Trusted Shops The safe way to web shopping
Unternehmen | Karriere | Presse | Für Online-Käufer | Einkaufswelt | Login
Wir beraten Sie gern

Darf ich die IP-Adresse meiner Kunden speichern?

Veröffentlicht am 29. Juni 2009 von Madeleine Pilous

IP steht für Internetprotokoll. Sie werden in Computernetzen verwendet, um Daten vom Sender zum vorgesehenen Empfänger transportieren zu können. Doch darf man die IP-Adresse eines Kunden ohne dessen Einwilligung speichern?

Lesen Sie mehr über die Datenschutzbestimmungen zur IP-Adressen-Speicherung.

Entscheidend für die Beurteilung, ob eine IP-Adresse ohne Einwilligung gespeichert werden darf, ist die Frage, ob es sich dabei um eine personenbezogene Angabe handelt.

Berlin vs München

Hier existieren zwei konträre Gerichtsauffassungen. Das LG Berlin (Urteil vom 06.09.2007, Az. 23 S 3/07) wertete IP-Adressen als personenbezogene Daten, sodass eine Speicherung nur mit Einwilligung möglich sei. Geklagt wurde im Berliner Fall gegen das Bundesministerium der Justiz, auf dessen Website Logfiles angelegt wurden, die unter anderem IP-Adressen der Seitenbesucher über den Zeitraum des Nutzungsvorgangs hinaus protokollierten.

Anders als das LG Berlin entschied das AG München, dass es sich bei dynamischen IP-Adressen nicht um personenbezogene Daten handelt, da es an der Bestimmbarkeit mangele. Diese sei gegeben, wenn die hinter der Einzelangabe stehende Person ohne unverhältnismäßigem Aufwand bestimmt werden könne. Da dynamische IP-Adressen bei jeder Einwahl ins Netz für den Zeitraum der Internetnutzung durch den jeweiligen Access Provider neu vergeben werden, kann nur dieser die IP einem Nutzer zuordnen. Diese Angaben darf der Provider jedoch nicht ohne eine Rechtsgrundlage Dritten zur Verfügung stellen.

Streitpunkt: Personenbezug

Während Datenschützer von einer sog. objektiven Personenbeziehbarkeit ausgehen, nach der die theoretische Möglichkeit eines Personenbezugs, auch unter Mitwirkung von Dritten, genügt, um die IP-Adresse unter die Definition des § 3 Abs. 1 BDSG fallen zu lassen, vertritt die herrschende Meinung die Ansicht des sog. relativen Personenbezugs. Das bedeutet, dass die Mitwirkungsmöglichkeit Dritter außer Acht gelassen wird und die Personenbeziehbarkeit allein anhand der Fähigkeiten und Kenntnisse der verarbeitenden Stelle geprüft wird.

Automatische Speicherung

Unklarheit herrscht auch in den Fällen, in denen IP-Adressen automatisch in Server-Logfiles protokolliert oder von Tracking-Tools zur anonymisierten Analyse des Nutzerverhaltens gespeichert werden. Legt man den relativen Personenbezug zu Grunde, wäre die IP-Adresse in diesen Fällen kein personenbezogenes Datum, da dem Webseitenbetreiber allein anhand der IP-Adresse die Zuordnung zu einer bestimmten Person grundsätzlich nicht möglich ist.

Da die IP-Adresse jedoch ebenfalls in den Logfiles des Internet-Providers gespeichert wird, wäre über diesen die Ermittlung des Anschlussinhabers und damit die Zuordnung zu einer bestimmten Person möglich. Geht man nun von der objektiven Personenbeziehbarkeit aus, wären IP-Adressen aufgrund dieser Möglichkeit personenbezogene Daten und die Speicherung demnach nur nach ausdrücklicher Einwilligung zulässig. Diese Auffassung wird offenbar auch von den Datenschutzbehörden vertreten, die vermehrt Webseiten diesbezüglich überprüfen, insbesondere hinsichtlich der Verwendung von Tracking-Tools, die IP-Adressen speichern.

IP-Speicherung bei Bestellung

Eindeutig ist die Rechtslage allerdings, wenn Website-Betreiber IP-Adressen mit personenbezogenen Daten zusammenführen und so den direkten Personenbezug selbst herstellen, z. B. wenn Shopbetreiber bei einer Bestellung die IP-Adresse des Kunden zusammen mit dessen Bestelldaten speichern.

Hier läge in jedem Fall ein Verstoß gegen Datenschutzbestimmungen vor, sofern nicht zuvor die ausdrückliche Einwilligung des Kunden zur Speicherung eingeholt wurde. Ein solcher Verstoß kann mit Bußgeldern geahndet werden und Unterlassungsklagen der Betroffenen nach sich ziehen.

Anonymisierte Speicherung möglich

Solange die IP- Adresse jedoch z.B. nur zu statistischen Zwecken gespeichert bzw. verwendet wird (Stichwort „Besucherzähler“) und die Daten insoweit auch keinen Personenbezug aufweisen, weil sie anonymisiert werden, ist auch eine langfristige Speicherung ohne Einwilligung möglich. Es sollte jedoch auch hier ein Hinweis bzw. eine Unterrichtung des Kunden in der Datenschutzerklärung zu finden sein.

Im Zweifel Einwilligung einholen

Bis zu einer höchstrichterlichen Klärung durch den BGH sollten daher Shopbetreiber, die auf Nummer sicher gehen wollen, vor der Speicherung von IP-Adressen generell eine ausdrückliche Einwilligung, z. B. über eine Opt-In-Checkbox, einholen oder ganz auf die Speicherung verzichten. Bei der Verwendung von Tracking-Tools sollte sichergestellt werden, dass diese keine IP-Adressen speichern.

Auszug aus Hoeren/Föhlisch, Trusted Shops Praxishandbuch, Stand: 05/2009

Lesen Sie auch die weiteren Teile zum Thema Datenschutz

  1. Teil 1: So machen Sie es richtig
  2. Teil 2: Was Sie beim Newsletter-Versand beachten müssen
  3. Teil 3: Darf die IP-Adresse gespeichert werden?
  4. Teil 4: Was sind Cookies und was ist bei ihrem Einsatz zu beachten?
  5. Teil 5: Darf man Web-Analyse-Tools einsetzen?
  6. Teil 6: Darf ich Kundendaten einfach weitergeben?
  7. Teil 7: Darf ich die Bonität meiner Kunden prüfen?

Wollen Sie mehr zum Thema wissen?

Trusted Shops Praxishandbuch Dann schauen Sie sich einmal unser Praxishandbuch für Shopbetreiber an! Das Trusted Shops Praxishandbuch ermöglicht juristischen Laien die rechtssichere Gestaltung des Kaufprozesses im Online-Shop vom Impressum über die Datenschutzerklärung, Produktbeschreibung, Bestellseite, Informationsseiten und AGB bis zur E-Mail-Bestätigung. Mehr...

Weitere Beiträge zum Thema Tipps und Tools:



«
»
Ein Auszug aus unseren Referenzen