IP-Adresse als personenbezogene Daten: Was sagen die DSGVO und der BGH dazu?
In diesem Artikel erfährst Du, ob IP-Adressen unter der DSGVO und laut Entscheidungen von EuGH und BGH als personenbezogene Daten gelten.
Inhaltsverzeichnis
Kurz und Knackig
IP-Adressen können nach der DSGVO als personenbezogene Daten gelten, wenn sie zur Identifikation einer Person genutzt werden können.
Dies hängt von der Art der IP-Adresse (statisch oder dynamisch) und den jeweiligen rechtlichen Möglichkeiten ab.
Statische IP-Adressen ändern sich nicht und sind leichter zu verfolgen, während dynamische IP-Adressen regelmäßig wechseln und mehr Datenschutz bieten.
Gerichtsurteile des BGH und EuGH haben festgestellt, dass IP-Adressen unter bestimmten Umständen als personenbezogene Daten betrachtet werden.
Für die meisten Unternehmen, die nicht als Internetdienstanbieter (ISP) agieren, ist es jedoch schwierig, eine Person hinter einer IP-Adresse ohne rechtliche Mittel zu identifizieren.
Von daher gilt die IP-Adresse für die meisten Unternehmen nicht als personenbezogene Daten und darf mit Bezug auf Artikel 6 f) „Bedächtigstes Interesse“ ohne Einwilligung der Besucher der Website gesammelt werden
Einführung
Du, weißt Du, in unserer digitalen Welt, wo das Internet so eine große Rolle spielt, ist Datenschutz echt ein heißes Thema.
Mit 6 Jahren Erfahrung in der Cybersecurity bei Deloitte, BDO und der Nord/LB sowie während meines Cybersecurity-Masterstudiums habe ich mich aktiv mit dem Thema Datenschutz beschäftigt.
Also, ich hab gesehen, wie kompliziert das Ganze ist.
Besonders im Rahmen der Datenschutzgrundverordnung, der DSGVO, wird das echt interessant. Und wie die europäischen Gerichte damit umgehen, ist auch spannend.
Dabei hab ich mich vor allem auf die DSGVO und wichtige Urteile vom Europäischen Gerichtshof (EuGH) und dem Bundesgerichtshof in Deutschland (BGH) konzentriert.
Stell Dir mal vor, selbst dynamische IP-Adressen, die sich regelmäßig ändern, können als personenbezogene Daten angesehen werden.
Technisch gesehen, kann man unter bestimmten Umständen damit nämlich eine Person identifizieren.
Aber was sind diese Umstände? Gelten IP-Adressen IMMER als Personenbezug? Oder gibt es doch ein paar Besonderheiten zu beachten?
Die Antwort, ob „ja“ oder „nein“ hat natürlich rechtliche Konsequenzen, besonders im Hinblick auf den Datenschutz und wie solche Daten gespeichert werden dürfen.
In dem Artikel zeige ich Dir anhand von Gerichtsentscheidungen, in welchen Fällen IP-Adressen als personenbezogene Daten gelten und in welchen nicht.
Spoiler: Es geht dabei auch darum, ob eine Organisation überhaupt in der Lage ist, die Person hinter der IP-Adresse zu identifizieren.
Die Schlussfolgerungen betonen echt, wie wichtig es ist, genau zu verstehen, wann und wie IP-Adressen als personenbezogene Daten eingestuft werden.
Das ist nämlich mega wichtig für den Datenschutz in der Praxis.
Was ist eine IP-Adresse?
Aber bevor wir loslegen, sage mal, was ist eigentlich eine IP-Adresse?
Mithilfe von IP-Adressen werden Milliarden von Geräten wie Computer und Handys im Internet identifiziert.
Aber was genau ist das eigentlich?
Eine IP-Adresse ist im Grunde ein grundlegender Teil des Protokolls, das wir brauchen, um Webseiten aufzurufen.
„Protokoll…? Sind wir schon beim Thema Gerichtssitzungen?“
Also, pass auf: ein Protokoll, in diesem Zusammenhang, ist wie eine Reihe von Regeln oder Vereinbarungen, die bestimmen, wie Daten über das Internet übertragen werden.
Es stellt sicher, dass alle Geräte im Netzwerk miteinander kommunizieren können.
