Die Entscheidung gehört zu den Leitentscheidungen für die datenschutzrechtliche Einordnung von Online-Kennungen im Website-Betrieb. Heute ist sie vor allem dort relevant, wo Server-Logfiles, Sicherheitsprotokolle, Störungsanalyse und technische Funktionssicherung zusammenlaufen. Die vertiefte Einordnung zu Website-Logs, Online-Kennungen und Rechtsgrundlagen liegt im Datenschutzrecht bei ITMR; für die praktische Außendarstellung von Logfiles, Tracking und Website-Funktionen ist ergänzend die DSGVO-Prüfung für Websites und Datenschutzerklärungen einschlägig.
- ✓Dynamische IP-Adressen sind nicht nur technische Verbindungsdaten, sondern können datenschutzrechtlich personenbezogen sein.
- ✓Eine Speicherung ist nicht automatisch unzulässig; entscheidend sind Zweck, Rechtsgrundlage, Speicherdauer und die konkrete Interessenabwägung.
- ✓Für Websitebetreiber ist heute die saubere Trennung zwischen Sicherheitszwecken, Betriebsstabilität, Optimierung und Transparenz in den Datenschutzhinweisen besonders wichtig.
Stand März 2026: Der historische Aussagekern des Beitrags trägt weiterhin. Seit dem EuGH-Urteil in der Sache Breyer (C-582/14) ist die Einordnung dynamischer IP-Adressen als personenbezogene Daten für Websitebetreiber fest verankert; unter der seit 2018 geltenden DSGVO nennt Erwägungsgrund 30 IP-Adressen ausdrücklich als Online-Kennungen. Für die heutige Praxis steht weniger die abstrakte Ja-Nein-Frage im Vordergrund als die saubere Zweckbindung, Speicherbegrenzung und technische Minimierung von Server-Logfiles; darauf weist auch die BfDI zu LogFile-Daten hin.
Datenschutz: Dynamische IP-Adressen sind personenbezogene Daten
Der Bundesgerichtshof (BGH) fragte mit Beschluss vom 28.10.2014 zu dem Aktenzeichen VI ZR 135/13 den Gerichtshof der Europäischen Union (EuGH),
- ob dynamische IP-Adressen für den Betreiber einer Website personenbezogene Daten seien und
- ob der Betreiber einer Website grundsätzlich die Möglichkeit haben müsse, personenbezogene Daten der Nutzer zu erheben und zu nutzen, um die generelle Funktionsfähigkeit seiner Website zu gewährleiten?
Beide Fragen bejahte der EuGH im Ergebnis und teilte am heutigen Tag mittels Pressemitteilung in der Rechtssache C-582/14 Patrick Breyer ./. Bundesrepublik Deutschland hierzu mit:
Mit seinem heutigen Urteil antwortet der Gerichtshof zunächst, dass eine dynamische IP-Adresse, die von einem „Anbieter von Online-Mediendiensten“ (d.h. vom Betreiber einer Website, hier den Einrichtungen des Bundes) beim Zugriff auf seine allgemein zugängliche Website gespeichert wird, für den Betreiber ein personenbezogenes Datum darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, den Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen.
(…)
Zweitens antwortet der Gerichtshof, dass das Unionsrecht einer Regelung eines Mitgliedstaats entgegensteht, nach der ein Anbieter von Online-Mediendiensten personenbezogene Daten eines Nutzers dieser Dienste ohne dessen Einwilligung nur erheben und verwenden darf, soweit ihre Erhebung und ihre Verwendung erforderlich sind, um die konkrete Inanspruchnahme der Dienste durch den betreffenden Nutzer zu ermöglichen und abzurechnen, ohne dass der Zweck, die generelle Funktionsfähigkeit der Dienste zu gewährleisten, die Verwendung der Daten über das Ende eines Nutzungsvorgangs hinaus rechtfertigen kann.
Die Verarbeitung personenbezogener Daten ist nach dem Unionsrecht u.a. rechtmäßig, wenn sie zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, erforderlich ist, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.
Die deutsche Regelung schränkt nach ihrer in der Lehre überwiegend vertretenen Auslegung die Tragweite dieses Grundsatzes ein, indem sie es ausschließt, dass der Zweck, die generelle Funktionsfähigkeit des Online-Mediums zu gewährleisten, Gegenstand einer Abwägung mit dem Interesse oder den Grundrechten und Grundfreiheiten der Nutzer sein kann.
