IP-Adresse als personenbezogenes Datum?

Wenn von Datenschutz gesprochen wird, geht es im Wesentlichen um den Schutz personenbezogener Daten von natürlichen Personen. Dieser Gedanke ergibt sich aus dem vom Bundesverfassungsgericht entwickelten Grundrecht auf informationelle Selbstbestimmung. Das Bundesdatenschutzgesetz schützt nicht nur bestimmte Personen, es reicht bereits aus, wenn eine Person durch bestimmte Angaben bestimmbar wird. Unproblematisch hat der Name einen Personenbezug. Ab wann durch eine Adresse ein Personenbezug hergestellt wird, wurde  in den letzten Jahren ausführlich diskutiert. Dabei ging es insbesondere um  die Frage, ob auch dynamische IP-Adressen, die jeweils nur für eine Sitzung  von einem mit dem Internet verbundenen Rechner generiert werden, als personenbezogenes Datum anzusehen sind. Für den jeweiligen Webseitenbetreiber ist nur eine bestimmte Nummer erkennbar.

Über diese Kennung kann jedoch der Internetzugangsanbieter eine Zuordnung zu einer bestimmten Person vornehmen. Es kommt also darauf an, ob darauf abstellt wird, dass irgend jemand einen Personenbezug herstellen kann oder der jeweilige Internetseiteninhaber selbst. Wird nur auf den Internetseiteninhaber selbst abgestellt, ist dieser dazu nicht in der Lage, insoweit wird vom relativen Personenbezug gesprochen. Geht man vom absoluten Personenbezug aus, reicht es also aus, wenn über den jeweiligen Internetzugangsbetreiber ermittelt werden kann, wer hinter der jeweiligen IP-Adresse als natürliche Person steckt. Zwar wurde dies nun in einem Urteil des Bundesgerichtshofs vom Mai 2017  beruhend auf der zugrunde liegenden Entscheidung des Europäischen Gerichtshofs bejaht. Der EuGH und der BGH gehen hier einen Mittelweg. Es kommt darauf an, ob der Internetseitenbetreiber über Mittel verfügt, dass er Kenntnis über die hinter der IP-Adresse stehende Person erhalten kann. Dies kann im Fall eines Cyber-Angriff mittels der strafrechtlichen Ermittlungsbehörden geschehen.

Demnach reicht es für die Bestimmbarkeit aus, wenn auch erst nach Einsatz durch die Ermittlungsbehörden eine bestimmte Person dem jeweiligen Internetseitenbetreiber bekannt wird. Jedenfalls ist danach auch über die dynamische IP-Adresse eine Person über Logfiles bestimmbar.  Daraus ergeben sich für den jeweiligen Webseitenbetreiber Konsequenzen, weil damit jeder Besuch eines Nutzers auf einer Homepage Seite aufgrund der IP-Adresse als personenbezogenes Datum damit unter den Datenschutz fällt.