Speicherung von IP-Adressen bei Flatrate-Kunden durch Access-Provider unzulässig
AG Darmstadt
Urteil vom 30.06.2005
Az.: 300 C 397/04
In dem Rechtsstreit
…
gegen
…
hat das Amtsgericht Darmstadt durch den Richter am Amtsgericht K. aufgrund der mündlichen Verhandlung vom 19.05.2005 für Recht erkannt:
1. Die Beklagte wird verurteilt, es zu unterlassen, die im Rahmen der Nutzung des Internetzugangs durch den Kläger diesem zugeteilten dynamischen IP-Adressen zu speichern, sobald diese nicht mehr für die Ermittlung der Abrechnungsdaten erforderlich sind.
2. Die Beklagte wird verurteilt, die ihr für die jeweilige Nutzung des Internetzugangs durch den Kläger übermittelten sogenannten dynamischen IP-Adressen zu löschen, sobald daraus das Abrechnungssystem die für die Abrechnung erforderlichen Daten ermittelt hat.
3. Die Beklagte wird verurteilt, die von ihr bisher im Rahmen der Nutzung des Internetzugangs durch den Kläger gespeicherten dynamischen IP-Adressen zu löschen, soweit sie zur Ermittlung der Abrechnungsdaten nicht mehr erforderlich sind.
4. Der Beklagten wird für jeden Fall der Zuwiderhandlung gegen das Gebot in Ziffer 1.) ein Ordnungsgeld bis zur Höhe von 100.000,– €, ersatzweise Ordnungshaft bis zu 6 Monaten angedroht.
5. Im übrigen wird die Klage abgewiesen.
6. Die Kosten des Rechtsstreits werden gegeneinander aufgehoben.
Tatbestand:
Der Kläger ist Kunde bei der Beklagten. Er hat einen Vertrag zur Nutzung des Internets mittels einer sogenannten Flatrate geschlossen. Bei dieser Vertragskonstellation kann der Kläger über einen speziellen Zugang der Beklagten das Internet nutzen und bezahlt hierfür lediglich ein pauschales monatliches Entgelt. Dieses Entgelt ist unabhängig davon, in welchem Umfang der Kläger den Zugang nutzt, auch welche Datenmengen er aus dem Internet herunterlädt. Soweit der Kläger allerdings den Zugang nicht über einen DSL-Anschluss, sondern über einen ISDN-Anschluss nutzt, entstehen minutenabhängige Gebühren. Ebenso sind weitere Kosten möglich, wenn Mitbenutzer eingerichtet werden. Hinsichtlich der Einzelheiten wird auf die Preisliste der Beklagten Bl. 36 f. der Gerichtsakte Bezug genommen. Der Internetzugang erfolgt über eine Kombination von Leistungen des Telekommunikationsanbieters des Klägers, hier die Deutsche Telekom AG, und der Beklagten als Internetprovider. Der Kläger kann auch weitere von der Beklagten angebotene entgeltpflichtige Teledienste nutzen. Um die Leistung der Beklagten in Anspruch nehmen zu können, muss sich der Kläger zunächst über das Telekommunikationsnetz der Deutschen Telekom AG bei der Beklagten einwählen. Die Überprüfung der Berechtigung erfolgt auf einem sogenannten Radius-Server. Auf dem Radius-Server sind die jeweilige Kundenkennung und das jeweilige Passwort für alle berechtigten Nutzer gespeichert. Nach erfolgreicher Authentifizierung vergibt der Radius-Server eine sogenannte dynamische IP-Adresse. Diese dient als Kennung zur Kommunikation mit den internen und den externen von der Beklagten angebotenen Diensten sowie der Nutzung des sonstigen Internets. Der Radius-Server selbst führt keine Abrechnung durch. Funktionsbedingt sind auf diesem Server keine weiteren Daten über die Nutzung hinterlegt. Die Nutzung kann deshalb nicht in ein Tarifmodell eingeordnet werden. Unter Angabe des verwendeten Zugangsweges überträgt der Radius-Server