Ob eine IP-Adresse personenbezogene Daten im Sinne der DSGVO darstellt, gehört zu den meistdiskutierten Fragen des europäischen Datenschutzrechts. Die Antwort lautet seit dem EuGH-Urteil in der Rechtssache Breyer (C-582/14, 19. Oktober 2016) eindeutig: Ja, auch dynamische IP-Adressen sind personenbezogene Daten, wenn der Verantwortliche über rechtliche Mittel verfügt, die betroffene Person zu identifizieren. Dieses Urteil hat weitreichende Konsequenzen für Webanalyse, Server-Logging und den Einsatz von Tracking-Technologien.
Dieser Artikel analysiert die Rechtslage zu IP-Adressen als personenbezogene Daten nach der DSGVO, die relevante Rechtsprechung und die praktischen Pflichten für Unternehmen im DACH-Raum.
Key Takeaways
- Der EuGH hat in der Rechtssache Breyer (C-582/14) entschieden, dass dynamische IP-Adressen personenbezogene Daten sein können, wenn der Betreiber über Mittel zur Identifizierung des Nutzers verfügt.
- Art. 4 Nr. 1 DSGVO definiert personenbezogene Daten weit – eine IP-Adresse fällt darunter, wenn eine Identifizierung direkt oder indirekt möglich ist.
- Server-Logs, Webanalyse-Tools und Werbenetzwerke verarbeiten IP-Adressen und unterliegen damit den DSGVO-Anforderungen einschließlich Rechtsgrundlage, Informationspflicht und Speicherbegrenzung.
- Die DSB Österreich und deutsche Aufsichtsbehörden haben auf Basis dieser Rechtsprechung den Einsatz von Google Analytics ohne Einwilligung für rechtswidrig erklärt.
Der Begriff der personenbezogenen Daten nach Art. 4 Nr. 1 DSGVO
Art. 4 Nr. 1 DSGVO definiert personenbezogene Daten als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Eine Person gilt als identifizierbar, wenn sie direkt oder indirekt identifiziert werden kann – insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten oder einer Online-Kennung.
Erwägungsgrund 26 DSGVO präzisiert, dass bei der Beurteilung der Identifizierbarkeit alle Mittel berücksichtigt werden müssen, die nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die Person zu identifizieren. Dies schließt Mittel ein, die von Dritten (etwa dem Internet Service Provider) eingesetzt werden können.
Die entscheidende Frage ist daher nicht, ob der Verantwortliche die Person tatsächlich identifiziert, sondern ob er über die Mittel verfügt, dies zu tun. Genau diese Frage hat der EuGH im Breyer-Urteil beantwortet.
Das Breyer-Urteil (C-582/14): Dynamische IP-Adressen als personenbezogene Daten
Patrick Breyer klagte gegen die Bundesrepublik Deutschland, weil Webseiten des Bundes seine dynamische IP-Adresse speicherten. Der Bundesgerichtshof legte dem EuGH die Frage vor, ob dynamische IP-Adressen personenbezogene Daten darstellen, obwohl der Webseitenbetreiber die Person nicht allein mit der IP-Adresse identifizieren kann.
Der EuGH entschied: Eine dynamische IP-Adresse stellt ein personenbezogenes Datum dar, wenn der Webseitenbetreiber über rechtliche Mittel verfügt, die es ihm ermöglichen, mithilfe des Internetzugangsanbieters die Person hinter der IP-Adresse zu identifizieren. In Deutschland verfügen Webseitenbetreiber über solche Mittel, da bei Straftaten oder Ordnungswidrigkeiten eine Auskunft beim Provider verlangt werden kann.
Das Gericht stellte zwei wesentliche Grundsätze auf:
- Relativer Personenbezug: Es kommt nicht darauf an, ob alle denkbaren Mittel zur Identifizierung existieren, sondern ob Mittel verfügbar sind, die vernünftigerweise eingesetzt werden können.
- Drittmittel zählen: Die Identifizierungsmöglichkeiten Dritter (z. B. des ISP) sind in die Bewertung einzubeziehen, sofern der Verantwortliche auf diese Mittel legal zugreifen kann.
Kontext im deutschen Recht
Das Breyer-Urteil erging im Kontext des damaligen Telemediengesetzes (TMG), das in §15 Abs. 1 TMG die Verarbeitung von Nutzungsdaten regelte. Mit dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG, seit 1. Dezember 2021, seit Mai 2024 als TDDDG) ist das TMG im Datenschutzbereich abgelöst worden. Die materiellen Grundsätze des Breyer-Urteils gelten unter der DSGVO uneingeschränkt fort.
Statische vs. dynamische IP-Adressen
Statische IP-Adressen sind dauerhaft einem bestimmten Gerät oder Anschluss zugeordnet. Sie ermöglichen eine noch einfachere Identifizierung als dynamische Adressen und gelten unstreitig als personenbezogene Daten.
Dynamische IP-Adressen wechseln bei jeder Einwahl oder in regelmäßigen Intervallen. Seit dem Breyer-Urteil steht fest, dass auch diese personenbezogene Daten sind, sofern Identifizierungsmittel beim Verantwortlichen oder bei Dritten vorhanden sind. In der Praxis ist dies bei jedem Webseitenbetreiber der Fall, der Server-Logs speichert.
IPv6-Adressen verschärfen die Situation: Viele ISPs vergeben IPv6-Präfixe, die über längere Zeiträume stabil bleiben und eine Zuordnung erleichtern. Der BfDI hat darauf hingewiesen, dass IPv6 die Identifizierbarkeit im Vergleich zu IPv4 tendenziell erhöht.
