 2001 anlassbezogen im Rahmen einzelner Ermittlungsverfahren. Eine über die Dauer des jeweiligen Ermittlungsverfahrens hinausgehende Speicherung finde im BKA nicht statt.
Zu der Anfrage Nr. 2 führte die Bundesregierung aus:
"Es werden alle im Sinne des Anlasses notwendigen technischen Begleitdaten gespeichert, mit der sich die IP-Adresse auf der Homepage "meldet". Diese Begleitdaten enthalten z. B. auch die Uhrzeit und die Dauer des Zugriffs."
Zur Anfrage Nr. 11 lautete die Antwort:
"Die überwiegende Zahl der Ressorts und, soweit dies in der Kürze der Zeit ermittelt werden konnte, deren nachgeordnete Behörden speichern die einem PC zugeordnete IP-Adresse, die beim Besuch der Internetseiten übermittelt wird bzw. lassen diese durch beauftragte Unternehmen speichern. Die Speicherung geschieht grundsätzlich nur temporär mit anschließender Löschung. Die Speicherung ist insbesondere aus Sicherheitsgründen notwendig: Die Bundesverwaltung ist kontinuierlich massiven und hoch professionellen Angriffen aus dem Internet ausgesetzt und der durch die Angriffe verursachte Kommunikationsverkehr übertrifft seit langem den regulären Kommunikationsverkehr. Zur Abwehr dieser Angriffe und zur Aufrechterhaltung des Behördenbetriebs sind zahlreiche Sicherheitsmaßnahmen notwendig. Dazu gehört zwingend die Speicherung der IP-Adressen, um Angriffsmuster erkennen und Gegenmaßnahmen (z. B. das Sperren bestimmter, für den Angriff genutzter IP-Adressen) einleiten zu können. Ohne diese Daten ist eine Abwendung der kontinuierlichen Angriffe nicht möglich."
Zur Praxis anderer Bundesbehörden bei der Speicherung der IP-Adressen lautete die Antwort:
"Das Bundesministerium der Justiz hat im Dezember 2006 im Rahmen eines Relaunchs seines Internetauftritts die Speicherung von IP-Adressen eingestellt. Das Bundesministerium der Justiz änderte seine alte Speicherpraxis im Zuge des Neuauftritts. Die Speicherung eingestellt hat auch das Bundesministerium für Bildung und Forschung."
Ein vorläufiges Fazit dieser aktuellen Entwicklung bietet die Antwort zur Ziff. 13:
"Inwieweit IP-Adressen personenbezogene Daten darstellen, ist nicht abschließend geklärt. Mit dem in der Kleinen Anfrage in Bezug genommenen Urteil des AG Berlin liegt nach hiesiger Kenntnis erstmals eine Gerichtsentscheidung vor, nach der IP-Adressen nicht nur für den Zugangsanbieter, der diese Adressen vergibt, sondern auch für den Anbieter eines (Medien-) Dienstes personenbezogene Daten sind, obwohl der Diensteanbieter einen Personenbezug allenfalls mit Hilfe des Zugangsanbieters herstellen könnte. Die Auswirkungen des Urteils AG Berlin (5 C 314/06) werden derzeit vor dem Hintergrund der oben dargestellten Bedrohung, die grundsätzlich auch private Anbieter betrifft, intensiv geprüft."
4. Eine erste juristische Bewertung
Wie die Bundesregierung in der letztgenannten Äußerung festgestellt hat, werden durch die "Berliner Entscheidungen" erstmalig dynamische IP-Adressen von Nutzern als personenbezogene Daten eingeordnet. Weiter wird festgehalten, dass diese Entscheidungen nicht nur für die Anbieter von Internetdienstleistungen von bedeutendem Interesse sind, sondern ebenso für die Anbieter eines Mediendienstes im Sinne des TMG. Betroffen ist damit eine unübersehbare Anzahl von Angeboten im Internet, die die IP-Adressen z.B. nicht für Abrechnungszwecke benötigen.
