INFORMATIONEN

Können IP-Adressen als personenbezogene Daten betrachtet werden?

Seit mehreren Jahren wird darüber diskutiert, ob dynamische IP-Adressen personenbezogene Daten im Sinne des europäischen Datenschutzrechts sind.

Eine IP-Adresse ist eine logische Adresse eines Knotens im Internet (sei es ein Computer, ein Netzgerät oder ein mobiles Gerät). Angesichts der begrenzten Anzahl nutzbarer IP-Adressen, die im „alten“, aber immer noch gebräuchlichen IPv4-Format zur Verfügung stehen, wird eine einzige Adresse im Laufe der Zeit häufig verschiedenen Geräten zugewiesen.

Die IP-Adresse, die heute für meinen Internetanschluss verwendet wird, wird daher morgen an meinen Nachbarn übertragen. Dennoch kann mein Internet-Provider die Reihe der Zuweisungen verfolgen und so – in diesem Fall – einen Haushalt ausfindig machen, der diese IP-Adresse für den Zugang zu anderen Internet-Knoten (Websites, Dienste) verwendet.

Die Rechtssache C-582/14 Patrick Breyer gegen Deutschland ist der Grundsatzfall, in dem es darum geht, ob eine solche dynamische Adresse personenbezogene Daten darstellt. In dem Urteil des Gerichtshofs der EU sind die beiden entscheidenden Erwägungen zu dieser Frage:

C-582/14 Erwägung 44

Der Umstand, dass die zusätzlichen Informationen, die für die Klassifizierung des Nutzers der Website erforderlich sind, nicht dem Anbieter von Online-Mediendiensten, sondern dem Internet-Diensteanbieter dieses Nutzers gehören, scheint nicht auszuschließen, dass die vom Anbieter von Online-Mediendiensten aufgezeichneten dynamischen IP-Adressen personenbezogene Daten im Sinne von Artikel 2 Buchstabe a der Richtlinie 95/46 sind.

C-582/14 Erwägung 49

Art. 2 Buchst. a der Richtlinie 95/46 ist dahin auszulegen, dass eine dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten registriert wird, wenn eine Person auf eine von diesem Anbieter der Öffentlichkeit zur Verfügung gestellte Website zugreift, personenbezogene Daten über diesen Anbieter im Sinne dieser Bestimmung darstellt, sofern der Anbieter über die rechtlichen Mittel verfügt, die betroffene Person anhand zusätzlicher Informationen zu identifizieren.

Dieser Fall wurde nach der „alten“ Richtlinie 95/46 entschieden, die am 25. Mai 2018 durch die DSGVO ersetzt wurde. Die DSGVO beschreibt personenbezogene Daten als alle Angaben, die sich auf eine identifizierte oder identifizierbare Person beziehen. Dieses Konzept ist immer noch nicht schlüssig, wenn es darum geht, ob personenbezogene Daten eine dynamische IP-Adresse darstellen.

Der Gerichtshof hat jedoch die Norm gesetzt, indem er den oben erwähnten zweistufigen Test für diese Identifizierung anwendet:

  • Die IP-Adresse ist Eigentum von Partei A, und es gibt eine Partei B, die die dynamische IP-Adresse mit einer natürlichen Person verknüpfen kann.
  • Es gibt eine legitime Möglichkeit für Partei A, Zugang zu den Verbindungsdaten bei Partei B zu erhalten.
  • Es gibt keinen Grund zu der Annahme, dass sich seit dem Erfolg der Datenschutzgrundverordnung in dieser Hinsicht alles geändert hat. Die Technologien nehmen jedoch zu. Andere Daten, die der Website-Anbieter erhält, erhöhen die Wahrscheinlichkeit der Identifizierung von Personen, was bei der Beurteilung der Frage, ob die gesammelten IP-Adressen unter die DSGVO fallen, berücksichtigt werden muss. Wenn Sie den Nutzern erlauben, ihre E-Mail-Adresse und ihr Passwort zu verwenden, um sich mit Ihrer Website zu verbinden, würden IP-Adressen mit ziemlicher Sicherheit als personenbezogene Daten gelten, da sie einen einzelnen Nutzer identifizieren können.

    Schlussfolgerung

    Die Verwendung von Zählpixeln und die Speicherung von User-Agent-Daten (Mac-Adressen, Betriebssystem, Browser-Informationen usw.), auch wenn Sie keine persönlichen Benutzerkonten verwenden, würde das Risiko einer Identifizierung und damit die Wahrscheinlichkeit einer Kennzeichnung persönlicher Daten erhöhen.

    Aber Vorsicht: Standardmäßig protokollieren Webserver vieles, dessen Sie sich vielleicht nicht bewusst sind und für das Sie trotzdem verantwortlich sind. Eine interne Erhebung der tatsächlich von den von Ihnen angebotenen Webdiensten verarbeiteten Daten wird Ihnen helfen, DSGVO-konform zu werden.

    Wie Sie Ihren DSGVO-Hinweis einrichten

    Die europäische Verordnung enthält mehrere Anforderungen an die Sicherheit personenbezogener Daten, von denen eine darin besteht, dass die Personen, deren Daten erhoben werden, über die

    mehr »