Konsequenzen für die Praxis
Webanalyse und Tracking
Die Einstufung von IP-Adressen als personenbezogene Daten hat direkte Auswirkungen auf den Einsatz von Webanalyse-Tools. Die DSB Österreich entschied im Dezember 2021 im Fall “NetDoktor”, dass der Einsatz von Google Analytics unter Übermittlung von IP-Adressen an Google in den USA gegen die DSGVO verstößt – sowohl wegen fehlender Einwilligung als auch wegen unzulässiger Drittlandübermittlung.
Die CNIL (Frankreich) und die Garante (Italien) folgten mit gleichlautenden Entscheidungen. In Deutschland hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) die Auffassung bestätigt: Google Analytics ohne Einwilligung ist rechtswidrig.
Server-Logging
Server-Logfiles, die IP-Adressen enthalten, stellen eine Verarbeitung personenbezogener Daten dar. Unternehmen benötigen eine Rechtsgrundlage nach Art. 6 DSGVO. Das berechtigte Interesse nach Art. 6(1)(f) DSGVO kann die kurzfristige Speicherung zur IT-Sicherheit rechtfertigen – allerdings nur für einen begrenzten Zeitraum. Die DSK empfiehlt eine Speicherdauer von maximal 7 Tagen für IP-Adressen in Server-Logs.
IP-Adressen kürzen (IP-Anonymisierung)
Eine Möglichkeit, den Personenbezug zu beseitigen, ist die Kürzung der IP-Adresse. Bei IPv4 bedeutet dies typischerweise das Entfernen des letzten Oktetts (z. B. 192.168.1.xxx statt 192.168.1.42). Diese Maßnahme muss vor der Speicherung erfolgen, nicht erst bei der Auswertung. Der EDPB hat festgestellt, dass eine nachträgliche Kürzung die vorherige Verarbeitung der vollständigen IP-Adresse nicht rückwirkend rechtfertigt.
Informationspflichten
Art. 13 und Art. 14 DSGVO verpflichten den Verantwortlichen, betroffene Personen über die Verarbeitung ihrer Daten zu informieren. Die Verarbeitung von IP-Adressen muss daher in der Datenschutzerklärung transparent dargestellt werden – einschließlich Zweck, Rechtsgrundlage und Speicherdauer. Die DSGVO-Anforderungen an die Transparenz gelten ohne Einschränkung.
Aktuelle Entwicklungen
§25 TDDDG (ehemals TTDSG): Seit Dezember 2021 regelt §25 TDDDG den Zugriff auf Endeinrichtungen (Cookies, Fingerprinting). Das Speichern von IP-Adressen durch den Webseitenbetreiber selbst fällt nicht unter §25 TDDDG, wohl aber die Weitergabe an Dritte über Tracking-Pixel oder eingebundene Skripte.
Google Analytics 4 (GA4): Google hat mit GA4 eine Variante eingeführt, die IP-Adressen vor der Speicherung kürzt. Die Aufsichtsbehörden haben jedoch klargestellt, dass die bloße Kürzung nicht ausreicht, wenn die vollständige IP-Adresse zuvor an US-Server übertragen wird. Der Transfer der vollständigen IP-Adresse in die USA bleibt problematisch, auch wenn sie dort gekürzt wird.
EuGH-Urteil zur Meta-Entscheidung (2023): Der EuGH hat in mehreren Entscheidungen bestätigt, dass Online-Kennungen (einschließlich IP-Adressen) in Kombination mit anderen Datenpunkten einen Personenbezug herstellen, selbst wenn die einzelnen Datenpunkte für sich genommen nicht identifizierend sind.
FAQ
Ist eine IP-Adresse immer ein personenbezogenes Datum?
Nach der Breyer-Rechtsprechung sind IP-Adressen in der Regel personenbezogene Daten, sofern der Verantwortliche über rechtliche Mittel zur Identifizierung verfügt. In der Praxis trifft dies auf nahezu jeden Webseitenbetreiber zu. Nur wenn nachweislich keinerlei Identifizierungsmittel existieren – ein theoretischer Grenzfall – entfällt der Personenbezug.
Darf ich IP-Adressen in Server-Logs speichern?
Ja, aber nur mit einer gültigen Rechtsgrundlage. Art. 6(1)(f) DSGVO (berechtigtes Interesse) kann die kurzfristige Speicherung zur Gewährleistung der IT-Sicherheit und Abwehr von Angriffen rechtfertigen. Die DSK empfiehlt eine Speicherdauer von maximal 7 Tagen. Eine längere Speicherung erfordert eine gesonderte Begründung und muss in der Datenschutzerklärung ausgewiesen werden.
Reicht IP-Anonymisierung für den datenschutzkonformen Einsatz von Webanalyse-Tools?
Die Kürzung der IP-Adresse kann den Personenbezug aufheben, wenn sie vor jeder Speicherung und Verarbeitung auf dem Server des Verantwortlichen erfolgt. Wird die vollständige IP-Adresse zunächst an einen Dritten (z. B. Google) übertragen und erst dort gekürzt, liegt bereits eine Verarbeitung personenbezogener Daten vor. Eine Einwilligung oder alternative Rechtsgrundlage bleibt dann erforderlich.
Welche Auswirkungen hat das Breyer-Urteil auf den Einsatz von CDNs und Cloud-Diensten?
Content Delivery Networks (CDNs) und Cloud-Dienste verarbeiten typischerweise IP-Adressen der Endnutzer. Wenn der CDN-Anbieter seinen Sitz außerhalb des EWR hat, liegt eine Drittlandübermittlung vor. Unternehmen müssen sicherstellen, dass eine gültige Rechtsgrundlage für den Transfer besteht und die Auftragsverarbeitung vertraglich abgesichert ist.
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope
