IP-Adressen im Datenschutzrecht: Personenbezug und Speicherbarkeit nach LG Berlin

Dürfen Websitebetreiber IP-Adressen speichern – oder ist das datenschutzwidrig? Das LG Berlin hat geklärt, wann dynamische IP-Adressen personenbezogene Daten sind und welche Folgen das für die Praxis hat.

Vorab: Aktuelle Rechtslage und Einordnung (Stand 2026)

Der unten zitierte Text ist heute in wesentlichen Punkten überholt. Maßgeblich ist inzwischen die DSGVO; die frühere Debatte aus dem BDSG-Kontext („relative“ vs. „absolute“ Bestimmbarkeit) spielt praktisch nur noch eine untergeordnete Rolle.

Nach heutiger Rechtslage sind IP-Adressen regelmäßig als personenbezogene Daten einzuordnen. Die DSGVO stellt darauf ab, ob eine Person „identifizierbar“ ist (Art. 4 Nr. 1 DSGVO). Dabei kommt es nicht nur auf die Informationen an, die der Websitebetreiber selbst unmittelbar hat, sondern auch darauf, ob eine Identifizierung mit Mitteln, die nach allgemeinem Ermessen wahrscheinlich genutzt werden, möglich ist (Erwägungsgrund 26 DSGVO).

Für den Kernpunkt „dynamische IP-Adressen“ ist die Linie seit Jahren klar: Der EuGH hat in der Entscheidung „Breyer“ (C-582/14) entschieden, dass dynamische IP-Adressen für einen Websitebetreiber personenbezogene Daten sein können, wenn dem Betreiber rechtliche Mittel zur Verfügung stehen, um über Zusatzinformationen (typischerweise beim Access-Provider) eine Zuordnung zu erreichen. Damit ist die pauschale Aussage „dynamische IP-Adressen seien (für Websitebetreiber) keine personenbezogenen Daten“ in der heutigen Praxis nicht mehr tragfähig.

Die DSGVO selbst unterstreicht zudem, dass Online-Kennungen wie IP-Adressen Spuren hinterlassen können und zur Identifizierung beitragen (Erwägungsgrund 30 DSGVO).

Wichtig ist damit nicht mehr die (alte) Frage, ob IP-Adressen datenschutzrechtlich relevant sind, sondern auf welcher Rechtsgrundlage und wie lange sie verarbeitet werden dürfen. In der Praxis wird die Speicherung von IP-Adressen in Server-/Security-Logs häufig über berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) begründet, etwa zur Abwehr von Angriffen, Störungsbeseitigung oder Missbrauchserkennung; dann müssen aber Zweck, Erforderlichkeit, Interessenabwägung und Speicherfristen sauber passen (Datensparsamkeit/Speicherbegrenzung).

Diese Linie wird auch von Datenschutzaufsichtsperspektive regelmäßig betont, inklusive der Empfehlung, wo möglich zu verkürzen oder zu hashen.

Was ist eine IP-Adresse?

Eine IP-Adresse ist eine Adresse in Computernetzen. Damit ein Computer im Internet kommunizieren kann, muss er eindeutig identifizierbar sein. Zu diesem Zweck wird jedem an ein Netzwerk angeschlossenen Gerät eine individuelle IP-Adresse zugewiesen, die es für andere Systeme erreichbar macht. Anhand dieser IP-Adresse leiten Router die Datenpakete jeweils an den richtigen Empfänger weiter.

Im Adresssystem IPv4 besteht eine IP-Adresse aus vier Zahlenblöcken zwischen 0 und 255, die durch Punkte getrennt sind (z. B. 123.45.67.189). Technisch entspricht dies einer 32-stelligen Binärzahl.

Da das IPv4-System nicht ausreichend viele Adressen für alle Internetnutzer bereitstellt, werden IP-Adressen teilweise bei jeder Nutzungseinheit neu vergeben. Man spricht in diesem Fall von dynamischen IP-Adressen. Daneben existieren statische IP-Adressen, die einem bestimmten Rechner dauerhaft zugewiesen sind.

