In seinem Urteil vom 19.10.2016 (wir berichteten) musste sich der EuGH in einem Vorabentscheidungsverfahren auf Ersuchen des BGH mit der Frage auseinandersetzen, ob die dynamische IP-Adresse eines Nutzers für den Betreiber der Webseite ein personenbezogenes Datum darstellt. Aus datenschutzrechtlicher Sicht eine äußerst relevante Frage, da die strengen Anforderungen des BDSG nur für personenbezogene Daten gelten.
Umso mehr irritierte zunächst das Urteil: Nach Ansicht des EuGH sei eine IP-Adresse nur personenbezogen, wenn der Anbieter eines Telemediendienstes wie einer Webseite den Inhaber der Internetkennung identifizieren könne. Es bestünden “…für den Anbieter von Online-Mediendiensten rechtliche Möglichkeiten, die es ihm erlauben, sich insbesondere im Fall von Cyberattacken an die zuständige Behörde zu wenden, um die fraglichen Informationen vom Internetzugangsanbieter zu erlangen und die Strafverfolgung einzuleiten.” Dies wurde vielfach so verstanden, dass der Anbieter der Webseite die jeweiligen Informationen von den Behörden selbst erlangen müsste, um dann die Strafverfolgung einzuleiten.
Diese Unklarheit wurde nun auf Antrag des Klägeranwalts vom EuGH berichtigt: „…für den Anbieter von Online-Mediendiensten [bestehen] rechtliche Möglichkeiten, die es ihm erlauben, sich insbesondere im Fall von Cyberattacken an die zuständige Behörde zu wenden, damit diese die nötigen Schritte unternimmt um die fraglichen Informationen vom Internetzugangsanbieter zu erlangen und die Strafverfolgung einzuleiten.” Es genügt damit nach Ansicht des EuGH für die Qualifizierung einer dynamischen IP-Adresse als personenbezogenes Datum, dass nur die Strafverfolgungsbehörden die IP-Adresse zuordnen können und nicht schon der Betreiber einer Webseite selbst.
Ob anhand dieses vom EuGH vorgegebenen Maßstabs eine dynamische IP-Adresse in Deutschland zu den personenbezogenen Daten zu zählen ist, muss nun der BGH als die vorlegende Instanz selbst prüfen.