Internet & Recht - aktuell Home

Das Ende der Auskunftspflicht?

Eine Empfehlung der Datenschutzkommission und ihre Konsequenzen

aktuell - Übersicht

Die Entscheidung der Datenschutzkommission

Zwei ertappte Tauschbörsennutzer, die über ihren Provider anhand der IP-Adresse ausgeforscht worden waren, beschwerten sich bei der Datenschutzkommission (DSK) über die missbräuchliche Verwendung personenbezogener Daten durch eine Verwertungsgesellschaft. Die DSK überprüfte den Vorgang der Datenerhebung beim beteiligten Access-Provider. Dieser berief sich darauf, dass er trotz Flatrate die Verkehrsdaten zur Kontrolle der Fair Use Policy speichern müsse. Die DSK gab nunmehr die Empfehlung ab, der betroffene Access-Provider möge dafür Sorge treffen, dass in Hinkunft dynamische IP-Adressen nach Abschluss der technischen und organisatorischen Abwicklung der Verbindung ohne Zustimmung des Benutzers nicht mehr gespeichert werden. Dynamische IP-Adressen seien personenbezogene Daten. Zur Erfüllung des Auskunftsbegehrens müssten Verkehrsdaten verarbeitet werden, da IP-Adressen Zugangsdaten im Sinne des § 92 Abs. 3 Z 4a TKG 2003 seien. Dynamische IP-Adressen seien ausschließlich Verkehrsdaten, statische IP-Adressen seien sowohl Verkehrsdaten als auch Stammdaten. Die Verwendung der Verkehrsdaten unterliege der Vertraulichkeit gem. Art. 5 der RL 2002/58/EG bzw. dem Kommunikationsgeheimnis gem. § 93 Abs. 1 TKG 2003 und besonderen Verwendungsbeschränkungen gem. Art. 6 und Art 15 Abs. 1 der genannten RL bzw. § 92 Abs. 2 und § 99 TKG 2003. Diese Daten dürften daher nur gespeichert werden, soweit dies für Verrechnungszwecke notwendig sei oder soweit die ausdrückliche Einwilligung des Betroffenen vorliege. Im gegenständlichen Fall hätten die Daten für die Kontrolle der Einhaltung der Fair-Use-Policy nicht gespeichert werden dürfen, weil es dazu genügt hätte, das Volumen pro Verbindung zu speichern (und nicht die weiteren Verbindungsdaten wie die jeweils zugewiesene IP-Adresse).

Die Situation in Deutschland

Eine ähnliche Entscheidung hat in Deutschland bereits 2005 das Amtsgericht Darmstadt getroffen. Dort klagte ein Kunde von T-Online, der wegen eines kritischen Foreneintrages verfolgt und später freigesprochen worden war. Auch er war über die zugewiesene dynamische IP-Adresse seines Providers ausgeforscht worden. Darauf klagte er diesen auf Unterlassung und Löschung und gewann nicht nur vor dem Amtsgericht, sondern auch vor der zweiten Instanz beim LG Darmstadt und beim BGH.

Die Auswirkungen

Die Empfehlung der DSK gilt zunächst nur gegenüber dem in der Entscheidung genannten Provider. Die Rechtsgrundlage findet sich in § 30 Abs. 6 DSG. Nur gegenüber diesem einen Provider kann die Einhaltung der Empfehlung auch mit den notwendigen Zwangsmitteln durchgesetzt werden.
Allerdings handelt es sich bei dieser Entscheidung um eine Präzedenzentscheidung, die für alle Access-Provider in Zukunft gilt und an die sich alle zu halten haben werden. Ansonsten laufen sie Gefahr, dass sich weitere Kunden mit Erfolg an die DSK wenden. Das bedeutet, dass die Access-Provider bei der Vergabe von dynamischen IP-Adressen in Zukunft zwei Möglichkeiten haben: Entweder sie holen sich das Einverständnis ihrer Kunden zur Speicherung (wozu aber die Zustimmung jedes einzelnen notwendig ist) oder sie verzichten auf die Speicherung der zugewiesenen IP-Adressen, d.h. sie speichern nur mehr Online-Zeit und Traffic des jeweiligen Kunden und lassen die IP-Adresse weg.

Nachdem die Provider diese Daten nicht mehr speichern dürfen, können sie sich natürlich gegenüber den Auskunft fordernden Gerichten darauf berufen, dass sie diese Daten nicht haben. Ich nehme an, dass sie darüber gar nicht unerfreut sind, weil die dauernde Auskunfterteilerei nicht nur aufwändig ist, sondern auch von den Kunden als "Verpfeifen" ausgelegt werden kann und damit geschäftsschädigend ist.

