Sind dynamische IP-Adressen Personendaten? Für den EDÖB (Auswertungstools für Webseiten) ja:
Aus datenschutzrechtlicher Sicht sind viele der bekannten Webtracking-Dienste problematisch. Durch eine Analyse der Internetnutzung werden unter Umständen Persönlichkeitsprofile im Sinne des Datenschutzgesetzes beschafft. Auch wenn lediglich die IP-Adresse eines Nutzers bearbeitet wird, ist dies datenschutzrechtlich relevant, da die IP-Adresse grundsätzlich als Personendatum zu qualifizieren ist.
Das Bundesgericht (i.S. Logistep) vertritt dagegen einen relativen Ansatz: Für die Bestimmbarkeit ist auf die Möglichkeiten und Interessen des jeweiligen Inhabers (bzw. Empfängers) der Daten abzustellen.
3.4 Ob eine Information aufgrund zusätzlicher Angaben mit einer Person in Verbindung gebracht werden kann, sich die Information mithin auf eine bestimmbare Person bezieht (Art. 3 lit. a DSG), beurteilt sich aus der Sicht des jeweiligen Inhabers der Information (ROSENTHAL, a.a.O., N. 20 zu Art. 3 DSG; WEBER/FERCSIK SCHNYDER, a.a.O., S. 583). Im Falle der Weitergabe von Informationen ist dabei ausreichend, wenn der Empfänger die betroffene Person zu identifizieren vermag. ROSENTHAL führt in diesem Zusammenhang das Beispiel einer Zeitungsmeldung über den Unfall eines nicht namentlich genannten Lokalpolitikers an. Sofern ein Teil der Leserschaft auf die betroffene Person (allenfalls anhand weiterer Recherchen) schliessen könne, stelle aus ihrer Sicht die Publikation eine Bekanntgabe von Personendaten dar, so die überzeugende Argumentation des Autors (ROSENTHAL, a.a.O., N. 30 zu Art. 3 DSG; vgl. auch Art. 3 lit. e DSG). Dies bedeutet für den vorliegenden Fall, dass nicht vorausgesetzt ist, dass die Urheberrechtsverletzer bereits für die Beschwerdegegnerin bestimmbar sind. Vielmehr genügt es, wenn sie es nach Übergabe der entsprechenden Daten für die Urheberrechteinhaber werden. Trifft dies zu (dazu sogleich), so gelangt das Datenschutzgesetz indessen auch auf die Beschwerdegegnerin selbst zur Anwendung. Anders zu entscheiden würde bedeuten, das Datenschutzgesetz nur auf die einzelnen Empfänger anzuwenden, nicht aber auf die Person, welche die betreffenden Daten beschafft und sie verbreitet. Dies würde dem Zweck des Gesetzes zuwiderlaufen.
Diesen Ansatz vertritt nun auch die deutsche Bundesregierung in einer Stellungnahme zum beim EuGH hängigen Fall Breyer: