Unter der Abkür­zung IP ver­steckt sich das “Inter­net-Proto­koll”. Eine IP-Adresse ist im Grunde genom­men eine Binär­zahl, die ent­we­der aus 32 Stel­len (IPv4) oder 128 Stel­len (IPv6) besteht. Diese Binär­zahl wird unter der Herr­schaft von IPv4 in vier Oktet­ten dar­ge­stellt, getrennt durch einen Punkt: Zum Bei­spiel “192.168.10.1”. Bei IPv6 wird es eini­ges kom­pli­zier­ter. Die Nota­tion erkläre ich an die­ser Stelle nicht, das würde den Rah­men spren­gen. Wer sich inter­es­siert, dem sei zum Ein­stieg Wiki­pe­dia emp­foh­len und zur Ver­tie­fung die RFC 2460. Eine IPv6-Adresse wird hexa­de­zi­mal notiert und sieht z.B. beim local loo­p­back so aus: “0:0:0:0:0:0:0:1”.

Mit Hilfe die­ser IP-Adresse kön­nen Pakete von A nach B geschickt wer­den. Da IPv4-Adres­sen anzahl­mäs­sig beschränkt sind und lang­sam zur Neige gehen, wer­den sie im Pri­vat­be­reich dyna­misch ver­ge­ben. Das heisst, Sie erhal­ten von Ihrem Inter­net­pro­vi­der spo­ra­disch und unbe­merkt eine neue IP-Adresse, meis­tens auch dann, wenn Sie Ihr Modem vom Strom neh­men und wie­der anschlies­sen (wobei es heute ja eigent­lich keine Modems mehr sind). Mit IPv6 hät­ten Sie dage­gen grund­sätz­lich immer die­selbe gerä­te­spe­zi­fi­sche Adresse, wobei es gewisse Pri­va­cy­me­cha­nis­men in IPv6 gibt, die Ihnen Ihre Adresse etwas zer­wür­feln kann. Damit wäre es dann nicht immer wirk­lich die glei­che Adresse. IPv6 hat also das Poten­tial, dass man im Inter­net ein­deu­tig iden­ti­fi­ziert wird. Das liegt daran, dass sich die Adress­ge­ne­rie­rung unter IPv6 unter ande­rem an der MAC-Adresse ori­en­tiert, die jedem Netz­werk­in­ter­face ein­zig­ar­tig zuge­wie­sen wird (Spoo­fing ein­mal weggedacht).

Als ers­tes Fazit lässt sich also sagen: IPv4-Adres­sen sind im Ver­gleich zu IPv6-Adres­sen weni­ger wahr­schein­lich Per­so­nen­da­ten. Damit sind wir aber noch nicht viel weiter.

Was ist sind Per­so­nen­da­ten / was ist ein Per­so­nen­da­tum? Nach CH-DSG 3.a sind Per­so­nen­da­ten “alle Anga­ben, die sich auf eine bestimmte oder bestimm­bare Per­son bezie­hen”, nach EU-DSGVO 4.I ers­ter Teil­satz “alle Infor­ma­tio­nen, die sich auf eine iden­ti­fi­zierte oder iden­ti­fi­zier­bare natür­li­che Per­son […] bezie­hen”. Bei einer IP-Adresse haben wir es ver­mut­lich nie mit einer “bestimm­ten” Per­son zu tun. Es kommt also die Umschrei­bung “bestimm­bare” Per­son zum Zuge, oder wie es die EU aus­drückt, eine “iden­ti­fi­zier­bare”. Damit also eine IP-Adresse zum Per­so­nen­da­tum wird, müs­sen wei­tere Daten bei­gezo­gen wer­den. Den­ken Sie an einen Web­shop, der IP-Adres­sen bei Sei­ten­zu­grif­fen stan­dard­mäs­sig in seine Log­files schreibt. Mit der Kom­bi­na­ti­ons­mög­lich­keit der Daten aus dem Web­shop und den IP-Adres­sen aus den Log­files wird die IP-Adresse zu einem Daten­satz, der die dahin­ter­ste­hende Per­son bestimmbar/identifizierbar macht.

