Ist die IP-Adresse ein personenbezogenes Datum?

Ich finde es interessant, wie sich aufgrund des verlinkten Artikels sich die Diskussion verschoben hat.

Mein Grundverständnis der DSGVO war/ist folgende:

Das Gesetz reguliert den Umgang mit Daten welche im Bezug auf Personen gespeichert und verarbeitet werden. Darüber hinaus gewährt es der Person verschiedenste Rechte (Einsicht, Korrektur, …)

Personenbezogene Daten sind Daten im Bezug auf eine Person, unabhängig davon, ob diese isolierte Information eine Identifikation der natürlichen Person ermöglicht.

Viele der besonders schützenswerten Daten können das nicht ermöglichen oder hat schon einmal jemand versucht eine Person ob ihrer sexuellen, politischen oder religiösen Orientierung zu identifizieren?

Somit ist in jedem Fall die IP-Adresse immer ein personenbezogens Datum, da es die IP-Adresse der natürlichen Person zu einem definierten Zeitpunkt ist.

Die Kernfrage - und da stellt der verlinkte Artikel die komplett falsche Frage - ist doch viel mehr, welche technischen und organisatorischen Maßnahmen wurden seitens des Verarbeiters ergriffen, dass eine Verarbeitung der Daten mit einer in dem Zusammenhang passenden Rechtsgrundlage erfolgt.

1 „Gefällt mir“

Eben. Und wenn derjenige, der die IP-Adresse kennt, weder tatsächlich noch rechtlich solche „Kennzeichen“ hat, die ihm die Zuordnung des Nutzers des Anschlusses mit der betreffenden IP-Adresse zu einem bestimmten Zeitpunkt ermöglichen, dann „erhebt“ er im Sinne der DSGVO kein personenbezogenes Datum, indem er die IP-Adresse erfasst und ggf. speichert. Er erhebt das Kennzeichen eines Internetanschlusses. Und selbst wenn er wissen würde, welcher Person der Internetanschluss zum betreffenden Zeitpunkt zugeordnet war, kann der Betreiber der Website, auf die von dieser IP-Adresse aus zugegriffen wurde, bestenfalls als personenbezogenes DAtum festhalten: „Vom Internetanschluss der Person XY wurd zum Zeitpunkt Z auf die Website zugegriffen.“ Über die Identität der Person, die tatsächlich den Browser bedient und die Website gesehen hat, weiß der Betreiber der Website nichts.

Ja. Und genau das ist nicht immer der Fall, wenn eine IP-Adresse an den Betreiber einer Website übermittelt wird. In den wenigsten Fällen wird die IP-Adresse beim Zugriff auf eine Website mit „Bezug“ auf eine konkret identifizierte oder identifizierbare Person gespeichert und verarbeitet. Denn - und das ist wichtig - für die „Identifizierbarkeit“ kommt es darauf an, ob die verantwortliche Person - also nicht irgendwer - tatsächlich oder rechtlich über die Möglichkeit verfügt, die IP-Adresse einer bestimmten Person zuzuordnen.

Und jetzt wird’s richtig spannend. Achtung! Es ist vorstellbar, dass eine IP-Adresse zunächst als reine Anschlusskennung ohne Personenbezug erfasst und gespeichert wurde. Zu einem späteren Zeitpunkt erfährt derjenige, der diese Anschlusskennung erfasst hat, dass diese IP-Adresse zu dem ebenfalls erfassten fraglichen Zeitpunkt der Person XY zugeordnet war. Wird die IP-Adresse dadurch nun nachträglich zum personenbezogenen Datum?

Ich meine Nein.

Die IP-Adresse bleibt eine Anschlusskennung. Personenbezogen ist die Information über XY, dass er Inhaber des Anschlusses ist , dem im fraglichen Zeitpunkt die betreffende IP-Adresse zugeordnet war. Wenn der Betreiber diese Information erlangt, ist das ein personenbezogenes Datum, über das er XY beauskunften muss. Ebenfalls beauskunften muss er nun, dass er über XY als weiteres personenbezogenes Datum die Information speichert, dass om Anschluss des XY zum Zeitpunkt Z auf seine Website zugegriffen wurde. Dabei ist die IP-Adresse das Zuordnungskriterium, mit dessen Hilfe der Betreiber der Website nun nachträglich über XY die Information erlangt hat, dass XY schon mal auf seiner Website war.

