IP-Adressen

Datenschutzrecht: dynamische IP-Adressen können laut EuGH Personendaten sein


Ihr Kontakt

In einem aktuellen Urteil setzt sich der Europäische Gerichtshof (EuGH) erstmals ausführlich mit der datenschutzrechtlichen Einordnung von IP-Adressen auseinander. Die Frage wird seit Jahren kontrovers diskutiert und ist für Online-Anbieter von zentraler Bedeutung: Sind IP-Adressen als Personendaten zu qualifizieren, so müssen rund um deren Bearbeitung die Grundsätze des Datenschutzrechtes eingehalten werden. In seinem Urteil hat der EuGH nun folgende Konkretisierung vorgenommen: Dynamische IP-Adressen eines Nutzers sind als personenbezogene Daten zu qualifizieren, wenn der Betreiber einer Website über die rechtlichen Mittel verfügt, die es ihm erlauben, den betreffenden Nutzer anhand der Zusatzinformationen durch den Internetzugangsanbieter, zu bestimmten.

Speicherung von IP-Adressen durch deutsche Bundeseinrichtungen

Herr Breyer (Kläger) rief mehrere Websites von deutschen Bundeseinrichtungen ab. Um Cyberangriffe abzuwenden und eine strafrechtliche Verfolgung der Angreifer zu ermöglichen, werden diverse Daten der Website-Besucher gespeichert, insbesondere wird die IP-Adresse des zugreifenden Computers aufbewahrt. Aus diesem Grund hat Herr Breyer Klage beim deutschen Verwaltungsgericht erhoben und beantragte, dass der Bundesrepublik Deutschland (Beklagte) zu untersagen sei, die IP-Adressen über das Ende des Zugriffs hinaus zu speichern.

Diese Klage wurde im ersten Instanzenzug abgewiesen, wogegen Herr Breyer Berufung einlegte. Nun liegt die Sache zur Entscheidung beim Bundesgerichtshof, welcher dem EuGH gewisse Auslegungsfragen zur Vorabentscheidung vorgelegt hat.

Kontroverse um datenschutzrechtliche Einordnung von IP-Adressen

IP-Adressen sind Zahlenfolgen, die einem mit dem Internet verbundenen Computer zugewiesen werden, um im Internet die Kommunikation zu ermöglichen. Dabei unterscheidet man im Allgemeinen zwischen der Zuweisung von statischen und dynamischen IP-Adressen. Eine statische IP-Adresse wird einem Nutzer dauerhaft zugeteilt, wobei sich eine dynamische IP-Adresse grundsätzlich bei jeder Internetverbindung ändert.

Seit Jahren stellt sich die Frage, ob IP-Adressen als personenbezogene Daten i.S. des Datenschutzrechts zu qualifizieren sind. In der Schweiz versteht man unter personenbezogenen Daten „alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen“. Die schweizerische Definition deckt sich auch mit der europäischen Definition von personenbezogenen Daten in Art. 2 Bst. a der Richtlinie 95/46/EG.

Eine weitgehend verbreitete Lehrmeinung vertritt die Ansicht, dass Inhaber von statischen IP-Adressen stets aus öffentlich einsehbaren Datenbanken ermittelt werden können. Aus diesem Grund werden sie weitgehend als personenbezogene Daten qualifiziert. Dabei ist jedoch zu beachten, dass diese Einschätzung zu undifferenziert ist und nicht in jedem Fall zutreffend ist (vgl. dazu BR-News vom 13. März 2014).

Im hier massgebenden Fall stellte sich jedoch die Frage der Qualifikation von dynamischen IP-Adressen, auf welche im Folgenden eingegangen wird. Bei dynamischen IP-Adressen ist die Bestimmbarkeit des Nutzers aufgrund des ständigen Wechsels der Ziffernfolge schwieriger als bei statischen IP-Adressen.

EuGH-Erwägungen betr. Qualifikation von dynamischen IP-Adressen

In seinem Urteil vom 19. Oktober 2016 (C-582/14) musste sich der EuGH daher mit der Auslegung von Art. 2 Bst. a der Richtlinie 95/46/EG auseinandersetzen. Im Vorderung stand dabei die Frage, ob dynamische IP-Adressen als personenbezogenen Daten zu qualifizieren sind, obwohl die Identifikation des jeweiligen Nutzers nur über einen Dritten (dem Internetzugangsanbieter) erfolgen kann.