die Daten des jeweiligen Nutzungsvorgangs (Beginn, Ende, Zugangsweg und für die Nutzung zugewiesene IP-Adresse) zusammen mit allen anderen angefallenen Nutzungsvorgängen von Kunden der Beklagten an die Beklagte. Dies erfolgt in festgelegten Übertragungsintervallen, d. h. innerhalb weniger Tage. Die Daten werden dann aufbereitet und an das Abrechnungssystem zur Verarbeitung übergeben. Erst nachdem die Nutzungsdaten zur Abrechnung verarbeitet und anschließend geprüft sind, können die entgeltlichen und die unentgeltlichen Bestandteile erstmals voneinander getrennt werden. …
Die Beklagte … ist der Auffassung, dass die Speicherung der dynamischen IP-Adressen bis zum Ablauf von 80 Tagen zulässig und auch notwendig sei. Zwar könne, nachdem die Daten über den Radius-Server in ihr Abrechnungssystem geleitet worden seien, eine Aufteilung in abrechnungspflichtige und abrechnungsfreie Nutzungswege und Zeiten erfolgen. Zur Vermeidung von Abrechnungsschwierigkeiten sei es allerdings notwendig, die IP-Adressen weiterhin zu speichern, um Einwendungen der Nutzer hinsichtlich der Nutzung des Internets begegnen zu können und nachweisen zu können, dass die in Rechnung gestellten Beträge ordnungsgemäß abgerechnet worden seien. Die Speicherung sei darüber hinaus auch notwendig, um Missbrauch zu überprüfen. Schließlich sei eine Speicherung auch nach § 9 BDSG erforderlich, um die Datensicherheit insgesamt zu gewährleisten.
…
Das Gericht hat amtliche Auskünfte des Bundesbeauftragten für den Datenschutz, des hessischen Beauftragten für den Datenschutz und des Regierungspräsidenten Darmstadt eingeholt.
Entscheidungsgründe:
Die Klage ist zulässig, sie ist auch teilweise begründet.
Das Gericht hält sich für zuständig …
Das Gericht ist auch in der Sache selbst zur Entscheidung berufen. Zwischen den Parteien besteht ein entsprechender Nutzungsvertrag, der die Beklagte verpflichtet, sich innerhalb der gesetzlichen Vorschriften zur Frage der Datenspeicherung und Datensicherung zu bewegen. Verstöße dagegen können im Rahmen des Vertragsrechts beanstandet und im Zivilrechtsweg unterbunden werden oder zu Schadensersatzansprüchen führen. Eine Bindung des erkennenden Gerichts an das Schreiben des Regierungspräsidiums Darmstadt als Aufsichtsbehörde im Rahmen des Teledienstedatenschutzgesetzes vom 14.01.2003 ist mangels gesetzlicher Grundlage nicht gegeben.
Das Regierungspräsidium Darmstadt kommt in diesem Schreiben zu dem Ergebnis, dass die Speicherung der vergebenen dynamischen IP-Adresse durch die Beklagte über den Zeitraum der Nutzung hinaus nicht nur bis zur Abrechnung, sondern bis zum Ablauf der Einwendungsfrist gegen die Abrechnung zulässig ist. Zur Begründung wird ausgeführt, dass die Speicherung der IP-Adresse deshalb gerechtfertigt ist, damit die Beklagte im Zweifelsfall die kostenpflichtige Erbringung ihrer Leistung wirklich korrekt und durchsetzbar nachweisen kann. Bei sogenannten Flatratetarifen müsse bezüglich der Abrechnungszwecke berücksichtigt werden, dass Kunden auch innerhalb eines solchen Tarifs zeitabhängige Nutzungen wählen können. Schließlich könne mit der protokollierten IP-Adresse eine behauptete Leistungsstörung widerlegt bzw. der Umfang einer vorhandenen Leistungsstörung umrissen werden. Schließlich sei die Speicherung auch gemäß § 9 BDSG zur Gewährleistung der Datensicherheit erforderlich.
