Juristisch umstritten
Diese Frage ist in der juristischen Literatur und Rechtsprechung sehr umstritten. Als personenbezogene Daten werden Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person verstanden (§3 I BDSG). Es kommt also darauf an, ob eine Person bereits mittels ihrer IP-Adresse identifizierbar ist. Eine Zuordnung der Person zu der IP-Adresse ist nur dem Internet-Provider und anderen Internetdienstleistern möglich, denen weitere Daten des Nutzers bekannt sind, z.B. Online-Banking-Dienste. Für sie ist eine IP-Adresse zweifelsohne ein personenbezogenes Datum.
Schwieriger wird es bei einer x-beliebigen Website. Deren Betreiber ist nur die IP-Adresse bekannt. Er kann ohne Mithilfe des Internet-Providers die Person hinter der IP-Adresse nicht ausmachen und der Internet-Provider wiederum darf die Identität des Nutzers nicht preisgeben. Daher ist es gut vertretbar, dass für einen normalen Website-Betreiber die IP-Adresse ohne verfügbare weitere Daten keinen Personenbezug aufweist (so auch AG München 30.09.2008, Az.: 133 C 5677/08). Anders sieht es dagegen das AG Berlin-Mitte (27.03.2007, Az.: 5 C 314/06, bestätigt durch das LG Berlin 06.09.2007, Az.: 23 S 3/07), das darauf abstellt, dass es rein technisch möglich ist, mit Hilfe weiterer Daten von Dritten, eine bestimmte Person zu identifizieren. Dass diese Möglichkeit nach geltendem Recht grundsätzlich verboten und in der Praxis auch eher fernliegend ist, störte das Gericht nicht. Daher urteilte das AG-Berlin Mitte, dass jede IP-Adresse ein personenbezogenes Datum ist.
Zwar sprechen die besseren Argumente dafür, IP-Adressen nur dann dem Datenschutzrecht zu unterwerfen, wenn eine tatsächliche Identifizierbarkeit des Nutzers möglich ist. Das beträfe nur den Internet-Provider oder Internetdienste, die durch Dateneingabe des Nutzers diesen identifizierbar machen. Da die Frage bisher noch nicht höchstinstanzlich geklärt ist, sollte einstweilen sicherheitshalber davon ausgegangen werden, dass IP-Adressen personenbezogene Daten darstellen und daher nur im Rahmen des Datenschutzrechts verwertet werden dürfen. Das bedeutet unter anderem, dass Logfiles von Internetpräsenzen keine IP-Adressen speichern sollten. Bei vielen Hosting-Providern kann man diese Funktion mittlerweile deaktivieren. Andernfalls sollte der Webspace-Provider schriftlich aufgefordert werden, Logfiles nicht mehr oder nur noch anonymisiert zu speichern.