Egal, wie man es dreht und wendet, die IP-Adresse bleibt ein personenbezogenes/personenbeziehbares Datum.

1 „Gefällt mir“

Deswegen vergibt Google eine 16-stellige ID und betrachtet die IP nur als das, was sie ist: eine temporäre Netzwerk-Adresse.

Die Wortklauberei von vatolin führt zum Glück zu nichts. Gesetze sind nicht nach technischen Gesichtspunkten und technischem Vokabular, sondern mit juristischen Methoden auszulegen. Dabei ist nicht nur der Wortlaut, sondern auch der Zweck und die systematische Stellung des Gesetzes heranzuziehen. Schutzzweck der DSGVO ist es, die Datensammelei über Internetnutzer ohne deren Zustimmung zu verhindern bzw. offen zu legen (Mitteilungspflichten). Deshalb ist jedes Merkmal personenbezogen, dass einzeln oder mit anderen zusammen - eine Identifizierung herbeiführen kann. Ob der Verarbeiter das tatsächlich tut oder nicht, ist irrelevant. Auch ohne Abfrage bei den Behörden erhält man aus der IP ziemlich genau die geographische Lage und zusammen mit anderen Informationen (Fingerprint, Cookies) ist nicht nur der Anschluss sondern der Rechner identifiziert. Wenn Du es genau nimmst, sind auch Cookies und die meisten Fingerprinting-Parameter geräte- und nicht personenbezogen.

Dennoch sitzt vor dem Gerät immer eine Person und das ist normalerweise immer dieselbe. Das es auch mal ein Familienangehöriger sein kann, ist vom Schutzzweck der DSGVO umfasst. Und in Zeiten des mobilen Internets werden Anschlüsse und die dazugehörigen Geräte ohnehin immer nur von einer einzigen Person genutzt. Damit ist alles, was Anschluss/Geräte-bezogen ist, automatisch auch personenbezogen.

Deshalb sind die einschlägigen Gerichtsentscheidungen richtig. Sie sind auch verbindlich, so dass sich eigentlich die Diskussion darüber erübrigt.

Diese Entscheidungen in Zweifel zu ziehen ist aus Datenschutzsicht extrem schädlich und für mich nur verständlich, wenn man profiling betreiben oder erleichtern will.

1 „Gefällt mir“

Das stimmt so nicht. Die DSGVO verbietet nicht, Daten über Internetnutzer zu sammeln. Sie macht das Datensammeln auch nicht von der Zustimmung der Internetnutzer abhängig. Weitgehend richtig ist immerhin, dass die Datensammler offenlegen müssen, welche Daten sie sammeln sowie zu welchem Zweck sie das tun und auf welcher rechtlichen Grundlage.

Da fehlt ein wichtiges Detail, das nach den grundlegenden Breyer-Entscheidungen des EuGH sowie des BGH zwingend vorliegen muss: Der EuGH hat gesagt, die IP-Adresse *kann ein personenbezogenes Datum sein, wenn der Verantwortliche tatsächlich Zugriff auf ein weiteres Merkmal hat, mit dem der Personenbezug hergestellt werden kann, oder wenn der Verantwortliche rechtlich die Möglichkeit hat, auf ein solches Merkmal zuzugreifen. Und der BGH hat dann, einen hypothetischen Cyberangriff von Herrn Breyer auf den Betreiber der Website dazufabuliert, um zu dem Ergebnis zu gelangen, dass die IP-Adresse ein personenbezogenes Datum sei.

Das stimmt. Nicht relevant ist aber, ob der Verarbeiter es tatsächlich oder rechtlich könnte.

Alles gut und schön. Nur weiß der Betreiber der Website dann immer noch nicht, welcher konkrete Mensch das ist. Bestenfalls weiß er, dass es der selbe Mensch ist, der zwei Stunden zuvor im Restaurant gesessen hat und tags zuvor von A nach B gefahren ist. Aber dass dieser Mensch konkret XY ist, weiß er nicht - jedenfalls nicht zwingend.