Die beiden "Berliner Entscheidungen" gelten zunächst nur zwischen den Parteien der Rechtsstreitigkeiten. Wie dargestellt, müssen nun (nicht nur) Behörden des Bundes damit rechnen, dass sie auch von Nutzern ihrer Internetseiten in Anspruch genommen werden, wenn sie deren IP-Adresse nach dem Ende des Nutzungsvorgangs nicht löschen. Dies dehnt den mittelbaren Anwendungsbereich der beiden Entscheidungen immens aus und verpflichtet zum Handeln.
Einen Sonderfall stellt die o. g. Auskunft der Bundesregierung hinsichtlich des BKA dar. Die meisten Behörden, insbesondere auf der Länder- und Kommunalebene, sehen sich nicht derartigen Angriffen auf ihren Webseiten ausgesetzt. Die aus der StPO entnommenen Befugnisse, IP-Adressen zu speichern, können insoweit keine Anwendung finden. Im Fokus der Entscheider muss die nicht anlassbezogene Speicherung der IP-Adressen stehen.
Im Regelfall, d. h. der rein informativen Darstellung der behördlichen Tätigkeit und Informationsvermittlung, handelt es sich bei behördlichen Webseiten oder Internetpräsenzen von Unternehmen (ausgenommen Online-Shops o.ä.) um Angebote eines Diensteanbieters im Sinne von § 2 Nr. 1 TMG. Der Begriff des Diensteanbieters wurde aus dem außer Kraft getretenen TDG entnommen und sollte unverändert Anwendung finden . Als Diensteanbieter wird demnach jede natürliche oder juristische Person angesehen, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt (§ 2 Nr. 1 TMG). Zum TDG wurde ausgeführt, dass jeder vom Anwendungsbereich des Gesetzes umfasst werden sollte, der die Dienste zur Verfügung stellt. Der Begriff der Diensteanbieter sei derart weit gefasst, dass jeder nur denkbar Handelnde hierunter fällt. Öffentlich-rechtliche Körperschaften oder andere rechtsfähige öffentlich-rechtliche Rechtsformen wurden daher als Diensteanbieter angesehen, so etwa Fachhochschulen und Universitäten. Auf eine Entgeltlichkeit eines Dienstes sollte es nicht ankommen (Spindler/Schmitz/Gleis, TDG § 3 Rn. 3 ff.). Diese Auffassung hatte auch bei der Schaffung des § 1 Abs. 1 Satz 2 TMG ihren Niederschlag gefunden. Es sollte hinsichtlich der Definition des Begriffs der Telemedien klargestellt werden, dass das TMG für private Anbieter und öffentliche Stellen gilt .
Maßgeblich für die Einschätzung des Amtsgerichts und des Landgerichts Berlin war die Einordnung der IP-Adresse als personenbezogenes Datum im Sinne von § 15 TMG. Damit folgt die "Berliner Rechtsprechung" der hinsichtlich des außer Kraft getreten TDDSG geäußerten Auffassung (Spindler/Schmitz/Gleis, TDDSG § 6 Rn. 84 mit instruktiven weiteren Hinweisen). Danach ist eine Speicherung der dynamischen IP-Adresse über das Nutzungsende hinaus mangels Erforderlichkeit für Abrechnungs- und Datensicherheitszwecke unzulässig. Aus § 6 TDDSG sollte sich daneben ein Verarbeitungsverbot ergeben. Ein "angeblich teilweise praktiziertes Einfrieren (Speichern)" von IP-Adressen geschieht ohne Rechtsrundlage, so dass ein derartiges Vorgehen als rechtswidrig angesehen wurde (Spindler/Schmitz/Gleis, TDDSG § 6 Rn. 67). Wenn eine Speicherung der personenbezogenen Daten (hier der IP-Adressen) nicht gestattet ist, folgt aus dem Grundsatz der Datensparsamkeit und der Erforderlichkeit - die auch von dem Amtsgericht Berlin in Betracht gezogen wurden - eine Löschungspflicht (Spindler/Schmitz/Gleis, TDDSG § 6 Rn. 5).
