Seit mehreren Jahren wird darüber diskutiert, ob dynamische IP-Adressen personenbezogene Daten im Sinne des europäischen Datenschutzrechts sind.
Eine IP-Adresse ist eine logische Adresse eines Knotens im Internet (sei es ein Computer, ein Netzgerät oder ein mobiles Gerät). Angesichts der begrenzten Anzahl nutzbarer IP-Adressen, die im „alten“, aber immer noch gebräuchlichen IPv4-Format zur Verfügung stehen, wird eine einzige Adresse im Laufe der Zeit häufig verschiedenen Geräten zugewiesen.
Die IP-Adresse, die heute für meinen Internetanschluss verwendet wird, wird daher morgen an meinen Nachbarn übertragen. Dennoch kann mein Internet-Provider die Reihe der Zuweisungen verfolgen und so – in diesem Fall – einen Haushalt ausfindig machen, der diese IP-Adresse für den Zugang zu anderen Internet-Knoten (Websites, Dienste) verwendet.
Die Rechtssache C-582/14 Patrick Breyer gegen Deutschland ist der Grundsatzfall, in dem es darum geht, ob eine solche dynamische Adresse personenbezogene Daten darstellt. In dem Urteil des Gerichtshofs der EU sind die beiden entscheidenden Erwägungen zu dieser Frage:
C-582/14 Erwägung 44
Der Umstand, dass die zusätzlichen Informationen, die für die Klassifizierung des Nutzers der Website erforderlich sind, nicht dem Anbieter von Online-Mediendiensten, sondern dem Internet-Diensteanbieter dieses Nutzers gehören, scheint nicht auszuschließen, dass die vom Anbieter von Online-Mediendiensten aufgezeichneten dynamischen IP-Adressen personenbezogene Daten im Sinne von Artikel 2 Buchstabe a der Richtlinie 95/46 sind.
C-582/14 Erwägung 49
Art. 2 Buchst. a der Richtlinie 95/46 ist dahin auszulegen, dass eine dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten registriert wird, wenn eine Person auf eine von diesem Anbieter der Öffentlichkeit zur Verfügung gestellte Website zugreift, personenbezogene Daten über diesen Anbieter im Sinne dieser Bestimmung darstellt, sofern der Anbieter über die rechtlichen Mittel verfügt, die betroffene Person anhand zusätzlicher Informationen zu identifizieren.
Dieser Fall wurde nach der „alten“ Richtlinie 95/46 entschieden, die am 25. Mai 2018 durch die DSGVO ersetzt wurde. Die DSGVO beschreibt personenbezogene Daten als alle Angaben, die sich auf eine identifizierte oder identifizierbare Person beziehen. Dieses Konzept ist immer noch nicht schlüssig, wenn es darum geht, ob personenbezogene Daten eine dynamische IP-Adresse darstellen.
Der Gerichtshof hat jedoch die Norm gesetzt, indem er den oben erwähnten zweistufigen Test für diese Identifizierung anwendet:
Es gibt keinen Grund zu der Annahme, dass sich seit dem Erfolg der Datenschutzgrundverordnung in dieser Hinsicht alles geändert hat. Die Technologien nehmen jedoch zu. Andere Daten, die der Website-Anbieter erhält, erhöhen die Wahrscheinlichkeit der Identifizierung von Personen, was bei der Beurteilung der Frage, ob die gesammelten IP-Adressen unter die DSGVO fallen, berücksichtigt werden muss. Wenn Sie den Nutzern erlauben, ihre E-Mail-Adresse und ihr Passwort zu verwenden, um sich mit Ihrer Website zu verbinden, würden IP-Adressen mit ziemlicher Sicherheit als personenbezogene Daten gelten, da sie einen einzelnen Nutzer identifizieren können.
Schlussfolgerung
Die Verwendung von Zählpixeln und die Speicherung von User-Agent-Daten (Mac-Adressen, Betriebssystem, Browser-Informationen usw.), auch wenn Sie keine persönlichen Benutzerkonten verwenden, würde das Risiko einer Identifizierung und damit die Wahrscheinlichkeit einer Kennzeichnung persönlicher Daten erhöhen.
Aber Vorsicht: Standardmäßig protokollieren Webserver vieles, dessen Sie sich vielleicht nicht bewusst sind und für das Sie trotzdem verantwortlich sind. Eine interne Erhebung der tatsächlich von den von Ihnen angebotenen Webdiensten verarbeiteten Daten wird Ihnen helfen, DSGVO-konform zu werden.