Saturday, April 19, 2008

Who is-Abfrage verboten?

Dürfen Bundesministerien die IP-Adressen der Besucher ihrer Website speichern? In Deutschland wurde darüber schon letztes Jahr im Anschluss an ein Urteil des LG Berlin heftig diskutiert. Das LG Berlin sagte übrigens nein:

In Österreich wurde eine Diskussion zu diesem Thema gar nicht erst geführt. Nur Jackie Maier, der wahrscheinlich fleißigste Anfragesteller im Nationalrat (und stellvertretender Vorsitzender des Datenschutzrates), fragte zumindest beim Bundeskanzler an, wie es mit der Speicherung von IP-Adressen bei Websites der Bundes-, Landes- und Gemeinde-Dienststellen so aussieht. Die Anfragebeantwortung des Bundeskanzlers vom 3. April 2008 brachte jedenfalls für mich eine Überraschung. Dass die IP-Adressen der Besucher gespeichert werden, war natürlich zu erwarten, aber dass dies schon deswegen kein Problem sei, weil man daraus mit legalen Mitteln keinen Personenbezug herstellen könne, war mir neu:

Nun ist das bei dynamischen IP-Adressen insoweit richtig, als man die einzelnen User dahinter nicht einfach wo nachschlagen kann. Aber auch dabei kann ich leicht herausfinden, ob diese User zum Beispiel eher von der Telekom oder von UPC kommen. Und viele IP-Adressen sind auch klar bestimmten Unternehmen (das Datenschutzgesetz gilt ja in Österreich auch für juristische Personen) oder sonstigen Einrichtungen zugeordnet. Nehmen wir einmal an, unter den Besuchern meiner Website würde - rein hypothetisch ;-) - die IP-Adresse 78.41.144.41 aufscheinen. Eine kleine Whois-Abfrage brächte folgendes Ergebnis:






Wäre das jetzt eine verbotene Nachforschung, oder sind das wirklich keine personenbezogenen Daten (samt Namen, Abteilung, Nebenstelle des Admin-C)? Auch wenn die Whois-Abfrage natürlich nichts darüber sagt, wer aus dem Bundeskanzleramt konkret auf der Website war, so hätte ich damit doch die Information, dass irgendwen im BKA die Seite interessiert. Die Frage, ob ein Personenbezug besteht, ist ja nicht nur auf der Ebene der "Letzt-User" relevant, sondern zum Beispiel auch hinsichtlich der juristischen Personen, deren MitarbeiterInnen die Seite ansurfen.

1 comment :

Thomas Gramespacher, Rechtsanwalt said...

Ein brisantes Thema. Gerade auch in Deutschland noch sehr offen. Ich bin gespannt, wann die Entscheidungen aus Berlin "Gesellschaft" bekommen.
Jedenfalls - so sagen bemerken Sie richtig - gibt es allgemeinhin in D die Einschränkung in § 3 Abs. 1 BDSG - der auch im Rahmen der § 11 ff TMG (D) heranzuziehen ist - auf natürliche Personen. Grundsätzlich.

Richtig ist aber auch ihr Einwand bzw. Ihre Bemerkung, dass auch die Frage eine Rolle spielt wer überhaupt - auch im Rahmen der statischen IPs - mit dem getrackten Seitenaufruf in Verbindung gebracht wird/werden kann. Wer lässt sich überhaupt durch die IP des Anschlusses etc. "erkennen".

Dennoch: Ist es nicht konsequent dabei zu bleiben, dass die verarbeitende bzw. speichernde Stelle den Personenbezug unmittelbar und ohne ungewöhnliche Zwischenschritte herstellen können muss... Hier hinkt sicherlich die Entscheidungen aus Berlin, die in angeblichem Einklang mit der maßgeblichen EG Richtlinie jede Möglichkeite einbeziehen wollen, die die Herstellung des Personenbezugs denkbar erscheinen lässt... ob legal oder nicht.. ist dies nicht schlichtweg zu weit? Fehlen nicht notwenige und gebotene Differnezierungen zwischen Diensteanbieter und Providertypen (Webseitenbetreiber, Access-Provider etc.)

Mit besten Grüßen nach Wien,

Thomas Gramespacher,
Rechtsanwalt
http://medien-internet-und-recht.de