Europa vs. USA – Sind IP-Adressen personenbezogene Daten?

Fachbeitrag

IP-Adressen sind personenbezogene Daten! Ganz klar – oder etwa nicht? Was in Europa Konsens sein dürfte, gilt noch lange nicht in den USA. Dort scheiden sich an diesem Begriff noch immer die Geister. Sein oder nicht sein, das ist hier die Frage. Wir haben uns einmal angeschaut, wie die Diskussion den Datenschutz beeinflusst.

Was sind IP-Adressen eigentlich?

Eine IP-Adresse ist eine Adresse in Computernetzwerken, welche auf dem Internetprotokoll (IP) basiert. Das Internetprotokoll selbst ist das mit Abstand gängigste Netzwerkprotokoll und stellt damit auch die Grundlage des Internets dar. IP-Adressen werden sämtlichen Geräten zugewiesen, welche mit einem Netzwerk, also z. B. dem Internet, verbunden sind. Mittels der IP-Adresse können Datenpakete versendet und einem eindeutigen Empfänger zugeordnet werden. In der analogen Welt wäre die Postadresse auf einem Briefumschlag das Gegenstück zur IP-Adresse.

IP-Adressen und Personenbezug

Die Frage, ob IP-Adressen personenbezogene Daten sind, ist so alt wie das Internet selbst. Im Jahr 2017 hatte der Bundesgerichtshof nach Vorlage an den EuGH entschieden, dass IP-Adressen personenbezogene Daten sind, da es (abstrakt) möglich sei, den Inhaber des Internetanschlusses zu ermitteln und somit den Rückschluss auf eine konkrete Person herzustellen. Dies deckt sich im Wesentlichen mit den Vorgaben der DSGVO. Gemäß Art. 4 Nr. 1 sind personenbezogene Daten

„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“

Da also stets Informationen über die IP-Adressen ausgetauscht werden, wenn Daten im Internet vom Absender zu ihrem Empfänger gesendet werden, erhebt also jeder Websitebetreiber permanent personenbezogene Daten, sobald der Nutzer eine Website aufruft. Das gilt sowohl für statische als auch für dynamische IP-Adressen.

Datenschutz in den USA

Das Datenschutzrecht in Europa gilt weltweit als führend. In den USA hingegen wurde der Schutz von personenbezogenen Daten sowie der Schutz der Privatsphäre des Einzelnen jahrelang eher stiefmütterlich behandelt. Facebook, Google & Co. lassen grüßen. In den USA existiert kein einheitliches Datenschutzrecht wie in Europa. Lediglich in einzelnen Gesetzen waren sporadische Regelungen zum Datenschutz zu finden. Seit dem 01.01.2020 ist nun aber der „California Consumer Privacy Act (CCPA)“ in Kraft getreten, welcher Verbrauchern im Bundesstaat Kalifornien erstmals ausdrücklich Rechte einräumt, welche vergleichbar mit den Vorgaben der Artt. 15 ff. DSGVO sind. Weitere Datenschutzgesetze in anderen Bundesstaaten sind geplant. In den USA scheint daher langsam ein Umdenken in Sachen Datenschutz einzusetzen.

Unterschiedliche Regelungen

Genauso wie es in den USA bislang keine einheitlichen Regeln zum Datenschutz gibt, so existiert auch keine allgemeine Definition zu dem Begriff der personenbezogenen Daten. Das hat zur Folge, dass einzelne Gesetze teilweise überhaupt keine Angaben machen, wie IP-Adressen zu behandeln sind. Die Frage, ob und inwiefern IP-Adressen personenbezogene Daten sind, war und ist in den USA  bereits seit Jahren Gegenstand einer hitzigen Debatte (ähnlich wie einst hierzulande).

Statische und dynamische IP-Adressen

Die Abgrenzung erfolgt dabei oft zwischen statischen und dynamischen IP-Adressen. Statische IP-Adressen kennzeichnen sich dadurch, dass sie nicht geändert werden, auch wenn die Verbindung zwischen Endgerät und Netzwerk getrennt wird. Bei jeder neuen Verbindung wird die gleiche IP-Adresse zugewiesen. Wohingegen IP-Adressen als dynamisch bezeichnet werden, wenn diese bei jeder Einwahl neu vergeben werden und somit nur für einen gewissen Zeitraum demselben Gerät zugeordnet sind.

