Sind IP-Adressen personenbeziehbare Daten?
Sind IP-Adressen personenbeziehbare Daten?
IP-Adressen werden in Computernetzwerken, wie beispielsweise dem Internet verwendet, um den Datenverkehr zu organisieren und den einzelnen Datenpaketen Ziel- und Absenderadressen zu geben.
Einfacher ausgedrückt: Der Betreiber erhält mit der IP-Adresse als Absenderadresse alle Informationen, die erforderlich sind, um dem Benutzer beim Aufrufen einer Website alle Daten zu übertragen, die zur Anzeige der Website erforderlich sind.
Zuordnungsmöglichkeiten von IP-Adressen
IP-Adressen werden einem Teilnehmer von sogenanntem Internet Service Providern (ISP) wie der Telekom zugewiesen.
Je nach Geschäftsmodell und Anwendung werden IP-Adressen statisch oder dynamisch vergeben.
Statische IP-Adressen bleiben bei jeder Verbindung zum Internet gleich und ändern sich normalerweise nicht während der gesamten Nutzungsdauer / Vertragslaufzeit.
Dynamische IP-Adressen werden in kurzen Intervallen (z. B. täglich) oder bei jedem Versuch, die entsprechende Benutzerhardware einzuwählen, neu zugewiesen.
Die Zuweisung einer „abgelaufenen“ IP-Adresse an einen anderen Teilnehmer wird normalerweise vom ISP für einen bestimmten Zeitraum nach der neuen Zuweisung durchgeführt.
Auf diese Weise ist es nach wie vor möglich, Rückschlüsse auf den Teilnehmer zu ziehen.
Begriffserklärung IPv4 und IPv6
IPv4 und IPv6 bezeichnen die Version der Methode, auf der die Übertragung basiert (Internet Protocol Version 4/6).
In Version 4 standen ISPs nur eine begrenzte Menge von IP-Adressen für die globale Zuweisung zur Verfügung.
Aufgrund der stetig wachsenden Anzahl von Benutzern und deren Endgeräten wird derzeit auf Version 6 umgestellt, in dem die Adressen praktisch unbegrenzt verfügbar sind.
Dies hat unter anderem zur Folge, dass die bisher übliche dynamische Zuweisung von IP-Adressen überflüssig wird und langfristig jedem einzelnen Endgerät (PC, Handy, Kühlschrank) dauerhaft eine eigene IP-Adresse zugewiesen wird.
Sind IP-Adressen personenbezogen?
Bei der Beurteilung einer möglichen persönlichen Referenz ist es entscheidend, ob die hinter Daten versteckte Person identifiziert werden kann oder nicht (§ 3 Abs. 1 BDSG).
In Bezug auf IP-Adressen sind zwei Meinungen vertreten, die zu unterschiedlichen Ergebnissen in dieser Frage führen.
- Objektiv
Eine Theorie repräsentiert das „objektive“ Konzept der persönlichen Beziehung.
Hier reicht es aus, dass theoretisch die Möglichkeit besteht, eine persönliche Referenz zu erstellen. Es ist nicht unbedingt notwendig, dass zum Beispiel der Website-Betreiber diese Option selbst nutzen kann. Die Optionen eines Dritten (z. B. ISP) sind ebenfalls ausreichend, damit die Daten für den Website-Betreiber persönlich sind.
- Relativ
Die Theorie des „relativen“ Personenbezugs hingegen prüft die Personenbeziehbarkeit anhand der Verhältnisse der jeweiligen verarbeitenden Stelle, z.B. des Webseitenbetreibers.
Kenntnisse und Fähigkeiten von Dritten sind hierbei nicht relevant, sodass reine IP-Adressen in diesem Fall für den Webseitenbetreiber keinen Personenbezug aufweisen.
Statische IP-Adressen mit IPv4
Bei statischen IP-Adressen geht die in der Datenschutzwelt vorherrschende Meinung davon aus, dass es eine persönliche Referenz gibt.
Dies wird normalerweise dadurch gerechtfertigt, dass durch die ständige Verwendung derselben IP-Adresse auf einer großen Anzahl von Websites eine Verbindung zum Benutzer hergestellt werden kann.
Wenn man zum Beispiel an die stetig zunehmende Nutzung von Online-Shops denkt, bei denen der Benutzer die Verbindung mit seiner IP-Adresse herstellt und dann seinen Namen eingibt, ist diese Ansicht durchaus sinnvoll. In diesem Fall ist die Möglichkeit der Identifizierung nicht mehr auf die Daten des ISP beschränkt, sodass selbst die Anhänger der relativen Theorie eine persönliche Referenz aufgrund des Risikos im Allgemeinen nicht mehr kategorisch ablehnen.
Dynamische IP-Adressen mit IPv4
Bei dynamischen IP-Adressen sind die Vertreter der beiden Ansichten nicht miteinander vereinbar.
Es gibt Gerichtsentscheidungen für die eine und die andere Seite, und eine Lösung des Konflikts ist nicht in Sicht.
Eine Entscheidung des Landgerichts Berlin im Jahr 2013 versuchte eine Vermittlungslösung und machte eine Beurteilung davon abhängig, ob eine datenschutzrechtliche Behütung des Nutzers erforderlich ist. Die Umstände des Einzelfalls sollten dann für die Prüfung der Notwendigkeit entscheidend sein.
Ein solcher Weg führt jedoch zu enormen Schwierigkeiten bei der praktischen Umsetzung und zu Rechtsunsicherheit bei der Anwendung des Gesetzes.
Bisher kann keine klare Aussage über dynamische IP-Adressen gemacht werden.
Die datenschutzrechtlichen Aufsichtsbehörden sind sich jedoch einig, dass IP-Adressen als personenbezogene Daten anzusehen sind.
IP-Adressen mit IPv6 I
Im Sommer 2014 lag der IPv6-Spread in Deutschland bei rund 7%. Der Trend nimmt jedoch deutlich zu.
Auch wenn es Softwaretools zur Erhöhung der Anonymität und des Datenschutzes gibt, müssen Sie davon ausgehen, dass die Mehrheit der Benutzer über eine feste IP-Adresse dauerhaft identifizierbar ist.
Langfristig sollte sich die Bewertung daher dahingehend verschieben, dass für IP-Adressen generell eine persönliche Referenz angenommen werden muss.
Auswirkungen für die Praxis
Auch wenn die Frage der persönlichen Referenz heiß diskutiert wird, sind die Auswirkungen auf die Praxis eher theoretischer Natur.
Durch den Betreiber einer Website kann nicht festgestellt werden, ob der Benutzer eine statische oder eine dynamische IP-Adresse verwendet.
Wenn er dies jedoch nicht feststellen kann, ist er gezwungen, alle Adressen als potenziell statisch und daher persönlich zu behandeln. Dieser Effekt wird mit der Einführung von IPv6 noch einmal deutlich verstärkt.
Aufgrund der klaren Haltung der Datenschutzaufsichtsbehörden ist es auch ratsam, die Datenschutzanforderungen bei allen Fragen zur persönlichen Bezugnahme zu beachten.
Bei der Verwendung von Tools wie beispielsweise Google Analytics droht dem Unternehmer eine Geldstrafe, die durch geeignete Maßnahmen leicht vermieden werden kann.