IP-Adressen sind personenbezogene Daten! Ganz klar – oder etwa nicht? Was in Europa Konsens sein dürfte, gilt noch lange nicht in den USA. Dort scheiden sich an diesem Begriff noch immer die Geister. Sein oder nicht sein, das ist hier die Frage. Wir haben uns einmal angeschaut, wie die Diskussion den Datenschutz beeinflusst.
Der Inhalt im Überblick
Was sind IP-Adressen eigentlich?
Eine IP-Adresse ist eine Adresse in Computernetzwerken, welche auf dem Internetprotokoll (IP) basiert. Das Internetprotokoll selbst ist das mit Abstand gängigste Netzwerkprotokoll und stellt damit auch die Grundlage des Internets dar. IP-Adressen werden sämtlichen Geräten zugewiesen, welche mit einem Netzwerk, also z. B. dem Internet, verbunden sind. Mittels der IP-Adresse können Datenpakete versendet und einem eindeutigen Empfänger zugeordnet werden. In der analogen Welt wäre die Postadresse auf einem Briefumschlag das Gegenstück zur IP-Adresse. Vereinfacht gesagt, erhält der Betreiber mit der IP-Adresse als Absenderadresse alle notwendigen Informationen, um bei dem Aufruf einer Webseite alle für die Darstellung der Webseite erforderlichen Daten an den Nutzer übertragen zu können.
IP-Adressen und Personenbezug
Die Frage, ob IP-Adressen personenbezogene Daten sind, ist so alt wie das Internet selbst. Im Jahr 2017 hatte der Bundesgerichtshof nach Vorlage an den EuGH entschieden, dass IP-Adressen personenbezogene Daten sind, da es (abstrakt) möglich sei, den Inhaber des Internetanschlusses zu ermitteln und somit den Rückschluss auf eine konkrete Person herzustellen. Dies deckt sich im Wesentlichen mit den Vorgaben der DSGVO. Gemäß Art. 4 Nr. 1 sind personenbezogene Daten
„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“
Da also stets Informationen über die IP-Adressen ausgetauscht werden, wenn Daten im Internet vom Absender zu ihrem Empfänger gesendet werden, erhebt also jeder Websitebetreiber permanent personenbezogene Daten, sobald der Nutzer eine Website aufruft. Das gilt sowohl für statische als auch für dynamische IP-Adressen.
Datenschutz in den USA
Das Datenschutzrecht in Europa gilt weltweit als führend. In den USA hingegen wurde der Schutz von personenbezogenen Daten sowie der Schutz der Privatsphäre des Einzelnen jahrelang eher stiefmütterlich behandelt. Facebook, Google & Co. lassen grüßen. In den USA existiert kein einheitliches Datenschutzrecht wie in Europa. Lediglich in einzelnen Gesetzen waren sporadische Regelungen zum Datenschutz zu finden. Seit dem 01.01.2020 ist nun aber der „California Consumer Privacy Act (CCPA)“ in Kraft getreten, welcher Verbrauchern im Bundesstaat Kalifornien erstmals ausdrücklich Rechte einräumt, welche vergleichbar mit den Vorgaben der Artt. 15 ff. DSGVO sind. Weitere Datenschutzgesetze in anderen Bundesstaaten sind geplant. In den USA scheint daher langsam ein Umdenken in Sachen Datenschutz einzusetzen.
Unterschiedliche Regelungen
Genauso wie es in den USA bislang keine einheitlichen Regeln zum Datenschutz gibt, so existiert auch keine allgemeine Definition zu dem Begriff der personenbezogenen Daten. Das hat zur Folge, dass einzelne Gesetze teilweise überhaupt keine Angaben machen, wie IP-Adressen zu behandeln sind. Die Frage, ob und inwiefern IP-Adressen personenbezogene Daten sind, war und ist in den USA bereits seit Jahren Gegenstand einer hitzigen Debatte (ähnlich wie einst hierzulande).
Statische und dynamische IP-Adressen
Die Abgrenzung erfolgt dabei oft zwischen statischen und dynamischen IP-Adressen. IP-Adressen generell werden von sogenannten Internet-Service-Providern (ISP) wie beispielsweise der Telekom an einen Anschlussinhaber vergeben. Je nach Geschäftsmodell und Anwendungsfall werden IP-Adressen dabei statisch oder dynamisch vergeben. Statische IP-Adressen kennzeichnen sich dadurch, dass sie nicht geändert werden, auch wenn die Verbindung zwischen Endgerät und Netzwerk getrennt wird. Bei jeder neuen Verbindung wird die gleiche IP-Adresse zugewiesen. Wohingegen IP-Adressen als dynamisch bezeichnet werden, wenn diese bei jeder Einwahl neu vergeben werden und somit nur für einen gewissen Zeitraum demselben Gerät zugeordnet sind.