Da IPv6 eine ein­deu­tige und welt­weite Iden­ti­fi­zie­rung eher zulässt, als IPv4, muss man etwas wei­ter dif­fe­ren­zie­ren: Falls Ihr Smart­phone der­einst über eine IPv6-Adresse ver­fügt und die Pri­va­cy­me­cha­nis­men von IPv6 nicht nutzt, so ist Ihr Smart­phone und damit letzt­lich Sie selbst bestimm- resp. iden­ti­fi­zier­bar. Sobald öffent­lich bekannt ist, wel­che IPv6-Adresse Sie mit Ihrem Smart­phone benut­zen, lau­fen Sie mit einem Namens­schild im Inter­net herum.

Im Erwä­gungs­grund 30 zur DSGVO steht dazu:

¹Natür­li­chen Per­so­nen wer­den unter Umstän­den Online-Ken­nun­gen wie IP-Adres­sen und Coo­kie-Ken­nun­gen, die sein Gerät oder Soft­ware-Anwen­dun­gen und ‑Tools oder Pro­to­kolle lie­fern, oder sons­tige Ken­nun­gen wie Funk­fre­quenz­kenn­zeich­nun­gen zugeordnet.

²Dies kann Spu­ren hin­ter­las­sen, die ins­be­son­dere in Kom­bi­na­tion mit ein­deu­ti­gen Ken­nun­gen und ande­ren beim Ser­ver ein­ge­hen­den Infor­ma­tio­nen dazu benutzt wer­den kön­nen, um Pro­file der natür­li­chen Per­so­nen zu erstel­len und sie zu identifizieren.

Als zwei­tes Fazit lässt sich also sagen: Eine IP-Adresse für sich alleine ist bloss ein Adres­sie­rungs­ele­ment im Inter­net-Pro­to­koll. Mehr noch nicht. Erst die Kom­bi­na­tion mit ande­ren Daten lässt eine IP-Adresse zum Per­so­nen­da­tum werden.

In der Schweiz gab es im Jahr 2010 den sog. Logistep-Ent­scheid (ver­öf­fent­li­chert BGE 136 II 508, unver­öf­fent­lich­ter Ent­scheid 1C_285/2009) des Bun­des­ge­richts. Darin kam das Bun­des­ge­richt zum Schluss, dass es sich bei den von Logistep gesam­mel­ten IP-Adres­sen um Per­so­nen­da­ten im Sinne des Daten­schutz­ge­set­zes handle, da auf Grund des Geschäfts­mo­dells von Logistep die Bestimm­bar­keit der betref­fen­den Per­so­nen gege­ben gewe­sen sei. Kon­kret ging es darum, dass Logistep sys­te­ma­tisch P2P-Netze nach urhe­ber­recht­lich geschüt­zen Inhal­ten durch­fors­tete und unter ande­rem die IP-Adres­sen von Urher­ber­rechts­ver­let­zern spei­cherte. Die Urhe­ber­rechts­in­ha­ber stell­ten dann Straf­an­träge und lie­fer­ten den Straf­ver­fol­gern die IP-Adres­sen. In den Straf­ver­fah­ren wur­den dann die Inter­net­ser­vice­pro­vi­der (ISP) behörd­lich auf­ge­for­dert, die Namen der Anschlus­s­in­ha­ber zu edie­ren, die im ein­schlä­gi­gen Zeit­punkt die ermit­telte IP-Adresse benutz­ten. Die­ses vor­ge­hen bewirke, so das Bun­des­ge­richt, dass es sich bei den von Logistep ermit­tel­ten Daten um Per­so­nen­da­ten han­delte. Die Per­so­nen seien bestimm­bar gewesen.

