25 Nov Dynamische IP-Adressen als personenbezogene Daten

In einem Urteil vom 19. Oktober hat sich der Gerichtshof der Europäischen Union zu der Frage geäußert ob dynamische IP-Adressen als personenbezogene Daten verstanden werden können.

Dem Fall zugrunde liegt eine Klage gegen die Bundesrepublik Deutschland, wegen der Speicherung der IP-Adressen von Internetnutzern, die auf die Websites von Bundeseinrichtungen zugreifen.

Eine Internetprotokoll-Adresse („IP-Adresse“) ist eine Zahlenfolge, die jedem Gerät (Computer, Tablet, Smartphone) eigen ist. Sie wird beim Aufrufen einer Internetseite dem Server dieser Seite mitgeteilt. „Dynamische“ IP-Adressen werden bei jeder neuen Verbindung mit dem Internet ausgetauscht. Deshalb identifizieren sie einen Nutzer lediglich in Verbindung mit zusätzlichen Informationen, die alleine der Internetzugangsanbieter besitzt.

2011 hatte der EuGH bereits in Bezug auf die Sammlung und Identifizierung von IP-Adressen durch Internetzugangsanbieter entschieden, dass IP-Adressen geschützte personenbezogene Daten darstellen, da sie die „genaue“ Identifizierung der Nutzer ermöglichen.

Laut Art. 2 Buchst. a der Richtlinie 95/46 kann die Identifizierung einer Person allerdings auch „indirekt“ erfolgen. Das heißt, dass sich nicht alle erforderlichen Informationen zwingendermaßen in den Händen nur einer einzigen Person befinden müssen. Es genügt, dass die Verknüpfung der Informationen ein Mittel darstellt, das vernünftigerweise zur Bestimmung einer Person eingesetzt werden kann.

Laut EuGH ist dem im vorliegenden Fall so, da das deutsche Recht es in bestimmten Situationen, insbesondere bei Cyberattacken, erlaubt, sich an die zuständige Behörde zu wenden, damit diese die fraglichen Informationen vom Internetzugangsanbieter abfragt und der Internetnutzer so identifiziert werden kann.

Im Fazit bedeutet dies, dass es einer Prüfung der falleigenen Umstände bedarf um festzustellen, inwiefern dynamische IP-Adressen personenbezogene Daten sind. Sie sind es, falls es rechtliche Mittel gibt, die betroffene Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, zu bestimmen.

Die Speicherung von IP-Adressen, vor allem als Maßnahme gegen Cyberkriminalität, ist eine gängige Praxis. Deshalb muss jeder, der für eine solche Speicherung verantwortlich ist, IP-Adressen als persönliche Daten behandeln und entsprechend schützen. Die Gesetzgebung zum Schutz des Privatlebens muss folglich gewahrt werden.

Wenn Sie nähere Informationen zu diesem Thema wünschen, kontaktieren Sie uns bitte, insbesondere Herrn Rechtsanwalt Guillaume RUE (guillaume.rue@cairnlegal.be).

Mit freundlichen Grüßen,

Das Team von Cairn Legal