Der EuGH hat mit Urteil i.S. Breyer vom 19. Oktober 2016 zu dynamischen IP-Adressen folgendes festgehalten:
Nach alledem ist auf die erste Frage zu antworten, dass Art. 2 Buchst. a der Richtlinie 95/46 dahin auszulegen ist, dass eine dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Website, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, für den Anbieter ein personenbezogenes Datum im Sinne der genannten Bestimmung darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen.
Wir haben dazu berichtet. Dieses Urteil war auf Vorlage durch den deutschen BGH ergangen. Der BGH hat das Verfahren in der Folge weitergeführt und unter Berücksichtigung des Entscheids des EuGH entschieden (Az. VI ZR 135/13 vom 16. Mai 2017). Zu den dynamischen IP-Adressen hat der BGH folgendes entschieden (das Verfahren betraf daneben auch eine Frage des deutschen Telemediengesetzes (TMG):
a) Die dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Internetseite, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, stellt für den Anbieter ein personenbezogenes Datum im Sinne des § 12 Abs. 1 und 2 TMG in Verbindung mit § 3 Abs. 1 BDSG dar (Fortführung von EuGH NJW 2016, 3579).
Die zugehörigen Erwägungen lauten wie folgt:
23 Die Möglichkeit, eine dynamische IP-Adresse mit den Zusatzinformationen zu verknüpfen, über die der Internetzugangsanbieter verfüge, stelle ein Mittel dar, das vernünftigerweise zur Bestimmung der betreffenden Person eingesetzt werden könne. Das vorlegende Gericht weise in seiner Vorlageentscheidung zwar darauf hin, dass das deutsche Recht es dem Internetzugangsanbieter nicht erlaube, dem Anbieter von Online-Mediendiensten die zur Identifizierung der betreffenden Person erforderlichen Zusatzinformationen direkt zu übermitteln, doch gebe es offenbar – vorbehaltlich der vom vorlegenden Gericht insoweit vorzunehmenden Prüfungen – für den Anbieter von Online-Mediendiensten rechtliche Möglichkeiten, die es ihm erlaubten, sich insbesondere im Fall von Cyberattacken an die zuständige Behörde zu wenden, damit diese die nötigen Schritte unternehme, um die fraglichen Informationen vom Internetzugangsanbieter zu erlangen und die Strafverfolgung einzuleiten. Der Anbieter von Online- Mediendiensten verfüge somit offenbar über Mittel, die vernünftigerweise eingesetzt werden könnten, um mit Hilfe Dritter, und zwar der zuständigen Behörde und dem Internetzugangsanbieter, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen.
24 cc) Auf dieser Grundlage ist das Tatbestandsmerkmal “personenbezogene Daten” des § 12 Abs. 1 und 2 TMG in Verbindung mit § 3 Abs. 1 BDSG richtlinienkonform dahingehend auszulegen, dass eine dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Internetseite, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, für den Anbieter ein personenbezogenes Datum im Sinne der genannten Bestimmung darstellt.
25 Denn die Beklagte verfügt über rechtliche Mittel, die vernünftigerweise eingesetzt werden können, um mit Hilfe Dritter, und zwar der zuständigen Behörde und des Internetzugangsanbieters, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen (vgl. Gerichtshof aaO Rn. 47).
26 Die Beklagte kann – im Falle einer bereits eingetretenen Schädigung – Strafanzeige bei den Strafverfolgungsbehörden erstatten; im Falle der drohenden Schädigung kann sie die zur Gefahrenabwehr zuständigen Behörden einschalten. Nach § 100j Abs. 2 und 1 StPO, § 113 TKG (vgl. BVerfGE 130, 151) können die für die Verfolgung von Straftaten oder Ordnungswidrigkeiten zuständigen Behörden zu diesem Zweck von Internetzugangsanbietern bei Vorliegen bestimmter Voraussetzungen Auskunft verlangen, entsprechendes gilt für die für die Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung zuständigen Behörden, die Verfassungsschutzbehörden des Bundes und der Länder, den Militärischen Abschirmdienst und den Bundesnachrichtendienst zur Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung oder für die Erfüllung der gesetzlichen Aufgaben der genannten Stellen. Die in eine Auskunft aufzunehmenden Daten dürfen auch anhand einer zu einem bestimmten Zeitpunkt zugewiesenen Internetprotokoll-Adresse bestimmt werden. Dadurch können die gewonnenen Informationen zusammengeführt und der Nutzer bestimmt werden (vgl. Gerichtshof aaO Rn. 49 a. E.).
Der BGH beurteilt dynamische IP-Adressen demnach generell, unabhängig von besonderen Umständen als personenbezogen. Insbesondere verlangt er nicht, dass Indizien für eine Situation vorliegen, in der die genannten prozessualen Möglichkeiten konkret relevant werden. Ob dies den Vorgaben des EuGH entspricht, wird bezweifelt (vgl. die Anmerkung von RA Thomas Stadler).
In der Schweiz gilt nach wie vor die Logistep-Rechtsprechung. Auch nach ihr sind jeweils die dem jeweiligen Inhaber und/oder Empfänger zur Verfügung stehenden Identifikationsmittel massgeblich; sie legt das Gewicht aber viel stärker auf die Umstände des Einzelfalls:
dass die Notwendigkeit des Tätigwerdens eines Dritten so lange unmassgeblich ist, als insgesamt der Aufwand des Auftraggebers für die Bestimmung der betroffenen Person nicht derart gross ist, dass nach der allgemeinen Lebenserfahrung nicht mehr damit gerechnet werden könnte, dieser werde ihn auf sich nehmen (vgl. E. 3.1 hiervor). Solches ist vor dem Hintergrund der konkreten Umstände des Einzelfalls zu beurteilen. Eine abstrakte Feststellung, ob es sich (insbesondere bei dynamischen) IP-Adressen um Personendaten handelt oder nicht, ist somit nicht möglich.
Dynamische IP-Adressen sind damit in der Schweiz für den Internetanbieter nach wie vor nicht generell, sondern nur ausnahmsweise personenbezogen (es sei denn, es werden zusätzlich weitere Angaben erhoben, die eine Identifikation erlauben, und unter dem Vorbehalt, dass eine IP-Adresse den Access Provider identifiziert, der nach noch geltendem Recht ein Datensubjekt ist). Ob die Rechtslage in Europa anders ist, darf bezweifelt werden (selbst nach der DSGVO).