Nach der bundesrechtlichen
Legaldefinition in § 3 I BDSG sind personenbezogene Daten
„Einzelangaben über persönliche oder sachliche Verhältnisse
einer bestimmten oder bestimmbaren natürlichen Person.“ Die
Ländergesetze enthalten ähnlich lautende Legaldefinitionen.
Nach Artikel 2 a der Europäischen Datenschutzrichtlinie vom
24.10.1995 sind personenbezogene Daten als „alle
Informationen über eine bestimmte oder bestimmbare
natürliche Person“ definiert.
Wir haben im
ersten Eintrag
bereits gesehen, dass nach Ansicht des AG Berlin IP-Adressen
personenbezogene Daten sind. Damit steht das Gericht nicht
alleine da.
Der Niedersächsische und der
Hessische Datenschutzbeauftragte gehen an diese Frage
differenziert nach den jeweiligen Beteiligten im Internet
heran (Access Providern, Content Providern, Hosting
Services).
Access-Provider vergeben auch dynamische IP-Adressen, können
diese dann aber auch auf eine bestimmte Person zurückführen.
Von daher ist ohne weiteres nachvollziehbar, dass für diese
Anbieter IP-Adressen personenbezogen sind.
Für einen Content-Provider ist
dies auf den ersten Blick nicht so recht verständlich. Wenn
Sie z.B. in Statistiken zu Ihrer Website auch die IP-Adresse
ihrer Besucher erfahren, dann wissen Sie zunächst überhaupt
nicht, wer sich dahinter verbirgt. Wenn Sie aber auf der
Website auch Dienste anbieten, die nur nach Registrierung
zugänglich sind, sieht das schon wieder anders aus. Dann
haben sie die IP-Adresse des sich registrierenden Nutzers
und können die IP-Adresse in der Statistik entsprechend auch
einer Person zuordnen. Wenn Sie sich schließlich an einen
Access-Provider wenden, könnte dieser überdies der
IP-Adresse (ob rechtmäßig oder nicht sei dahingestellt)
einer Person zuordnen. Die Legaldefinition spricht nur von
bestimmbaren natürlichen Person. Das ist die IP-Adresse aber
immer. Je nachdem, wer die Information nachsucht, kann sich
die Bestimmung als schwer durchführbar erweisen und an
rechtlichen Grenzen scheitern. Alleine die Möglichkeit, dass
es zu einem Missbrauch kommen kann, genügt aber bereits, um
den Schutz der Datenschutzgesetze eingreifen zu lassen. Von
daher ist die Ansicht der Berliner Richter und der
Datenschutzbeauftragten durchaus folgerichtig.
Dies wird zudem durch die
Richtlinie
95/46/EG zum Schutz natürlicher Personen bei der
Verarbeitung personenbezogener Daten erhärtet:
26. Die Schutzprinzipien müssen
für alle Informationen über eine
bestimmte oder bestimmbare Person
gelten. Bei der Entscheidung, ob eine
Person bestimmbar ist, sollten alle
Mittel berücksichtigt werden, die
vernünftigerweise entweder von dem
Verantwortlichen für die Verarbeitung
oder von einem Dritten eingesetzt werden
könnten, um die betreffende Person zu
bestimmen.
Als Dritter in diesem Sinne
kann der Zugangsprovider angesehen werden.
Ganz einheitlich ist das
Meinungsbild in der Literatur jedoch noch nicht. Einige
Autoren sind der Auffassung, personenbezogen sei eine
Information nur dann, wenn gerade die jeweils speichernde
Stelle den Nutzer identifizieren kann (So Gola/Schomerus,
BDSG, § 3, Rn. 9; Schaffland/Wiltfang, BDSG, § 3, Rn. 17;
Bergmann/Möhrle/Herb, Datenschutzrecht, § 3, Rn. 16).