Der hessische Datenschutzbeauftragte hat mitgeteilt, dass er sich mangels Zuständigkeit und mangels Kenntnis der tatsächlichen Verhältnisse der Beklagten nicht äußern könne. Er hält jedoch die Speicherung von dynamischen IP-Adressen nicht nur für Abrechnungszwecke, sondern auch für Datensicherheitszwecke für zulässig. Der Bundesbeauftragte für den Datenschutz hat mitgeteilt, dass die Speicherung von dynamischen IP-Adressen über das Ende der Verbindung hinaus nur erfolgen dürfe, soweit sie für Zwecke der Abrechnung erforderlich seien. Die IP-Adresse sei regelmäßig für die Abrechnung nicht erforderlich. Lediglich gemäß § 100 Abs. 1 TKG dürfe der Diensteanbieter Verkehrsdaten für einen Zeitraum von mehreren Tagen bis höchstens zwei Wochen zu Zwecken der Datensicherheit speichern. Ein vorsorgliches Speichern von Verkehrsdaten aller Kunden zum Zwecke des Nachweises oder Verhinderung eines möglicherweise stattfindenden Missbrauches sei durch die Regelung allerdings nicht erfasst und somit unzulässig.
Das erkennende Gericht hält die Speicherung dynamischer IP-Adressen für unzulässig, soweit sie nicht mehr für die Ermittlung der Abrechnungsdaten erforderlich sind. Die Speicherung der Verbindungsdaten wie Beginn und Ende sowie des Volumens der übertragenen Daten hält das Gericht allerdings bis zum Ablauf der Einwendungsfrist gegen die Abrechnung für zulässig.
Zwischen den Parteien ist unstreitig, dass die sogenannten dynamischen IPAdressen dazu führen können, das Nutzerverhalten im Internet transparent zu machen und mit weiteren Daten einen Personbezug herzustellen, so dass nachvollzogen werden kann, welche Aktivitäten bestimmte Personen im Internet entfaltet haben.
Zwischen den Parteien und auch in der einschlägigen Literatur ist streitig, ob die von der Beklagten angebotenen Dienste rechtlich unter den Anwendungsbereich des Teledienstedatenschutzgesetzes fallen oder ob es sich dabei um Telekommunikationsleistungen nach dem Telekommunikationsgesetz handelt. Der Beklagten ist zwar zuzugestehen, dass sie zahlreiche Dienste vorhält, die als Teledienste zu klassifizieren sind. Im Wesentlichen geht es aber im vorliegenden Fall um die Frage des bloßen Zugangs zum Internet, also die Unterhaltung einer funktionsfähigen Schnittstelle, um Daten für den Kunden in das Internet zu senden oder umgekehrt zu empfangen. Der Access-Provider bietet hierbei selbst keine Inhalte an. Diese Übertragung von Daten und die DSL-Verbindung bilden nach Auffassung des Gerichts einen Telekommunikationsdienst nach § 3 Nr. 24 TKG und keinen Teledienst, da ohne die Aufbereitung und Ansehung von Inhalten Daten übertragen werden und sich die Leistung somit auf die Transportfunktion beschränkt …
Nach § 97 Abs. 3 TKG darf der Diensteanbieter zur ordnungsgemäßen Ermittlung und Abrechnung der Entgelte für Telekommunikationsdienste und zum Nachweis der Richtigkeit derselben verschiedene personenbezogene Daten erheben und verwenden, die im einzelnen aufgelistet sind. Dazu gehören auch die dynamischen IPAdressen, über deren Personenbezogenheit mittlerweile kein Streit mehr besteht. Allerdings hat nach Abs. 3 der Diensteanbieter nach Beendigung der Verbindung aus den Verkehrsdaten unverzüglich die für die Berechnung des Entgelts erforderlichen Daten zu ermitteln. Nicht erforderliche Daten sind unverzüglich zu löschen. Weitergehend darf der Diensteanbieter gemäß § 100 Abs. 3 TKG bei Vorliegen zu dokumentierender tatsächlicher Anhaltspunkte die Bestandsdaten und Verkehrsdaten erheben und verwenden, die zum Aufdecken sowie Unterbinden von Leistungserschleichungen und sonstigen rechtswidrigen Inanspruchnahmen der Telekommunikationsnetze erforderlich sind. Auf diese Ausnahme nimmt der Bundesdatenschutzbeauftragte Bezug, wenn er in seiner Stellungnahme auf Seite 3 ausführt, dass diese Regelung eine Speicherung für einen Zeitraum von mehreren Tagen bis höchstens zwei Wochen zum Zwecke der Datensicherheit erlaubt. Ein solcher Ausnahmefall ist vorliegend aber nicht gegeben. Es geht im vorliegenden Rechtsstreit lediglich um die Frage, ob die Beklagte generell die dynamischen IP-Adressen speichern darf.
