BGH: Vorlage an EuGH zum Personenbezug von IP-Adressen

urteil 18
News

Schon seit längerem besteht Streit über die Frage, ob IP-Adressen personenbezogene Daten im Sinne des Datenschutzrechtes sind oder nicht. Diese Frage hat der BGH jüngst (Beschluss vom 28.10.2014, Az.: VI ZR 135/13) dem Europäischen Gerichtshof (EuGH) vorgelegt.

Der Streit um den Personenbezug

Die Frage, inwieweit IP-Adressen einen Personenbezug aufweisen können, wird seit Jahren kontrovers diskutiert. IP-Adressen werden in Computernetzen wie dem Internet verwendet, um den Datenverkehr zu ordnen und den einzelnen Datenpaketen Ziel- und Absenderadresse mit auf den Weg zu geben. Bei statischen IP-Adressen wird ein Personenbezug überwiegend bejaht.

Anders sieht dies hingegen bei sog. dynamischen IP-Adressen. Hier wird über die Frage des Personenbezugs nach wie vor gestritten. Lediglich die deutschen Aufsichtsbehörden für den Datenschutz vertreten geschlossen die Auffassung, dass (sämtliche) IP-Adressen als personenbezogene Daten zu werten sind.

Die Vorlagesache

Diese Frage soll sich durch den EuGH klären. Im zugrunde liegenden Fall verlangt der Kläger – der Piraten-Politiker Patrick Breyer – von der beklagten Bundesrepublik Deutschland Unterlassung der Speicherung von dynamischen IP-Adressen.

Der BGH hat die Streitfrage bzgl. des Personenbezugs der IP-Adresse dem EuGH vorgelegt und möchte von diesem wissen, ob Art. 2 Buchstabe a der EG-Datenschutz-Richtlinie dahin auszulegen ist, dass eine IP-Adresse, die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn lediglich ein Dritter – also der Zugangsprovider – über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt.

Praktische Konsequenzen

Die Auswirkungen der Beantwortung der Frage dürften enorm sein. Entscheidende Bedeutung spielt der Personenbezug der IP-Adressen vor allem bei der viel diskutierten Problematik wie lange bzw. unter welchen Voraussetzungen Provider IP-Adressen speichern dürfen. Hiermit beschäftigt sich auch die zweite Vorlagefrage des EuGH im eingangs genannten Verfahren.

Ebenfalls bei Trackingdiensten wie Google Analytics wird die datenschutzrechtliche Zulässigkeit oder Duldung dieser Dienste insbesondere an dem möglichen Personenbezug der IP-Adresse festgemacht. Eine Verneinung des Personenbezugs hätte vor allem Konsequenzen für die derzeitigen Vorgaben der deutschen Aufsichtsbehörden für eine beanstandungsfreie Nutzung, also insbesondere die geforderte Anonymisierung der IP-Adresse. Die Entscheidung bleibt also mit Spannung abzuwarten!

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

7 Kommentare zu diesem Beitrag

  1. IP-Adressen sind in der Regel personenbezogen. Statische IP-Adressen ändern sich nicht und ermöglichen relativ einfach einen Personenbezug. Dynamische IP-Adressen sterben aus. Mit IPv6 besteht keine technische Notwendigkeit mehr für dynamische IP-Adressen. Die Diskussion, ob IP-Adressen personenbezogen sind oder nicht, ist technisch überholt. IP-Adressen führen in den meisten Fällen zu konkreten Personen. Technisch gesehen existiert faktisch keine Anonymität im Internet. Neben IP-Adressen gibt es übrigens noch weitere Unique Identifier (z.B. Browser-Fingerprint), die einen Personenbezug herstellen können. Die Fixierung auf IP-Adressen als einzigstes personenbezogenes Merkmal ist somit verkürzt.

    Wer IP-Adressen als allgemein NICHT-personenbezogen deklariert, dem fehlt entweder technischer Sachverstand, oder derjenige will sich Datenschutzregeln vom Hals halten, um einfacher und bequemer überwachen, tracken und Profit machen zu können.

  2. Guten Tag,

    richtig interessant wird ja das Thema im Zusammenhang mit ipv6 Adressen! Dann hat ja jeder seine eigene, lebenslange IP Nummer. Diese müsste dann eigentlich unter die geschützten, persönlichen Daten fallen, vergleichbar mit der eigenen e-Mail Adresse. Wie soll dass dann geregelt werden? Kann ich dann sagen, meine Mail Adresse kann weiter gegeben werden, mein IP aber nicht? Das wird interessant.

    MfG

    • In der Tat, eine dauerhafte IP-Adresse, die eindeutig einer Person zugeordnet werden kann, dürfte zu behandeln sein wie jedes andere personenbezogene Datum. Das heißt eine Weitergabe wäre grds. nur dann zulässig, wenn dies eine gesetzliche Vorschrift gestattet oder der Inhaber seine Einwilligung erteilt hat.

  3. Hallo,

    ich frage mich, wie wohl die die Rechtslage aussieht, wenn eine deutsche Firma ihre Website, also ihr Kunden-Informationsangebot, in den USA hosten lässt, z.B. bei Godaddy. Das dürfte ein Verstoß gegen den Datenschutz sein, da hier klar deutsche Benutzerdaten (wie IP-Adressen) frei Haus ins Ausland geliefert werden, richtig?

    Denn jeder Server führt Protokolldateien, auch Godaddy. Dabei werden Benutzerdaten gespeichert, und zwar im Ausland. Das wäre doch nichts anderes, als Google Analytics ohne den rechtlich unzulässigen IP-Anonymizer zu verwenden – oder sehe ich da etwas falsch?

    Schöne Grüße,
    Frank

  4. Nachsatz zur vorigen Anfrage: nicht einmal ein privater Blogbetreiber dürfte sich ja dann theoretisch seinen deutschsprachigen Blog (Zielgruppe also DACH-Region) auf wordpress.com registrieren und dort posten, da die wordpress.com-Server in Californien stehen …??

    • Die von Ihnen beschriebene Nutzung von Diensten aus den USA bzw. die damit verbundene Datenverarbeitung wäre zwar nicht per se unzulässig, es müssten aber die im BDSG geregelten Vorgaben an Datenübermittlungen ins Ausland (§§ 4b f. BDSG) beachtet werden.

      Für private Betreiber gilt dies dann nicht, wenn die Datenverarbeitung ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt. In diesem Fall wäre der Anwendungsbereich des BDSG nicht eröffnet (§ 1 Abs. 2 Nr. 3 aE BDSG).

      • Besten Dank für Ihre Antwort. Ich interpretiere das so, dass kommerzielle Sites die Zustimmung ihrer Besucher einholen müssen bzw. auf ihrer Datenschutzseite das Hosting im Ausland und die damit verbundene wahrscheinliche Datenspeicherung zu erwähnen haben – danke nochmals.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.