Mach die Probe aufs Exempel: Wie soll denn - bitteschön - der Betreiber einer Website bei einem Datenschutzauskunftsverlangen von XY mitteilen können, welche IP-Adressen XY bei seinen jeweiligen Zugriffen auf die Website hatte? Allenfalls wenn XY dem Websitebetreiber zusätzlich mitteilt, welche IP-Adresse ihm wann zugeteilt war, kann der Betreiber der Website dem XY die Auskunft erteilen, wann er mit dieser IP-Adresse auf die Website zugegriffen hat. Nur auf diese Weise kann dann der Websitebetreiber weitere Zusammenhänge zwischen XY und weiteren Informationen herstellen. Aber »der Schuldige« ist dann XY, weil er dem Websitebetreiber den »Schlüssel« geliefert hat, der der Anschlusskennung ein Gesicht gibt.

Erstens können oberste Gerichte ihre Rechtsauffassung ändern. Das kommt häufiger vor, als man denkt. Zweitens finde ich es nicht schädlich, wenn der Anwendungsbereich eines Verbotsgesetz auf das absolut notwendige Maß beschränkt wird. Im Gegenteil.

Mal abgesehen davon, dass sich die Diskussion im Kriese dreht:

  1. Nenne doch bitte die Randnummer(n) des Urteils des EuGH, in dem die behauptete Einschränkung erfolgt.

  2. Und belege doch bitte ebenso, wo das BGH etwas dazufabuliert.

Rnrn. 45, 46.

Rn. 26

Das werde ich am besten in 2 Posts beantworten.

Zum BGH:

Zunächst passt die Randnummer 26 so nicht: dort stellt das BGH fest, dass die Beklagte = BRD über rechtliche Mittel, die vernünftigerweise eingesetzt werden können, um die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen.

Das bezieht sich letztlich auf Randnummer 19 und begründet speziell die Rn 25.

In anderen Worten: hier sagt der BGH, warum und wie das Urteil des EuGH anwendbar ist (das hat ja Einschränkungen).

.

Den Cyberangriff hat auch nicht der BGH oder der Breyer „dazufabuliert“, sondern der Seitenbetreiber, die BRD. Es ist einfach eine gängige Begründung nahezu aller Medienanbieter, wieso man IP-Adressen speichern müsse.

Und das findet man im Urteil des EuGH in der Randnummer 27:

Zum anderen sei nach Ansicht der Bundesrepublik Deutschland die Speicherung dieser Daten zur Gewährleistung und Aufrechterhaltung der Sicherheit und Funktionsfähigkeit der von ihr allgemein zugänglich gemachten Websites für Online-Mediendienste erforderlich, insbesondere um sogenannte „Denial-of-Service“-Cyberangriffe, mit denen die Funktionsfähigkeit dieser Websites durch gezieltes und koordiniertes Fluten einzelner Webserver mit einer Vielzahl von Anfragen lahm gelegt werden solle, zu erkennen und diese Angriffe zu bekämpfen.

.

Daher sehe ich „dazufabuliert“ als Fake.

Zum besseren Verständnis für Mitleser: Presseinfo zum Urteil gibt’s unter http://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&Datum=Aktuell&nr=78289&linked=pm
und der Link zum Urteil steht im Kopfbereich der Seite.

1 „Gefällt mir“

Es fand im konkret zu entscheidenden Fall schlicht kein DoS-Angriff statt. Von daher bestand rechtlich keinerlei Erfordernis – und damit keine rechtliche Erlaubnis – für »die Bee-äRR-Dee«, sich Kenntnis davon zu verschaffen, wem zum fraglichen Zeitpunkt die betreffende IP-Adresse zugeordnet war.

Wenn wir dem Rechtsstaat »Bee-äRR-Dee« als datenschutzrechtlich verantwortliche Person nicht zubilligen, dass er sich an Recht und Gesetz hält, dann können wir gleich zumachen. Dann brauchen wir auch keine DSGVO mehr.

