Ob Vorratsdatenspeicherung oder Auskunftsansprüche von Rechteinhabern – IP-Adressen sind zentraler Gegenstand von Ängsten und Begehren. Ob sie personenbezogene Daten sind, ist umstritten. Viele halten IP-Adressen aus Sicht reiner Websitebetreiber nicht für personenbezogen, da für den Betreiber in der Regel kein legaler Zugriff auf Kundendaten der Provider besteht.
Landesdatenschutz-Beauftragte und ein Teil der Rechtsprechung sehen das anders. Es komme nicht auf die Sicht des Sitebetreibers an, sondern darauf, ob ein Personenbezug technisch möglich ist.
Ist die Verarbeitung von IP-Adressen ein Verbrechen?
Die Auffassung der Aufsichtsbehörden, IP-Adressen seien generell personenbezogene Daten, hat weitreichende Folgen: Gemäß § 15 Telemediengesetz (TMG) dürfen Nutzungsdaten zur Bereitstellung und Abrechnung des Dienstes verwendet werden und sind andernfalls unverzüglich zu löschen.
Für jede weitere Nutzung – beispielsweise für IP-basierte Geolocation-Dienste – ist die explizite Einwilligung des Nutzers nötig. Diese muss gemäß § 13 Abs. 2 TMG bewusst und eindeutig sein und protokolliert werden. Nutzer müssen den Inhalt der Einwilligung jederzeit abrufen und die Einwilligung widerrufen können.
Nur § 15 Abs. 3 TMG erlaubt als Ausnahme die Datenverarbeitung für Werbung, Marktforschung und bedarfsgerechte Gestaltung des Webauftritts im Rahmen eines Nutzungsprofils unter einem Pseudonym. Der Anbieter muss den Nutzer jedoch hierüber unterrichten, ihn klar und verständlich über sein Widerspruchsrecht belehren und erhobene Daten im Widerspruchsfall löschen.
Web-Controlling und Datenschutz
Web-Controlling Lösungen sind eine besondere Herausforderung. Ein Problem sind – z.B. bei Google Analytics – Datenübermittlungen ins außereuropäische Ausland, die nur nach Information des Nutzers zulässig sind. Der Websitebetreiber ist für die Einhaltung des deutschen Datenschutzrechts durch den Web-Controlling Anbieter verantwortlich.
Dies gilt z. B. auch für die nach Ansicht des ULD Schleswig-Holstein unzureichende Widerspruchsbelehrung bei Google Analytics und die Verarbeitung von IP-Adressen für in dieses Tool integrierte Geolocation-Funktionen, die nach Ansicht der Aufsichtsbehörden die Einwilligung des Nutzers voraussetzt.
Auch für eine etwaige Zusammenführung mit Daten aus anderen Google-Diensten hätte der Sitebetreiber einzustehen. Nach meiner Kenntnis ist etracker derzeit der einzige Web-Controlling Anbieter, der auf die rechtlichen Anforderungen reagiert hat. etracker bietet z.B. eine klare und einfache Widerspruchsmöglichkeit sowie einen Datenschutz-Modus, bei dem IP-Adressen nur verkürzt gespeichert und nicht verarbeitet werden und bei dem keine personenbeziehbaren Analysen erfolgen.
Handlungsempfehlung zu IP-Adressen
Web-Anbieter sollten die Anforderungen der Aufsichtsbehörden ernst nehmen. Wer Bußgeldern aus dem Weg gehen will, kann sich nicht auf Lobby-Äußerungen verlassen und auf eine Klärung im Sinne der Diensteanbieter hoffen. Es gilt zu handeln und das eigene Angebot mit verlässlichen Partnern vorausschauend zu gestalten.
- Wählen Sie ein Web Controlling-System, mit dem sich die Verarbeitung von IP-Adressen unterbinden lässt.
- Räumen Sie Ihren Nutzern ein Widerspruchsrecht ein.