Aus rechtlicher Sicht ist die Kommentarfunktion in Blogs aus zwei Gründen problematisch:
1.) Weil jeder anonym kommentieren kann.
2.) Weil nicht jeder anonym kommentieren kann.
Ende 2007 durfte ich zusehen, wie den Richtern des Hamburger Landgerichts die Haare zu Berge standen angesichts des Leichtsinns, dass hier Menschen einfach Nachrichten hinterlassen können, ohne ihren richtigen Namen anzugeben zu müssen. Wenn ich nicht weiß, wer da kommentiert, muss ich im Zweifelsfall vorab prüfen, was da kommentiert wird, urteilte das Gericht — und entschied gegen mich.
Nun sind es die Berliner Datenschützer, denen die Haare zu Berge stehen angesichts der Ungeheuerlichkeit, dass ich von den Kommentatoren die Angabe einer E-Mail-Adresse verlange und die IP-Adressen, unter denen sie gerade im Netz unterwegs sind, gespeichert werden. Das zweite macht die Blog-Software WordPress automatisch; das erste ist für mich ein etwas hilfloser Versuch, die Moderation der Kommentare zu erleichtern und die Wahrscheinlichkeit des Schlimmsten zu reduzieren.
Der Berliner Datenschutzbeauftragte hält die Praxis (die mehr oder weniger Standard in Blogs ist) für unzulässig und hat mir mit einer Geldbuße von bis zu 50.000 Euro gedroht, wenn ich daran nichts ändere. Er verweist auf das Telemediengesetz, wonach „Nutzungsdaten“ in der Regel „nur zu Zwecken der Abrechnung“ gespeichert und „Bestandsdaten“ wie die E-Mail-Adresse nur erhoben werden dürften, „soweit sie für die Begründung, inhaltliche Ausgesatltung oder Änderung eines Vertragsverhältnisses zwischen dem Diensteanbieter und dem Nutzer über die Nutzung von Telemedien erforderlich sind“.
· · ·
Das deutsche Datenschutzrecht als Alptraum zu bezeichnen, wäre eine Untertreibung. Es ist ein Alptraum voller Alpträume. Selbst höchste Richter klagen über die „unglaubliche Länge” der Vorschriften, die Gerichte sind sich uneins über ihre Auslegung, und ob eine bestimmte Praxis zulässig ist, hängt nicht zuletzt davon ab, wo ein Angebot ansässig ist und welche Linie der oberste Datenschützer des jeweiligen Bundeslandes gerade vertritt.
Eine der entscheidenden ungeklärten Fragen ist die, ob IP-Adressen personenbezogene Daten sind. Die IP-Adresse ist eine Zahlenkombination, die einem Computer in einem Netzwerk zugewiesen ist. Man bekommt sie jedesmal neu von seinem Internet-Anbieter zugewiesen, wenn man online geht. Sie lässt sich zwar in aller Regel keinem konkreten Internetnutzer zuordnen, aber dem Provider oder der Firma, über deren Netzwerk er sich einwählt. Wenn diese IP-Adressen als „personenbezogene Daten“ behandelt werden müssen, wogegen viel spricht, worauf aber unter anderem der Berliner Datenschützer beharrt, dürfen sie nach deutschem Recht nicht gespeichert werden – was aber quasi ununterbrochen automatisch geschieht.
Für mich sind die einzelnen Daten, die ein Besucher beim Aufruf dieser Seite hinterlässt, nicht interessant, sondern nur ihre statistische Zusammenfassung: Wieviele Besucher sind es insgesamt, von welcher Seite kommen sie, mit was für einem Browser sind sie unterwegs?
Allerdings können mir die IP-Adressen bei der Moderation der Kommentare helfen. Wenn ein Kommentator wiederholt unzulässige Beiträge veröffentlicht (für deren Inhalt ich bekanntlich je nach Gericht haftbar gemacht werden kann), kann ich einen IP-Bereich, der den oder die Computer umfasst, von denen aus er auf meine Seite kommt, so sperren lassen, dass seine Beiträge immer erst erscheinen, wenn ich sie manuell freigeschaltet habe. Das ist keine Methode mit hunderprozentiger Sicherheit, weil es verschiedene Möglichkeiten gibt, die IP-Adressen zu wechseln. Außerdem werden dadurch auch diverse „unschuldige“ Kommentierer belästigt, die sich zufällig über denselben IP-Bereich einwählen und nun immer erst auf die Moderation ihres Kommentars warten.