Der Gerichtshof hebt in diesem Zusammenhang hervor, dass die Einrichtungen des Bundes, die Online-Mediendienste anbieten, ein berechtigtes Interesse daran haben könnten, die Aufrechterhaltung der Funktionsfähigkeit der von ihnen allgemein zugänglich gemachten Websites über ihre konkrete Nutzung hinaus zu gewährleisten.
Die Entscheidungsgründe im Volltext werden im Verlauf des heutigen Tages veröffentlicht werden unter:
http://curia.europa.eu/juris/documents.jsf?num=C-582/14
Dynamische IP-Adressen sind also nicht immer personenbezogene Daten und sie können so oder so gespeichert werden, also selbst wenn sie ein personenbezogenes Datum darstellten, nämlich wenn ein berechtiges Interesse besteht (wohl weit zu verstehen). Dies kann beispielsweise der Erhalt der Funktionalität einer Website zur Abwehr von sog. Cyperattacken sein.
Worauf es heute praktisch ankommt
| Konstellation | Worauf zu achten ist | Praktischer Punkt |
|---|---|---|
| Server-Logfiles zur Sicherheit und Angriffsabwehr | Der Sicherheitszweck sollte klar benannt, intern zugeordnet und mit einer tragfähigen Rechtsgrundlage hinterlegt sein. | Speicherdauer, Zugriffskreis und Auswertung sollten nicht pauschal offen bleiben. |
| Fehleranalyse, Stabilität und Störungsbehebung | Betriebszwecke sollten nicht unscharf mit Marketing- oder Komfortzwecken vermischt werden. | Eine getrennte Betrachtung von Security, Debugging und Optimierung reduziert Reibung in Dokumentation und Transparenz. |
| Optimierung der Website | Für Optimierungszwecke ist Datenminimierung besonders wichtig. | Wo möglich, sind Kürzung, Aggregation oder eine weniger eingriffsintensive Ausgestaltung der Datenverarbeitung naheliegend. |
| Datenschutzhinweise und interne Dokumentation | Logfiles, Zwecke, Speicherdauer, Empfänger und Sicherheitsbezug sollten konsistent beschrieben sein. | Ein sauberer Text ersetzt nicht die tatsächliche System- und Prozesslogik; beides muss zusammenpassen. |
Für private Websitebetreiber wird die Prüfung häufig über berechtigte Interessen geführt; bei öffentlichen Stellen gelten eigene gesetzliche Grundlagen und Maßstäbe. Im Ergebnis entscheidet nicht ein Schlagwort, sondern die konkrete Kombination aus Zweck, Erforderlichkeit, Abwägung, Speicherbegrenzung und technischer Ausgestaltung.
Die weiterführende Einordnung zu Rechtsgrundlagen, Betroffenenrechten, Behördenmaßstäben und Streitlagen rund um Website-Datenflüsse finden Sie im Datenschutzrecht bei ITMR.
- 1EuGH, Pressemitteilung Nr. 112/16 vom 19.10.2016 zur Rechtssache C-582/14 Patrick Breyer / Bundesrepublik Deutschland
- 2Curia / InfoCuria: Dokumente und Volltext zur Rechtssache C-582/14
- 3DSGVO bei EUR-Lex, insbesondere Erwägungsgrund 30 zu Online-Kennungen und IP-Adressen
- 4BfDI: Datenschutzrechtliche Aspekte bei der Verarbeitung von LogFile-Daten
Kurze FAQ
Sind dynamische IP-Adressen heute immer personenbezogene Daten?
Nicht schematisch in jedem denkbaren Kontext, aber im Website-Betrieb werden sie datenschutzrechtlich regelmäßig so behandelt, wenn eine Identifizierung mit rechtlich und tatsächlich naheliegenden Mitteln möglich ist. Maßgeblich bleibt die vom EuGH in der Sache Breyer herausgearbeitete Perspektive.
Darf eine Website IP-Adressen nach dem Nutzungsvorgang speichern?
Eine Speicherung ist nicht automatisch ausgeschlossen. Entscheidend sind Zweck, Rechtsgrundlage, Erforderlichkeit, Interessenabwägung sowie eine begrenzte und nachvollziehbare Speicherdauer. Gerade für Logfiles zur Sicherheit und Betriebsstabilität ist die konkrete Ausgestaltung wichtiger als eine pauschale Formel.
Reicht ein Hinweis in der Datenschutzerklärung allein aus?
Nein. Der Text nach außen muss zur tatsächlichen technischen und organisatorischen Praxis passen. Wer Logfiles nennt, sollte intern auch Zweck, Speicherdauer, Zugriffskreis und gegebenenfalls Minimierungsmaßnahmen sauber festgelegt haben.