Nach dem Europäischen Gerichtshof können dynamische IP-Adressen für Webseitenbetreiber personenbezogene Daten darstellen und damit unter den Datenschutz fallen (EuGH, Urt. v. 19.10.2016 – C-582/14).

Anbieter von Internetzugängen vergeben IP-Adressen „dynamisch“ immer wieder neu an Nutzer. Die IP-Adresse wird zur Kommunikation zwischen Nutzern und Webseiten verwendet. Webseitenbetreiber erfahren daher IP-Adressen, können diese ohne zusätzliche Informationen über ihre „dynamische“ Vergabe aber keinem bestimmten Nutzer zuordnen.

Die Datenschutzvorschriften gelten nur für Daten, die einer zumindest bestimmbaren Person zugeordnet werden können. Der EuGH stellt fest, dass für die Bestimmbarkeit einer Person nicht nur Informationen bei der jeweiligen Stelle selbst (etwa Webseitenbetreiber) maßgeblich sind: Vielmehr sind auch solche Zusatzinformationen heranzuziehen, die diese Stelle von einem bestimmten Dritten rechtmäßig erhalten kann. Deutsches Recht gestattet unter bestimmten Voraussetzungen die Weitergabe von Informationen über dynamisch vergebene IP-Adressen durch den Zugangsanbieter an den Webseitenbetreiber. Daher stellen gemäß EuGH auch dynamische IP-Adressen für den Webseitenbetreiber personenbezogene Daten dar und fallen unter den Datenschutz.

Der EuGH urteilt damit über eine umstrittene Grundfrage des Datenschutzes: Welche Zusatzinformationen bei Dritten sind dafür heranzuziehen, ob sich Informationen auf eine natürliche Person beziehen? Dafür sind alle Zusatzinformationen relevant, die von einem bestimmten Dritten rechtmäßig erlangt werden können, wenn auch nur unter bestimmten Voraussetzungen.

Daneben urteilt der EuGH über die Regelung des § 15 Telemediengesetz, der nach Ende des konkreten Nutzungsvorgangs zur Löschung der Nutzungsdaten verpflichtet, außer sie werden für Abrechnungszwecke benötigt. Dies verstößt gegen EU-Recht: Die europäische Richtlinie (95/46/EG) gestattet eine Verwendung von Nutzungsdaten auch zur Aufrechterhaltung der Funktionsfähigkeit allgemein zugänglichen Webseiten durch deren Anbieter.

Fazit: Vom Datenschutz erfasste personenbezogen Daten liegen auch vor, wenn die jeweilige Stelle nur dann auf eine bestimmte Person schließen kann, wenn rechtmäßig bei einem bestimmten Dritten zu erlangende Zusatzinformationen verwendet werden. Für die Bestimmbarkeit einer natürlichen Person sind einerseits nicht nur bei der Stelle selbst vorhandene Daten maßgeblich. Andererseits, sind dafür nur solche Zusatzinformationen bei bestimmten Dritten zu berücksichtigen, die rechtmäßig an die jeweilige Stelle übermittelt werden können.