Die Beklagte hat eingeräumt, dass die Ermittlung der Abrechnungsdaten nicht erst im Zeitpunkt der Erstellung der Abrechnung erfolgt, sondern bereits einige Tage, nachdem die Nutzungsdaten angefallen sind. Sie hat ausgeführt, und das erscheint für das Gericht auch nachvollziehbar, dass der sogenannte Radius-Server der Deutschen Telekom AG die gesamten Verkehrsdaten in regelmäßigen Intervallen, bis zu mehreren Tagen, an die Beklagte übermittelt, die dann mittels ihres Abrechnungssystems und der darin gespeicherten Tarifierungsmerkmale die Abrechnungsdaten ermittelt. Ab diesem Zeitpunkt ist die dynamische IP-Adresse nicht mehr zur Ermittlung der Abrechnungsdaten erforderlich. Die Beklagte beruft sich darauf, dass die IP-Adresse allerdings erforderlich sei, um bei Abrechnungsschwierigkeiten den Nachweis der Nutzung durch den Kunden zu ermöglichen bzw. feststellen zu können, woher die Leistungsinanspruchnahme erfolgt ist. In diesem Fall geht es der Beklagten also nicht darum, die IP-Adresse zur Ermittlung der Abrechnungsdaten, sondern zum Nachweis der Richtigkeit der Abrechnung zu benutzen. Dieser Auffassung steht der klare Wortlaut des § 97 Abs. 3 TKG entgegen. Damit hat der Gesetzgeber eindeutig zum Ausdruck gebracht, dass nur die zur Abrechnung unerlässlichen Daten gespeichert werden sollen. Dies beruht auf der hohen Senibilität von Telekommunikationsnutzungsdaten. Die Speicherung von Nutzungsdaten kann daher nicht damit gerechtfertigt werden, dass die Nutzung des Dienstes im Streitfall mit den gespeicherten Daten plausibel gemacht oder nachgewiesen werden kann. Mit diesem Argument wäre auch etwa die Speicherung der einzelnen Internetseiten, die der Nutzer aufruft, zulässig. Auch damit könnte nämlich im Einzelfall nachgewiesen werden, dass ein Nutzer den Dienst benutzt hat. Selbst eine Speicherung von Inhaltsdaten könnte mit diesem Argument gerechtfertigt werden. Dieses weitgehende Verbot der Datenspeicherung zu Beweiszwecken ist der Beklagten auch zumutbar. Wenn sie ihre Forderung gegen den Kunden einklagt, trifft sie keine Beweislast bezüglich der Daten, die sie nicht erfassen durfte oder löschen musste. Entsprechend § 16 Abs. 2 der Telekommunikationskundenschutzverordnung trifft den Anbieter keine Nachweispflicht für Einzelverbindungen, die aufgrund rechtlicher Verpflichtung gelöscht wurden. Bestreitet ein Kunde der Beklagten, dass die Forderung berechtigt sei, so ist die Vorlage der IP-Adresse nicht erforderlich. Die Beklagte muss lediglich nachweisen, dass ein Vertrag besteht, das Abrechnungssystem ordnungsgemäß funktioniert und damit nur solche Nutzungsvorgänge abgerechnet werden, die unter Verwendung der Kennung und Geheimzahl stattgefunden haben. Erbringt die Beklagte diese Nachweise, spricht der Beweis des ersten Anscheins für die Richtigkeit ihrer Entgeltforderung. Wenn der Kunde geltend macht, seine Kennung und Geheimzahl seien in von ihm nicht zu vertretendem Umfang benutzt worden, so trägt er die Beweislast (§ 16 Abs. 3 Satz 3 TKV analog). Auch dem Kunden ist die Beweislastverteilung zuzumuten. Er hat es in der Hand, Kennung und Passwort geheim zu halten. Er kann sich auch durch eine technische Prüfung der Anlagen der Beklagten versichern, dass diese korrekt abrechnet.
