Sind IP-Adressen personenbezogene Daten?

Unterschied zwischen dynamischen und statischen IP-Adressen

Bei aktuellen Datenschutzfällen und Rechtsprechungen, die in Zusammenhang mit IP-Adressen stehen, wie z.B. der Google-Fonts Abmahnwelle, wird meist das Breyer-Urteil des EUGH aus dem Jahr 2016 zur Urteilsfindung herangezogen. Mit Bezug auf dieses Urteil wird in vielen Fällen darauf verwiesen, dass dynamische IP-Adressen - pauschal und ohne weitere Begründung - immer zur Kategorie personenbezogener Daten zählen.

Ausgangspunkt: EuGH Urteil aus dem Jahr 2016

EUGH-Urteil (Breyer-Urteil des EUGH, 19.10.2016, C-582/14)

Der Kläger rief mehrere Webseiten der Beklagten auf. Auf diesen Webseiten werden Protokolldateien festgehalten. Das waren folgende: der Name der abgerufenen Seite bzw. Datei, in Suchfelder eingegebene Begriffe, der Zeitpunkt des Abrufs, die übertragene Datenmenge, die Meldung, ob der Abruf erfolgreich war und die IP-Adresse des zugreifenden Computers. Die Übermittelung der IP-Adresse ist insofern notwendig, dass nur dann die angeforderten Informationen an den richtigen Empfänger übermittelt werden können. Es ist zwischen statischer (leichter zuordenbar, da immer dieselbe) und dynamischer IP-Adresse (bei jeder Internetverbindung neu zugeordnet) zu unterscheiden.

Hr. Breyer hat Klage vor dem Amtsgericht erhoben, um die Verwendung auf das Notwendige zu beschränken. Die Klage wurde abgewiesen. In der Berufung hat er einen Teilerfolg eingefahren: Das LG Berlin hat argumentiert, dass eine dynamische IP-Adresse jedenfalls dann einer Person zugeordnet werden kann, wenn man während der Sitzung andere personenbezogene Daten, wie eine E-Mail-Adresse, angibt. Im Übrigen wurde die Klage wieder abgewiesen, da die IP-Adresse nur einem Anschlussanbieter, nicht aber dem Inhaber zugeordnet werden kann.

Beide Parteien haben gegen die Entscheidung Berufung vor dem BGH eingelegt. Dieser setzte sich mit der Frage der konkreten Bestimmbarkeit einer Person auseinander, denn in § 3 BDSG-alt stand damals:

„1. Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).“

Die Frage war nun: Wenn die Bestimmbarkeit auf objektiven Kriterien beruht, so gelten Daten als personenbezogen, sobald irgendein Dritter mit den vorliegenden Daten die Person identifizieren könnte. Ist die Bestimmbarkeit relativ, so müsste die beklagten Partei die Person ohne unverhältnismäßig großen Aufwand mit den gegebene Informationen identifizieren können.

Um dies zu klären, wird dem EuGH vorgelegt. Darüber hinaus wird die Vorlagefrage gestellt, ob für den Fall, dass es sich um personenbezogene Daten handelt, eine Speicherung über Art. 6 lit. f DSGVO hinaus möglich sei, ob also eine Speicherung nach Ende der Nutzung aus Sicherheitsgründen erlaubt ist.

 

Ergebnis des EuGH

Dynamische IP-Adressen allein sind nicht geeignet, sich als personenbezogene Daten zu qualifizieren. In Zusammenhang mit anderen Informationen kann aber eine indirekte Identifizierbarkeit vorliegen. Im Erwägungsgrund 26 wird zudem darauf hingewiesen, dass alle Mittel bezüglich der Bestimmbarkeit berücksichtigt werden müssen, auch die von Dritten (z.B. durch Auskünfte).

So können in Ausnahmefällen Webseitenbetreiber von den Behörden Daten einholen, die es unter anderem ermöglichen mit Zusatzinformationen des Betroffenen eine Identifikation vorzunehmen. Damit ist die Identifizierung zumindest technisch möglich und mit keinem unverhältnismäßig hohen Aufwand verbunden. So kann anhand der dynamischen IP-Adresse eine natürliche Person identifiziert werden.

Wenn eine mögliche Bestimmbarkeit vorliegt, dann sind dynamische IP-Adressen personenbezogenes Datum --> relative Bestimmbarkeit.

