IP-Adressen – personenbezogene Daten

ip 01
Fachbeitrag

In der Datenschutzwelt wird seit einigen Jahren immer wieder der Personenbezug von IP-Adressen diskutiert. Wir wollen dieses Thema in unserem Artikel ausführlich beleuchten und darstellen, warum diese heiß diskutierte Frage am Ende für Webseitenbetreiber und die Unternehmenspraxis eigentlich bedeutungslos ist.

Was ist eine IP-Adresse?

IP-Adressen werden in Computernetzen wie dem Internet verwendet, um den Datenverkehr zu ordnen und den einzelnen Datenpaketen Ziel- und Absenderadresse mit auf den Weg zu geben.

Vereinfacht gesagt, erhält der Betreiber mit der IP-Adresse als Absenderadresse alle notwendigen Informationen, um bei dem Aufruf einer Webseite alle für die Darstellung der Webseite erforderlichen Daten an den Nutzer übertragen zu können.

Vergabe von IP-Adressen

IP-Adressen werden von sogenannten Internet-Service-Providern (ISP) wie beispielsweise der Telekom an einen Anschlussinhaber vergeben. Je nach Geschäftsmodell und Anwendungsfall werden IP-Adressen dabei statisch oder dynamisch vergeben.

Statische IP-Adressen bleiben bei jeder Verbindung mit dem Internet gleich und ändern sich in der Regel während der gesamten Nutzungsdauer/Vertragslaufzeit nicht.

Dynamische IP-Adressen werden in kurzen Zeitabständen (z.B. täglich) oder bei jedem Einwahlversuch der entsprechenden Nutzerhardware neu vergeben. Die Zuordnung einer „abgelaufenen“ IP-Adresse zu einem Anschlussinhaber wird nach der Neuvergabe in der Regel beim ISP noch für einen bestimmten Zeitraum vorgehalten. Auf diesem Weg ist ein Rückschluss auf den Anschlussinhaber auch im Nachhinein noch möglich.

Was bedeuten IPv4 und IPv6?

IPv4 und IPv6 bezeichnen die Version des der Übertragung zugrunde liegenden Verfahrens (Internet Protocol Version 4/6).

In der Version 4 standen ISPs nur eine begrenzte Zahl von IP-Adressen zur weltweiten Vergabe zur Verfügung. Aufgrund der stetig wachsenden Zahl von Nutzern und deren Endgeräten findet zurzeit eine Umstellung auf die Version 6 statt, bei der praktisch unbegrenzt Adressen zur Verfügung stehen.

Dies hat unter anderem zur Folge, dass die bisher übliche dynamische Vergabe von IP-Adressen überflüssig werden wird und langfristig jedes einzelne Endgerät (PC, Handy, Kühlschrank) dauerhaft eine eigene IP-Adresse erhalten wird.

Sind IP-Adressen personenbezogen?

Grundsätzliche Überlegungen

Bei der Beurteilung eines möglichen Personenbezugs ist entscheidend, ob die dahinter stehende Person bestimmbar ist oder nicht (§3 Abs. 1 BDSG). Im Hinblick auf IP-Adressen werden zwei Meinungen vertreten, die bei dieser Frage zu unterschiedlichen Ergebnissen kommen.

Eine Theorie vertritt den „objektiven“ Begriff der Personenbeziehbarkeit. Hierbei reicht es aus, dass eine theoretische Möglichkeit besteht, einen Personenbezug herzustellen. Es ist dabei nicht unbedingt notwendig, dass z.B. der Webseitenbetreiber selbst diese Möglichkeit nutzen kann. Auch die Möglichkeiten eines Dritten (z.B. ISP) reichen aus, damit die Daten für den Webseitenbetreiber Personenbezug haben.

Die Theorie des „relativen“ Personenbezugs hingegen prüft die Personenbeziehbarkeit anhand der Verhältnisse der jeweiligen verarbeitenden Stelle, z.B. des Webseitenbetreibers. Kenntnisse und Fähigkeiten von Dritten sind hierbei nicht relevant, so dass reine IP-Adressen in diesem Fall für den Webseitenbetreiber keinen Personenbezug aufweisen.

