Ist die IP-Adresse ein personenbezogenes Datum?

Warum oder für wen oder unter welchen Umständen ist die IP-Adresse des Besuchers einer Website ein personenbezogenes Datum?

Um mal im Sendung-mit-der-Maus-Modus zu spekulieren: Beim Aufruf einer Website geschieht Folgendes: Beim Server kommt eine Nachricht an: „Hier Haus 157! Bitte schick den Bauplan für die Website domain.tld an Haus 157.“ Daraufhin schickt der Server den Bauplan an Haus 157. Und weil am Haus 157 das Fenster offen ist, aus dem die Anforderung abgeschickt wurde, kann der Server den Bauplan dort ablegen.

So. Und nun die verwunderte Frage: Warum gilt die Information „Haus 157“ als personenbezogenes Datum?

Klar, der Server könnte beim Grundbuchamt anfragen, wem das Grundstück von Haus 157 gehört. Dort bekommt er aber keine Auskunft. Denn ein berechtigtes Interesse des Servers ist nicht ersichtlich. Beim Grundbuchamt könnte er erfahren, wem das Haus gehört, aber niemals, wer aus dem Haus 157 den Bauplan angefordert hat. Nur letzteres ist für den Server relevant.

Beim Einwohnermeldeamt bekommt der Server ebenfalls keine Auskunft, denn dort muss er den Namen der Person kennen und erfährt dann dessen Anschrift - aber nicht umgekehrt.

Klar, wenn binnen kürzester Zeit aus dem Haus 157 drölfzig Fantastialliarden Anfragen nach dem Bauplan der Website kommen, dann könnte man sich schon überlegen, dass der Server ein berechtigtes Interesse daran hat, den Eigentümer des Hauses zu fragen, wer in dem Haus 157 sein Unwesen treibt.

Aber selbst dann wäre die Information „Haus 157“ kein personenbezogenes Datum. Ein personenbezogenes Datum wäre, dass Person XY der Eigentümer von Haus 157 ist. Aber „Haus 157“ ist und bleibt die Anschrift eines Grundstücks.

Und die IP-Adresse ist nichts anderes als die „Anschrift“ eines Internetanschlusses.

So. Und darum nochmal: Warum gilt die IP-Adresse als personenbezogenes Datum?

Datenschutz wird in erster Linie vom Datenschutzrecht bestimmt.
IP-Adressen gelten als personenbezogene Daten im Sinne der DSGVO, weil dies in gerichtlichen Urteilen so festgelegt wurde
Weitere Infos zur Erläuterung z.B. hier:
https://dr-dsgvo.de/ip-adressen/

ein interessanter Artikel zum Thema „sind IP-Adressen ein personenbezogenes Datum“ gibt es hier https://www.cr-online.de/blog/2022/11/04/google-fonts-aufdringliche-abmahnungen/ von Christian Franz LLM (FranzOnBrands).

Er vertritt die Auffassung, dass IP-Adressen kein personenbezogenes Datum sind und begründet dies auch im Artikel.

Aber egal, wie plausibel diese Deduktion ist, entscheidend ist doch was dazu die DS-Aufsichtsbehörden bzw. die Gerichte dazu sagen …

Gruss
Christoph.

Das Spannende am Beitrag von Christian Franz ist ja gerade die Aussage, die Gerichte hätten nur abgepinselt, was die Prozessparteien sachlich falsch vorgetragen haben.

Ich muss zugeben der Schreibstil hat mich richtig aggressiv gemacht (und ist an ein paar weniger relevanten Stellen in meinen Augen falsch)

Aber zur Frage. Soweit meine Kenntnisse ( keine juristische Expertise) entsteht der Personenbezug im Kontext (darum dreht sich der ganze oben verlinkte Artikel).