BGH, Urteil vom 16. Mai 2017 - VI ZR 135/13 

Urteilstext

„Zur Begründung hat der Gerichtshof im Wesentlichen ausgeführt (aaO, Rn. 40 ff.), bereits aus dem Wortlaut von Art. 2 Buchst. a der Richtlinie 95/46 EG gehe hervor, dass nicht nur eine direkt identifizierbare, sondern auch eine

indirekt identifizierbare Person als bestimmbar angesehen werde. Die Verwendung des Begriffs "indirekt" durch den Unionsgesetzgeber deute darauf hin, dass es für die Einstufung einer Information als personenbezogenes Datum

nicht erforderlich sei, dass die Information für sich genommen die Identifizierung der betreffenden Person ermögliche. …

… ob eine Person bestimmbar sei, (sollten) alle Mittel berücksichtigt werden, die vernünftigerweise entweder

von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen. …

„c) Auf dieser Grundlage ist das Tatbestandsmerkmal "personenbezogene Daten" des § 12 Abs. 1 und 2 TMG in Verbindung mit § 3 Abs. 1 BDSG richtlinienkonform dahingehend auszulegen, dass eine dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Internetseite, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, für den Anbieter ein personenbezogenes Datum im Sinne der genannten Bestimmung darstellt.

Denn die Beklagte verfügt offenbar über rechtliche Mittel, die vernünftigerweise eingesetzt werden können, um mit Hilfe Dritter, und zwar der zuständigen Behörde und des Internetzugangsanbieters, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen (vgl. Gerichtshof aaO Rn. 47). Die Beklagte kann - im Falle einer bereits eingetretenen Schädigung - Strafanzeige bei den Strafverfolgungsbehörden erstatten; im Falle der drohenden

Schädigung kann sie die zur Gefahrenabwehr zuständigen Behörden einschalten.…“

Nach § 100j Abs. 2 und 1 StPO, § 113 TKG (vgl. BVerfGE 130, 151) können die für die Verfolgung von Straftaten oder Ordnungswidrigkeiten zuständigen Behörden zu diesem Zweck von Internetzugangsanbietern bei Vorliegen bestimmter Voraussetzungen Auskunft verlangen …“ (über Anschlussinhaber, Anm. der Verf.)

Rechtliche Inkonsistenzen der BGH-Entscheidung

 

  1. Anschlussinhaber ist nicht gleich Betroffener
  2. Der EuGH hat nicht geprüft, wer in Deutschland wann Auskunftsansprüche auf Herausgabe von Adressdaten geltend machen kann, oder wann Strafbehörden tätig werden (dürfen).
  3. Erwägungsgrund 26 DSGVO nicht beachtet: Es sollen nur solche Zusatzinformationen berücksichtigt werden, die „nach allgemeinem Ermessen wahrscheinlich genutzt werden“, wobei objektive Faktoren wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand zu berücksichtigen sind --> Einzelfallentscheidung!

Folgen der BGH-Entscheidung

LG München, Urteil vom 20.01.2022, Az. 3 O 17493/20

„Die dynamische IP-Adresse stellt für einen Webseitenbetreiber ein personenbezogenes Datum dar, denn der Webseitenbetreiber verfügt abstrakt über rechtliche Mittel, die vernünftigerweise eingesetzt werden könnten, um mithilfe Dritter, und zwar der zuständigen Behörde und des Internetzugangsanbieters, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen (BGH, Urteil vom 16.05.2017 - VI ZR 135/13). Dabei reicht es aus, dass für die Beklagte die abstrakte Möglichkeit der Bestimmbarkeit der Personen hinter der IP-Adresse besteht. Darauf, ob die Beklagte oder X. die konkrete Möglichkeit hat, die IP-Adresse mit dem Kläger zu verknüpfen, kommt es nicht an."

Dieses Urteil hat die Google-Fonts-Abmahnwelle ausgelöst!

Ändert sich etwas durch den neuen Wortlaut in der DSGVO?

 „Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“, vgl. Art. 4 Ziff. 1 DSGVO;

--> Keine andere Auslegung des EuGH-Urteils

--> Ergebnis: aus der EuGH-Entscheidung ergibt sich nicht, dass dynamische IP-Adressen immer personenbezogene daten sind. Im Gegenteil: es braucht zusätzliche Informationen, um eine Identifizierbarkeit des Betroffenen herzustellen. Hier ist Erwägungsgrund 26 der DSGVO heranzuziehen. Demnach ist eine differenzierte Einzelfallbetrachtung notwendig.

Stand: März 2023 

Sie brauchen Unterstützung?

Wir stehen Ihnen gerne für weitere Fragen und zur Beratung zur Verfügung - kontaktieren Sie uns!
Kontakt
envelopephonemap-markerlocation