Dynamische IP-Adressen werden vom Access-Provider bei jeder Einwahl ins Internet neu vergeben, sodass der Nutzer bei jeder Sitzung unter einer anderen IP-Adresse erscheint. Bei einer statischen IP-Adresse tritt der Nutzer hingegen bei jeder Nutzung unter derselben Adresse auf.

Was sind personenbezogene Daten?

Die Definition personenbezogener Daten ergibt sich aus dem Bundesdatenschutzgesetz (BDSG). Maßgeblich ist § 3 BDSG, der auf Art. 2 a) der Datenschutzrichtlinie 95/46/EG zurückgeht. Danach sind personenbezogene Daten

"Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person."

Sind IP-Adressen personenbezogene Daten?

Umstritten ist, ob IP-Adressen als personenbezogene Daten einzuordnen sind. Voraussetzung hierfür wäre, dass eine IP-Adresse eine natürliche Person bestimmbar macht. Über diese rechtliche Einordnung wird seit Jahren intensiv diskutiert.

Im Kern stehen sich zwei Auffassungen gegenüber: Nach der einen Ansicht ist entscheidend, ob der jeweilige Diensteanbieter selbst in der Lage ist, die Person hinter der IP-Adresse zu identifizieren (relative Bestimmbarkeit). Die andere Ansicht stellt darauf ab, ob grundsätzlich irgendeine Stelle die Möglichkeit hat, aus der IP-Adresse auf eine natürliche Person zu schließen (absolute Bestimmbarkeit).

1. Relative Bestimmbarkeit

Nach dem Ansatz der relativen Bestimmbarkeit kommt es darauf an, ob gerade die datenverarbeitende Stelle selbst den Nutzer anhand der erhobenen Daten identifizieren kann. Dies führt dazu, dass eine IP-Adresse für eine Stelle ein personenbezogenes Datum darstellen kann, während sie für eine andere Stelle keinen Personenbezug aufweist.

2. Absolute Bestimmbarkeit

Nach der Auffassung der absoluten Bestimmbarkeit liegt bereits dann ein personenbezogenes Datum vor, wenn theoretisch die Möglichkeit besteht, eine natürliche Person zu identifizieren – unabhängig davon, ob hierfür die Mitwirkung Dritter, rechtswidrige Mittel oder ein unverhältnismäßiger Aufwand erforderlich wären.

3. Bisherige Gerichtsentscheidungen (Auswahl)

Rechtsprechung, die IP-Adressen nicht als personenbezogene Daten eingestuft hat:

• OLG Hamburg, Beschluss vom 03.11.2010, Az.: 5 W 126/10
• AG München, Urteil vom 30.09.2008, Az.: 133 C 5677/08

Rechtsprechung, die IP-Adressen als personenbezogene Daten qualifiziert hat:

• LG Darmstadt, Urteil vom 07.12.2005, Az.: 25 S 118/2005
• LG Berlin, Urteil vom 06.09.2007, Az.: 23 S 3/07
• LG Köln, Urteil vom 12.09.2007, Az.: 28 O 339/07
• BGH, Beschluss vom 26.10.2006, Az.: III ZR 40/06 (wobei sich der BGH nicht ausdrücklich mit der Frage beschäftigt hatte)

Der EuGH hat zudem mit Urteil vom 24.11.2011 (Az.: C-70/10) ohne inhaltliche Einschränkung ausgeführt, dass IP-Adressen personenbezogene Daten seien. Dabei ist jedoch zu berücksichtigen, dass sich das Verfahren gegen einen Access-Provider richtete, der aufgrund seiner Stellung jederzeit nachvollziehen kann, welcher IP-Adresse welcher Nutzer zugeordnet ist. Die Aussagekraft der Entscheidung für andere Konstellationen ist daher begrenzt.

