Nicht abschließend geklärt: Sind IP-Adressen personenbezogene Daten?
Ob IP-Adressen personenbezogene Daten im Sinne von § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) darstellen, wird von den Gesetzgebern und Behörden weltweit unterschiedlich beurteilt. In den meisten Ländern sind sowohl dynamische wie auch statische IP-Adressen inzwischen von den Datenschutzbehörden als personenbezogene Daten qualifiziert worden (so zum Beispiel in Österreich, Schweden oder Deutschland). Teilweise entscheiden die Datenschutzbehörden auch nach der Frage, für welche Person letztlich die IP-Adresse ein personenbezogenes Datum darstellen kann. So ergeben sich teilweise unterschiedliche Auffassungen für den Access-Provider, den Service-Provider und dritte Personen.
Worum dreht sich die Diskussion?
Die Diskussion steht und fällt mit der Frage, wie das Merkmal "bestimmbar" in § 3 Abs. 1 BDSG auszulegen ist (gemäß dieser Vorschrift sind personenbezogene Daten die "Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person").
Ein Datum ist als "bestimmbar" (und damit personenbezogen) zu qualifizieren, wenn nach der Lebenserfahrung oder wissenschaftlichen Prognose die nicht ganz unwahrscheinliche Möglichkeit besteht, den Betroffenen zu bestimmen. Damit wird der Begriff des Personenbezugs als relativer Begriff verstanden, der eine Wahrscheinlichkeitsüberlegung enthält.
Diese Begriffsbestimmung lässt sich auch auf die Diskussion zum Entwurf der europäischen Datenschutzrichtlinie zurückführen, so dass festgestellt werden muss, dass nach dem Willen des Gesetzgebers eine ausreichend hohe Wahrscheinlichkeit bereits genügt, um die Bestimmbarkeit einer Person anzunehmen. Rechnet man die hypothetische Möglichkeit die Zugangsdaten letztlich vom Accessprovider zu bekommen, zur Bestimmbarkeit, so ist die IP-Adresse als personenbezogenes Datum zu beurteilen.