Ich sehe das kri­tisch. Ers­tens haben die Urhe­ber­rechts­in­ha­ber mit gröss­ter Sicher­heit eine Anzeige gegen unbe­kannt gestellt. Das zeigt schon ein­mal auf, dass die IP-Adres­sen zu Beginn des Straf­ver­fah­rens noch keine Per­so­nen­da­ten waren. Es musste der Auf­wand betrie­ben wer­den, eine Straf­an­zeige ein­zu­rei­chen, danach musste die Staats­an­walt­schaft die Anschlus­s­in­haber­da­ten her­aus­ver­lan­gen. Der Auf­wand scheint mir als prak­ti­zie­ren­der Straf­recht­ler nicht allzu gering. Dazu kommt, dass Logistep die gesam­mel­ten Daten an die Urhe­ber­rechts­in­ha­ber wei­ter­gab und – soweit ersicht­lich – danach nicht mehr in das wei­tere Gesche­hen invol­viert war. Warum sol­len die IP-Adres­sen bei Logistep Per­so­nen­da­ten sein? Anders wäre die Fra­ge­stel­lung even­tu­ell, wenn man die IP-Adres­sen bei den Urhe­ber­rechts­in­ha­bern daten­schutz­recht­lich ein­zu­ord­nen hätte. Aber auch bei den Urhe­ber­rechts­in­ha­bern würde ich nicht davon aus­ge­hen, dass sie Per­so­nen­da­ten bear­bei­ten, weil die Bestimm­bar­keit noch nicht gege­ben ist.

Gegen mei­nen zuletzt genann­ten Ein­wand, dass die IP-Adres­sen bei Logistep ja keine Per­so­nen­da­ten sind und nicht gleich­zu­set­zen sind mit den Daten, die dann bei den Urhe­ber­rechts­in­ha­bern ent­ste­hen, fin­det sich im Urteil des Bun­des­ge­richts die Erwä­gung, “[v]ielmehr genügt es, wenn [die IP-Adres­sen] nach Über­gabe der ent­spre­chen­den Daten für die Urhe­ber­rech­te­inha­ber [zu Per­so­nen­da­ten] wer­den. Trifft dies zu (dazu sogleich), so gelangt das Daten­schutz­ge­setz indes­sen auch auf die Beschwer­de­geg­ne­rin selbst zur Anwen­dung. Anders zu ent­schei­den würde bedeu­ten, das Daten­schutz­ge­setz nur auf die ein­zel­nen Emp­fän­ger anzu­wen­den, nicht aber auf die Per­son, wel­che die betref­fen­den Daten beschafft und sie ver­brei­tet. Dies würde dem Zweck des Geset­zes zuwi­der­lau­fen.”. Das kann man so sehen oder auch nicht.

Inter­es­sant ist sodann die Frage nach der Bestimm­bar­keit selbst. Die DSGVO spricht von Iden­ti­fi­zier­bar­keit, das DSG von Bestimm­bar­keit, gemeint ist das­selbe. Das Bun­des­ge­richt hält zu die­ser Bestimm­bar­keit in E. 3.2 zwei­ter Absatz fest:

Bestimm­bar ist die Per­son, wenn auf­grund zusätz­li­cher Infor­ma­tio­nen auf sie geschlos­sen wer­den kann. Für die Bestimm­bar­keit genügt jedoch nicht jede theo­re­ti­sche Mög­lich­keit der Iden­ti­fi­zie­rung. Ist der Auf­wand der­art gross, dass nach der all­ge­mei­nen Lebens­er­fah­rung nicht damit gerech­net wer­den muss, dass ein Inter­es­sent die­sen auf sich neh­men wird, liegt keine Bestimm­bar­keit vor (BBl 1988 II 444 f. Ziff. 221.1). Die Frage ist abhän­gig vom kon­kre­ten Fall zu beant­wor­ten, wobei ins­be­son­dere auch die Mög­lich­kei­ten der Tech­nik mit­zu­be­rück­sich­ti­gen sind, so zum Bei­spiel die im Inter­net ver­füg­ba­ren Such­werk­zeuge. Von Bedeu­tung ist indes­sen nicht nur, wel­cher Auf­wand objek­tiv erfor­der­lich ist, um eine bestimmte Infor­ma­tion einer Per­son zuord­nen zu kön­nen, son­dern auch, wel­ches Inter­esse der Daten­be­ar­bei­ter oder ein Drit­ter an der Iden­ti­fi­zie­rung hat (BELSER, a.a.O., N. 6 zu Art. 3 DSG; ROSENTHAL, a.a.O., N. 24 f. zu Art. 3 DSG).