Als abstraktes Beispiel.
In meiner (ganz normalen deutschen) Stadt erhebt irgendjemand eine Besucherliste, in die ausschließlich der Nachname eingetragen wird. Solange sich dort nur die Müllers und Meiers (gibt es zu 100ten hier) eintragen ist kein Personenbezug möglich. Sobald aber ich - ledig und alleinstehende mit meinem obskuren Nachnamen komme, ist der Nachname auf einmal ein personenbezogenes Datum, weil ich sofort identifiziert werden kann.

Ob für Google die IP-Adresse wirklich ein personenbezogenes Datum ist, kann nur Google selbst beantworten (ich tendiere hier aber im Gegensatz zu dem Verlinkten Artikel zu ja - vll für Google Fonts nicht unbedingt).

Die Wahrscheinlichkeit, dass die IP-Adresse ein personenbezogenes Datum ist steigt aber, wenn der Verarbeiter z.B. dein Internetprovider, deine Bank … ist, da hier nachweislich deine Identität ermittelt wurde.
Ob sie es dann faktisch ist, hängt dann auch noch von den Lebensumständen ab etc. pp.

Der Artikel ist im Ton ziemlich daneben, da tobt die Wut der Datensammel-Lobby. Im Ergebnis hat er allerdings, wenn seine Sachverhaltsbehauptungen stimmen, Recht und zwar nur aufgrund einer Behauptung: „Der Berufsbetroffene und sein Anwalt sind gewerblich unterwegs. Die benutzen einen Crawler.“ - und führen dadurch die Datenübermittlung selbst herbei.

[Nett ist die Charakterisierung des "normalen“ Internetnutzers:
„Der ruft arglos eine irgendwie inländisch aussehende Domain auf und wird … durch seinen Browser zum dolosen Werkzeug gegen sich selbst:“]

Zur IP-Adresse als personenbezogenes Datum kommt es nicht darauf an ob Google tatsächlich eine Zuordnung vornimmt, sondern dass eine Zuordnung mithilfe eigener (Login-) oder behördlicher Daten möglich ist. Da liegt der Autor zum Glück falsch.

Richtig. Die DSGVO gilt nicht nur für "direkt"personenbezogene Daten, sondern auch für „indirekt“ personenbeziehbare Daten, d.h. Informationen können durch gewisse Zuordnungen und Verknüpfungen einer bestimmten Person zugeordnet werden.

Aus technischer Sicht würde ich das Thema IP-Adresse auch etwas differenzierter sehen, z.B. Server-IP-Adressen in Unternehmen sind nicht personenbezogen

Das Spannende am Beitrag von Christian Franz ist ja gerade die Aussage, die Gerichte hätten nur abgepinselt, was die Prozessparteien sachlich falsch vorgetragen haben.

@Vatolin: Vor Gericht und auf hoher See…

Trotzdem ist die IP-Adresse kein personenbezogenes Datum. Denn 123.456.789.0 ist keine Information über einen Menschen. Die personenbeziehbare Information wäre, dass Mensch XY zu einem bestimmtem Zeitpunkt (erforderliches Zuordnungskriterium) Nutzer eines Internetanschlusses mit dieser Adresse war. Die IP-Adresse sagt nichts über den Menschen aus. Sie ist lediglich ein Zuordnungskriterium.

Grundsätzlich würde ich das nicht so apodiktisch formulieren. Immerhin gibt’s auf hoher See Kapitäne, und vor Gericht gibt’s Anwälte. Aber vor Gericht muss man auch noch mit der Justiz sowie mit dem Ende des Instanzenzugs rechnen. Das macht’s natürlich noch ein Stück gefährlicher.

Ja, da stimme ich Dir ja aus technischer Sicht grundsätzlich zu

Für mich ist eine IP-Adresse ein personenbezogenes Datum. Warum wird an folgendem Beispiel hoffentlich deutlich: Wie Google jemanden fast über das gesamte Internet verfolgen kann.

