Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

September 12 2011

Veröffentlichung des Namens und der Anschrift eines Geschäftsführers

Das OLG Hamburg (Urteil vom 02.08.2011, Az.: 7 U 134/10) hatte sich mit der Frage zu befassen, ob die Veröffentlichung von Name, Anschrift und Geburtsdatum eines Geschäftsführers, im Zusammenhang mit einer kritischen Beerichterstattung über sein Unternehmen, zulässig ist, wenn die fraglichen Informationen dem irischen Handelsregister zu entnehmen sind.

Das Gericht hält die Veröffentlichung im Ergebnis für zulässig und argumentiert primär datenschutzrechtlich, wobei man sich maßgeblich auf die Vorschrfit des § 28 Abs. 2 BDSG stützt. Die Entscheidung des OLG Hamburg ist im Ergebnis sicherlich zutreffend, wenngleich man datenschutzrechtlich im konkreten Fall wohl eher auf § 29 BDSG hätte abstellen müssen,nachdem Beklagter der Betreiber eines Internet-Forums war. Dieser speichert primär zum Zwecke der Übermittlung an die Nutzer seines Forums. Zudem hätte sich angeboten,  die Frage eines Berichterstattungsprivilegs zu erörtern.

Das Landgericht München I hatte in einem ähnlich gelagerten Fall entschieden, dass der Gesetzgeber für solche Daten, die einem Handelsregister entnommen werden können, die grundsätzliche Abwägung zwischen Persönlichkeitsrecht und öffentlichem Informationsinteresse bereits zugunsten des Informationsinteresses getroffen hat.

July 07 2011

Neuer Aufsatz zur Frage ob die IP-Adresse personenbezogen ist

Unlängst habe ich hier die Frage erörtert, ob IP-Adressen als personenbezogene Daten im Sinne des Datenschutzrechts zu betrachten sind oder nicht. Diese Frage hat weitreichende Konsequenzen im Hinblick auf die Speicherung und Verarbeitung von IP-Adressen, die Zulässigkeit von Statistik-Tools wie Google Analytics und das sog. Tracking ganz allgemein.

Dass sich die juristische Diskussion weiterhin im Fluss befindet und eine abschließende Klärung der Frage noch nicht absehbar ist, zeigt ein gerade in der Zeitschrift MultiMedia und Recht veröffentlichter Aufsatz von Krüger/Maucher mit dem Titel “IP-Adresse wirklich ein personenbezogenes Datum? – Ein falscher Trend mit großen Auswirkungen auf die Praxis” (MMR 2011, 433).

Der Beitrag weist zunächst darauf hin, dass die Auswertung der Rechtsprechung und Literatur zu diesem Thema ein diffuses Bild ergibt. Die Autoren bieten sodann einen guten Überblick über die bisher ergangenen Entscheidungen sowie zu den unterschiedlichen Ansichten im juristischen Schrifttum. Krüger/Maucher selbst vertreten, was der Aufsatztitel schon nahelegt, mit durchaus nachvollziehbarer Argumentation die Theorie vom relativen Personenbezug und sind der Ansicht, dass IP-Adressen in den Händen fast aller datenverarbeitenden Stellen keinen Personenbezug aufweisen.

June 27 2011

Datenschutz: IP-Adressen als personenbezogene Daten

Die Diskussion um die Frage, ob IP-Adressen personenbezogene Daten sind, wird mittlerweile nicht mehr ausschließlich von Juristen geführt, was man angesichts ihrer Bedeutung für den Datenschutz im Netz nur begrüßen kann.

Ich möchte dies zum Anlass nehmen, die rechtliche Streitfrage ausführlicher zu erläutern und die unterschiedlichen Positionen darzustellen. Ausgangspunkt soll die gesetzliche Regelung sein, die wir in § 3 Abs. 1 BDSG

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)

und in Art. 2 a) der EU-Datenschutzrichtlinie

alle Informationen über eine bestimmte oder bestimmbare natürliche Person (“betroffene Person”); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind

finden.

Ein personenbezogenes Datum liegt also dann vor, wenn eine Person bestimmbar ist, wofür es nach der Richtlinie ausreicht, dass die Person indirekt identifiziert werden kann.

Was folgt hieraus für IP-Adressen? Bei dynamischen IP-Adressen kann zumindest mithilfe des Zugangsproviders ermittelt werden, welche Person Anschlussinhaber bzw. Kunde des Providers ist. Dass es sich hierbei nicht um ein theoretisches Szenario handelt, zeigen die Fälle des Filesharing, in denen in jedem Jahr mehrere hunderttausend Anschlussinhaber identifiziert und anschließend abgemahnt werden. Genügt das also, um von einem personenbezogenen Datum auszugehen?

In der juristischen Literatur und auch der bislang eher spärlichen Rechtsprechung besteht seit längerer Zeit Streit darüber, wann eine Person in diesem Sinne bestimmbar ist.