Den Ein­wand, nur auf­grund des Tätig­wer­dens der Straf­ver­fol­gungs­be­hör­den käme her­aus, wer die Inha­ber der ein­zel­nen IP-Adres­sen sind und des­halb lägen keine Per­so­nen­da­ten vor, liess das Bun­des­ge­richt nicht gel­ten. Mit die­sem Argu­ment würde ver­kannt, dass “die Not­wen­dig­keit des Tätig­wer­dens eines Drit­ten so lange unmass­geb­lich ist, als ins­ge­samt der Auf­wand des Auf­trag­ge­bers für die Bestim­mung der betrof­fe­nen Per­son nicht der­art gross ist, dass nach der all­ge­mei­nen Lebens­er­fah­rung nicht mehr damit gerech­net wer­den könnte, die­ser werde ihn auf sich neh­men.”

Die Grenze der Bestimm­bar­keit wird damit vom Bun­des­ge­richt auf den unbe­stimm­ten Rechts­be­griff der “all­ge­mei­nen Lebens­er­fah­rung” gelegt. Keine Per­so­nen­da­ten lie­gen vor, wenn der Auf­wand nach all­ge­mei­ner Lebens­er­fah­rung nicht auf sich genom­men wird, um die Per­son hin­ter der IP-Adresse zu bestim­men. Das lässt Raum für sehr viel Argumentationsspielraum.

Als drit­tes Fazit lässt sich also sagen: Je mehr Auf­wand betrie­ben wer­den muss, um die Per­son hin­ter einer IP-Adresse zu eru­ie­ren, je weni­ger muss man von Per­so­nen­da­ten aus­ge­hen. Ist der Zweck des Sam­melns von IP-Adres­sen aber gerade die Iden­ti­fi­ka­tion von Per­so­nen, so rückt der betrie­bene Auf­wand wie­der in den Hin­ter­grund. In sol­chen Fäl­len zieht das Bun­des­ge­richt dann den Sinn und Zweck des Daten­schut­zes gene­rell hinzu.

Für den “gewöhn­li­chen” Per­so­nen­da­ten­be­ar­bei­ter, der nicht wie Logistep detek­ti­visch unter­wegs ist, lässt sich sogleich als vier­tes Fazit sagen: IP-Adres­sen in Log­files von Ser­vern, die aus­schliess­lich Infor­ma­tio­nen anbie­ten und keine Benut­zer­da­ten speichern/gespeichert haben, sind keine Per­so­nen­da­ten. Sobald die Benut­zer des Ser­vers dage­gen ein Ange­bot nut­zen und auf dem Ser­ver Infor­ma­tio­nen über diese Benut­zer gespei­chert wer­den, lie­gen Per­so­nen­da­ten vor.

Kon­kret:

• Sie pfle­gen eine Inter­net­prä­senz z.B. als Visi­ten­karte und stel­len dem Benut­zer Infor­ma­tio­nen zu sich und Ihrem Ange­bot zur Ver­fü­gung. Die Benut­zer wer­den nicht getrackt oder sonst­wie aus­ge­wer­tet? Die IP-Adres­sen in Ihren Log­files sind keine Personendaten.
• Sie bie­ten einen Web­shop mit Benut­zer­ac­counts an? Die IP-Adres­sen in Ihren Log­files sind Personendaten.