Die (datenschutzrechtliche) Unterscheidung zwischen statischen und dynamischen IP-Adressen wurde vor allem damit begründet, dass es bei einer dynamischen IP-Adresse auf Grund der zeitlich begrenzten Zuweisung schwieriger sei, einen konkreten Personenbezug herzustellen. Daher wird die Ansicht vertreten, dass dynamische IP-Adressen keine personenbezogenen Daten sind. Der Umstand, dass es technisch schwieriger ist, den Personenbezug herzustellen, schließt aber nicht aus, dass man einen Personenbezug grundsätzlich herstellen kann. Diese Unterscheidung vermag daher nicht zu überzeugen. Dennoch hat auf diese Weise beispielsweise das US-Bundesgesetz „Children’s Online Privacy Protection Act“ (COPPA), welcher im Jahr 2013 in Kraft trat, IP-Adressen unterschiedlich eingestuft.

Was ist im CCPA geregelt?

Der CCPA hat sich hingegen stark an den Vorgaben der DSGVO orientiert und räumt seinen Adressaten umfangreiche Rechte zum Schutz der Privatsphäre ein. Dementsprechend geht auch der CCPA davon aus, dass IP-Adressen generell unter den Begriff der personenbezogenen Daten fallen. Der Weg dorthin war allerdings steinig. In den Gesetzesentwürfen für den CCPA wurde die Frage nach dem Personenbezug unterschiedlich beantwortet.

Die Einstufung als personenbezogenes Datum ist aus datenschutzrechtlicher Sicht zu begrüßen. Wenn man für IP-Adressen ganz oder teilweise den Personenbezug verneinen würde, wären datenschutzrechtliche Vorschriften diesbezüglich gar nicht anwendbar. Das würde das Schutzniveau für diese Art Daten drastisch senken. Darüber hinaus bestünde dann die Gefahr, dass derselbe Sachverhalt unterschiedlich bewertet werden könnte, je nachdem, welche Regelung man heranzieht.

Im Sinne der Einheitlichkeit

Es bleibt daher zu hoffen, dass sich in den USA auch bezüglich der rechtlichen Bewertung von IP-Adressen der Trend durchsetzt, diese einheitlich als personenbezogene Daten zu betrachten. Dies würde sicherlich die transatlantischen Beziehungen im Bereich des Datenschutzes vereinfachen und verbessern. Dass in den USA der generelle Wille vorhanden ist, hat sich in vergangenen Monaten schon gezeigt.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

3 Kommentare zu diesem Beitrag

  1. Sobald im Haushalt ein Smartphone über das WIFI ins Internet geht, wissen gewöhnlich Google und Facebook recht schnell, wer hinter einer ggf. auch täglich gewechselten IP-Adresse steckt.

    Eine Analyse des Netzverkehrs zeigt, dass die Dinger am laufenden Band nach Hause funken – auch wenn sie unbenutzt rumliegen. Gewöhnlich ist so ein Smartphone bei Google inkl. Kreditkarte registriert. Damit kann Google sehr zuverlässig wissen, wer hinter einer IP steckt. Werden die Daten sorgfältig analysiert, sind auch in Mehrpersonenhaushalten alle Internet-Nutzer bekannt – auch wenn nur einer ein registriertes Android-Phone hat. Da ist – wenn überhaupt – nicht viel anonym. Insofern volle Zustimmung zum Autor.

  2. Die Aussage, IP-Adressen seien personenbezogene Daten, kann ich der besagten EuGH-Entscheidung nicht entnehmen. Vielmehr hat der EuGH ausdrücklich festgestellt, dass es darauf ankomme, welche Möglichkeiten der Verarbeitende besitzt. Falls er, wie im dort konkret entschiedenen Fall ein Provider, die rechtliche oder tatsächliche Möglichkeit besitzt, die IP-Adresse einer Person zuzuordnen, dann – aber auch nur dann! – ist die IP-Adresse nach Ansicht des EuGH ein personenbezogenes Datum.
    Die in der Entscheidung hierzu angestellten Erwägungen werden nach meinem Verständnis letztlich auch in Erwägungsgrund 26 zur DS-GVO aufgegriffen, der vergleichbare Kriterien zur Feststellung, ob Daten anonym sind, aufstellt.
    Wieso sich immer mehr die These verfestigt, der EuGH hätte pauschal IP-Adressen zu personenbezogenen Daten erklärt, erschließt sich mir nicht.

    • Es ist zutreffend, dass der EuGH im konkreten Fall IP-Adressen als personenbezogene Daten einordnet, wenn der Provider die rechtlich oder tatsächliche Möglichkeit hat, die IP-Adresse einer Person zuzuordnen. Die tatsächliche Möglichkeit dazu dürfte im Regelfall bestehen. Zudem kann theoretisch immer auch die rechtliche Möglichkeit bestehen, auch wenn dies eventuell nur auf die Zukunft gerichtet ist, dass ein Provider zum Beispiel im Rahmen eines strafrechtlichen Ermittlungsverfahrens Namen und Adressen des vermeintlichen Täters herausgeben muss. Insofern kann man die Einordnung des EuGH sehr weit verstehen.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.