Der EuGH führte aus, dass es sich bei IP-Adressen nur um Informationen über eine „bestimmbare“ natürliche Person handeln kann. Für die Einstufung als personenbezogene Daten ist jedoch nicht erforderlich, dass alle Informationen zur Identifikation der betreffenden Person sich in den Händen einer Person befinden. Es stellt sich die Frage, ob die dynamische IP-Adresse verknüpft mit der Zusatzinformation des Internetzugangsanbieters, ein Mittel darstellt, das vernünftigerweise eingesetzt wird um die Identifikation einer Person vorzunehmen. Nach deutschem Recht gibt es eine «rechtliche Möglichkeit» als Anbieter der Website an die fraglichen Informationen vom Internetzugangsanbieter zu gelangen; dies insbesondere im Zusammenhang von Cyberattacken, um eine Strafverfolgung einzuleiten. Somit verfügt der Anbieter über Mittel die vernünftigerweise eingesetzt werden, um die betreffende Person anhand der IP-Adresse bestimmen zu lassen. In diesem Sinne werden dynamische IP-Adressen als Personendaten i.S. der Richtlinie angesehen.

Situation in der Schweiz

Einen ähnlichen Fall hatte das schweizerische Bundesgericht im Jahr 2010 zu beurteilen. Logistep sammelte in sog. Peer-to-Peer-Datentauschnetzen IP-Adressen der Downloader von urheberrechtlich geschützten Werken und übergab diese Daten den jeweiligen Rechtsinhabern. Der Rechtsinhaber leitete danach Strafanzeige gegen Unbekannt ein, um sich die Identitätsdaten anhand des Akteneinsichtsrechts zu besorgen.

Dabei hielt das Bundesgericht im Wesentlichen fest, dass die gesammelten dynamischen IP-Adressen im konkreten Fall als Personendaten im Sinne des Datenschutzgesetzes (DSG) einzustufen sind, weil die Bestimmbarkeit der betroffenen Personen anhand der Strafanzeigen möglich ist. Die Ausführungen des Bundesgerichts und des EuGH sind insofern weitgehend deckungsgleich. Jedoch lässt sowohl das Bundesgericht, wie auch der EuGH die Frage offen, ob dynamische IP-Adressen auch als personenbezogene Daten qualifiziert werden können, wenn keine rechtliche Möglichkeit besteht, die Identität anhand eines Dritten zu ermitteln (zu weitergehenden Ausführungen vgl. BR-News vom 5. Dezember 2010 betr. Logistep-Urteil).

Auswirkungen des Urteils auf Deutschland

Die Gerichte in Deutschland setzen sich bereits seit einigen Jahren mit der Frage der Qualifikation von dynamischen IP-Adressen auseinander (vgl. beispielsweise BR-News vom 3. September 2010 betr. Urteil Landgericht Berlin). Im erwähnten Fall ging es aber um die Vereinbarkeit von § 15 Telemediengesetz (TMG) mit Art. 7 Bst. f der Richtlinie 95/46/EG. Nach §15 TMG dürfen personenbezogene Daten nur zu Abrechnungszwecken bzw. zur Sicherstellung der konkreten laufenden Nutzung des Onlinedienstes, gespeichert werden, da sie besonders geschützt sind.

Nach dem EuGH haben aber Betreiber einer Webseite ein berechtigtes Interesse zur Aufrechterhaltung der Funktionsfähigkeit ihres Dienstes und damit einhergehend zur Abspeicherung der Daten des Nutzers über die allfällige Session hinaus. Dabei ist eine Interessenabwägung des Website-Betreibers an der Speicherung der Daten und der Grundrechte der Internetnutzer vorzunehmen. §15 TMG sieht keine solche Interessenabwägung vor und ist somit nicht mit dem Unionsrecht vereinbar. Damit erklärt der EuGH implizit, dass es aus Sicherheitsgründen gerechtfertigt sein kann, Personendaten zu speichern. Dabei muss offen gelassen werden, ob die Speicherung der dynamischen IP-Adressen der Nutzer überhaupt geeignet ist, Cyberattacken zu vereiteln.

