„Datenschutzrechtlich gelten personenbezogene Daten als schützenswert. Sie sind es, auf die sich entsprechende datenschutzrechtliche Vorschriften fokussieren. Die Frage, ob auch dynamische IP-Adressen zu den personenbezogenen Daten gerechnet werden müssen, hat bereits einige Gerichte auf nationaler und europäischer Ebene beschäftigt. Tatsächlich müssen Unternehmen zukünftig sehr aufmerksam sein, wenn es um dynamische IP-Adressen und Datenschutz geht.
Was sind dynamische IP-Adressen?
Technisch gesehen ist eine IP-Adresse eine Kennung – sie ist wie eine Postadresse oder eine Telefonnummer im analogen Leben. Sie macht allgemein eine Kommunikation im Internet möglich. Eine dynamische IP-Adresse ist eine Kennung, durch die sich Computer mit dem Internet verbinden können und die sich theoretisch alle 24 stunden ändert. Viele Dienste im Internet, wie beispielsweise Webseiten, haben in der Regel sogenannte feste – statische – IP-Adressen. Sie sind immer über diese feste Adresse erreichbar und somit auch eindeutig zu identifizieren.
Dagegen wird jedem normalen Nutzer üblicherweise jedes Mal eine andere IP Adresse zugewiesen, sobald er sich bzw. sein Router ins Internet einwählt. Diese IP-Adresse bezeichnet man als dynamische IP-Adresse. Dass einem Gerät immer eine eigene, niemals wechselnde IP-Adresse zugewiesen wird, die wie die DNS eines Computers funktioniert, gibt es nicht. Früher konnte man sogar davon ausgehen, dass die dynamischen IP-Adressen spätestens alle 24 Stunden wechseln. Diese ständige Umverteilung der IP-Adressen war notwendig, weil typischerweise die Provider nur über ein bestimmtes Kontingent an solchen Adressen verfügen. Hätte jeder normale Internetnutzer eine feste, also statische, IP-Adresse, wäre die Zahl der entsprechenden Internetzugänge vermutlich schnell erschöpft.
Eine IP-Adresse wird mittlerweile nur dann neu zugeordnet, wenn sich der Router neu mit dem Internet verbindet. Im Gegensatz zu früher geschieht das aber immer seltener. Die ehemals übliche „Zwangstrennung“, bei der der Provider einmal pro Tag die Verbindung kurz kappte, ist so gut wie Geschichte. Sie kommt nur noch bei Analog- und ISDN-Anschlüssen zum Einsatz. Nur beim Neustart des Routers wird eine IP-Adresse neu vergeben oder bei der Telekom nach 180 Tagen. IP-Adressen sind also wichtige Informationen: Während man also feste oder statische IP-Adressen jederzeit identifizieren und so auch den dahinterstehenden User eindeutig bestimmen kann, ist diese Frage bei den dynamischen IP-Adressen, obwohl sie mittlerweile seltener neu vergeben werden, schwieriger zu klären. Hier beginnt die Problematik: dynamische IP-Adressen und Datenschutz.
Das Rechtsproblem hinter dynamischen IP-Adressen und Datenschutz
Hinter dem Thema dynamische IP-Adressen und Datenschutz verbirgt sich zunächst eine technische Notwendigkeit. Jeder Provider muss die dynamische Adresse eines Users so lange speichern, wie von seiner Seite aus entsprechenden Informationen an diesen ausgeliefert werden. Viele Seiten und Domains speichern die IP-Adressen über diesen Zeitpunkt hinaus auf ihren Servern und damit länger als technisch notwendig. Müsste man dynamische IP-Adressen als personenbezogene Daten einschätzen, wäre diese zeitlich länger andauernde Speicherung der dynamischen IP-Adressen unter Umständen nicht erlaubt. Mit dieser Frage haben sich inzwischen sowohl der Bundesgerichtshof als auch der europäische Gerichtshof beschäftigen müssen. Ausgangspunkt war eine Auseinandersetzung zwischen einem Abgeordneten der Piratenpartei aus Schleswig-Holstein und der Bundesrepublik Deutschland.