Statische IP-Adressen bei IPv4

Bei statischen IP-Adressen geht die herrschende Meinung in der Datenschutzwelt davon aus, dass ein Personenbezug vorliegt. Begründet wird dies in der Regel damit, dass durch die andauernde Verwendung der immer gleichen IP-Adresse bei einer Vielzahl von Webseiten eine Verbindung zu dem Nutzer hergestellt werden kann.

Wenn man beispielsweise an die stetig zunehmende Nutzung von Online-Shops denkt, bei denen der Nutzer die Verbindung mit seiner IP-Adresse herstellt und anschließend seinen Namen eingibt, so leuchtet diese Auffassung durchaus ein.

Die Möglichkeit einer Identifizierung ist in diesem Fall nicht mehr auf die Daten des ISP beschränkt, so dass selbst die Anhänger der relativen Theorie hier in der Regel aufgrund des Risikos einen Personenbezug nicht mehr kategorisch ablehnen.

Dynamische IP-Adressen bei IPv4

Bei dynamischen IP-Adressen stehen sich die Vertreter der beiden Auffassungen unversöhnlich gegenüber. Es gibt Gerichtsentscheidungen für die eine wie für die andere Seite und eine Lösung des Konflikts ist nicht in Sicht.

Eine Entscheidung des Landgerichts Berlin aus dem Jahr 2013 hat sich an einer vermittelnden Lösung versucht und eine Beurteilung davon abhängig gemacht, ob ein Schutz des Nutzers durch die Datenschutzgesetze erforderlich ist. Für die Prüfung der Erforderlichkeit soll es dann auf die Umstände des Einzelfalles ankommen.

Ein solcher Weg führt jedoch zu enormen Schwierigkeiten in der praktischen Umsetzung und zu einer Rechtsunsicherheit in der Anwendung des Gesetzes.

Eine eindeutige Aussage zu dynamischen IP-Adressen lässt sich also bis heute nicht treffen. Die Aufsichtsbehörden im Datenschutz vertreten hier jedoch geschlossen die Auffassung, dass IP-Adressen als personenbezogene Daten zu werten sind.

IP-Adressen bei IPv6

Im Sommer 2014 liegt die Verbreitung von IPv6 in Deutschland bei ca. 7%. Die Tendenz ist jedoch deutlich steigend.

Auch wenn es Softwaretools zur Erhöhung der Anonymität und des Datenschutzes gibt, muss man dennoch davon ausgehen, dass ein Großteil der Nutzer dauerhaft über eine feste IP-Adresse identifizierbar sein wird.

Langfristig dürfte sich die Beurteilung daher dahingehend verschieben, dass bei IP-Adressen generell ein Personenbezug angenommen werden muss.

Auswirkungen für die Praxis

Auch wenn die Frage des Personenbezugs hitzig diskutiert wird, sind die Auswirkungen für die Praxis eher theoretischer Natur.

Für den Betreiber einer Webseite lässt sich nicht feststellen, ob der Nutzer eine statische oder eine dynamische IP-Adresse verwendet. Wenn er das aber nicht feststellen kann, so ist er gezwungen, alle Adressen als potentiell statisch und damit personenbezogen zu behandeln. Dieser Effekt wird durch die Einführung von IPv6 noch einmal deutlich verstärkt werden.

Durch die eindeutige Haltung der Datenschutzaufsichtsbehörden empfiehlt es sich zudem in allen Fragen, die den Personenbezug betreffen, die Vorgaben des Datenschutzes zu beachten. Beim Einsatz von Tools wie Google Analytics droht beispielsweise ein Bußgeld der Behörde, dass man durch geeignete Maßnahmen leicht vermeiden kann.

Fazit

Webseitenbetreiber sollten sich gut überlegen, ob sie für den Mehrwert einer vertieften Auswertung von IP-Adressen einen Rechtsstreit mit einer Aufsichtsbehörde führen wollen. Die personellen und finanziellen Ressourcen, die ein Unternehmen dafür aufbringen muss, und der ungewisse Ausgang werden in aller Regel dagegen sprechen.

