Nach Art. 3 Nr. 1 DSGVO ist eine „identifizierbare natürliche Person“ eine natürliche Person, die direkt oder indirekt identifiziert werden kann. Im 16. Erwägungsgrund der Verordnung 2018/1725 heißt es erläuternd dazu:

… personenbezogene Daten, die einer Pseudonymisierung unterzogen wurden und die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, als Informationen über eine identifizierbare natürliche Person angesehen werden sollten. Bei der Entscheidung, ob eine natürliche Person bestimmbar ist, sollten alle Mittel berücksichtigt werden, die der für die Verarbeitung Verantwortliche oder eine andere Person nach allgemeinem Ermessen wahrscheinlich einsetzt, um die natürliche Person direkt oder indirekt zu bestimmen, wie beispielsweise die Aussonderung.

Bei der Entscheidung, ob die Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person eingesetzt werden, sollten alle objektiven Faktoren wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand unter Berücksichtigung der zum Zeitpunkt der Verarbeitung verfügbaren Technologie und der technologischen Entwicklungen berücksichtigt werden. …“
Achtung, teilweise umformuliert um es lesbarer zu gestalten – sinngemäße Wiedergabe

Der EuGH (T‑557/20) äußerte sich nun zur Frage der Identifizierbarkeit. Dazu nahm er Bezug auf sein früheres Urteil vom 19. Oktober 2016, Breyer (C-582/14, EU:C:2016:779), in welchem er den Begriff „personenbezogene Daten“ im Sinne von Art. 2 Buchst. a DSGVO ausgelegt hat. In dieser Rechtssache stellte sich die Frage, ob eine dynamische Internetprotokoll-Adresse (im Folgenden: IP-Adresse) für den Anbieter von Online-Mediendiensten, der sie auf seiner Internetseite speichert, ein personenbezogenes Datum darstellt.

Nach Auffassung des Gerichtshofs ist zu prüfen, ob diese IP-Adresse als Information über eine „bestimmbare natürliche Person“ eingestuft werden kann, wenn zum einen der Anbieter anhand dieser IP-Adresse allein die Identität des Nutzers, von dem aus eine Website aufgerufen wurde, nicht bestimmen kann und zum anderen die zur Identifizierung des Nutzers einer Website erforderlichen Zusatzinformationen – würden sie mit dieser IP-Adresse zusammengeführt – die Identifizierung dieses Nutzers ermöglichen würden, dem Anbieter des Internetzugangs aber vorliegen.

Der Gerichtshof hat jedoch hinzugefügt, dass der Umstand, dass die zur Identifizierung des Nutzers einer Website erforderlichen Zusatzinformationen nicht dem Anbieter von Online-Mediendiensten, sondern dem Internetzugangsanbieter dieses Nutzers vorliegen, daher nicht ausschließt, dass die von einem Anbieter von Online-Mediendiensten gespeicherten dynamischen IP-Adressen für ihn personenbezogene Daten darstellen (Urteil vom 19. Oktober 2016, Breyer, C-582/14, EU:C:2016:779, Rn. 44).

Nach Auffassung des Gerichtshofs ist jedoch zu prüfen, ob die Möglichkeit, eine dynamische IP-Adresse mit den zusätzlichen Informationen, über die der Internetzugangsanbieter verfügt, zu verknüpfen, ein Mittel darstellt, das vernünftigerweise zur Bestimmung der betroffenen Person eingesetzt werden kann (Urteil vom 19. Oktober 2016, Breyer, C-582/14, EU:C:2016:779, Rn. 45).

Der Gerichtshof wies damals darauf hin, dass dies nicht der Fall wäre, wenn die Identifizierung der betroffenen Person rechtlich verboten oder praktisch undurchführbar wäre, etwa weil sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft erfordern würde, so dass das Risiko einer Identifizierung de facto vernachlässigbar erscheint (Urteil vom 19. Oktober 2016, Breyer, C-582/14, EU:C:2016:779, Rn. 46).

Nachdem der EuGH diese Entscheidung – die sich so liest, als wolle er die bisherige Rechtsprechung bei dynamischen IP-Adressen aufweichen! – kommt man zu dem Schluss, dass bei zuordnungsfähigen Kriterien, die erst über einen Zwischenschritt zu einer Person führen, zwingend zu prüfen ist, ob der Verarbeiter vernünftigerweise die weiteren Schritte zur Bestimmung der konkreten Person übernehmen würde. Dieses “vernünftigerweise” bedeutet dann, dass wiederum zwingend zu prüfen ist, ob der Auftragsverarbeiter das Recht hat, auf die für die Rückidentifizierung der betroffenen Personen erforderlichen Zusatzinformationen zuzugreifen. Ist dies zu verneinen, liegt keine Identifizierbarkeit der betroffenen Personen für die Zwischeninformationen vor.

Über
Letzte Artikel

Rechtsanwalt Jens Ferner

Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf

Rechtsanwalt Jens Ferner ist Fachanwalt für Strafrecht sowie Fachanwalt für IT-Recht und widmet sich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht - mit Schwerpunkten in Cybercrime, Cybersecurity, Softwarerecht und Managerhaftung. Er ist zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht sowie zur EU-Staatsanwaltschaft. Als Softwareentwickler ist er in Python zertifiziert und hat IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung. Von Verbrauchern werden allein Strafverteidigungen und im Einzelfall Fälle im Arbeitsrecht übernommen!

Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)

Begrenzung des Bewährungswiderrufs durch Vertrauensschutz - 8. Juli 2025
OLG Köln zur Bezeichnung „Dubai Chocolate“ - 7. Juli 2025
BayObLG zur Verbreitung verfassungsfeindlicher Inhalte auf Facebook - 7. Juli 2025

Von Rechtsanwalt Jens Ferner