Tablet auf Tisch

Dynamische IP-Adressen und Datenschutz

Individuelle Lösungen für den Datenschutz Ihres Unternehmens
Wir stehen als externer Datenschutzbeauftragter zur Verfügung – Verständlich und garantiert auf dem neuesten Stand!

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr

Datenschutzrechtlich gelten personenbezogene Daten als schützenswert. Sie sind es, auf die sich entsprechende datenschutzrechtliche Vorschriften fokussieren. Die Frage, ob auch dynamische IP-Adressen zu den personenbezogenen gerechnet werden müssen, hat bereits einige Gerichte auf nationaler und europäischer Ebene beschäftigt. Tatsächlich müssen Unternehmen zukünftig sehr aufmerksam sein, wenn es um dynamische IP-Adressen und Datenschutz geht.


Dynamische IP-Adressen und Datenschutz – was sind dynamische IP-Adressen?

Technisch gesehen ist eine IP-Adresse eine Kennung. Sie macht allgemein eine Kommunikation im Internet möglich. Server und bestimmte andere Kommunikationspunkte wie Webseiten haben sogenannte feste – statische – IP-Adressen. Sie sind über diese feste Adresse immer erreichbar und auch eindeutig zu identifizieren. Dagegen wird jedem normalen Nutzer eine wechselnde IP Adresse zugewiesen, sobald er sich ins Internet einwählt. Diese IP-Adresse bezeichnet man als dynamische IP-Adresse. Man kann davon ausgehen, dass die dynamischen IP-Adressen etwa alle 24 Stunden wechseln. Diese ständige Umverteilung der IP-Adressen ist notwendig, weil typischerweise die Provider nur über ein bestimmtes Kontingent an solchen Adressen verfügen. Hätte jeder normale Internetnutzer eine feste IP-Adresse, wäre die Zahl der entsprechenden Internetzugänge vermutlich schnell erschöpft. Während man also feste oder statische IP-Adressen jederzeit identifizieren und so auch den dahinter stehenden User eindeutig bestimmen kann, ist diese Frage bei den dynamischen IP-Adressen schwieriger zu klären. Hier beginnt die Problematik-dynamische IP-Adressen und Datenschutz.


Dynamische IP-Adressen und Datenschutz – das Rechtsproblem

Hinter dem Thema dynamische IP-Adressen und Datenschutz verbirgt sich zunächst eine technische Notwendigkeit. Jeder Provider muss die dynamische Adresse eines Users so lange speichern, wie von seiner Seite aus entsprechende Informationen an diesen ausgeliefert werden. Viele Seiten speichern die Adressen über diesen Zeitpunkt hinaus und damit länger als technisch notwendig. Müsste man dynamische IP-Adressen als personenbezogene Daten einschätzen, wäre diese zeitlich länger andauernde Speicherung der dynamischen IP-Adressen unter Umständen unzulässig. Mit dieser Frage haben sich inzwischen sowohl der Bundesgerichtshof als auch der europäische Gerichtshof beschäftigen müssen. Ausgangspunkt war eine Auseinandersetzung zwischen einem Abgeordneten der Piratenpartei aus Schleswig-Holstein und der Bundesrepublik Deutschland. 

Der Abgeordnete hat Web-Seiten der Bundesrepublik Deutschland besucht und festgestellt, dass  seine jeweilige dynamische IP-Adresse länger als technisch notwendig gespeichert wurde. Diese Vorgehensweise hielt er für unzulässig. Die Bundesrepublik Deutschland als Seitenbetreiber wendete dagegen ein, dass die entsprechende Speicherung über den Auslieferungszeitpunkt der Daten hinaus notwendig sei, um die Seite vor unzulässigen Angriffen zu schützen. Außerdem ermöglichten die entsprechenden dynamischen IP-Adressen per se keine eindeutige Identifizierung des Users, da sie ständig wechselnd eingesetzt würden.


Dynamische IP-Adressen und Datenschutz – die Rechtsauffassung der obersten Gerichte

Der Bundesgerichtshof war sich in der Beurteilung zum Thema dynamische IP-Adressen und Datenschutz zunächst unsicher und hat deshalb das Rechtsproblem dem Europäischen Gerichtshof zur Entscheidung vorgelegt. Dabei musste vor allem folgende Frage geklärt werden: Lassen dynamische IP-Adressen konkret einen entsprechenden Personenbezug zu, so dass der User dahinter eindeutig bestimmt werden kann?

In der Betrachtungsweise eines Webseitenbetreibers ist die dynamische IP-Adresse bei oberflächlicher Betrachtung nur eine Nummer. Ohne weitere Maßnahmen und technische Hilfsmittel kann er keine Rückschlüsse auf den User dahinter ziehen. Dazu kommt die zeitliche Komponente, schließlich ist die spezielle Nummer im Einzelfall dem User nur für eine bestimmte Zeit zugeordnet. Ohne Weiteres kann also der Nutzer hinter einer dynamischen IP-Adresse nicht bestimmt werden. Allerdings weitet das europäische Datenschutzrecht die Identifikation eines bestimmten Nutzers im Hinblick auf personenbezogene Daten auch auf den Fall aus, dass die natürliche Person grundsätzlich bestimmbar ist. Der Europäische Gerichtshof musste sich deshalb insbesondere fragen, ob der Nutzer hinter der dynamischen IP-Adresse bestimmbar sei. Allgemein ist dafür ausreichend, dass ein Dritter in der Lage ist, einen Bezug zu der Person hinter der Adresse herzustellen.

Selbst Datenschutzexperten sind sich in dieser Frage nicht einig. Man kann auch darauf abstellen, dass dynamische IP-Adressen nur dann personenbezogene Daten sind, wenn der Webseitenbetreiber im konkreten Fall selbst eine entsprechende Verbindung zwischen Adresse und dem Nutzer herstellen kann.

Der EuGH hat sich an einem Kompromiss versucht. Er vertritt die Auffassung, dass dynamische IP-Adressen dann personenbezogen seien, wenn der Betreiber konkret über die entsprechenden rechtlichen Mittel verfüge, um den Nutzer hinter der Adresse zu bestimmen. Ein Webseitenbetreiber verfüge dabei schon dann über entsprechende rechtliche Mittel, wenn er etwa für den Fall einer kriminellen Cyberattacke auf seine Seite zusammen mit den Strafverfolgungsbehörden die User hinter den entsprechenden IP-Adressen identifizieren könne.

Der Bundesgerichtshof hat die Betrachtungsweise des EuGH übernommen, so dass sich in der datenschutzrechtlichen Beurteilung von dynamischen IP-Adressen folgende Grundsätze ergeben:

  1. Dynamische IP-Adressen sind grundsätzlich personenbezogene Daten, weil der Seitenbetreiber regelmäßig mit Hilfe anderer Behörden den Nutzer bestimmen kann.

  2. Handelt es sich um personenbezogene Daten, gelten die entsprechenden datenschutzrechtlichen Vorschriften, so dass eine Speicherung der Adressen über den technisch notwendigen Zeitpunkt hinaus ohne die Einwilligung des Nutzers unwirksam sein dürfte. Dabei muss allerdings eine Interessenabwägung stattfinden, die die Grundrechte des Nutzers und die Interessen des Webseiten Betreibers im Hinblick auf die Funktion seiner Webseite gegeneinander abwägt.

  3. Dynamische IP-Adressen und Datenschutz – die konkrete Entscheidung im Piraten-Fall

  4. Konkret wollte der BGH sich noch nicht festlegen, ob die Speicherung der IP Adresse durch eine Webseite der Bundesrepublik Deutschland zulässig oder unzulässig war. Man hat die Sache zunächst an die Berufungsinstanz zurückverwiesen, um weitere Tatsachenfeststellungen vorzunehmen.

Dynamische IP-Adressen und Datenschutz – Seitenbetreiber müssen aufmerksam bleiben

Aus den bisherigen rechtlichen Wertungen der Gerichte folgt, dass dynamische IP-Adressen personenbezogene Daten sind. Grundsätzlich kann man davon ausgehen, dass jeder Seitenbetreiber im Kampf gegen entsprechende kriminelle Attacken mithilfe der Strafverfolgungsbehörden über die rechtlichen Mittel verfügen kann, um den Nutzer hinter einer IP-Adresse zu bestimmen. Daraus folgt, dass die Thematik dynamische IP-Adressen und Datenschutz jeden Seitenbetreiber beschäftigen muss. Speichert er über den technisch notwendigen Zeitpunkt hinaus die entsprechenden Adressen ab, ohne dass etwa eine Einwilligung des Nutzers vorliegt, kann er gegen datenschutzrechtliche Vorschriften verstoßen. Auch, wenn eine Einzelfallabwägung vorgenommen werden muss, ist das Risiko relativ hoch, dass in diesem Fall eine unzulässige Speicherung von personenbezogenen Daten angenommen wird. Unternehmen sollten daher ihre Vorgehensweise in diesem Kontext auf dem Prüfstand stellen. Dies vor allem auch mit Blick auf die seit Mai 2018 geltende EU-Datenschutzgrundverordnung mit ihren verschärften Sanktionsmöglichkeiten bei Datenschutzverstößen.

Portrait_Dominik
Unser Team

Wir stehen Ihnen zur Seite

Mit meiner fundierten Erfahrung in der operativen Unternehmensberatung helfe ich Ihnen dabei, die Vorgaben der DSGVO pragmatisch umzusetzen.

Dominik Fünkner

(zertifizierter Datenschutzbeauftragter & Geschäftsführer)

Weitere Themen, die Sie interessieren könnten

Aktuelle Beiträge zum Thema "Dynamische IP-Adressen und Datenschutz"