Begründung zum Urteil «IP-Adressen sind Personendaten»

Übernommener Text

Dieser Artikel ist zuerst im Blog von kire.ch erschienen. Da es die Website nicht mehr gibt, der Artikel aber im Zusammenhang mit den Tätigkeiten der Digitalen Gesellschaft steht, wurde er hier ins «Archiv» übernommen.

Im Dezember noch wurde zum Bundesgerichtsurteil Logistep vs. Eidgenössischer Datenschutzbeauftragter die Begründung veröffentlicht. Diese ist besonders interessant, weil hier m.W. das Bundesgericht erstmals zum Thema IP-Adressen und Datenschutz Stellung nimmt. Von Swissblawg gibt es denn auch schon eine Einschätzung:

Der Begriff des Personendatums iSv DSG 3 lit. a setzt voraus, dass sich das Datum auf eine “bestimmte oder bestimmbare Person” bezieht. Hier ging es um die Bestimmbarkeit. IP-Adressen identifizieren einen an das Internet angeschlossenen Computer. Bei dynamischen IP-Adressen kann nur der Provider Auskunft über den betreffenden Anschluss geben. Das spielt für die Qualifikation indes keine Rolle; es genügt, wie das BGer hier im Anschluss an Rosenthal festhält, wenn die Anschlüsse für Logistep nach Übergabe der Daten durch den Provider erkennbar werden (E. 3.4).

Bemerkenswert ist auch die Tatsache, dass sich das Urteil auf EU-Recht und die Stellungnahme zum Begriff “personenbezogene Daten” bezieht:

Das unabhängige EU-Beratungsgremium für Datenschutzfragen stuft IP-Adressen als Daten ein, die sich auf eine bestimmbare Person beziehen. Internet-Zugangsanbieter und Verwalter von lokalen Netzwerken könnten ohne grossen Aufwand Internetnutzer identifizieren, denen sie IP-Adressen zugewiesen hätten, da sie in der Regel in Dateien systematisch Datum, Zeitpunkt, Dauer und die dem Internetnutzer zugeteilte dynamische IP-Adresse einfügen würden. Dasselbe lasse sich von den Internet-Dienstanbietern sagen, die in ihren HTTP-Servern Protokolle führen würden. In diesen Fällen bestehe kein Zweifel, dass man von personenbezogenen Daten im Sinne von Art. 2 lit. a der Richtlinie 95/46/EG [EU-Datenschutzrichtlinie] reden könne.

Der zitierte Abschnitt stammt aus dem Arbeitsdokument Privatsphäre im Internet – Ein integrierter EU-Ansatz zum Online-Datenschutz. Darin wird wiederum erklärend auf die Erwägungsgründe zur Richtlinie verwiesen. Diese hält in Punkt 26 fest:

Die Schutzprinzipien müssen für alle Informationen über eine bestimmte oder bestimmbare Person gelten. Bei der Entscheidung, ob eine Person bestimmbar ist, sollten alle Mittel berücksichtigt werden, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen.

Damit sind IP-Adressen in Server-Logfiles als Personendaten im Sinne des Datenschutzgesetzes anzusehen, die nur unter dessen Massgabe bearbeitet werden dürfen.