Nach rechtsstaatlichen Maßstäben war die IP-Adresse von Herrn Breyer zum Zeitpunkt der Erhebung/Speicherung durch den Betreiber der Website kein personenbezogenes Datum, denn es bestand zu diesem Zeitpunkt für den Betreiber der Website keine legale Möglichkeit sich Kenntnis von der Identität der Person zu beschaffen, der die IP-Adresse zugeordnet war, von der aus auf die Website zugegriffen wurde. Dass ein Staat kraft Gewaltmonopols immer die Möglichkeit hat sich diese Kenntnis zu verschaffen, muss außer Betracht bleiben. Faktisch und rechtlich hatte die »Bee-äRR-Dee« zum Zeitpunkt des Zugriffs auf die Website keine Möglichkeit, Herrn Breyer zu identifizieren. Allein das aber ist entscheidend dafür, ob zum Zeitpunkt der Erhebung und Speicherung der IP-Adresse der Anwendungsbereich der DSGVO eröffnet ist.

Das europäische Recht läßt diese einschränkende Auslegung eines Personenbezugs nicht zu, das ist schlicht nur eine persönliche Sicht.

2 „Gefällt mir“

Das ist doch paradox.
Eine IP-Adresse muss überhaupt nicht einer Person „gehören“!

Sie kann (und wird vermutlich überwiegend, siehe IoT) einer technischen Einrichtung angehören, die gar nicht einer konkreten Person zuzuordnen ist und sich womöglich selbst einwählt.
Sie kann also auch von solchen durch Einwahl automatisch eingerichtet werden.
Diese Fragwürdigkeit bestand doch schon, seit es Internet-Cafés gab.

Das heißt, wenn die IP-Adresse erst durch die Identifizierung eines bezogenen Benutzers zu einer rechtlichen Bedeutung im Sinne der DSGVO wird, kann das, allein bei der Feststellung einer IP-Adresse (man sagt, allein für IPv6 voraus, daß es so viele geben wird, wie der Planet Quadratmeter hat), noch gar keine Relevanz haben.

Da beißt sich die „Katze“ selbst in den Schwanz:
Bedingungen, die erst entstehen, können doch nicht Abhängigkeiten in der Vergangenheit begründen!

1 „Gefällt mir“

Das Datenschutzrecht darf und muss immer vom für den Betroffenen ungünstigsten Fall ausgehen, nämlich dem, dass auch private oder geschäftliche natürliche Einzelpersonen als Anschlusshinhaber existieren.

Das zu verhindern, also den leichten und klaren Bezug zu verunmöglichen, ist nicht Aufgabe des Betroffenen, des Anschlussinhabers, sondern des Internetproviders bzw. der Datenkrake, die sich diese Tatsache zu kommerziellem und politischem Nutzen macht.
Wenn diese Instanzen es nicht tun oder nicht können, bleibt die IP ein bloßes Pseudonym einer konkreten natürlichen Person.

Es ist gut zu beobachten, dass sich dieses Wissen und diese Bewertung auch unter Juristen immer mehr durchsetzt: In der Vergangenheit hat man pseudotechnokratisch rumgemacht, weil man „diese IT-Technik“ für übermächtiges Zauberwerk hielt. Jetzt setzt sich langsam die Einsicht durch, dass es KEINE Rolle spielen kann, ob eine Datenkrake eine weitere Taste drücken muss, um aus ihrem Datenbrei und dem „anonymen“ Persönlichkeitsprofil eine konkrete Person zu ermitteln.

Trotzdem drei Argumente dagegen:

Falls der Mensch am Endgerät der Anschlussinhaber ist, muss der Dienstanbieter dem Menschen am Endgerät nicht mitteilen, dass bei dem Aufruf der Website, die IP-Adresse des Endgeräts erfasst wird, denn (1.) der Dienstanbieter ist nicht verpflichtet, dem Menchen am Endgerät zu erklären, wie das Internet funktioniert (ohne Übermittlung der IP-Adresse geht es nicht), sondern er ist (2.) nur verpflichtet, über den Zweck der Datenerfassung und seine weiteren Absichten in Bezug auf die erfassten Daten zu informieren; eine Verpflichtung zur Mitteilung der erfassten Daten besteht nicht; siehe Art. 13 Abs. 1 und 2 DSGVO. Und selbst wenn man meinen wollte, der Dienstanbieter müsse darüber informieren, welche Informationen er beim Aufruf der Website erfasst, muss er (3.) jedenfalls nicht Informationen mitteilen, über die der Mensch am Endgerät bereits verfügt; siehe Art. 13 Abs. 4 DSGVO.