Eine Theorie vertritt den „objektiven“ Begriff der Personenbeziehbarkeit. Hierbei reicht es aus, dass eine theoretische Möglichkeit besteht, einen Personenbezug herzustellen. Es ist dabei nicht unbedingt notwendig, dass z.B. der Webseitenbetreiber selbst diese Möglichkeit nutzen kann. Auch die Möglichkeiten eines Dritten (z.B. ISP) reichen aus, damit die Daten für den Webseitenbetreiber Personenbezug haben.
Die Theorie des „relativen“ Personenbezugs hingegen prüft die Personenbeziehbarkeit anhand der Verhältnisse der jeweiligen verarbeitenden Stelle, z.B. des Webseitenbetreibers. Kenntnisse und Fähigkeiten von Dritten sind hierbei nicht relevant, so dass reine IP-Adressen in diesem Fall für den Webseitenbetreiber keinen Personenbezug aufweisen.
Die (datenschutzrechtliche) Unterscheidung zwischen statischen und dynamischen IP-Adressen wurde vor allem damit begründet, dass es bei einer dynamischen IP-Adresse auf Grund der zeitlich begrenzten Zuweisung schwieriger sei, einen konkreten Personenbezug herzustellen. Daher wird die Ansicht vertreten, dass dynamische IP-Adressen keine personenbezogenen Daten sind. Der Umstand, dass es technisch schwieriger ist, den Personenbezug herzustellen, schließt aber nicht aus, dass man einen Personenbezug grundsätzlich herstellen kann. Diese Unterscheidung vermag daher nicht zu überzeugen. Dennoch hat auf diese Weise beispielsweise das US-Bundesgesetz „Children’s Online Privacy Protection Act“ (COPPA), welcher im Jahr 2013 in Kraft trat, IP-Adressen unterschiedlich eingestuft.
Was ist im CCPA geregelt?
Der CCPA hat sich hingegen stark an den Vorgaben der DSGVO orientiert und räumt seinen Adressaten umfangreiche Rechte zum Schutz der Privatsphäre ein. Dementsprechend geht auch der CCPA davon aus, dass IP-Adressen generell unter den Begriff der personenbezogenen Daten fallen. Der Weg dorthin war allerdings steinig. In den Gesetzesentwürfen für den CCPA wurde die Frage nach dem Personenbezug unterschiedlich beantwortet.
Die Einstufung als personenbezogenes Datum ist aus datenschutzrechtlicher Sicht zu begrüßen. Wenn man für IP-Adressen ganz oder teilweise den Personenbezug verneinen würde, wären datenschutzrechtliche Vorschriften diesbezüglich gar nicht anwendbar. Das würde das Schutzniveau für diese Art Daten drastisch senken. Darüber hinaus bestünde dann die Gefahr, dass derselbe Sachverhalt unterschiedlich bewertet werden könnte, je nachdem, welche Regelung man heranzieht.
Auch wenn die Frage des Personenbezugs hitzig diskutiert wird, sind die Auswirkungen für die Praxis eher theoretischer Natur. Für den Betreiber einer Webseite lässt sich nicht feststellen, ob der Nutzer eine statische oder eine dynamische IP-Adresse verwendet. Wenn er das aber nicht feststellen kann, so ist er gezwungen, alle Adressen als potentiell statisch und damit personenbezogen zu behandeln.
Im Sinne der Einheitlichkeit
Es bleibt daher zu hoffen, dass sich in den USA auch bezüglich der rechtlichen Bewertung von IP-Adressen der Trend durchsetzt, diese einheitlich als personenbezogene Daten zu betrachten. Dies würde sicherlich die transatlantischen Beziehungen im Bereich des Datenschutzes vereinfachen und verbessern. Dass in den USA der generelle Wille vorhanden ist, hat sich in vergangenen Monaten schon gezeigt.
Sobald im Haushalt ein Smartphone über das WIFI ins Internet geht, wissen gewöhnlich Google und Facebook recht schnell, wer hinter einer ggf. auch täglich gewechselten IP-Adresse steckt.
