Der EuGH hat ein Urteil zum Personenbezug für dynamische IP-Adressen gefällt. Diese sind dann ein personenbezogenes Datum, wenn der Webseiten-Anbieter über rechtliche Mittel verfügt, die ihm eine Bestimmung des Betroffenen mit den Zusatzinformationen des Internetproviders ermöglichen.
Dynamische IP-Adressen: Personenbezug ja, wenn…
Mit diesem Urteil (19.10.2016 – Az. C‑582/14) bejaht der EuGH keinen generellen Personenbezug dynamischer IP-Adressen. Ein Personenbezug liegt dann vor, wenn folgende zentrale Kriterien erfüllt sind.
Speicherung und rechtliche Mittel
Erstens: der Anbieter eines Onlinemedien-Dienstes (i.d.R. einer Webseite) speichert dynamische IP-Adressen der Nutzer (i.d.R. Besucher) zumindest temporär und dem Anbieter stehen rechtliche Mittel zur Bestimmung des Nutzers zur Verfügung. Hier stellt sich die Frage, wie es sich bei „tatsächlichen“ Mitteln (bspw. Hacking der Nutzerinformationen) verhält. Ebenso bleibt die Frage zu beantworten wie bei rechtlichen Mitteln zu verfahren ist, die der Anbieter rechtswidrig in Anspruch genommen hat, ergo ihm diese rechtlich eben nicht zustünden.
Rechtsanspruch auf Informationen des Internetzugangsanbieters
Zweitens: dem Anbieter müssen rechtliche Mittel zustehen, die es ihm erlauben in Kombination mit den Informationen eines Dritten (i.d.R. der Anbieter des Internetzugangs) den Nutzer zu bestimmen. D.h. der Anbieter benötigt normalerweise einen rechtlich durchsetzbaren Anspruch auf die Herausgabe der entsprechenden Daten, wie die Identifikation des temporären Inhabers der entsprechenden dynamischen IP-Adresse. Dies kann bei im Raum stehenden Urheberrechtsverletzungen der Fall sein.
Wirklich mehr Rechtssicherheit?
Entscheidende Aspekte bleiben dennoch unklar.
Das Urteil des EuGH wirft hier verschiedene Fragen auf: die Frage der rechtlichen Möglichkeiten, die eine verantwortliche Stelle hat, um eine IP-Adresse auf eine natürliche Person beziehen zu können, schaffen aus folgendem Grund eine nicht unerhebliche Rechtsunsicherheit. Wenn der Personenbezug der IP-Adresse davon abhängt, ob die verantwortliche Stelle einen rechtlichen Anspruch, z.B. aus dem Urheberrecht wegen illegaler Downloads, durchsetzen kann, hinge die Anwendung der Datenschutzgesetze von der rechtlichen Einschätzungsfähigkeit derselben ab. Dies kann nicht das gewünschte Ergebnis sein. Vielmehr ist wohl darauf abzustellen, ob es im jeweiligen rechtlichen Umfeld (Mitgliedsstaat) einen Rechtsbehelf gibt, der die Offenlegung der Identität eines IP-Adresseninhabers ermöglicht. Ist dies gegeben, so sind die IP-Adressen als personenbezogenes Datum zu behandeln.
Problemfeld Internetunternehmen bleibt
Völlig unberücksichtigt jedoch lässt das Urteil leider die Frage, wie Anbieter von Webservices mit gesammelten IP-Adressen umzugehen haben, die aufgrund ihrer angebotenen Services die IP-Adressen problemlos auf eine natürliche Person zurückführen können. Bei Diensten wie Amazon, Facebook oder Google+ ist die Rückführung auf eine natürliche Person durch die Verknüpfung mit anderen Daten wie Login-Protokollen oder Datendateien auf dem Rechner des Betroffenen (z.B. Cookies) in einer großen Zahl von Fällen möglich und wird so auch tagtäglich praktiziert. Behauptet nun einer dieser Dienste, die IP-Adressen hierzu nicht zu benutzen und rechtliche Mittel dazu stehen ihm auch nicht zur Verfügung, hätte das zur Folge, dass IP-Adressen in diesem Fall nicht als personenbezogene Daten gelten würden.
Auch im Hinblick auf die Datenschutzgrundverordnung (DSGVO) ist hier nicht mit wirklich neuen Erkenntnissen zu rechnen. Zwar sieht die DSGVO vor, dass „Online-Kennungen“ personenbezogene Daten sein können. Jedoch ist aufgrund des leider erhalten gebliebenen Kriteriums des Personenbezugs das hier oben skizzierte Problem damit nicht gelöst.