EU:Europäischer Datenschutzbeauftragter bewertet IP-Adressen als personenbezogene Daten

Die Frage des Personenbezuges von IP-Adressen ist schon lange umstritten (vgl. die Meldung auf dieser Seite vom 16. Oktober 2008). Nun äußerte sich am 06. November 2008 der Europäische Datenschutzbeauftragte Peter Hustinx mit Blick auf europarechtliche Regelungen zu dieser Frage. Bereits seit Einführung der Europäischen Datenschutzrichtlinie im Jahr 1995 ist fraglich, ob Unternehmen, die IP-Adressen erheben und verarbeiten durch diese Richtlinie gebunden sind. Hustinx erklärte, dass IP-Adressen generell als personenbezogene Daten behandelt werden sollten. Dies rühre daher, dass der Großteil der Tätigkeiten, für die IP-Adressen genutzt werden, diese Daten zu personenbezogenen Daten mache. Dies gelte bspw. im Bereich verhaltensbezogener Werbung (sog. Behavioural advertising) für die dort mit der IP-Adresse erhobenen Daten. Je präziser diese Daten seien, umso personenbezogener seien sie, und damit umso wertvoller. Für den Personenbezug sei es auch nicht erforderlich, dass die verarbeitende Stelle den Namen des Betroffenen kenne. Identifizierbar sei eine Person schon dann, wenn man sie unter anderen herausfinden könne. Dies sei über die IP-Adresse möglich. Daher sei auch die Europäische Datenschutzrichtlinie (Richtlinie 95/46/EG) anwendbar. Am 30. September 2008 erst hatte sich das Amtsgericht München (AG München, Urteil vom 30.09.2008 - 133 C 5677/08) zur Einordnung von dynamischen IP-Adressen geäußert, deren Einordnung als personenbezogene Daten abgelehnt und sich damit in direkten Widerspruch zu Entscheidungen des Amtsgerichtes Berlin-Mitte (AG Berlin-Mitte, Urteil vom 27.03.2007 - 5 C 314/06) und des Landgerichtes Berlin als Berufungsinstanz (LG Berlin, Urteil vom 06.09.2007 - 23 S 3/07) gesetzt. Hustinx erklärte, das Amtsgericht München habe die Voraussetzungen missverstanden. Eine Identifikation müsse nicht unbedingt nur auf Basis der IP-Adresse erfolgen. Wichtig sei nur, dass diese durch die verarbeitende Stelle oder einem Dritten mit vernünftigem Aufwand jemanden zugeordnet werden könne. Betroffenen Unternehmen kann daher auch weiterhin nur geraten werden, alle IP-Adressen soweit möglich als personenbezogene Daten zu behandeln.