Eine Analyse des Netzverkehrs zeigt, dass die Dinger am laufenden Band nach Hause funken – auch wenn sie unbenutzt rumliegen. Gewöhnlich ist so ein Smartphone bei Google inkl. Kreditkarte registriert. Damit kann Google sehr zuverlässig wissen, wer hinter einer IP steckt. Werden die Daten sorgfältig analysiert, sind auch in Mehrpersonenhaushalten alle Internet-Nutzer bekannt – auch wenn nur einer ein registriertes Android-Phone hat. Da ist – wenn überhaupt – nicht viel anonym. Insofern volle Zustimmung zum Autor.
Die Aussage, IP-Adressen seien personenbezogene Daten, kann ich der besagten EuGH-Entscheidung nicht entnehmen. Vielmehr hat der EuGH ausdrücklich festgestellt, dass es darauf ankomme, welche Möglichkeiten der Verarbeitende besitzt. Falls er, wie im dort konkret entschiedenen Fall ein Provider, die rechtliche oder tatsächliche Möglichkeit besitzt, die IP-Adresse einer Person zuzuordnen, dann – aber auch nur dann! – ist die IP-Adresse nach Ansicht des EuGH ein personenbezogenes Datum.
Die in der Entscheidung hierzu angestellten Erwägungen werden nach meinem Verständnis letztlich auch in Erwägungsgrund 26 zur DS-GVO aufgegriffen, der vergleichbare Kriterien zur Feststellung, ob Daten anonym sind, aufstellt.
Wieso sich immer mehr die These verfestigt, der EuGH hätte pauschal IP-Adressen zu personenbezogenen Daten erklärt, erschließt sich mir nicht.
Es ist zutreffend, dass der EuGH im konkreten Fall IP-Adressen als personenbezogene Daten einordnet, wenn der Provider die rechtlich oder tatsächliche Möglichkeit hat, die IP-Adresse einer Person zuzuordnen. Die tatsächliche Möglichkeit dazu dürfte im Regelfall bestehen. Zudem kann theoretisch immer auch die rechtliche Möglichkeit bestehen, auch wenn dies eventuell nur auf die Zukunft gerichtet ist, dass ein Provider zum Beispiel im Rahmen eines strafrechtlichen Ermittlungsverfahrens Namen und Adressen des vermeintlichen Täters herausgeben muss. Insofern kann man die Einordnung des EuGH sehr weit verstehen.
Sie schreiben, „die tatsächliche Möglichkeit dazu dürfte im Regelfall bestehen“ – und Sie gehen im wesentlichen davon aus, daß IP-Adressen immer eindeutig zuzuordnen sind; das ist allerdings so ganz und gar nicht korrekt, zumindest nicht ohne Einschränkung und erklärt auch, warum insbesondere von Seiten der technischen Fraktion Einwände kommen.
Die Verallgemeinerung, alle IP-Adressen seien personenbezogene Daten ist nicht zielführend, wie nachfolgende IP-Adressen zeigen: 127.0.0.1 (local Host) ist definitiv eine IP-Adresse, und zwar eine weltweit gültige. Diese Adresse ist fest definiert und bezeichnet die IP-Adresse, mit welcher ein Rechner mit sich selbst kommunizieren kann – oder anders formuliert: Jedes netzwerkfähige Gerät der Welt, welches mit IP-Adressen arbeitet, kann über diese IP-Adresse sich selbst erreichen – daher ist die IP-Adresse millionenfach (wenn nicht milliardenfach) genutzt. Ähnliches gilt für 192.168.0.1, ebenfalls eindeutig eine IP-Adresse, und aus technischen Gründen ebenfalls millionenfach existent.
Die Mehrzahl der IP-Adressen nach altem IPv4 Standard und neuerem IPv6-Standard sind personenbezogene Daten durch die Möglichkeit der Zuordung , das ist und bleibt unbenommen. Eine Pauschalaussage bleibt (auch in diesem Beispiel wie anderswo) gefährlich.
Wie Sie zutreffend geschrieben haben, ist die (große) Mehrzahl von IP-Adressen als personenbezogen einzustufen. Daher haben wir „im Regelfall“ geschrieben, was impliziert, dass es Ausnahmen zur Regel gibt. Eine Pauschalaussage war unsere vorherige Antwort also gerade nicht.