Die Diskussion um die Frage, ob IP-Adressen personenbezogene Daten sind, wird mittlerweile nicht mehr ausschließlich von Juristen geführt, was man angesichts ihrer Bedeutung für den Datenschutz im Netz nur begrüßen kann.
Ich möchte dies zum Anlass nehmen, die rechtliche Streitfrage ausführlicher zu erläutern und die unterschiedlichen Positionen darzustellen. Ausgangspunkt soll die gesetzliche Regelung sein, die wir in § 3 Abs. 1 BDSG
Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)
und in Art. 2 a) der EU-Datenschutzrichtlinie
alle Informationen über eine bestimmte oder bestimmbare natürliche Person („betroffene Person“); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind
finden.
Ein personenbezogenes Datum liegt also dann vor, wenn eine Person bestimmbar ist, wofür es nach der Richtlinie ausreicht, dass die Person indirekt identifiziert werden kann.
Was folgt hieraus für IP-Adressen? Bei dynamischen IP-Adressen kann zumindest mithilfe des Zugangsproviders ermittelt werden, welche Person Anschlussinhaber bzw. Kunde des Providers ist. Dass es sich hierbei nicht um ein theoretisches Szenario handelt, zeigen die Fälle des Filesharing, in denen in jedem Jahr mehrere hunderttausend Anschlussinhaber identifiziert und anschließend abgemahnt werden. Genügt das also, um von einem personenbezogenen Datum auszugehen?
In der juristischen Literatur und auch der bislang eher spärlichen Rechtsprechung besteht seit längerer Zeit Streit darüber, wann eine Person in diesem Sinne bestimmbar ist.
Die Theorie vom absoluten Personenbezug, die insbesondere von den Datenschutzbehörden von Bund und Ländern vertreten wird, geht davon aus, dass es ausreichend ist, wenn irgendein Dritter in der Lage ist, einen Personenbezug herzustellen. Dieser Ansicht zufolge sind IP-Adressen stets personenbezogene Daten, weil zumindest der Access-Provider diese Zuordnung vornehmen kann.
Die Theorie vom relativen Personenbezug nimmt demgegenüber an, dass es maßgeblich darauf ankommt, ob die Stelle, die die IP-Adresse speichert, in der Lage ist, eine (natürliche) Person zu ermitteln und zwar mithilfe der ihr selbst zur Verfügung stehenden Mittel. Das würde bedeuten, dass IP-Adressen nicht per se als personenbezogen zu betrachten sind. Der Betreiber einer Website, der IP-Adressen loggt, kann nämlich regelmäßig mit eigenen Mitteln keinen Personenbezug herstellen.
Aber selbst das ist nicht immer so eindeutig. Nehmen wir das Beispiel Google. Man wird auf den ersten Blick der Ansicht sein, dass ein Anbieter wie Google grundsätzlich nicht in der Lage ist, mithilfe der IP-Adresse eine konkrete Person zu identfizieren. Das sieht aber bereits dann anders aus, wenn ein Nutzer einen Google-Account unterhält, weil er einen der zahlreichen Google-Dienste (Mail, blogger.com, Analytics, AdWords) nutzt und zudem dort gerade eingeloggt ist. In diesem Fall kann Google den Personenbezug selbst herstellen.
In der juristischen Literatur gibt es für beide Ansichten eine Reihe von Vertretern, ein eindeutiges Übergewicht einer der beiden Meinungen ist nicht festzustellen. Je nachdem, was man liest, wird mal die eine und dann wieder die andere Auffassung als herrschend bezeichnet. In der Rechtsprechung sieht es ähnlich aus, wobei dort in der Tendenz eher die Ansicht vom relativen Personenbezug vorherrscht. In diesem Sinne haben sich z.B. das OLG Hamburg, das Landgericht Frankenthal (MMR 2008, 687), das Verwaltungsgericht Düsseldorf und das Amtsgericht München geäußert.
Welche Ansicht ist also richtig? Wenn man sich am Wortlaut der Richtlinie orientiert, dürfte mehr für die Annahme eines absoluten Personenbezugs sprechen. Denn nach Art. 2a) der Datenschutzrichtlinie ist eine Person schon dann als bestimmbar anzusehen, wenn sie indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer. Wenn man die IP-Adresse also als eine Art Kennnummer betrachtet, dann ermöglicht sie über den Umweg des Providers indirekt eine Identifizierung einer natürlichen Person. Diese Ansicht wird noch verstärkt durch Erwägungsgrund 26 der Datenschutzrichtlinie, der u.a. besagt:
Bei der Entscheidung, ob eine Person bestimmbar ist, sollten alle Mittel berücksichtigt werden, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen. Die Schutzprinzipien finden keine Anwendung auf Daten, die derart anonymisiert sind, daß die betroffene Person nicht mehr identifizierbar ist.
Damit ist europarechtlich relativ deutlich zum Ausdruck gebracht worden, dass es nicht nur auf die Möglichkeiten der speichernden Stelle ankommt, sondern es genügt, wenn ein Dritter (Provider) den Personenbezug herstellen kann.
In einem der aktuellen juristischen Aufsätze zum Thema (Sachs, CR 2010, 547) wird die Rechtslage so zusammengefasst, dass sich die Frage anhand der Kriterien der juristischen Methodenlehre nicht eindeutig beantworten lässt, es aber zweifelhaft erscheint, ob die in Deutschland bislang vorherrschende Ansicht vom relativen Personenbezug aufgrund der Regelungen der Datenschutzrichtlinie und der Haltung der Aufsichtsbehörden aufrecht erhalten werden kann.
De lege ferenda halte ich das Ergebnis, dass eine IP-Adresse immer personenbezogen sein soll, aber nicht für sinnvoll, weil damit nach geltendem Recht streng genommen Serverlogs ganz generell und insgesamt unzulässig wären. Die notwendige Lösung besteht darin, internetspezifische Erlaubnistatbestände zu schaffen. Das wäre auch vor dem Hintergrund der Einführung von IPv6 wünschenswert, weil sich dadurch die Personenbeziehbarkeit noch erhöhen wird.
Neue Erlaubnistatbestände würden allerdings im Ergebnis zu einer Aufweichung des aber ohnehin nicht mehr praxistauglichen Datenschutzrechts führen. Bestrebungen in diese Richtung dürften deshalb auf erheblichen Widerstand insbesondere der Datenschutzbehörden stoßen. Aus diesem Grund werden wir wohl weiterhin mit einem Datenschutzrecht leben müssen, das die Onlinewirklichkeit nicht ausreichend abbildet.