Der erkennende Richter weist darauf hin, dass das Amtsgericht Darmstadt seit mehreren Jahren für Rückforderungsansprüche gegen die Beklagte aufgrund von Abrechnungsstreitfragen zuständig ist. Es handelt sich häufig um Fragestellungen, bei denen ein Tarifwechsel nicht funktioniert hat und erhebliche minutentaktabhängige Gebühren durch die Beklagte in Rechnung gestellt wurden. Zum Nachweis der Richtigkeit der in Rechnung gestellten Gebühren wurden bisher in keinem Fall IPAdressen vorgelegt, vielmehr ging es ausschließlich um Einzelverbindungsnachweise.
Aber auch wenn man davon ausgeht, dass die Beklagte einen Teledienst betreibt, gilt gemäß § 6 Teledienstedatenschutzgesetz nichts anderes. § 6 Abs. 1 TDDSG bestimmt, dass der Diensteanbieter personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben, verarbeiten oder nutzen darf, soweit dies erforderlich ist, um die Inanspruchnahme von Telediensten zu ermöglichen und abzurechnen. Solche Nutzungsdaten dürfen nach § 6 Abs. 4 TDDSG nur gespeichert werden, soweit sie für Zwecke der Abrechnung mit dem Nutzer erforderlich sind. Auch für § 6 Abs. 4 TDDSG gilt, dass darin lediglich die Speicherung für die Zwecke der Abrechnung, also für die Erstellung der Abrechnung als solche, nicht aber für die Durchsetzbarkeit oder Beweisbarkeit der Richtigkeit der Abrechnung zugelassen ist. Ansonsten gilt das gleiche wie zu § 97 Abs. 3 TKG. Auch in § 6 Abs. 8 TDDSG besteht die Möglichkeit, Nutzungsdaten allgemein länger zu speichern. Dies setzt aber zu dokumentierende tatsächliche Anhaltspunkte voraus, dass Dienste von bestimmten Nutzern in der Absicht in Anspruch genommen werden, das Entgelt nicht oder nicht vollständig zu entrichten. Auch dieser Sonderfall ist vorliegend nicht gegeben.
Das Gericht weist darauf hin, dass die Sicherheit des Internets, die Verfolgung von schwerwiegenden Straftaten und gegebenenfalls auch die Verfolgung urheberrechtlicher oder zivilrechtlicher Ansprüche die Speicherung von dynamischen IP-Adressen sinnvoll oder auch erforderlich erscheinen lassen. Dies hat der Kläger selbst eingeräumt. Dennoch sieht das Gericht im Rahmen des geltenden Rechts keine Möglichkeit der Beklagten, IP-Adressen ohne konkreten Bezug auf einen Missbrauch zu speichern …
Etwas anderes folgt auch nicht aus § 9 BDSG. Die Beklagte beruft sich, insoweit vom Regierungspräsidium Darmstadt gebilligt, darauf, dass die Speicherung der IPAdresse als Maßnahme zur Gewährleistung der Datensicherheit gemäß § 9 BDSG zulässig sei. § 9 BDSG bleibt gemäß § 1 Abs. 2 TDSG unberührt.
