Sind IP-Adressen personenbezogene Daten?
Seit Jahren wird die Frage, ob IP-Adressen personenbezogene Daten i.S.d. BDSG sind, kontrovers diskutiert.
Während die Datenschutzbehörden mittlerweile einheitlich annehmen, dass IP-Adressen als personenbezogene Daten zu qualifizieren sind, ist die Frage in der juristischen Literatur äußerst umstritten.
In der aktuellen Ausgabe der Zeitschrift MultiMedia und Recht (MMR) findet sich ein Aufsatz von Per Meyerdierks (MMR 2009, S. 8 ) zu diesem Thema mit dem Titel „Sind IP-Adressen personenbezogene Daten?“. Meyerdierks ist Justitiar der Google Germany GmbH, weshalb seine Ansicht, IP-Adressen seien keine personenbezogene Daten, nicht überraschend kommt. Google hat gerade wegen solcher Dienste wie Google Analytics kein gesteigertes Interesse daran, IP-Adressen als personenbezogen einzustufen.
Meyerdierks stellt zunächst die Streitfrage dar, ob der erforderliche Personenbezug objektiv zu bestimmen ist oder subjektiv/relativ danach zu fragen ist, ob die konkret verarbeitende Stelle den Personenbezug selbst herstellen kann.
Sodann stellt er fest, dass der Wortlaut des § 3 Abs. 1 BDSG für keine der beiden Ansichten zwingende Argumente liefert.
Meyerdierks versucht anschließend aus einem Umkehrschluss aus § 3 Abs. 6 BDSG abzuleiten, dass IP-Adressen keine personenbezogene Daten sind. § 3 Abs. 6 BDSG enthält eine Legaldefinition der Anonymisierung von Daten. Danach sind anonymisierte Daten u.a. solche, die nur mit einem unverhältnismäßigen Aufwand einer bestimmten Person zugeordnet werden können. Da IP-Adressen nach Meinung des Autors allenfalls mit unverhältnismäßigem Aufwand personalisiert werden können, hält er eine Gleichseitzung von IP-Adressen und anonymisierten Daten für gerechtfertigt.
Insoweit bleibt aber die Frage offen, ob man bei IP-Adressen von einem unverhältnismäßigen Aufwand sprechen kann und v.a. aus wessen Sicht der Aufwand unverhältnismäßig sein muss.
Der Zugangsprovider kann, wenn er IP-Adressen geloggt hat, diese ohne nennenswerten Aufwand dem Anschlussinhaber zuordnen. Aus seiner Sicht ist der Aufwand also gering. Sogar derjenige, der sich in seinen Rechten verletzt fühlt, kann, über den Umweg des strafrechtlichen Ermittlungsverfahrens und über Auskunftsansprüche nach §§ 101 Abs. 2 UrhG, 19 Abs. 2 MarkenG beim Provider die zur IP-Adresse gehörige natürliche Person ermitteln.
Der Aufsatz von Meyerdierks lässt außerdem eine Auseinandersetzung mit Art. 2a) der Datenschutz-Richtlinie vermissen. Anders als der Wortlaut des BDSG spricht der Wortlaut der Richtlinie nämlich sehr wohl dafür, IP-Adressen als personenbezogene Daten zu qualifizieren. Hiernach wird eine Person als bestimmbar angesehen, wenn sie indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer.
Gerade das passt auf IP-Adressen sehr gut. IP-Adressen sind eine Art Kennnummer, die über den Umweg des Providers und damit indirekt eine Identifizierung einer natürlichen Person ermöglichen.
Damit hat der europäische Gesetzgeber auch klargestellt, dass die Möglichkeit der indirekten Identifizierung ausreichend ist. Dadurch ist der Ansicht, es käme nur auf das Wissen der konkret verarbeitenden Stelle an und die Kenntnisse Dritter könnten nicht berücksichtigt werden, der Boden entzogen.
Die Diskussion wird wohl noch eine Weile andauern.
Ich warte schon seit längerem darauf, dass bei dieser Frage einmal zwischen statischen und dynamisch zugewiesenen IP-Adressen unterschieden wird.
Bei statischen IPs liefert ein nslookup oft Angaben, die die Identifizierung des Nutzers recht einfach macht. So ist z.B. meinem dienstlichen Notebook ein Name zugeordnet, der meinen Nachnamen enthält – diese Art der Zuordnung ist sicher nicht unvertretbar hoch.
Comment by I.S. — 12.01, 2009 @ 14:08