Der EuGH hatte sich im Urteil C 582/14 vom 19. Oktober 2016 erstmals eingehend mit der Frage zu befassen, ob dynamische IP-Adressen als personenbezogene Daten zu qualifizieren sind und somit dem Datenschutzrecht unterliegen.
IP-Adressen (Internetprotokoll-Adressen) sind Ziffernfolgen, die mit dem Internet verbundenen Computern zugewiesen werden, um deren Kommunikation im Internet zu ermöglichen. Beim Abruf einer Website wird die IP-Adresse des abrufenden Computers an den Server übermittelt, auf dem die abgerufene Website gespeichert ist. Dies ist erforderlich, um die abgerufenen Daten an den richtigen Empfänger übertragen zu können.
Das Vorabentscheidungsersuchen betraf konkret die Auslegung von Art. 2 Buchst. a und Art. 7 Buchst. f der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. 1995, L 281, S. 31).
Ausgangspunkt war ein Rechtsstreit zwischen Herrn Patrick Breyer und der Bundesrepublik Deutschland über die Aufzeichnung und Speicherung der IP-Adresse von Herrn Breyer während seines Zugriffs auf mehrere Websites von Einrichtungen des Bundes.
Herr Breyer rief mehrere Websites von Einrichtungen des Bundes ab. Auf diesen allgemein zugänglichen Websites stellen die genannten Einrichtungen aktuelle Informationen bereit. Um Cyber-Attacken abzuwehren und die strafrechtliche Verfolgung von Angreifern zu ermöglichen, werden bei den meisten dieser Websites alle Zugriffe in Protokolldateien festgehalten. Darin werden nach dem Abruf der Website der Name der abgerufenen Seite bzw. Datei, in Suchfelder eingegebene Begriffe, der Zeitpunkt des Abrufs, die übertragene Datenmenge, die Meldung, ob der Abruf erfolgreich war, und insbesondere auch die IP-Adresse des zugreifenden Computers gespeichert.
Der EuGH erklärt in seinem Urteil zunächst, dass in der Lehre eine Kontroverse hinsichtlich der Frage bestünde, ob für die Feststellung, ob eine Person bestimmbar sei, auf ein „objektives“ oder ein „relatives“ Kriterium abzustellen sei. Die Anwendung eines „objektiven“ Kriteriums hätte zur Folge, dass Daten wie die im Ausgangsverfahren in Rede stehenden IP-Adressen nach dem Abrufen der betreffenden Websites als personenbezogen angesehen werden könnten, selbst wenn ausschließlich ein Dritter in der Lage sei, die Identität des Betroffenen festzustellen. Dabei sei der Dritte im vorliegenden Fall der Internetzugangsanbieter von Herrn Breyer, der Zusatzdaten gespeichert habe, die die Identifizierung von Herrn Breyer anhand der IP-Adressen ermöglichten. Hingegen könnten nach einem „relativen“ Kriterium diese Daten für eine Stelle wie den Internetzugangsanbieter von Herrn Breyer zwar als personenbezogen angesehen werden, da sie die genaue Identifizierung des Nutzers ermöglichten, während sie für eine andere Stelle wie den Betreiber der von Herrn Breyer abgerufenen Websites aber keine personenbezogen seien, da dieser Betreiber – sofern Herr Breyer während des Abrufens dieser Websites keine Personalien angegeben habe – nicht über die Informationen verfüge, die erforderlich seien, um ihn ohne unverhältnismäßigen Aufwand zu identifizieren.
Entsprechend stellte sich der EuGH die Frage, ob Art. 2 Buchst. a der Richtlinie 95/46 dahin auszulegen ist, dass eine dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Website, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, für den Anbieter ein personenbezogenes Datum im Sinne der genannten Bestimmung darstellt, wenn nur ein Dritter – hier der Internetzugangsanbieter dieser Person – über die zu ihrer Identifizierung erforderlichen Zusatzinformationen verfüge.
Zu prüfen sei daher, ob die Möglichkeit, eine dynamische IP-Adresse mit den Zusatzinformationen zu verknüpfen, über die der Internetzugangsanbieter verfügt, ein Mittel darstelle, das vernünftigerweise zur Bestimmung der betreffenden Person eingesetzt werden könne.
Dies sei nicht der Fall, wenn die Identifizierung der betreffenden Person gesetzlich verboten oder praktisch nicht durchführbar wäre, z. B. weil sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskräften erfordern würde, so dass das Risiko einer Identifizierung de facto vernachlässigbar erschiene.
Vorliegend treffe dies jedoch nicht zu, gebe es offenbar für den Anbieter von Online-Mediendiensten rechtliche Möglichkeiten, die es ihm erlauben, sich insbesondere im Fall von Cyberattacken an die zuständige Behörde zu wenden, um die fraglichen Informationen vom Internetzugangsanbieter zu erlangen.
Gestützt auf diese Überlegungen entschied der EuGH, dass eine dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Website, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, für den Anbieter ein personenbezogenes Datum im Sinne der genannten Bestimmung darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die ein Dritter – vorliegend der Internetzugangsanbieter – verfügt, bestimmen zu lassen.
Situation in der Schweiz
Die rechtliche Qualifikation von dynamischen IP-Adressen ist in der Schweiz ähnlich. So hielt das Bundesgericht in seinem Logistep-Urteil vom 8. September 2010 fest, dass IP-Adressen jedenfalls dann Personendaten sind, wenn nach der allgemeinen Lebenserfahrung damit zu rechnen ist, dass der Aufwand für die Bestimmung der betroffenen Person auf sich genommen werden könnte. Insbesondere sei es im Falle der Weitergabe von Daten für deren Qualifikation als Personendaten ausreichend, wenn erst der Empfänger die betroffenen Personen zu identifizieren vermöge. Dass die Provider die zu den gesammelten IP-Adressen gehörigen Anschlüsse erst im Rahmen eines Strafverfahrens offenlegen müssen, tue der Qualifikation als Personendaten ebenfalls keinen Abbruch.
Urteil des EuGH C 582/14 vom 16. Oktober 2016
Richtlinie 95/46/EG
BGer 1C_285/2009 vom 8. September 2010