„Vereinbarungen…? Mich hat niemand gefragt!“
Diese Protokollvereinbarungen wurden von der Internet Engineering Task Force (IETF) getroffen, einer internationalen Gemeinschaft von Netzwerkdesignern, Betreibern, Anbietern und Forschern, die sich mit der Weiterentwicklung der Internetarchitektur beschäftigen.
Mehr dazu findest Du auf ihrer Website.
Alle Hersteller, die mit dem Internet zu tun haben, folgen diesen „Protokollen“, damit deren Geräte mit den Geräten anderer Hersteller kommunizieren können.
Also, zurück zum Thema:
Eine Internet Protocol (IP) Adresse ist eine einzigartige Abfolge von Zahlen, die Ihr Gerät im Internet identifiziert.
Quelle: Was ist eine IP-Adresse?
Denke daran als an die Hausnummern, aber mit Computer. Jeder Computer hat eine solche Adresse.
Immer, wenn Du eine Website aufrufst, wird Deine IP-Adresse an den Server der Website geschickt. Wenn das nicht passiert, weiß der Server nicht, wohin er die Website senden soll, und Du siehst nichts.
Somit werden IP-Adressen unvermeidbar seitens Webseitenbetreibers gesammelt und oft aus Sicherheitsgründen in Log-Dateien gespeichert.
Quelle:Protokollierung von IP-Adressen in Server Logs
2 Arten der IP-Adresse
Es gibt dabei statische und dynamische IP-Adressen…
Hä? Warum gibt es zwei? Mein Haus hat nur eine Nummer und sie ist immer gleich!
Statische IP-Adressen bleiben immer gleich. Denke daran wie an ein Geschäft auf der Straße.
Wäre doch doof, wenn Du morgen einkaufen gehst, da steht aber bei der gleichen Adresse kein Laden mehr. So kriegst Du kein Kinder Pingui…
Genauso mit den „Leckerlis“ im Internet. Die statischen IP-Adressen sind leichter zu verfolgen, was in manchen Fällen nützlich ist, aber auch weniger Schutz der Privatsphäre bietet.
Deswegen für Dich gibt es dynamische IP-Adressen. Du musst immer wissen, wo der Laden mit Leckerlis ist, aber der Laden muss doch nicht immer wissen, wo Du wohnst.
Dynamische IP-Adressen ändern sich regelmäßig. Sie werden normalerweise von Internet Service Providern (ISPs) für private Nutzer und kleinere Netzwerke verwendet.
Dein ISP könnte zum Beispiel Vodafone oder Telekom sein.
Diese Adressen bieten mehr Datenschutz, da sie ständig wechseln und es so schwieriger machen, eine langfristige Verbindung zu einem bestimmten Gerät herzustellen.
Das Ändern der IP-Adressen passiert automatisch und ist effizienter, weil ISPs so weniger Adressen verwalten müssen und diese effizienter nutzen können.
Aber müsste der Nutzer nicht zuerst gefragt werden, bevor diese Daten gespeichert werden? Das verlangt doch eigentlich die DSGVO, oder?
Oder ist es dank der Verwendung der dynamischen IP-Adressen nicht notwendig?
DSGVO und personenbezogene Daten
Artikel 4(1) der DSGVO definiert personenbezogene Daten als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Sie erkennt Online-Identifikatoren, die eine IP-Adresse auch ist, als personenbezogene Daten an.
Allerdings ist es für Geschäfte, die nicht direkt als Internetdienstanbieter (ISP) agieren, weitestgehend unmöglich, ohne entsprechende rechtliche Mittel, die IP-Adresse einer identifizierbaren natürlichen Person zuzuordnen, um an personenbezogene Daten wie Namen oder Geburtstag zu gelangen.
Zählt dann die IP-Adresse zu personenbezogenen Daten?
In Artikel 4(1) der DSGVO steht, dass personenbezogene Daten alle Infos sind, die sich auf eine identifizierte oder identifizierbare Person beziehen.
„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen;
Quelle: Artikel 4(1) der DSGVO
Frage: Bezieht sich die IP-Adresse auf eine natürliche Person?
Antwort: Eher wenig, denn ich als Betreiber einer Webseite nur diese Nummern sehen kann, die sich auf ein Rechner beziehen.
