IITR Datenschutz Blog

Ist die IP-Adresse personenbezogen? (Update)

25.02.2008

Seit Jahren wird darüber gestritten, bis heute gibt es einige, die es ablehnen – so der Gola/Schomerus-Kommentar zum BDSG: Ist die IP des Benutzers im Internet ein personenbezogenes Datum oder nicht? Früher verbreitet war die Auffassung, bei der IP würde es sich um ein Datum mit “relativem” Personenbezug handeln – für die einen Anbieter soll es somit ein personenbezogenes Datum sein, für die anderen nicht.

Aktueller Hinweis – hier finden Sie zu dem Thema weitere Informationen:

Zunehmen aber setzt sich die Auffassug durch, dass es sich um ein personenbezogenes Datum handelt und der Begriff der “relativität” fehlerhaft ist. Nun haben auch die Datenschützer auf EU-Ebene gefordert, dies anzuerkennen, dazu der Bundesbeauftragte für den Datenschutz Peter Schaar:

“In diesem Zeitalter zu sagen, IP-Adressen sind nicht personenbezogen, das ist nicht möglich”

Ich selber vertrete seit langem die Ansicht, dass eine IP-Adresse personenbezogen ist und sich eine “Relativierung” des Begriffs -in Abhängigkeit von demjenigen der die Daten erhebt- schlicht verbietet. Neben diesem Streit ist die Tendenz hin zum unstrittig personenbezogenen Datum längst absehbar, verarbeitende Stellen sollten sich also nicht auf eine auslaufende Ansicht verlassen und anfangen, sich vorzubereiten. Speziell der datenhungrige Staat, der zunehmend beginnt auf Daten bei Unternehmen zuzugreifen (man denke nur an den Zugriff der Landesrundfunkanstalten auf Kundensätze), ist Grund für beide Seiten – Verarbeitende Stelle und Betroffener – das Merkmal restriktiv auszulegen und nur ein Minimum an Daten zu erheben bzw. zu speichern.

Dabei darf man in der Diskussion nicht verwechseln, dass ein “personenbezogenes Datum” nicht unbedingt ein “nutzerbezogenes Datum” sein muss. Es reicht, wenn irgendeine Person durch das Datum identifiziert wird, ob dahinter der aktuelle Nutzer steht ist zweitrangig. Das Argument ist klar: Wenn durch den personenbezug irgendwelche Sanktionen stattfinden, richten die sich primär gegen die identifizierte Person – erstmal unabhängig ob rechtmössig oder nicht. Hier gilt es zu schützen.

Update: Nach den ersten Urteilen sind sich nun auch die Datenschützer einig. Wie Heise berichtet, hat die so genannten “Artikel 29 Gruppe” eindeutig festgehalten dass Netzkennungen personenbezogene Daten darstellen.

Hinweis: Einen Artikel zum Anonymisieen von PHP-Software und Webserver-Logfiles finden Sie hier.

Beitrag teilen:

14 Kommentare zu diesem Beitrag:

mario

Die IP adresse sagt sehr viel über den Nutzer aus, alleine das macht sie schon personenbezogen.

Siehe auch hier:

IP Adresse lokalisieren

Wie ich oben angerissen habe ist es leider nicht so einfach, auch wenn die Ansicht, dass es ein personenbezogenes Datum ist, sich allählich durchsetzt.

Wer aber, so wie ich, der Meinung ist die IP ist personenbezogen, muss sich einem Problem stellen: So hat der User dessen personenbezogene Daten gespeichert werden u.U. einen Löschungsanspruch nach BDSG und TMG. Wenn aber der User nun einen Webmaster anschreibt, damit dieser seine erfassten IPs aus den Logfiles löscht, ergibt sich das Problem, dass der Webmaster die IPs dem User ja nicht zuordnen kann. Er kann wenn, dann nur alle IPs in seinen Logfiles löschen - was auch nicht Sinn der Sache ist.

Dieses Problem gilt es (neben ein zwei anderen mit praktischer Relevanz) erst noch vernünftig zu lösen.

Frank

Ich sage eine IP ist nicht personenbezogen. Hätte "mario" in seinem Link alles gelesen, hätte er es verstanden. Zitat:" An IP address (Internet Protocol Address) is a logical address of a network adapter. The IP address is unique and identifies computers on a network", Ziat Ende.
Die IP ist also "Computerbezogen" und kann sich maximal auf den Anschlussinhaber beziehen, aber nicht jedoch auf eine einzelne Person. Schulen, Firmen, Unis usw. mit mehreren Rechnern in einem internen Netzwerk haben eine gemeinsame Wan-IP. Auf welche Person will man sich dann beziehen. Firmenchef, Schuldirektor oder den Hausmeister?. Schwierige Sache also, einfach zu sagen "Du warst an dem Datum mit dieser IP im Internet".
Noch interessanter wird es bei mobilen Geräten, bei denen sich Teilweise im Sekundentakt die IP ändert. Beispiel Mobiltelefon: Bei jedem versenden einer mms bekommt man eine IP, kurz nach dem Wetter in Frankfurt geschaut->neue IP.Die IP welche ich gerade hatte um eine mms zu senden, hat im nächsten Moment schon ein anderer.Da sich die "Zeitstempel" immer auf die Uhrzeit des Servers beziehen, welcher den Zeitstempel anlegt, kann sich daraus schon eine Verschiebung von ein paar Sekunden ergeben, da nicht alle Comuter im WWW zeitsynchron sind.
Wer war also am 13.02.08 um 22.49.09 Uhr mit der IP 91.66.207.222 auf der Seite www.datenschutzbeauftragter-online.de .

mit freundlich Grüßen
Frank

Siehst du, da kann ich widersprechen: Du sagt selber, dass eine IP einem Anschluss zugeordnet werden kann. In Zeiten der Vorratsdatenspeicherung ist dem zu widersprechen auch ziemlich schwierig. Und ein Anschluss kann auch einem Anschlussinhaber zugeordnet werden. Ob der Anschlussinhaber auch der Nutzer ist, ist egal, da es um ein personenbezogenes Datum geht und gerade nicht um ein nutzerbezogenes Datum. Die Vergangenheit hat bereits merhfach gezeigt, dass unser Ermittlungsstatt auch dankbar für jeden Verdachtsmoment ist, insofern wird dann notfalls "mit aller Härte" gegen den Anschlussinhaber vorgegangen. Und wenn es ein ungesichertes WLAN war.

Die Sache mit den Zeitstempeln ist eine gute Idee, das merke ich mir - kann aber nicht helfen, da derjenige dessen IP gespeichert wird, eben dies ja nicht erkennt und damit dem Zufall des laufenden Servers ausgesetzt ist.

Dein Argument, wie schnell Fehler passiern können, sollte dir zeigen, wie schnell jemandem fälschlicherweise eine IP zugeordnet wird, die er gar nicht innehatte. Dies ist am Ende nur ein Grund mehr, die IP gesondert zu schützen - nicht ein Grund weniger.

Es bleibt am Ende ein faktisches Problem: Wenn die IP nicht personenbezogen ist, warum gibt es dann eine Vorratsdatenspeicherung - die wäre schlicht unsinnig, wenn die IP nicht personenbezogen wäre. Genauso wird jeder, der eine Abmahnung erhält weil mit seiner IP Musikstücke getauscht werden, ein Verständnisproblem haben, warum die IP nicht personenbezogen sein soll: Ganz offensichtlich wird ein Bezug zwischen IP und einer Person hergestellt und ganz offensichtlich gibt es bereits ein finanziell lohnendes Geschäft in dem Bereich für manche.

Solange die IP definitv Personen zugeordnet wird und solange die ganz eindeutig Sanktionen dadurch erhalten, ist die ganze Diskussion für mich eine Phantomdiskussion.

Martin

Es soll auch große Provider geben, die IP-Adressen gleichzeitig mehrfach vergeben.

Das kam wohl mal eher zufällig raus, als sich zwei befreundete Internetnutzer gegenseitig helfen wollten und dann darüber stolperten, weil sie die gleiche IP hatten (in der gleichen Region!).
Einmal abmelden und neu beim Provider enwählen - und alles klappte.

Das soll auch kein bedauerlicher Einzelfall gewesen sein, sondern war und ist alltägliche Praxis.

Hi,

das ist technisch unmöglich und durch das IPv4 sowie IPv6 Protokoll ausgeschlossen. Die gleiche IP ist nicht möglich, sehr wohl aber kann man natürlich durch eine Proxy mehreren scheinbar die gleich IP geben, am ENde hat aber jeder trotzdem eine eigene. Es wird halt nur zentral über den proxy zugegriffen, wahrscheinlich war dies in deinem Fall das zugrunde liegende Ereignis. Anonymizer.com z.B: arbeitet nach diesem Prinzip - am Ende steht dahinter aber trotzdem immer eine eindeutige IP, sie ist nur schwieriger aufzulösen.

Kommentar schreiben:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

https://www.iitr.de/blog/wp-content/uploads/2020/10/chatbot-load.png https://www.iitr.de/blog/wp-content/uploads/2020/10/loading.gif