Weitere Informationen:


Artikel teilen



meistgelesen


Highlights

MLL Legal

MLL Legal ist eine der führenden Anwaltskanzleien in der Schweiz mit Büros in Zürich, Genf, Zug, Lausanne, London und Madrid. Wir beraten unsere Klienten in allen Bereichen des Wirtschaftsrechts und zeichnen uns insbesondere durch unsere erstklassige Branchenexpertise in technisch-innovativen Spezialgebieten, aber auch in regulierten Branchen aus.

MLL Meyerlustenberger Lachenal Froriep

Newsletter

MLL-News 03/22 mit Beiträgen zum Digital Markets Act, Digital Services Act, PBV-Revision, Abmahnungen zu Google Fonts, Inbox-Adverting und vieles mehr.

Zugang MLL-News 03/22

Jetzt anmelden!

Unsere Geschichte

MLL Legal ist eine führende Schweizer Anwaltskanzlei, deren Geschichte bis ins Jahr 1885 zurückreicht. Die Kanzlei ist sowohl organisch als auch durch strategische Fusionen gewachsen, von denen die Jüngste am 1. Juli 2021 zwischen Meyerlustenberger Lachenal und FRORIEP vollzogen wurde.

Durch diesen Zusammenschluss hat sich MLL Legal zu einer der grössten Wirtschaftskanzleien der Schweiz mit über 150 Anwältinnen und Anwälten in vier Büros in der Schweiz entwickelt. Auch zwei Büros im Ausland, in London und Madrid, bieten Anlaufstellen vor Ort für Klientinnen und Klienten, die Beratung im Schweizer Wirtschaftsrecht suchen.

Die Kanzlei verfügt heutzutage über ein starkes internationales Profil und ein langjährig aufgebautes globales Netzwerk. MLL Legal vereint anerkannte Führungsqualitäten und Fachwissen in allen Bereichen des Schweizer und internationalen Wirtschaftsrechts.

Über uns

Publikationen

Hier geht’s zu unseren neuesten Publikationen

COVID-19

Lesen Sie alle unsere rechtlichen Updates zu den Auswirkungen von COVID-19 für Unternehmen.

COVID-19 Information

Offene Stellen

Sind Sie auf der Suche nach einer neuen Herausforderung?

Unsere talentierten und ambitionierten Teams sind von einer gemeinsamen Vision motiviert, erfolgreich zu sein. Wir schätzen eine offene und unkomplizierte Kommunikation über alle Ebenen der Organisation hinweg in einem unterstützenden Arbeitsumfeld.

Offene Stellen

Real Estate Legal Update

Hier gehts zum Real Estate Legal Update 02/22 mit Fokus auf der Energiewende. Wir beschäftigen uns mit der Anpassung des Energiegesetzes und der Umsetzung in den Kantonen Genf und Zürich. Abgerundet wird das Thema mit einem Beitrag zu Solaranlagen. Ergänzt wird unser Update durch Beiträge zum Bauarbeitengesetz, zum L-QIF und zu steuerlichen Überlegungen zu Umstrukturierungen von Immobilienportfolios.

Registrieren Sie sich hier, um unser 2 x jährlich erscheinendes Real Estate Legal Update zu erhalten.

Unser Team

Unsere über 150 Anwältinnen und Anwälte unterstützen Sie dabei, den regulatorischen und technologischen Anforderungen im modernen globalen Wirtschaftsleben erfolgreich zu begegnen und ihre wirtschaftlichen Chancen zu nutzen.

Unser Team

Revision DSG

Auf unserer Themenseite rund um die Revision des Schweizerischen Datenschutzgesetzes finden Sie regelmässig aktualisierte und umfassende Informationen und Hilfsmittel. Es ist uns ein Anliegen, Sie bei der Implementierung der neuen Vorgaben zu unterstützen.

Revision DSG Themenseite

MLL Legal on Social Media

Folgen Sie uns auf LinkedIn, Twitter und Instagram.