Die Empfehlung kann daher nur lauten, IP-Adressen generell als personenbezogene Daten zu behandeln und die entsprechenden Vorgaben des Datenschutzes umzusetzen.

7 Kommentare zu diesem Beitrag

  1. Einfache Lösung: Daten erst gar nicht speichern!

    Nicht gespeicherte Daten müssen auch nicht nach den Datenschutzgesetzen behandelt werden.
    Der “lästige” Datenschutz lässt sich dadurch vermeiden, indem erst gar keine Daten gespeichert werden.

  2. Hallo Dr. D,

    auch wenn Sie auf meine Frage auf https://www.datenschutzbeauftragter-info.de/urteil-bgh-relativiert-das-recht-am-eigenen-bild/#comments nicht eingegangen sind:
    Hier ist es exakt dasselbe (“Diese Webseite benutzt Cookies/XYZ. Wenn Dir das nicht passt, dann geh doch!”).
    Deshalb die Frage nochmals: Kann sich der (Webseiten-)betreiber durch entsprechende Hinweise oder ‘Nutzungsbedingungen’ ent-haften? Darf er das überhaupt und wenn ja, wie? Kann meine ‘Zustimmung’ überhaupt konkludent erklärt werden (Verbleiben auf der Veranstaltung, Weitersurfen auf der Site) oder muss das explizit erfolgen?
    Wie reagiere ich, falls es explizit erfolgen muss auf solche ‘Hinweise’?

    • Das Telemediengesetz führt in §13 aus, wie eine Erklärung für den Nutzer einer Webseite in der sogenannten Datenschutzerklärung gestaltet sein muss. Üblicherweise erfolgt in der Datenschutzerklärung auch ein Hinweis auf Cookies. Damit ist der aktuellen Rechtslage in Deutschland genüge getan. In der Kritik steht diese Lösung vor allem deshalb, weil man sich zu dem Zeitpunkt der Kenntnisnahme natürlich bereits auf der Webseite befindet und ein Cookie auf dem Rechner gespeichert wurde.

      Dieses Vorgehen ist daher wohl als Kompromisslösung zu verstehen. Browser bieten die Möglichkeit, Cookies generell zu verbieten und dies wird oft als Argument heran gezogen. Eine andere Lösung wurde im Rahmen der EU-Cookie-Richtlinie beispielsweise in Großbritannien eingesetzt. Hier erscheint jetzt zunächst immer ein Pop-Up, bei dem man aktiv in Cookies einwilligen muss. Es ist jedoch nicht zu erwarten, dass dies in Eingang in die deutsche Praxis finden wird.

  3. Sehr guter Beitrag. Verständlich formuliert. Der letzte Empfehlung: nach Vorgaben des Datenschutzes umzusetzen heißt: Löschung der IP Adresse nach dem Besuch der Webseite?

  4. Lieschen Müller möchte gerne wissen, welche personenbezogenen Daten von ihr auf dem Portal “Kochen und Backen” gespeichert sind. Sie schreibt eine Mail an den Betreiber und bittet ihn um Auskunft.
    L. Müller bekommt eine Antwortmail:
    Liebe Frau Müller,
    um Ihre Frage beantworten zu können benötige ich das Datum, die Zeit und Ihre IP-Adresse, die Sie hatten als Sie unser Portal besuchten. Wie Sie wissen, werden IP-Adressen von Providern dymamisch vergeben, so, das ich so auf Ihre Frage keine konkrete Auskunft geben kann.
    Tja, jetzt kommt das große Grübeln, was ist eine IP-Adresse und gar noch eine dynamische??? Ich wohne zwar im Konrad-Zuse-Weg 6 – aber die Adresse steht doch in jedem Telefonbuch und kann von jedem gelesen werden!
    ????
    Und die Moral von der Geschicht – speichere keine dynamischen IP-Adressen NICHT!
    Und das macht der Portalbetreiber auch nicht – Logdateien speichert nämlich der Provider!!!

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.