Desktop-Version

Start arrow Rechtswissenschaft arrow Internetrecht

< Zurück   INHALT   Weiter >

6.1.2.2 Personenbezogene Daten

Dem datenschutzrechtlichen Regime unterfallen grundsätzlich nur personenbezogene Daten. Da das TMG keine Definition dieses Begriffs enthält, ist auf § 3 Abs. 1 BDSG zurückzugreifen. Demnach sind unter personenbezogene Daten alle Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person zu verstehen. Bestimmt bzw. bestimmbar sind solche Daten, die mit dem Namen des Betroffenen verbunden sind oder zu denen sich ein Bezug ohne unverhältnismäßigen Aufwand unmittelbar herstellen lässt. Lassen sich Daten nicht direkt einer bestimmten Person zuordnen, so liegt nur dann ein Personenbezug vor, wenn die Person bestimmbar ist. Umstritten ist aber, ob eine Person auch dann „bestimmbar“ ist, wenn sie nur indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten oder zu einem oder mehreren spezifischen Elementen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen, sozialen oder geschlechtlichen Identität dieser Person sind. Für die Beurteilung der Bestimmbarkeit müssen jedenfalls alle Kenntnisse, Mittel und Möglichkeiten berücksichtigt werden, die nach allgemeinem Ermessen aller Voraussicht nach zum Identifizieren genutzt werden, wie insbesondere etwaige Kosten, Zeitaufwand und die aller Wahrscheinlichkeit nach künftig zur Verfügung stehenden Technologien. Während einerseits davon ausgegangen wird, dass es dabei nur auf die tatsächlichen Kenntnisse, Mittel und Möglichkeiten der speichernden Stelle ankomme („relative Beurteilung des Personenbezugs“),vertreten andere, dass bereits die theoretische Möglichkeit der Bestimmbarkeit einer Person genügen soll („objektive Bestimmung des Personenbezugs“).Zu berücksichtigen ist aber, dass die bloße theoretische Möglichkeit der Bestimmbarkeit nahezu immer gegeben sein dürfte, was zur Konsequenz hätte, dass jedes Datum, bei dem auch nur irgendein beliebiger Dritter die dahinter stehende Person durch Zusatzwissen bestimmen könnte, für jede speichernde Stelle ein personenbezogenes Datum darstellen würde. Das Genügenlassen einer lediglich abstrakten und auch künftige vage Entwicklungsaussichten mitberücksichtigenden Gefahr, würde die Datenerhebung und -verarbeitung auf diese Weise nahezu unmöglich machen. Zu bedenken ist außerdem, dass auch Erwägungsgrund 26 der Datenschutzrichtlinie (RL 95/46/EG) nur von Mitteln spricht, die „vernünftigerweise“ eingesetzt werden können, um die betreffende Person zu bestimmen. Wollte man anders entscheiden, ergäben sich kaum aufzulösende Schwierigkeiten, weil die verarbeitende Stelle ohne das ihr zugerechnete Zusatzwissen von dritten Stellen (noch) gar nicht wissen kann, wer bei Ausübung etwaiger Auskunftsreche als Betroffener anzusehen ist. Zudem bestünde dann auch kein Anreiz mehr, auf die Erhebung mit konkretem Personenbezug zu verzichten und die Datenerhebung auf andere Daten zu beschränken, weil ohnehin nahezu sämtlichen Daten Personenbezug zugesprochen werden müsste. Erforderlich ist daher eine hinreichend konkrete Gefahr der Bestimmbarkeit. Die Beurteilung des Personenbezugs kann daher richtigerweise immer nur in Bezug zu dem Datenverwender erfolgen, dem gerade nicht alle theoretisch denkbaren Mittel zur Verfügung stehen. Zu berücksichtigen ist aber auf der anderen Seite auch, dass das Gesetz ausdrücklich zwischen bestimmten und bestimmbaren Daten unterscheidet und sich der Datenverwender nicht dadurch den Vorgaben des Datenschutzes entledigen kann, dass er die Mittel, die zur Bestimmung des Personenbezugs erforderlich sind, nicht in den eigenen Händen hält, aber durch Zusatzwissen von kooperierenden Stellen unschwer erhalten kann. Abzustellen ist also auf die jedenfalls nicht fernliegende und konkret gegebene Möglichkeit des Datenverwenders, den Personenbezug gegebenenfalls unter Mitwirkung anderer Stellen herzustellen.

Fraglich ist insbesondere, ob auch dynamische IP-Adressen personenbezogene Daten darstellen. Dynamische IP-Adressen werden vom Access-Provider bei der Einwahl ins Internet zeitlich auf die jeweilige Session begrenzt vergeben. Nach der Trennung der Verbindung steht diese dem Access-Provider wieder zur Vergabe an andere Internetnutzer zur Verfügung. Eine IP-Adresse stellt sich daher zumindest für denjenigen als personenbezogen dar, der – wie der Access-Provider – den sich hinter der IP-Adresse verbergenden Nutzer identifizieren kann. Hinzu kommt, dass eine Identifizierung nicht selten auch durch weitere Mittel möglich ist, beispielsweise, wenn sich der Nutzer bei dem Anbieter während der Nutzung mit einer ihn identifizierenden Kennung zu erkennen geben muss. Demgegenüber wird hinsichtlich des einfachen Internetseitenbetreibers vertreten, dass dieser aufgrund der datenschutzrechtlichen Unzulässigkeit der Weitergabe des hinter der IP-Adresse stehenden Nutzers durch den Access-Provider (vgl. § 113b S. 1 TKG) keinen Personenbezug herstellen könne.

Der BGH hat die Streitfrage bzgl. des Personenbezugs der IP-Adresse inzwischen dem EuGH vorgelegt. Entscheidende Bedeutung hat der Personenbezug der IP-Adressen nicht nur für die Frage, wie lange bzw. unter welchen Voraussetzungen Provider IPAdressen speichern dürfen, sondern auch für so genannte Cookies und sonstige Verfahren (Web Analytics, Web Controlling, Web-Bugs oder auch Webtracking), mit denen Einstellungen auf einer Internetseite sowie Interessen und das Surfverhalten des Nutzers verfolgt und gespeichert werden können und für welche in aller Regel erst in Kombination mit der IP-Adresse ein Personenbezug hergestellt werden kann. Sieht man IP-Adressen als personenbezogenen Daten, wäre die Erhebung und Verwendung der IP-Adresse ohne Einwilligung des Internetnutzers datenschutzwidrig und somit auch die Verwendung von Analyse-Tools unzulässig, sofern sie die IP-Adresse erfassen. Ähnliche Fragen stellen sich ferner für Verfahren, mit denen eine Gerätekennziffer, wie etwa von einem Smartphone, ausgelesen wird, für die von anderer Seite auch der Name des Nutzers erhoben wurde.

 
Fehler gefunden? Bitte markieren Sie das Wort und drücken Sie die Umschalttaste + Eingabetaste  
< Zurück   INHALT   Weiter >

Related topics