4. Unterscheidung bei statischer und dynamischer IP-Adresse?

In der rechtlichen Diskussion wird häufig zwischen statischen und dynamischen IP-Adressen differenziert. Teilweise wird vertreten, dass statische IP-Adressen stets personenbezogene Daten darstellen, während für dynamische IP-Adressen etwas anderes gelten könne, da regelmäßig nur der Access-Provider weiß, welchem Nutzer sie zu einem bestimmten Zeitpunkt zugeordnet waren.

Dass IP-Adressen in der Hand eines Access-Providers als personenbezogene Daten zu qualifizieren sind, hatte das LG Berlin in seiner Entscheidung ebenfalls so gesehen:

"Auf dieser Grundlage ist allgemein anerkannt, dass die IP-Adresse in der Hand des Zugangsanbieters (”Acces-Provider”), der über die Bestands- und Vertragsdaten seiner Kunden und über die seinen Kunden für den jeweiligen Internetzugriff zugewiesenen IP-Adresse verfügt, ein personenbezogenes Datum ist (Urteil des BVerfG vom 02.03.2010 zur Vorratsdatenspeicherung, 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08, zit. nach juris; Urteil des BGH vom 12.05.2010, I ZR 121/08, zit. nach juris; Urteil des BGH vom 13.01.2011, 111 ZR 146/10, zit. nach juris)."

Die Entscheidung des LG Berlin zu dynamischen IP-Adressen

Das Landgericht Berlin folgt in seiner Entscheidung vom 31.01.2013 (Az.: 57 S 87/08) dem Ansatz der relativen Bestimmbarkeit und lehnt die absolute Bestimmbarkeit als uferlose und praktisch nicht handhabbare Ausdehnung des Datenschutzes ab.

Nach Auffassung des Gerichts muss die Identifizierung technisch und rechtlich möglich sein und darf keinen unverhältnismäßigen Aufwand erfordern. Ob ein Personenbezug vorliegt, sei anhand einer Abwägung im Einzelfall zu bestimmen.

Das LG Berlin gelangt daher zu dem Ergebnis, dass die bloße Erhebung und Speicherung einer dynamischen IP-Adresse für sich genommen noch keinen datenschutzrechtlich relevanten Vorgang darstellt, da diese allein kein personenbezogenes Datum sei.

Liegen der speichernden Stelle jedoch zusätzliche Informationen vor, die eine Identifizierung der hinter der IP-Adresse stehenden Person ermöglichen, handelt es sich um personenbezogene Daten mit der Folge, dass deren Speicherung nur mit Einwilligung zulässig ist.

Einwilligung in die Speicherung der dynamischen IP-Adresse

Die Verarbeitung personenbezogener Daten greift in das Grundrecht auf informationelle Selbstbestimmung ein und ist nur aufgrund gesetzlicher Erlaubnis oder mit Einwilligung des Betroffenen zulässig. Diese Einwilligung muss sich ausdrücklich auch auf die Speicherung der IP-Adresse in Verbindung mit identifizierenden Angaben beziehen.

Die bloße Übermittlung von Klardaten per E-Mail oder Formular stellt hierfür keine ausreichende Einwilligung dar. Wie das LG Berlin zutreffend feststellt, ist die Einwilligung "inhaltlich beschränkt auf den mit der jeweiligen E-Mail bzw. dem jeweiligen Formular verbundenen Zweck“.

Fazit

Nach der Entscheidung des LG Berlin ist die bloße Speicherung dynamischer IP-Adressen grundsätzlich nicht datenschutzrechtlich relevant. Ein Personenbezug entsteht jedoch dann, wenn zusätzliche Informationen vorliegen, die eine Identifizierung des Nutzers ermöglichen. In diesem Fall handelt es sich um personenbezogene Daten, deren Verarbeitung der Einwilligung bedarf.

Für die Praxis bleibt das Urteil problematisch, da Websitebetreiber regelmäßig nicht erkennen können, ob es sich um eine statische oder dynamische IP-Adresse handelt. Entsprechende Vorsorgemaßnahmen bieten daher keinen verlässlichen Schutz vor datenschutzrechtlichen Risiken.