Das Gericht ist ebenfalls der Auffassung, dass § 9 BDSG neben dem Telekommunikationsdatenschutz eingreifen kann. Danach ist die Beklagte verpflichtet, technische und organisatorische Maßnahmen zur Gewährleistung des Datenschutzes zu treffen, wobei es keine allgemeingültigen Regeln über die Anforderungen an bestimmte Datenverarbeiter gibt. Gemäß § 9 Satz 2 BDSG soll der Aufwand in einem angemessenen Verhältnis zum Schutzzweck stehen. Das Verhältnismäßigkeitsprinzip betrifft aber nur die Seite der technischen und organisatorischen Sicherung selbst. Die Festlegung der einzelnen Maßnahme hat sich an den Bezugsgrößen des Schutzzwecks und des Aufwands zu orientieren. Die Schutzkriterien müssen an der Schutzbedürftigkeit der einzelnen gespeicherten Daten ausgerichtet werden.
Allerdings ist das Gericht nicht der Auffassung, dass die Speicherung der IPAdressen im Rahmen des Sicherheitskonzepts durch die Beklagte zur Erfüllung dieser Anforderungen geeignet und erforderlich ist. Es mag durchaus sein, dass eine effektive Zugriffskontrolle zwingend voraussetzt, dass die Information darüber verfügbar ist, wem die fragliche IP-Adresse zum konkreten Zeitpunkt zugeteilt war. Auch mag die Vielzahl der möglichen Angriffe auf ihr System einen entsprechenden Schutz erfordern. Dennoch ist damit der Anwendungsbereich des § 9 BDSG deutlich überschritten. Denn man würde den Zweck der Vorschrift, die bei einer Stelle gespeicherten personenbezogenen Daten vor unberechtigten Zugriffen zu schützen, genau in sein Gegenteil verkehren, wenn man daraus die Befugnis zur Speicherung weiterer personenbezogener Daten über die Kunden der Beklagten ableiten wollte. Eine solche Mehrspeicherung würde nämlich noch weitere Daten über den Betroffenen der Gefahr missbräuchlicher Zugriffe aussetzen. Nach dem Grundsatz der Datensparsamkeit (§ 3a BDSG) stellt den besten Schutz vor missbräuchlichen Zugriffen auf persönliche Daten dar, diese erst gar nicht zu speichern. Dann ist es auch überflüssig, Vorkehrungen zu ihrem Schutz zu treffen, wobei die Ausführungen der Beklagten zur Größe des Personenkreises, der Zugriff auf die gespeicherten IP-Adressen hat, mehr als dürftig gewesen sind.
Die Klage war allerdings abzuweisen, soweit der Kläger darüber hinaus begehrt, dass auch sämtliche Abrechnungsdaten wie Beginn und Ende der Nutzung und Volumen der Datenmengen nicht gespeichert werden dürften bzw. gelöscht werden müssten. Dem Kläger ist zwar zuzugestehen, dass grundsätzlich bei einer pauschalen Flatrate einzelne Verbindungsdaten nicht notwendig sind, da pauschal abgerechnet wird. Die Beklagte hat aber detailliert dargelegt, wie viele Möglichkeiten auch innerhalb eines Flatratetarifs bestehen, entgeltpflichtige Nutzungen durchzuführen. Dem erkennenden Richter sind aus einer Vielzahl von Fällen zahlreiche Fallgestaltungen bekannt, in denen sich später ein Streit über die Frage der Art der Abrechnung entzündet hat, ohne dass eindeutig ein Verschulden der Beklagten bei der Tarifwahl zu erkennen war. Bei solchen Daten handelt es sich eindeutig um Abrechnungsdaten, die gespeichert werden dürfen, ohne dass es darauf ankommt, welcher konkrete Tarif von dem Kunden gewählt wurde.
Angesichts des Teilunterliegens des Klägers und der Bewertung der unterschiedlichen Anträge hält es das Gericht für sinnvoll, die Kosten gemäß § 92 ZPO gegen einander aufzuheben. Die Entscheidung zur vorläufigen Vollstreckbarkeit beruht auf § 709 ZPO …