Die Methode ist aber ganz effektiv, um zum Beispiel Wahnsinnige, die eine ganze Nacht lang einen Krawallkommentar nach dem anderen abgeben, ins Leere laufen zu lassen. Wenn ich keine Möglichkeit hätte, solche Leute wenigstens mit einer gewissen Wahrscheinlichkeit wiederzuerkennen, wäre die Gefahr viel größer, dass hier justiziable Kommentare veröffentlicht werden und ich noch mehr Lebenszeit mit den Richtern des Hamburger Landgerichts verbringe.
Die Berliner Datenschützer dagegen schreiben mir, sie hätten zwar „Verständnis für die Schwierigkeiten, die mit dem Angebot einer Kommentarfunktion in einem Blog verbunden sind“, es sei für sie jedoch „nicht ersichtlich, dass es sich bei der Sperrung von IP-Adressen um eine in diesem Sinne wirksame Maßnahme handelt“. Nun ja. Ich könnte ihnen Sachen zeigen… (Darf ich aber vermutlich nicht. Sie wissen schon: Datenschutz.)
Die IP-Adresse eines Kommentators hilft mir auch bei einer Art Plausibilitätsprüfung. Neulich kommentierte hier zum Beispiel jemand unter dem Namen des Chefs einer TV-Produktionsfirma und lehnte sich dabei ziemlich weit aus dem Fenster. Ich kann in solchen Fällen nicht eindeutig feststellen, ob der Mann der ist, als der er sich ausgibt. Aufgrund der IP-Adresse war aber klar, dass die Kommentare vermutlich von einem Computer der entsprechenden Firma abgegeben wurden, was immerhin für die Authentizität sprach. (Später habe ich die von dem Kommentator angegebene E-Mail-Adresse genutzt, um nachzufragen, ob er es wirklich ist, was er bejahte.)
Anhang der IP- und E-Mail-Adressen konnte ich auch in der lustigen Diskussion über Julia Franck und ihre Remixphobie feststellen, dass es sich bei der sympathischen „Julia Franck“, die sich beherzt einmischte, nicht um die echte Julia Franck handelte und bei der nicht ganz so sympathischen „J. Franck“, die später dazukam, wiederum weder um die echte noch die erste falsche Julia Franck. (Lesen Sie mehr irrwitzige Sätze wie diesen in meinem demnächst erscheinenden Buch „10.000 Gründe gegen Kommentare im Blogs“, kl. Scherz.)
Ich finde es schon einigermaßen erstaunlich, dass ich von den Leuten, für deren Kommentare ich gegebenenfalls rechtlich einstehen muss, nicht einmal eine E-Mail-Adresse verlangen dürfen soll. Doch die Berliner Datenschützer meinen, es bestehe „keine Rechtsgrundlage“ dafür, die Angabe zur Pflicht zu machen: „Zur Vorbeugung gegen Missbrauch durch Dritte ist die Erhebung der E-Mail-Adresse unserer Auffassung nach nicht geeignet, allein schon deswegen, weil der Nutzer eine beliebige E-Mail-Adresse — bei der es sich nicht einmal um seine eigene handeln muss — angeben kann.“ Wohl wahr, und doch gibt es Fälle, in denen mir diese Angabe — trotz ihrer beschränkten Aussagekraft — geholfen hat, Missbrauch zu erkennen.
Der Anwalt und Datenschutzrechtsexperte Thorsten Feldmann von der Berliner Kanzlei JBB, der mich in dieser Sache vertritt, hat den Datenschützern einen langen Brief geschrieben, in dem er ihre Argumentation zurückweist. Eigentlich ist es so ein Fall, in dem man einen Prozess forcieren müsste, um eine richterlichen Klärung der grundsätzlichen Fragen, die viele Blogs und Online-Medien betreffen, zu erreichen. Allerdings hat Feldmann einen pragmatischen Vorschlag gemacht, das Dilemma zu lösen, der grundsätzlich die Zustimmung der Berliner Datenschützer gefunden zu haben scheint: Zukünftig muss jeder, der hier kommentiert, in die „Datenverarbeitung“ (also die Speicherung von IP- und E-Mail-Adresse) einwilligen. Ein entsprechender Text ziert jetzt das Kommentarfeld.
Viel mehr über die juristischen Hintergründe in Thorsten Feldmanns Feldblog.