Wie geht es weiter?

Es stellt sich jetzt die Frage, wie das alles zu der im Frühjahr 2006 beschlossenen Vorratsdatenspeicherung-Richtlinie der EU passt, geht diese doch in die genau entgegengesetzte Richtung. Diese Richtlinie muss aber in Österreich erst relativ spät umgesetzt werden; bezüglich der Telefondaten bis 15.9.2007, bezüglich der Internetdaten erst bis 15.3.2009. Dabei ist aber darauf hinzuweisen, dass das zeitlich gesehen einerseits Maximalfristen sind und andererseits der Umfang der Speicherung nur Minimalforderungen der EU. Österreich könnte daher schon früher mit der Speicherung beginnen und auch eine umfangreichere Speicherpflicht einführen als die EU vorgibt. In Deutschland scheint der Weg momentan zu einer sehr weitgehenden Überwachung zu gehen:

Bei der Forderung nach einer umfassenden Überwachung und Datenspeicherung kommt es immer wieder zu unheiligen Allianzen zwischen Strafverfolgungsbehörden (Stichwort Terrorismus und Kinderpornographie) und der Musik- und Filmindustrie (Stichwort "Urheberrechtsverbrecher"). Ich fürchte, dass die Entscheidung der DSK diese Diskussion auch in Österreich anheizen wird, weil es natürlich Nachteile für die Strafverfolgungsbehörden bringt, wenn in Zukunft keine (dynamischen) IP-Adressen mehr gespeichert werden (bisher war eine Speicherung für ca. 3 Monate üblich). Das heißt, es wird von dieser Seite enormer Druck in Richtung einer Speicherpflicht kommen und die Urheberindustrie wird sich anhängen. Mal sehen, wie unsere Regierung dazu stehen wird, wenn wir einmal eine haben sollten. Ein behutsamer Interessenausgleich wäre hier dringend geboten.

Anhang

Eruierung der IP-Adresse

Hier können Sie Ihre momentane IP-Adresse herausfinden:

Und hier stellen Sie fest, auf wen diese IP-Adresse "zugelassen" ist, wer also als Inhaber in der weltweiten WHOIS-Datenbank eingetragen ist:

Statische IP-Adresse und Namensadresse

Bei einer dynamischen IP-Adresse ist immer der Provider als Inhaber im Internetregister eingetragen, bei einer statischen IP-Adresse ist meist der tatsächliche Inhaber eingetragen; es kann aber auch der Provider eingetragen sein.

Wenn der tatsächliche Inhaber eingetragen ist, hat das enorme Konsequenzen für den Datenschutz. Wer mit einer solchen IP-Adresse im Internet unterwegs ist, hat praktisch eine Nummerntafel umgehängt, anhand der jeder Kommunikationspartner jederzeit blitzschnell Namen, Anschrift, Telefonnummer und E-Mail-Adresse herausfinden kann. Das gilt auch für das Surfen auf einer Website. Der Betreiber der Website kann aus den Server-Logfiles je nach Tiefe der Auswertung genau feststellen, wer die Website wann, wie lange besucht hat und was er dort angeschaut hat. Mit einer Einschränkung: Eruiert werden kann nur der Inhaber der IP-Adresse. Was die lieben Kinderlein, Angestellten oder Studenten so treiben, fällt in gewisser Hinsicht auf den Inhaber der IP-Adresse zurück; er stellt sozusagen seinen Namen zur Verfügung. Deswegen ist auch verständlich, wenn nicht nur die Dienstgeber im öffentlichen Dienst der Internetnutzung ihrer Mitarbeiter sehr skeptisch gegenüberstehen. Immerhin wurde schon einmal eine Statistik veröffentlicht, welche Ämter wie häufig bestimmte Rotlichtseiten ansurfen.

Wenn daher manche Provider damit werben, dass sie bei ihren Internetprodukten eine oder mehrere statische IP-Adressen zur Verfügung stellen, so mag das aus der Sicht eines Server-Betreibers günstig sein. Wenn der Internetanschluss aber auch zum Surfen - womöglich sogar für die ganze Familie - dient, sollte man sich rechtzeitig erkundigen, wer in die WHOIS-Datenbank eingetragen wird, sonst ist Schluss mit der Anonymität im Internet - und man hat auch noch bezahlt dafür.

Siehe auch:

30.10.2006 (Anhang vom 6.11.2006)

Franz Schmidbauer

zum Seitenanfang

zur Übersicht Aktuelles