Von Ulrich Wuermeling *)Seit fast zehn Jahren beschäftigt die Gerichte ein Prozess zu der Frage, ob dynamische IP-Adressen personenbezogen sind oder nicht. Jetzt hat der Europäische Gerichtshof (C-582/14) ein Urteil gesprochen und in seiner Begründung allgemeine Kriterien für die Abgrenzung zwischen anonymen und personenbezogenen Daten aufgestellt. Das Urteil ist über die Frage der IP-Adressen hinaus von großer praktischer Bedeutung für Big Data, denn die Einschränkungen des Datenschutzrechts gelten nicht für anonyme Daten.Wenn Daten einer natürlichen Person nicht mehr zugeordnet werden können, sind sie anonym. Darüber besteht Einigkeit. Was aber, wenn mit Kenntnissen Dritter bestimmt werden kann, welche Person hinter den Daten steckt? Zu dieser Frage wurden in Deutschland zwei Ansichten vertreten: Nach dem absoluten Verständnis sind Daten als personenbeziehbar anzusehen, wenn sie irgendjemand auf der Welt einer Person wieder zuordnen kann. Nach dem relativen Verständnis spielt das Zusatzwissen Dritter nur dann eine Rolle, wenn eine realistische Möglichkeit besteht, dass die Daten zur Identifizierung zusammengeführt werden.Der Europäische Gerichtshof kommt zwar zu dem Ergebnis, dass dynamische IP-Adressen einen Personenbezug herstellen können, schließt sich aber dem relativen Verständnis an. Die theoretische Möglichkeit zur Identifizierung durch Kenntnisse Dritter genügt dem Europäischen Gerichtshof nicht, um die Anwendung des Datenschutzrechts zu rechtfertigen. Nur wenn der Betreiber einer Webseite über rechtliche Mittel verfügt, um die Identität des Nutzers durch dessen Telekommunikationsunternehmen ermitteln zu lassen, gelten die Daten als personenbezogen.Die rechtliche Möglichkeit einer Identifizierung sieht der Gerichtshof, wenn die Protokollierung von dynamischen IP-Adressen der strafrechtlichen Verfolgung von Hackern dient und deshalb von den zuständigen Behörden die Identität eines entdeckten Hackers über die IP-Adressen ermittelt werden kann. Ein Telekommunikationsunternehmen protokolliert in der Regel für sieben Tage, wem eine dynamische IP-Adresse zugeordnet war. In dieser Zeit kann beispielsweise die Staatsanwaltschaft eine Auskunft über die Identität des Nutzers verlangen, wenn dies zur Strafverfolgung erforderlich ist. Weiter SpielraumFür Big-Data-Anwendungen bieten die vom Europäischen Gerichtshof angelegten Kriterien einen weiten Spielraum, denn anonymisierte Daten werden hier nicht zu dem Zweck erhoben, sie wieder den jeweiligen Personen zuzuordnen. Das Gericht übernimmt zwei Kriterien aus den Schlussanträgen des Generalanwalts. Danach ist vernünftigerweise nicht von einer Bestimmbarkeit der Daten auszugehen, wenn die Identifizierung von Personen gesetzlich verboten oder praktisch nicht durchführbar ist. Letzteres sei insbesondere der Fall, wenn die Identifizierung einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskräften erfordern würde. Es genüge, wenn das Risiko einer Identifizierung “de facto” vernachlässigbar erschiene.Die Anonymisierung von Daten spielt für Big Data immer dann eine große Rolle, wenn statistische Auswertungen das Ziel sind. So können große Datenbestände mit Kunden-, Mitarbeiter- oder Patientendaten ohne Nennung der betroffenen Personen zusammengeführt werden. Die Anwendung datenschutzrechtlicher Regelungen würde diese Art von Forschung erschweren. Anonymisierung ist deshalb ein wichtiges Instrument, um große Datenmengen sammeln und auswerten zu können, ohne Risiken für die Privatsphäre der betroffenen Personen zu erzeugen. Wieder identifizierbarBei der Sammlung von großen Datenmengen ist es häufig so, dass trotz Anonymisierung jedenfalls derjenige, der die Daten aus seinem Bestand zuliefert, die betroffenen Personen wieder identifizieren könnte. Nach dem Urteil des Europäischen Gerichtshofs genügt dies aber nicht allein, um Daten als personenbezogen im Sinne des Datenschutzrechts einzuordnen. Es kommt darauf an, ob derjenige, der den anonymen Datenbestand verarbeitet, eine rechtliche oder praktische Möglichkeit zur Bestimmung der Personen hat. Wenn die Datenlieferanten die Identität der betroffenen Personen nicht preisgeben dürfen, besteht eine solche rechtliche Möglichkeit nicht. Vernünftigerweise ist deshalb davon auszugehen, dass das Risiko einer Identifizierung vernachlässigbar ist.Die vom Europäischen Gerichtshof angewandten Kriterien fußen auf der Europäischen Datenschutzrichtlinie, die vom 25. Mai 2018 an von der Europäischen Datenschutz-Grundverordnung (2016/679/EU) abgelöst wird. Die neue Verordnung wird zahlreiche Veränderungen im Datenschutzrecht mit sich bringen. Bei der Frage, was personenbezogene oder anonyme Daten sind, beruht die Verordnung aber auf denselben Grundsätzen wie die Richtlinie. Die vom Europäischen Gerichtshof aufgestellten Kriterien können deshalb weiter Anwendung finden.—-*) Ulrich Wuermeling ist Anwalt bei Latham & Watkins