Aus dem in dem Beispiel beschriebenen Beispiel wird deutlich, dass - und darauf wies ich in meinem Eröffnungspost hin - es auf die Umstände des Einzelfalls ankommt, ob die IP-Adresse ein personenbezogenes Datum ist oder nicht. Es kommt nämlich darauf an, ob derjenige, der die IP-Adresse „erhebt“, diese IP-Adresse aufgrund ihm tatsächlich zugänglicher Zuordnungskriterien einem bestimmten Menschen zuordnen kann, oder ob er zumindest rechtlich die Möglichkeit hat, solche Zuordnungskriterien zu erlangen.

Im beschriebenen Beispiel besitzt Google Inc. das erforderliche Zuordnungskriterium selbst, nämlich die Information, wer Inhaber des Gmail-Kontos ist. Nur deshalb kann Google Inc. die IP-Adresse, von der aus auf das Gmail-Konto zugegriffen wird, dem Inhaber des Gmail-Kontos zuordnen.

Anschließend verwandelt die übermittelte IP-Adresse sich für Google Inc. in ein Zuordnungskriterium.

Und das steht sogar wortwörtlich so in dem verlinkten Beispiel:

„Ab diesem Moment hat Google folgende einfache Zuordnung: UserXY ist gerade mit der IP-Adresse »217.23.23.12« unterwegs.“

Solange wie der Inhaber des Gmail-Kontos (a) in sein Konto eingeloggt bleibt und dabei (b) die übermittelte IP-Adresse nutzt, kann Google Inc. über den Inhaber des Gmail-Kontos mittels des Zuordnungskriteriums IP-Adresse weitere Informationen erheben, die sich auf den Inhaber des Gmail-Kontos beziehen, z.B. welche Websites der Inhaber des Gmail-Kontos besucht. Dafür ist allerdings Voraussetzung, dass diese Websites die IP-Adressen ihrer Besucher an Google Inc. übermitteln. Darüber müssen die Betreiber der jeweiligen Websites im Geltungsbereich der DSGVO den Website-Besucher - hier also unseren Gmail-Inhaber - informieren.

Für den Betreiber einer Website, der über kein eigenes Zuordnungskriterium verfügt, also seinerseits z.B. nicht weiß, dass der Besucher mit der IP-Adresse 217.23.23.12 der Inhaber von Gmail-Konto UserXY ist, ist die IP-Adresse des Website-Besuchers nichts weiter als eine Information über einen Internetanschluss, von dem aus auf die Website zugegriffen wurde. Ein Personenbezug besteht nicht und kann für den Betreiber der Website mit legalen Mitteln auch nicht hergestellt werden.

Ergo: Die IP-Adresse ist kein personenbezogenes Datum.

Diesem Ergo schließe ich mich nur begrenzt an.

Wenn wir spitzfindig sein wollen, dann ist eine IP-Adresse kein personenbezogenes Datum, allerdings ein personenbeziehbares. Bedeutet: Über eine IP-Adresse kann die Zuordnung zu einer natürlichen Person mittelbar erfolgen.

Ohne auf die oben verlinkte Schreibe des Anwalts einzugehen: das EuGH hat in diesem Fall 2016 zu dynamischen IP-Adressen entschieden. Die Argumentation ist auch für die DS-GVO anwendbar. Es verweist übrigens auch auf ein Urteil aus 2011, bei dem ebenfalls IP-Adressen als personenbezogen behandelt werden.

Es geht auch darauf ein, dass die Person nicht direkt identifizierbar sein muss, es genügt auch eine indirekte Identifizierbarkeit, um Daten als personenbezogen einzustufen.

Zum Urteil ohne Paywall: https://curia.europa.eu/juris/document/document_print.jsf?mode=DOC&pageIndex=0&docid=184668&part=1&doclang=DE

Anmerkung: wir sprechen von IPs, die von Personen genutzt werden …

Zur Terminologie der DS-GVO bezüglich „personenbezogener Daten“: die deckt sich nicht mit dem üblichen sprachlichen Gebrauch. Sie ist in Art. 4 Nr. 1 festgelegt. Und damit sind auch Kennnummern etc. erfasst - egal ob ?123.456.789.0 oder eine Telefonnummer oder ähnliches.