Und diese Nummern ändern sich ja ständig. Es gibt nur eine Partei, die den Websitebetreiber helfen könnte, eine echte Person zu identifizieren, die hinter den Nummern steckt: ISP.
Deswegen können auch Online-Identifikatoren, wie eine IP-Adresse, in bestimmten Fällen als personenbezogene Daten anerkannt werden.
Die DSGVO legt fest, dass die Speicherung von IP-Adressen bestimmten rechtlichen Bestimmungen unterliegt.
Es ist aber für die meisten Firmen fast unmöglich, ohne rechtliche Mittel, die IP-Adresse einer bestimmten Person zuzuordnen und so an weitere personenbezogene Daten wie Namen oder Geburtsdatum zu gelangen.
Ist die IP-Adresse dann wirklich ein personenbezogenes Datum?
Wichtige rechtliche Entscheidungen
Um diese Frage zu beantworten, können wir schauen, wie die Europäische und Deutsche Gerichtshöfe sich bislang damit auseinandergesetzt haben und was sie dann entschieden haben.
Einen besonderen Wert legen wir auf die Entscheidungen von BGH, denn laut dem Bundesverfassungsgericht haben die Entscheidungen des BGH in bestimmten Fällen die Gesetzkraft:
Bestimmte Entscheidungen des Bundesverfassungsgerichts, insbesondere über die Verfassungsmäßigkeit einer Rechtsnorm, haben Gesetzeskraft (§ 31 Abs. 2 Bundesverfassungsgerichtsgesetz) und gelten daher über den Einzelfall hinaus. Sie werden im Bundesgesetzblatt veröffentlicht.
Quelle: Bundesverfassungsgericht
Urteil des BGH
Der BGH klärt im Urteil VI ZR 135/13 weiter den Umfang der zulässigen Datenverarbeitung gemäß Artikel 7(f) der Richtlinie 95/46.
Er beschränkt Online-Mediendienstanbieter darin, personenbezogene Daten ohne Zustimmung des Nutzers zu sammeln und zu verwenden, es sei denn, es dient dem spezifischen Zweck, die bereitgestellten Dienste zu erleichtern und abzurechnen.
Die Entscheidung betont die Notwendigkeit und Verhältnismäßigkeit bei der Datenverarbeitung.
§ 15 Abs. 1 TMG ist entsprechend Art. 7 lit. f der Richtlinie 95/46 EG dahin auszulegen, dass ein Anbieter von Online-Mediendiensten personenbezogene Daten eines Nutzers dieser Dienste ohne dessen Einwilligung auch über das Ende eines Nutzungsvorgangs hinaus dann erheben und verwenden darf, soweit ihre Erhebung und ihre Verwendung erforderlich sind, um die generelle Funktionsfähigkeit der Dienste zu gewährleisten, wobei es allerdings einer Abwägung mit dem Interesse und den Grundrechten und -freiheiten der Nutzer bedarf (Fortführung von EuGH aaO).
BGH Urteil VI ZR 135/13
Urteil des EuGH
Die Entscheidung des EuGH ECLI:EU:C:2016:779 hebt hervor, dass dynamische IP-Adressen als personenbezogene Daten gelten, wenn der Online-Mediendienstanbieter die rechtlichen Mittel hat, die Adresse mit einer Person zu verknüpfen, unter Verwendung zusätzlicher Informationen des Internetdienstanbieters:
Art. 2 lit. a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass eine dynamische Internetprotokoll-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Website, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, für den Anbieter ein personenbezogenes Datum im Sinne der genannten Bestimmung darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen.
ECLI:EU:C:2016:779
Schlussfolgerung
Die rechtliche Auslegung stellt fest, dass IP-Adressen nur dann als personenbezogene Daten gelten, wenn es eine rechtliche Möglichkeit gibt, die Person hinter der IP-Adresse zu identifizieren.
IP-Adressen sind für die Nicht-ISP-Unternehmen nicht als personenbezogene Daten zu betrachten.
Dieses Szenario ist auf bestimmte rechtliche Entitäten wie solche anwendbar, die durch das deutsche Telekommunikationsgesetz (TMG) geregelt sind, jedoch nicht auf reguläre Unternehmen, die nicht als Internetdienstanbieter fungieren.