Eine nicht anlassbezogene Speicherung von dynamischen IP-Adressen ist damit - wenn nicht unzulässig - zumindest überprüfungsbedürftig, damit sich die Anbieter der Webseiten nicht dem berechtigten Angriff ihrer Nutzer aussetzen. Letztlich betrifft dies jeden Betreiber einer Webseite, der die IP-Adressen seiner Besucher z. B. in Logfiles speichert.
5. Welchen Einfluss hat die kommende Vorratsdatenspeicherung?
Am 31.12.2007 wurde das "Gesetz zur Neuregulierung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG" veröffentlicht . Durch diese gesetzliche Neuerung, die zum 01.01.2008 getreten ist, werden u. a. die Anbieter von Telekommunikationsdienstleistungen verpflichtet, Verkehrsdaten für eine Dauer von sechs Monaten zu speichern. Dieselbe Verpflichtung trifft nach § 113a Abs. 3 TKG die Anbieter von E-Mail-Diensten. § 113a Abs. 4 TKG legt nunmehr fest, dass die Anbieter von Internetzugangsdiensten folgende Informationen speichern müssen:
- die dem Teilnehmer für eine Internetnutzung zugewiesene IP-Adresse,
- eine eindeutige Kennung des Anschlusses, über den die Internetnutzung erfolgt,
- den Beginn und das Ende der Internetnutzung unter der zugewiesnen IP-Adresse nach Datum und Uhrzeit.
Diese Verpflichtung trifft ausschließlich die Anbieter von Internetzugangsdiensten. Darüber hinaus tritt diese Vorschrift nach Artikel 16 Abs. 2 des Änderungsgesetzes erst am 01.01.2009 in Kraft. Ein direkter und unmittelbar bevorstehender Handlungsbedarf entsteht für die Verantwortlichen von behördlichen Webseiten daher nicht. Eine Lösung der durch die "Berliner Rechtsprechung" geschaffenen Rechtsprobleme ist durch die Vorratsdatenspeicherung allerdings nicht zu erwarten.
6. Notwendige Maßnahmen
Die nicht anlassbezogene Speicherung von dynamischen IP-Adressen ist unzulässig. Dies gilt solange keine Ausnahmetatbestände greifen, etwa bei der Notwendigkeit der Speicherung zur Abrechnung o.ä. Bei der größten Mehrzahl der informativen Angebote, gleichgültig ob behördlich oder privat, kann dies nach der dargestellten "Berliner Rechtsprechung" nicht gelten. Hier ergibt sich eine Löschungspflicht der personenbezogenen Daten.
Insbesondere in Bezug auf behördliche Webseiten ergibt sich nach der neuen Rechtsprechung Handlungsbedarf. Nicht erforderliche personenbezogene Daten sind nach Beendigung des Nutzungsvorgangs zu löschen. Andernfalls sieht sich die Behörde dem Risiko ausgesetzt, dass sie auf Unterlassung in Anspruch genommen wird und diesem Anspruch nach den dargestellten Grundsätzen nur durch die Abgabe einer strafbewehrten Unterlassungserklärung entgegnen kann - gegenüber jedem Anspruchsteller. Dies birgt erhebliche finanzielle Risiken.
Der Autor: Thomas Feil, Rechtsanwalt, Fachanwalt für Informationstechnologierecht, Fachanwalt für Arbeitsrecht. Feil Rechtsanwälte, Georgsplatz 9, 30159 Hannover, Tel: 0511/473906-01, Fax 0511/473906-09. e-Mail feil@recht-freundlich.de, Internet: www.recht-freundlich.de (mf)