Der Abgeordnete hat Web-Seiten der Bundesrepublik Deutschland besucht und festgestellt, dass seine jeweilige dynamische IP-Adresse im System länger als technisch notwendig gespeichert wurde. Diese Vorgehensweise hielt er für unzulässig. Die Bundesrepublik Deutschland als Seitenbetreiber wendete dagegen ein, dass die entsprechende Speicherung über den Auslieferungszeitpunkt der Daten hinaus notwendig sei, um die Seite vor unzulässigen Angriffen zu schützen. Jedoch ermöglichen dynamische IP-Adressen mittlerweile eine eindeutigere Zuordnung als früher, da die Adressen nicht mehr so oft wechseln.
Dynamische IP-Adressen und Datenschutz – die Rechtsauffassung der obersten Gerichte
Die Grenzen zwischen dynamischen und statischen IP-Adressen sind mittlerweile nicht mehr so klar abzugrenzen wie früher. Der EuGH hat sich daher an einem Kompromiss versucht: Er vertritt die Auffassung, dass dynamische IP-Adressen dann personenbezogen seien, wenn der Betreiber konkret über die entsprechenden rechtlichen Mittel verfüge, um den Nutzer hinter der Adresse zu bestimmen. Ein Webseitenbetreiber verfügt schon dann über entsprechende rechtliche Mittel, wenn er etwa für den Fall einer kriminellen Cyberattacke auf seine Seite zusammen mit den Strafverfolgungsbehörden die User hinter den entsprechenden IP-Adressen identifizieren könne.
Der Bundesgerichtshof hat die Betrachtungsweise des EuGH übernommen, so dass sich in der datenschutzrechtlichen Beurteilung von dynamischen IP-Adressen folgende Grundsätze ergeben:
Dynamische IP-Adressen sind grundsätzlich personenbezogene Daten, weil der Seitenbetreiber regelmäßig mit Hilfe anderer Behörden den Nutzer bestimmen kann.
Handelt es sich um personenbezogene Daten, gelten die entsprechenden datenschutzrechtlichen Vorschriften, so dass eine Speicherung der Adressen über den technisch notwendigen Zeitpunkt hinaus ohne die Einwilligung des Nutzers unwirksam sein dürfte. Dabei muss allerdings eine Interessenabwägung stattfinden, die die Grundrechte des Nutzers und die Interessen des Seitenbetreibers im Hinblick auf die Funktion seiner Webseite gegeneinander abwägt.
Dynamische IP-Adressen und Datenschutz – die konkrete Entscheidung im Piraten-Fall
Konkret wollte der BGH sich noch nicht festlegen, ob die Speicherung der IP Adresse durch eine Webseite der Bundesrepublik Deutschland zulässig oder unzulässig war. Man hat die Sache zunächst an die Berufungsinstanz zurückverwiesen, um weitere Tatsachenfeststellungen vorzunehmen.
Die Entscheidung des EUGH wurde mit in die DSGVO aufgenommen. Die IP-Adresse ist demnach eine Online Kennung, welche geeignet ist, eine natürliche Person zu identifizieren (nach Art. 4 Nr.1 DSGVO).
Dynamische IP-Adressen und Datenschutz – Seitenbetreiber müssen aufmerksam bleiben
Aus den bisherigen rechtlichen Wertungen der Gerichte folgt, dass dynamische IP-Adressen, also IP-Adressen, die sich mehr oder minder regelmäßig ändern, personenbezogene Daten sind. Grundsätzlich kann man davon ausgehen, dass jeder Seitenbetreiber im Kampf gegen entsprechende kriminelle Attacken mithilfe der Strafverfolgungsbehörden über die rechtlichen Mittel verfügen kann, um den Nutzer hinter einer IP-Adresse zu bestimmen. Daraus folgt, dass die Thematik dynamische IP-Adressen und Datenschutz jeden Seitenbetreiber beschäftigen muss. Speichert er über den technisch notwendigen Zeitpunkt hinaus die entsprechenden Adressen ab, ohne dass etwa eine Einwilligung des Nutzers vorliegt, kann er gegen datenschutzrechtliche Vorschriften verstoßen. Auch, wenn eine Einzelfallabwägung vorgenommen werden muss, ist das Risiko relativ hoch, dass in diesem Fall eine unzulässige Speicherung von personenbezogenen Daten angenommen wird. Unternehmen sollten daher ihre Vorgehensweise in diesem Kontext auf den Prüfstand stellen. Dies gilt vor allem auch mit Blick auf die seit Mai 2018 geltende EU-Datenschutzgrundverordnung mit ihren verschärften Sanktionsmöglichkeiten bei Datenschutzverstößen.“
https://www.datenschutzexperte.de/dynamische-ip-adressen/