Daher können IP-Adressen für die meisten Nicht-ISP-Unternehmen nicht als personenbezogene Daten betrachtet werden, und ihre Sammlung erfordert nicht die Einhaltung der in Artikel 6(1) der DSGVO festgelegten Grundsätze.
Aber leider ist die DSGVO nicht nur die einzige Norm, der die Website-Inhaber folgen müssen.
Erfahre, wie Du Deine Website mit semantischem HTML BFSG-konform gestaltest
Und falls Du sicherstellen möchtest, dass Deine Website DSGVO-konform ist, buche gerne eine 1:1 Website Beratung bei mir.
Häufig gestellte Fragen
Zählt eine IP-Adresse zu personenbezogenen Daten nach der DSGVO 2024?
Ja, nach der DSGVO kann eine IP-Adresse als personenbezogenes Datum angesehen werden. Das hängt davon ab, ob eine Person hinter der IP-Adresse identifiziert werden kann, was von der Art der IP-Adresse (dynamisch oder statisch) und den jeweiligen Gerichtsurteilen abhängt.
Warum ist der Umgang mit IP-Adressen im digitalen Zeitalter so wichtig?
Das digitale Zeitalter hat die Bedenken hinsichtlich Privatsphäre und Datenschutz verstärkt, insbesondere in Bezug auf Online-Identifikatoren wie IP-Adressen.
Die DSGVO hat strenge Normen für den Umgang mit personenbezogenen Daten festgelegt, was auch IP-Adressen betrifft.
Was ist eine IP-Adresse?
Eine IP-Adresse ist eine einzigartige Zahlenfolge, die Dein Gerät im Internet identifiziert.
Sie ist ein grundlegender Bestandteil des Protokolls, das wir brauchen, um Webseiten aufzurufen und sicherzustellen, dass alle Geräte im Netzwerk miteinander kommunizieren können.
Warum gibt es statische und dynamische IP-Adressen?
Es gibt zwei Arten von IP-Adressen: statische und dynamische.
Statische IP-Adressen bleiben immer gleich und werden oft für Server oder Geräte verwendet, die eine konstante Verbindung benötigen.
Dynamische IP-Adressen ändern sich regelmäßig und werden normalerweise von Internet Service Providern (ISPs) für private Nutzer und kleinere Netzwerke verwendet.
Sie bieten mehr Datenschutz, da sie ständig wechseln und es so schwieriger machen, eine langfristige Verbindung zu einem bestimmten Gerät herzustellen.
Gilt eine IP-Adresse immer als personenbezogenes Datum?
Nicht immer. Die DSGVO erkennt IP-Adressen unter bestimmten Umständen als personenbezogene Daten an. Es hängt davon ab, ob es möglich ist, die Person hinter der IP-Adresse zu identifizieren.
Für die meisten Unternehmen, die nicht als Internetdienstanbieter (ISP) agieren, ist es nahezu unmöglich, ohne rechtliche Mittel, eine IP-Adresse einer bestimmten Person zuzuordnen.
Was sagt die DSGVO zu IP-Adressen?
Artikel 4(1) der DSGVO definiert personenbezogene Daten als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Dies kann auch IP-Adressen umfassen, insbesondere wenn sie zur Identifikation einer Person verwendet werden können.
Was sagen wichtige Gerichtsurteile zu diesem Thema?
- Urteil des BGH: Das Urteil VI ZR 135/13 des BGH klärt den Umfang der zulässigen Datenverarbeitung und betont die Notwendigkeit und Verhältnismäßigkeit bei der Datenverarbeitung.
- Urteil des EuGH: Die Entscheidung ECLI:EU:C:2016:779 des EuGH hebt hervor, dass dynamische IP-Adressen als personenbezogene Daten gelten, wenn der Online-Mediendienstanbieter die rechtlichen Mittel hat, die Adresse mit einer Person zu verknüpfen.
Welche Schlussfolgerungen können wir ziehen?
IP-Adressen gelten nur dann als personenbezogene Daten, wenn es eine rechtliche Möglichkeit gibt, die Person hinter der IP-Adresse zu identifizieren.
Für die meisten Nicht-ISP-Unternehmen sind IP-Adressen nicht als personenbezogene Daten zu betrachten, und ihre Sammlung erfordert nicht die Einhaltung der strengen DSGVO-Bestimmungen.
