Datenschutz: Dürfen Online-Händler IP-Adressen ihrer Kunden speichern?

Kauft ein Kunde in Ihrem Online-Shop ein, so erhalten Sie im Zuge der Bestellung dessen Adresse. Hierbei handelt es sich zweifelsohne um ein personenbezogenes Datum. Im Internet wird darüber hinaus die IP-Adresse des Nutzers übertragen. Doch ist diese mit einer Anschrift gleichzusetzen und somit ebenfalls vom Datenschutzrecht umfasst? Was müssen Sie bei einer Speicherung der IP-Adresse beachten? Wir sagen Ihnen, was Sie hier wissen müssen!

Technischer Hintergrund: Was sind IP-Adressen?

Um die Übermittlung von Datenpaketen im Internet zu ermöglichen, müssen diese Pakete eine Zieladresse enthalten. Hierbei handelt es sich bei dem aktuellen IPv4-Standard um eine Nummer bestehend aus vier Bytes, deren Wert zwischen 0 und 255 liegen kann (z.B. 134.95.52.240). Jedes Endgerät, welches im Internet kommunizieren möchte, benötigt eine solche IP-Adresse.

In der Regel werden IP-Adressen dynamisch vergeben. Dies bedeutet, dass dem Nutzer bei jeder neuen Verbindung mit dem Internet eine neue IP-Adresse zugewiesen wird. Ein Nutzer kann daher an unterschiedlichen Tagen unterschiedliche IP-Adressen haben.

Aus technischer Sicht lässt sich die Übertragung der IP-Adresse nicht verhindern. Bei jedem Abruf von Informationen einer Webseite wird diese IP-Adresse an den angefragten Server gesendet um überhaupt eine Antwort zu ermöglichen.

Wann greift das BDSG?

Das BDSG schützt nur personenbezogene Daten. § 3 Abs. 1 BDSG bestimmt:

"Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person."

Als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann. Ob dies für IP-Adressen in jedem Fall erfüllt ist, ist allerdings umstritten.

Meinungsstreit über die Bestimmbarkeit

Eine Rechtsauffassung stellt hierbei auf das Wissen der verantwortlichen Stelle ab („relativer Personenbezug“). Danach ist eine IP-Adresse nur ein personenbezogenes Datum, wenn die datenverarbeitende Stelle über das entsprechende Zusatzwissen für eine Identifizierung verfügt. Auch die Mehrheit der deutschen Gerichte ist bislang der relativen Theorie gefolgt (z.B. LG Berlin, Urteil v. 31.01.2013, 57 S 87/08).

Die Gegenauffassung vertritt, dass ein Personenbezug bereits dann vorliegt, wenn ein Dritter einen Bezug zwischen der Angabe und dem Betroffenen herstellen kann („absoluter Personenbezug“). Bei diesem Dritten kann es sich auch um den Internetzugangsanbieter handeln. Dieser Theorie folgen v.a. Datenschützer, wie etwa der Düsseldorfer Kreis (Gremium der Datenschutzbeauftragten von Bund und Ländern) oder die Artikel-29-Datenschutzgruppe (unabhängiges Datenschutz-Beratungsgremium der EU).

Verfahren vor dem EuGH

Klare höchstrichterliche Rechtsprechung gibt es bislang noch nicht. Allerdings hat der BGH im Dezember 2014 dem Europäischen Gerichtshof zwei Fragen zur Vorabentscheidung vorgelegt (Beschluss v. 28.10.2014, VI ZR 135/13). Diese betreffen zum einen die Frage, ob eine IP-Adresse, die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, auch dann schon ein personenbezogenes Datum darstellt, wenn nicht er, sondern nur ein Dritter (hier: Zugangsanbieter) über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt. Zum anderen soll der EuGH klären, ob eine Speicherung nach § 15 Abs. 1 TMG gerechtfertigt sein kann. Dieser gestattet eine Erhebung und Verwendung personenbezogener Daten ohne Einwilligung "soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen".

Die für alle Webseitenbetreiber äußerst bedeutsame Entscheidung des EuGH steht allerdings noch aus.

Was bedeutet das für Online-Händler?

Eine Übertragung der IP-Adresse ist notwendig, um die Kommunikation zwischen dem Server der Webseite und dem Router des Nutzers zu ermöglichen. Hierauf haben Webseitenbetreiber keinerlei Einfluss.
Bei einer weiteren Verwendung oder Speicherung der IP-Adresse ist jedoch aufgrund der unklaren Rechtslage Vorsicht geboten. Nur wenn IP-Adressen  anonymisiert werden, stellen sie in jedem Fall kein personenbezogenes Datum mehr dar.

Wenn IP-Adressen pseudonymisiert für Nutzungsprofile z.B. zum Zwecke der Marktforschung verwendet werden, bedarf dies einer Unterrichtung in der Datenschutzerklärung. Das betrifft insbesondere Webanalyse-Tools. Tools, bei denen IP-Adressen ungekürzt übertragen werden, sind kritisch zu beurteilen .Einen ausführlichen Beitrag dazu finden Sie in diesem Rechtstipp der Woche.

Sobald Online-Händler die IP-Adressen mit Kundendaten zusammenführen und so den direkten Personenbezug selbst herstellen, ist in jedem Fall eine Bestimmbarkeit der Person gegeben. Dann bedarf die Speicherung einer ausdrücklichen Einwilligung des Kunden. Diese kann etwa über eine anzuklickende Checkbox im Bestellprozess erfolgen.

Die bloße Unterrichtung in der Datenschutzerklärung wäre hier nicht auseichend.

Unser TIPP

Wann IP-Adressen als ein personenbezogenes Datum anzusehen sind, ist höchst umstritten. Bis zu einer Klärung durch den EuGH sollten Online-Händler allerdings Vorsicht walten lassen. Dies gilt insbesondere, wenn Sie die IP-Adresse mit anderen personenbezogenen Daten des Nutzers in Verbindung bringen können, etwa weil diese im Rahmen einer Bestellung erhoben wurden.

Wenn Sie sich unsicher sind, ist aus datenschutzrechtlicher Sicht grundsätzlich die Einholung einer Einwilligung anzuraten! Aufgrund der Komplexität des Themas und der bestehenden Unsicherheiten sollte im Zweifel eine Beratung durch einen spezialisierten Rechtsanwalt erfolgen.

 

Über die Autorin


Madeleine Pilous ist Master of Laws (LL.M.) und als Legal Consultant bei der Trusted Shops GmbH tätig. Im Rahmen ihrer Tätigkeit betreute sie den Audit-Prozess deutscher und österreichischer Key Accounts und setzt sich seit vielen Jahren intensiv mit den für Online-Shops relevanten Rechtsgebieten, insbesondere dem Fernabsatz- und E-Commerce-Recht auseinander. Sie ist Blog-Autorin, an größeren Beratungsprojekten v.a. zum Bestellprozess-Relaunch von Online-Shops beteiligt und betreut die Trusted Shops Abmahnschutzpakete.

20.04.16

© 2024 Trusted Shops AG  |  Impressum  |  Datenschutz  |  Cookies