Zwischen den
EU-Datenschützern
in Gestalt der
Art. 29
Datenschutzgruppe
und Google sind
mehrere Fragen
seit Jahren
umstritten; so
auch die nach
einem
Personenbezug
von IP-Adressen.
Wollte man einen
solchen
annehmen,
bestünde für
Google ein
Rechtfertigungsbedarf
für die
Speicherung der
IP-Adressen von
Nutzern der
Suchmaschine und
wäre das
Websitestatistikprogramm
Google Analytics
rechtswidrig.
Dieses speichert
die IP-Adressen
der Besucher
einer Website,
die diese
Software
verwendet.
In der
Diskussion
stehen sich zwei
Ansichten
gegenüber.
-
Nach den Vertretern des objektiven Begriffs genügt es, dass Access-Provider die hinter der IP-Adresse stehende Person ermitteln können. Auf die konkreten Möglichkeiten eines Websitebetreibers oder von Google wäre demnach nicht abzustellen. Eine Information ist entweder personenbezogen oder eben nicht und dann für alle.
-
Nach der Ansicht vom relativen Personenbezug kommt es auf die Verhältnisse der jeweils verarbeitenden Stelle an und darauf ob für diese die Person hinter der IP-Adresse bestimmbar ist. (Ausführlicher zu der Diskussion bereits Anfang letzten Jahres: AG-Berlin: IP-Adresse ist personenbezogen, Die Ansicht der Datenschutzbeauftragten und der Literatur zu IP-Adressen, IP-Adressen als personenbezogene Daten - Die Folgen)
In der Ausgabe
1/2009 der MMR
äußert sich Per
Meyerdierks
ausführlich zu
dieser Frage.
Auch wenn der
Beitrag seine
persönliche
Ansicht
wiedergibt, soll
nicht unerwähnt
bleiben, dass er
Justitiar bei
der Google
Germany GmbH
ist. Taktisch
sehr geschickt,
geht er nicht
der Frage nach,
ob für Google
eine IP-Adresse
als
personenbezogenes
Datum zu gelten
hat, sondern
stellt
"gewöhnliche
Websitebetreiber"
in den
Mittelpunkt
seiner
Überlegungen.
Das ist aus
meiner Sicht
klug, weil diese
die geringsten
Möglichkeiten
haben, die
Person hinter
der IP-Adresse
herauszufinden
und es anhand
dieser
Konstellation am
einfachsten ist,
die Theorie von
einem objektiven
Begriff des
Personenbezugs
zu erschüttern.
Und in dem sehr
lesenswerten
Beitrag gelingt
ihm dies auch
hervorragend.
Wer weiterhin
gegen die
Relativität des
Personenbezugs
argumentieren will,
wird sich die
Mühe machen
müssen, seine
Überlegungen zu
entkräften, von
denen zumindest
einige auf den
ersten Blick
überzeugend
klingen. Ich
werde versuchen,
in nächster Zeit
hier den einen
oder anderen
Aspekt
aufzugreifen und
zu hinterfragen.
An dieser Stelle
nur eine kurze
Anmerkung:
Nach
Erwägungsgrund
26 der
EU-Datenschutzrichtlinie
sind bei der
Prüfung der
Personenbestimmbarkeit
alle Mittel zu
berücksichtigen,
die
vernünftigerweise
entweder von dem
Verantwortlichen
für die
Verarbeitung
oder von einem
Dritten
eingesetzt
werden können.
Da
Access-Provider
bei der
Weitergabe von
Daten zumindest
gegen das BDSG
verstoßen
würden, könne
ein solches
Verhalten nicht
als
"vernünftig" i.S.d.
Erwägungsgrundes
angesehen
werden. Klingt
erst einmal ganz
einsichtig, aber
wenn ich von der
Relativität des
Personenbezugs
ausgehe, reicht
es ja, wenn die
Person hinter
der IP-Adresse
von irgendwem
bestimmt werden
kann. Und der
Access-Provider
kann natürlich
die Person
ermitteln. Er
muss die Daten
ja nicht
weitergeben; er
handelt nicht
rechtswidrig.
Damit wären die
Voraussetzungen
des
Erwägungsgrundes
erfüllt und
Meyerdirks
interpretiert
nach meiner
Ansicht hier in
diesen zu viel
hinein. Die
rechtswidrige
Weitergabe der
Daten spielt für
die
"Vernünftigkeit"
noch keine
Rolle.