Der Begriff ist so weit gewählt, damit über die Verordnung ein Schutz in verständlicher Sprache geregelt werden kann (naja, perfekt ist’s sicher nicht).

Es geht hier letztlich um eine Umsetzung zu Artikel 8 der Charta der Grundrechte der EU.

Zum Thema, ob nun jeder - wie etwa Google - aus Daten die Person ermitteln können muss: das ist nicht entscheidend für eine Einstufung als personenbezogenes Datum. Die alte (deutsche?) Diskussion hat sich mit der Definition in der DS-GVO erübrigt.

möchte ich die Textstelle (Art. 4 Nr. 1 DSGVO) zitieren, das dürfte hier einiges erhellen:

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;

»Informationen, die sich auf eine Person beziehen.« oder wie‘s im englischen Text schon etwas verständlicher heißt: »information relating to a person« – Eine Information ist – erst oder schon – ein personenbezogenes Datum, wenn es von dem für die Verarbeitung Verantwortlichen als Information über einen konkreten Menschen verarbeitet wird.

Nein - siehe dazu oben.

Dann hinge die Einordnung der IP-Adresse von der konkreten Verarbeitung beim Verarbeiter ab, einem Umstand, der nur vom Verarbeiter selbst überhaupt beurteilbar ist. Von extern ist das nie nachweisbar, der Verarbeiter kann behaupten: Wir machen das nicht - und das wars dann. Dann wäre die DSGVO ein zahnloser Tiger und das ist sie in der Auslegung der Gerichte eben nicht. Warum würdest Du das überhaupt wollen?

Dass dieser Rechtsanwalt das will, ist mir klar, der vertritt die Interessen der Datenverarbeiter - aber Du?

Simples Beispiel: Datenerhebung per Telefon über Schuhgrößen: Der Anrufer erfragt nur die Schuhgröße des Angerufen. Er notiert weder dessen Telefonnummer noch dessen Namen. Zweifelsohne ist die Schuhgröße für den Angerufenen ein personenbezogenes Datum zu seiner Person. Für den Anrufer aber hat die Schuhgröße keinerlei Personenbezug.

Warum ich mir darüber einen Kopf mache? Aus Interesse am Datenschutz.

In diesem Fall lässt sich auch auf keinerlei Art und Weise der Personenbezug wiederherstellen.
Bei einer IP schon…

Ich habe gerade mal etwas ausprobiert:

Mein Tablet hängt gerade via WLAN an meinem Smartphone, das den Hotspot darstellt. Beide Geräte haben dementsprechend nach außen dieselbe IP und denselben vom Netzbetreiber zugewiesenen Namen.

Es können also im Moment an beiden Geräten 2 Personen gleichzeitig im Web surfen, ohne dass für einen Beobachter von außen (auch Google) anhand der IP-Adresse differenziert, also eindeutiger Personenbezug hergestellt werden könnte. Strenggenommen kann auch Google lediglich die IP-Adresse verfolgen, nicht direkt einen Nutzer. Zumal, wenn womöglich sogar das Tethering-Smartphone im Beispiel nicht mal meins ist, sondern z.B. von einem Kollegen im Büro zur Verfügung gestellt wird, so dass ich und noch ein dritter Kollege ihre Tablets per WLAN anbinden können.

Und da der fiktive Dussel noch nicht einmal seinen Hotspot eingeschränkt hat, könnten noch weitere Personen vielleicht von vor dem Bürofenster draußen sich ebenfalls ins WLAN einklinken, von denen wir drei gar nichts wissen.

Wer hat nun - anhand der IP-Adresse - die KiPo-Fotos heruntergeladen?

Man braucht also, so sehe ich das, noch ein paar eindeutige Kennzeichen, um den Täter zu ermitteln. Browser-Fingerprint oder Ähnliches.