Nichts anderes gilt, wenn der Mensch am Endgerät nicht seinen eigenen Internetanschluss nutzt. Dann ist wieder die Information, dass die IP-Adresse des Endgeräts erfasst wird „Erklärung wie das Internet funktioniert“. Und die IP-Adresse selbst, muss der Diensterbringer nicht an den Menschen am Endgerät beauskunften, denn das ist keine Information über den Menschen am Endgerät, sondern über das Endgerät.

Hallo,
vielleicht sollte man trennen zwischen der fraglos für die Verbindung notwendigen Benutzung der IP sowie der dafür in keiner Weise notwendigen Speicherung derselben nach Trennen der Verbindung. Und das bekommt man eben nur in den Griff, wenn man die IP als persönliche Daten begreift - sonst wäre die zeitlich unbegrenzte Speicherung und damit ein Tracking darüber nämlich gar nicht erfasst.
Du solltest mal daran denken, dass viele an einem PC sitzen, der eben nicht über eine täglich sich ändernde IP verfügt. Ich zum Beispiel.
Gruß
loderunner

1 „Gefällt mir“

Ich sage nur, wer die Erhebung persönlicher Daten aufgrund seiner Technik nicht ausschließt oder nicht ausschließen KANN, der unterfällt dem Datenschutzrecht mit seinen Regelungen.

Der Fußgänger am Straßenrand kann die Kfz-Kennzeichen (= eine Art zwingend nötige IP für den Straßenverkehr) in seinem Kopf speichern, kein Problem. Baut er aber Gerätschaften dafür auf, die die Kennzeichen fotografieren, lesen und speichern, gilt die DSGVO, WEIL er nicht ausschließen kann, das in mindestens einem Auto der Halter auch selbst am Steuer sitzt.

Zwecke beziehen sich IMMER auf konkrete Kategorien von Daten.
Die Datenkategorien selbst mitzuteilen, impliziert der Gesetzestext: Ich kann gar keine Zwecke mitteilen, wenn ich nicht die Datenkategorien benenne.

Es sei denn, ich nutze einfach alle Daten für alle Zwecke.
Dann muss ich halt das auch schreiben.
Das aber wäre ein Eigentor, nämlich illegal.

Der Nutzer soll wissen, welche Art von Daten vom Anbieter genutzt werden, nicht beispielsweise welche aktuelle IP er gerade hat.

Es wird niemals nur die IP übermittelt, sondern zumindest auch die Zeitpunkte, Namen und Art der Dateien auf die zuggegriffen wurde etc. etc. etc.
Typischerweise einmal eine ganze Menge mehr - und zwar gezielt und absichtlich veranlasst durch den Anbieter. Es werden oft mehrere Domains des Anbieters im Hintergrund mitaufgerufen („Partner, die uns helfen dein Interneterlebnis zu optimieren“ sülz, sülz …), die weitere Instrumente nutzen, um mehr über den Nutzer zu erfahren.

Darüber hat der Anbieter zu informieren.
Das geht denklogisch nicht, ohne dass er darüber informiert, dass zu dem (und anderen Zwecken) unter anderem die IP des Nutzers genutzt wird.

Ein weiterer Ansatz:
Da NIE die IP allein übermittelt wird, ist die Grundfrage schon seltsam gestellt.
Zudem wird immer hier oft so getan als ergäbe sich nicht der Personenbezug der IP für den Diensteanbieter durch „alles weitere“, nämlich seine Verhaltensdaten im zeitlichen Verlauf der Dienstenutzung.
KI kann aus bloßen Schattenrissen eines Nutzers schnell ein Persönlichkeitsprofil machen, das vom Klarnamen nur noch mit Aufwand überhaupt getrennt werden kann, nämlich indem man dem System aktiv sagt: Stell dich dumm! Lösche den längst erkannten Realnamen schnell wieder! Ersetze ihn durch eine ID-Nummer, so das wir behaupten können, wir wüssten nicht längst, dass mit 99%tiger Sicherheit ID07HZS833U93L5SS1 der

