Europa vs. USA – Sind IP-Adressen personenbezogene Daten?

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Europa vs. USA – Sind IP-Adressen personenbezogene Daten?

Europa vs. USA – Sind IP-Adressen personenbezogene Daten?

IP-Adressen sind personenbezogene Daten! Ganz klar – oder etwa nicht? Was in Europa Konsens sein dürfte, gilt noch lange nicht in den USA. Dort scheiden sich an diesem Begriff noch immer die Geister. Sein oder nicht sein, das ist hier die Frage. Wir haben uns einmal angeschaut, wie die Diskussion den Datenschutz beeinflusst.

Was sind IP-Adressen eigentlich?

Eine IP-Adresse ist eine Adresse in Computernetzwerken, welche auf dem Internetprotokoll (IP) basiert. Das Internetprotokoll selbst ist das mit Abstand gängigste Netzwerkprotokoll und stellt damit auch die Grundlage des Internets dar. IP-Adressen werden sämtlichen Geräten zugewiesen, welche mit einem Netzwerk, also z. B. dem Internet, verbunden sind. Mittels der IP-Adresse können Datenpakete versendet und einem eindeutigen Empfänger zugeordnet werden. In der analogen Welt wäre die Postadresse auf einem Briefumschlag das Gegenstück zur IP-Adresse.

IP-Adressen und Personenbezug

Die Frage, ob IP-Adressen personenbezogene Daten sind, ist so alt wie das Internet selbst. Im Jahr 2017 hatte der Bundesgerichtshof nach Vorlage an den EuGH entschieden, dass IP-Adressen personenbezogene Daten sind, da es (abstrakt) möglich sei, den Inhaber des Internetanschlusses zu ermitteln und somit den Rückschluss auf eine konkrete Person herzustellen. Dies deckt sich im Wesentlichen mit den Vorgaben der DSGVO. Gemäß Art. 4 Nr. 1 sind personenbezogene Daten

„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“

Da also stets Informationen über die IP-Adressen ausgetauscht werden, wenn Daten im Internet vom Absender zu ihrem Empfänger gesendet werden, erhebt also jeder Websitebetreiber permanent personenbezogene Daten, sobald der Nutzer eine Website aufruft. Das gilt sowohl für statische als auch für dynamische IP-Adressen.

Datenschutz in den USA

Das Datenschutzrecht in Europa gilt weltweit als führend. In den USA hingegen wurde der Schutz von personenbezogenen Daten sowie der Schutz der Privatsphäre des Einzelnen jahrelang eher stiefmütterlich behandelt. Facebook, Google & Co. lassen grüßen. In den USA existiert kein einheitliches Datenschutzrecht wie in Europa. Lediglich in einzelnen Gesetzen waren sporadische Regelungen zum Datenschutz zu finden. Seit dem 01.01.2020 ist nun aber der „California Consumer Privacy Act (CCPA)“ in Kraft getreten, welcher Verbrauchern im Bundesstaat Kalifornien erstmals ausdrücklich Rechte einräumt, welche vergleichbar mit den Vorgaben der Artt. 15 ff. DSGVO sind. Weitere Datenschutzgesetze in anderen Bundesstaaten sind geplant. In den USA scheint daher langsam ein Umdenken in Sachen Datenschutz einzusetzen.

Unterschiedliche Regelungen

Genauso wie es in den USA bislang keine einheitlichen Regeln zum Datenschutz gibt, so existiert auch keine allgemeine Definition zu dem Begriff der personenbezogenen Daten. Das hat zur Folge, dass einzelne Gesetze teilweise überhaupt keine Angaben machen, wie IP-Adressen zu behandeln sind. Die Frage, ob und inwiefern IP-Adressen personenbezogene Daten sind, war und ist in den USA  bereits seit Jahren Gegenstand einer hitzigen Debatte (ähnlich wie einst hierzulande).

Statische und dynamische IP-Adressen

Die Abgrenzung erfolgt dabei oft zwischen statischen und dynamischen IP-Adressen. Statische IP-Adressen kennzeichnen sich dadurch, dass sie nicht geändert werden, auch wenn die Verbindung zwischen Endgerät und Netzwerk getrennt wird. Bei jeder neuen Verbindung wird die gleiche IP-Adresse zugewiesen. Wohingegen IP-Adressen als dynamisch bezeichnet werden, wenn diese bei jeder Einwahl neu vergeben werden und somit nur für einen gewissen Zeitraum demselben Gerät zugeordnet sind.

Die (datenschutzrechtliche) Unterscheidung zwischen statischen und dynamischen IP-Adressen wurde vor allem damit begründet, dass es bei einer dynamischen IP-Adresse auf Grund der zeitlich begrenzten Zuweisung schwieriger sei, einen konkreten Personenbezug herzustellen. Daher wird die Ansicht vertreten, dass dynamische IP-Adressen keine personenbezogenen Daten sind. Der Umstand, dass es technisch schwieriger ist, den Personenbezug herzustellen, schließt aber nicht aus, dass man einen Personenbezug grundsätzlich herstellen kann. Diese Unterscheidung vermag daher nicht zu überzeugen. Dennoch hat auf diese Weise beispielsweise das US-Bundesgesetz „Children’s Online Privacy Protection Act“ (COPPA), welcher im Jahr 2013 in Kraft trat, IP-Adressen unterschiedlich eingestuft.

Was ist im CCPA geregelt?

Der CCPA hat sich hingegen stark an den Vorgaben der DSGVO orientiert und räumt seinen Adressaten umfangreiche Rechte zum Schutz der Privatsphäre ein. Dementsprechend geht auch der CCPA davon aus, dass IP-Adressen generell unter den Begriff der personenbezogenen Daten fallen. Der Weg dorthin war allerdings steinig. In den Gesetzesentwürfen für den CCPA wurde die Frage nach dem Personenbezug unterschiedlich beantwortet.

Die Einstufung als personenbezogenes Datum ist aus datenschutzrechtlicher Sicht zu begrüßen. Wenn man für IP-Adressen ganz oder teilweise den Personenbezug verneinen würde, wären datenschutzrechtliche Vorschriften diesbezüglich gar nicht anwendbar. Das würde das Schutzniveau für diese Art Daten drastisch senken. Darüber hinaus bestünde dann die Gefahr, dass derselbe Sachverhalt unterschiedlich bewertet werden könnte, je nachdem, welche Regelung man heranzieht.

Im Sinne der Einheitlichkeit

Es bleibt daher zu hoffen, dass sich in den USA auch bezüglich der rechtlichen Bewertung von IP-Adressen der Trend durchsetzt, diese einheitlich als personenbezogene Daten zu betrachten. Dies würde sicherlich die transatlantischen Beziehungen im Bereich des Datenschutzes vereinfachen und verbessern. Dass in den USA der generelle Wille vorhanden ist, hat sich in vergangenen Monaten schon gezeigt.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Europa vs. USA – Sind IP-Adressen personenbezogene Daten?.