Handelt es sich bei IP-Adressen um personenbezogene Daten oder nicht? Darüber, was in Europa längst Konsens ist, gehen in den USA die Meinungen weit auseinander. Doch genau diese entscheidende Frage hat weitreichende Auswirkungen auf die Interpretation und Handhabung von transatlantischen Datenschutzstandards.
Eine IP-Adresse ist eine Adresse in Computernetzwerken, die auf dem Internetprotokoll (IP) basiert. Das Internetprotokoll ist das gängige Netzwerkprotokoll für das World Wide Web und stellt damit eine wesentliche Grundlage des Internets dar. IP-Adressen werden sämtlichen Geräten zugewiesen, die mit einem Netzwerk (z.B. dem Internet) verbunden sind. Mittels der IP-Adresse können Datenpakete versendet und einem eindeutigen Empfänger zugeordnet werden. Der IP-Adresse entspricht in der analogen Welt die Postanschrift.
IP-Adressen und Personenbezug
Im Jahr 2017 hatte der Bundesgerichtshof (BGH) nach Vorlage an den EuGH entschieden, dass IP-Adressen personenbezogene Daten sind, da es (abstrakt) möglich ist, den Inhaber des Internet-Anschlusses zu ermitteln und somit den Rückschluss auf eine konkrete Person herzustellen. Diese Sichtweise deckt sich mit den Bestimmungen gem. Art. 4, Nr. 1 der Datenschutz-Grundverordnung (DSGVO).
Da stets Informationen über IP-Adressen ausgetauscht werden, wenn im Internet Daten von einem Absender zu einem Empfänger gesendet werden, erhebt jeder Website-Betreiber permanent personenbezogene Daten, sobald ein Nutzer eine Website aufruft. Das gilt sowohl für statische als auch für dynamische IP-Adressen.
Datenschutz in den USA
Seit dem Inkrafttreten der DSGVO im Jahr 2018 gilt das Datenschutzrecht in Europa als weltweit führend. In den USA wurde dem Schutz von personenbezogenen Daten sowie dem Schutz der Privatsphäre des Einzelnen bislang wenig Priorität eingeräumt. In den USA existiert kein einheitliches Datenschutzrecht – vielmehr finden sich in einzelnen Gesetzen sporadische Regelungen zum Datenschutz. Am 1. Januar 2020 ist nun der „California Consumer Privacy Act“ (CCPA) in Kraft getreten, der Verbrauchern in Kalifornien erstmals ausdrücklich Rechte einräumt, die mit den Vorgaben der Art. 15 ff. DSGVO vergleichbar sind. Weitere Datenschutzgesetze werden nun auch in anderen US-Bundesstaaten auf den Weg gebracht.
Aufgrund der Tatsache, dass es in den USA bislang keine einheitlichen Regeln zum Datenschutz gibt, existiert auch keine allgemein gültige Definition zum Begriff „personenbezogene Daten“. Das hat zur Folge, dass einzelne Gesetze keinerlei Vorgaben machen, wie IP-Adressen zu behandeln sind. Über die Frage, ob und inwiefern es sich bei IP-Adressen um personenbezogene Daten handelt, wird hitzig debattiert.
Statische vs. dynamische IP-Adressen
Oft erfolgt die Abgrenzung anhand des Merkmals, ob es sich um statische oder dynamische IP-Adressen handelt. Statische IP-Adressen sind dadurch gekennzeichnet, dass sie nie geändert werden, auch wenn die Verbindung zwischen Netzwerk und Endgerät getrennt wird. Bei jeder neuen Verbindung wird immer wieder dieselbe IP-Adresse zugewiesen. Dynamische IP-Adressen werden hingegen bei jeder Netzwerkverbindung neu vergeben und sind somit nur für einen gewissen Zeitraum einem bestimmten Endgerät zugeordnet.
Die datenschutzrechtliche Unterscheidung zwischen statischen und dynamischen IP-Adressen wird u.a. damit begründet, dass es bei einer dynamischen IP-Adresse wegen der zeitlich begrenzten Zuweisung schwierig ist, einen konkreten Personenbezug herzustellen. Dies führt zur Ansicht, dass dynamische IP-Adressen keine personenbezogenen Daten sind. Alleine der Umstand, dass es technisch schwieriger ist, einen konkreten Personenbezug herzustellen, schließt aber nicht aus, dass man grundsätzlich einen Personenbezug herstellen kann. Insofern ist diese eher akademische Differenzierung nicht sehr überzeugend.
Einheitliche Beurteilung von CCPA und DSGVO
Der CCPA hat sich stark an den Vorgaben der DSGVO orientiert und räumt den Adressaten umfangreiche Rechte zum Schutz ihrer Privatsphäre ein. Dementsprechend geht auch der CCPA davon aus, dass IP-Adressen generell unter den Begriff der personenbezogenen Daten fallen. Aus datenschutzrechtlicher Sicht im internationalen Kontext ist diese Klassifizierung zu begrüßen. Denn hätte man den Personenbezug für IP-Adressen ganz oder teilweise negiert, wären datenschutzrechtliche Vorschriften diesbezüglich gar nicht anwendbar und hätten das Schutzniveau für diese Datenkategorie drastisch gesenkt. Darüber hinaus bestünde die Gefahr, dass derselbe Sachverhalt unterschiedlich bewertet wird, je nachdem, welches Regelwerk herangezogen wird.
Es wäre im Sinne von vereinfachten und verbesserten transatlantischen Beziehungen im Datenschutz, wenn sich in den USA hinsichtlich der rechtlichen Bewertung von IP-Adressen eine einheitliche Sichtweise durchsetzt.
Quelle: intersoft consulting services AG, Hamburg
Link: www.datenschutzbeauftragter-info.de/europa-vs-usa-sind-ip-adressen-personenbezogene-daten
22.05.2020
markus spiske 666905 unsplash