Gregor Doe, geb. in Rüsselsheim am 13.12.1978, wohnhaft in x, Arbeitgeber AG, Einkommen 67.234 €/Jahr ist.
45.882.223.941 Dateien in 0.00003001 Sekunden!
(…): Martina Doe, Email 2024-01-04 an Mandy Cooljohn „Gregor hat schon wieder Probleme einen vorzeitigen Samenerguss zu verhindern. Schiebt das darauf, dass Coras Schwester ihn so angemacht hätte. Ich denke an Trennung.“

Die Datenkraken wissen NICHT nur das, was du ihnen mitgeteilt hast, sondern auch, was Dritte hinter deinem Rücken über dich kommunzieren. Das ist supergeil als Kompromat. (Dass dort immer noch, nach Snowdens Leistung 2013, genüsslich Kompromat als russische Erfindung dargestellt wird, wird jeden, der dieses hier kennt, schmunzeln lassen.)
Gib bitte den Gedanken auf, noch eine verantwortungsvolle Position in unserer Demokratie/Wirtschaft/Sozialleben einzunehmen! Deine Kontakte werden sich sonst Jahrzehnte über deinen vorauseilenden Gehorsam gegenüber den Überwachern wundern!

Doch. Das heißt nur, dass wenn du mit Daten umgehst, du die DSGVO auch beachten musst, wenn die Bedingungen eintreten oder auf der Hand liege - wie hier.
Der Vergleich mit dem Kennzeichen oder anderen Pseudonymen ist nun wirklich naheliegend.

Und im Übrigen: Die EuGH-Entscheidung sagt nicht, dass NUR DANN eine IP ein personenbezogenes Datum ist, wenn mit es einen „Rechtsweg“ zur Identität des Nutzers gibt, sondern JEDENFALLS dann, wenn das so ist.

Ich bin auch anderer Meinunga als Vatolin, wenn er meint, das Urteil müsse so verstanden werden, dass der Personenbezug eine IP durch den EuGH NUR DANN gegeben sei, wenn auch die Voraussetzungen für den legalen Einsatz der „rechtlichen Mittel“ gegeben sei.
Ich meine vielmehr, dass der EuGH meint, dass immer dann, wenn es diesen „Rechtsweg“ gäbe, lägen (!) die rechtlichen Voraussetzungen in concreto vor, der Personenbezug sogar einer nackten IP klar gegeben sei.

Ein interessanter Gedanke …

… verstehe. Allerdings finde ich …

… über Meinungen, also: Gemeintes, Rechte abzuleiten, gerade in der Juristerei sehr schwierig.
Wo, wenn nicht gerade da, kommt es explizit auf den (die) „Buchstaben des Gesetzes“ an?
Ist nicht, die Philosophie, was der Autor eines Ausdruckes gemeint haben könnte, schon eine Unterstellung? Ist es nicht infolgedessen leicht infrage zu stellen?

Die IT und damit auch das Datenschutzrecht entwickelt sich sehr dynamisch. Das ist schlecht für die Rechtssicherheit, aber insgesamt leider wichtig und richtig.

Ich sage ja auch nicht, was Recht IST, sondern was ich meine, was der EuGH gemeint hat. Eine Falschinterpretation ist schnell in der Welt, hier begünstigt durch die typische IT-Ferne der meisten Juristen, sowohl der Richter als auch der Anwälte.

Für Techniker/Informatiker mag auch das befremdlich sein, dass die Juristen gar kein Problem haben, fragwürdige, schnell überholte Urteile zu fällen, denn sie wollen (und dürfen) immer nur EINEN KONKRETEN Fall entscheiden. Wenn DER gut gelöst ist, ist das Ziel erreicht.
Ob man wirklich sinnvolle Leitsätze für die Zukunft daraus ableiten kann, ist zweitrangig.
Und, Vorteil der Juristensicht, die soziale Realität ist eben nicht digital sondern analog. Das Urteil muss nicht in Software umsetzbar sein, sondern sozial wirken.

1 „Gefällt mir“