Die Theorie vom absoluten Personenbezug, die insbesondere von den Datenschutzbehörden von Bund und Ländern vertreten wird, geht davon aus, dass es ausreichend ist, wenn irgendein Dritter in der Lage ist, einen Personenbezug herzustellen. Dieser Ansicht zufolge sind IP-Adressen stets personenbezogene Daten, weil zumindest der Access-Provider diese Zuordnung vornehmen kann.

Die Theorie vom relativen Personenbezug nimmt demgegenüber an, dass es maßgeblich darauf ankommt, ob die Stelle, die die IP-Adresse speichert, in der Lage ist, eine (natürliche) Person zu ermitteln und zwar mithilfe der ihr selbst zur Verfügung stehenden Mittel. Das würde bedeuten, dass IP-Adressen nicht per se als personenbezogen zu betrachten sind. Der Betreiber einer Website, der IP-Adressen loggt, kann nämlich regelmäßig mit eigenen Mitteln keinen Personenbezug herstellen.

Aber selbst das ist nicht immer so eindeutig. Nehmen wir das Beispiel Google. Man wird auf den ersten Blick der Ansicht sein, dass ein Anbieter wie Google grundsätzlich nicht in der Lage ist, mithilfe der IP-Adresse eine konkrete Person zu identfizieren. Das sieht aber bereits dann anders aus, wenn ein Nutzer einen Google-Account unterhält, weil er einen der zahlreichen Google-Dienste (Mail, blogger.com, Analytics, AdWords) nutzt und zudem dort gerade eingeloggt ist. In diesem Fall kann Google den Personenbezug selbst herstellen.

In der juristischen Literatur gibt es für beide Ansichten eine Reihe von Vertretern, ein eindeutiges Übergewicht einer der beiden Meinungen ist nicht festzustellen. Je nachdem, was man liest, wird mal die eine und dann wieder die andere Auffassung als herrschend bezeichnet. In der Rechtsprechung sieht es ähnlich aus, wobei dort in der Tendenz eher die Ansicht vom relativen Personenbezug vorherrscht. In diesem Sinne haben sich z.B. das OLG Hamburg, das Landgericht Frankenthal (MMR 2008, 687), das Verwaltungsgericht Düsseldorf und das Amtsgericht München geäußert.

Welche Ansicht ist also richtig? Wenn man sich am Wortlaut der Richtlinie orientiert, dürfte mehr für die Annahme eines absoluten Personenbezugs sprechen. Denn nach Art. 2a) der Datenschutzrichtlinie ist eine Person schon dann als bestimmbar anzusehen, wenn sie indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer. Wenn man die IP-Adresse also als eine Art Kennnummer betrachtet, dann ermöglicht sie über den Umweg des Providers indirekt eine Identifizierung einer natürlichen Person. Diese Ansicht wird noch verstärkt durch Erwägungsgrund 26 der Datenschutzrichtlinie, der u.a. besagt:

Bei der Entscheidung, ob eine Person bestimmbar ist, sollten alle Mittel berücksichtigt werden, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen. Die Schutzprinzipien finden keine Anwendung auf Daten, die derart anonymisiert sind, daß die betroffene Person nicht mehr identifizierbar ist.

Damit ist europarechtlich relativ deutlich zum Ausdruck gebracht worden, dass es nicht nur auf die Möglichkeiten der speichernden Stelle ankommt, sondern es genügt, wenn ein Dritter (Provider) den Personenbezug herstellen kann.

In einem der aktuellen juristischen Aufsätze zum Thema (Sachs, CR 2010, 547) wird die Rechtslage so zusammengefasst, dass sich die Frage anhand der Kriterien der juristischen Methodenlehre nicht eindeutig beantworten lässt, es aber zweifelhaft erscheint, ob die in Deutschland bislang vorherrschende Ansicht vom relativen Personenbezug aufgrund der Regelungen der Datenschutzrichtlinie und der Haltung der Aufsichtsbehörden aufrecht erhalten werden kann.

De lege ferenda halte ich das Ergebnis, dass eine IP-Adresse immer personenbezogen sein soll, aber nicht für sinnvoll, weil damit nach geltendem Recht streng genommen Serverlogs ganz generell und insgesamt unzulässig wären. Die notwendige Lösung besteht darin, internetspezifische Erlaubnistatbestände zu schaffen. Das wäre auch vor dem Hintergrund der Einführung von IPv6 wünschenswert, weil sich dadurch die Personenbeziehbarkeit noch erhöhen wird.

Neue Erlaubnistatbestände würden allerdings im Ergebnis zu einer Aufweichung des aber ohnehin nicht mehr praxistauglichen Datenschutzrechts führen. Bestrebungen in diese Richtung dürften deshalb auf erheblichen Widerstand insbesondere der Datenschutzbehörden stoßen. Aus diesem Grund werden wir wohl weiterhin mit einem Datenschutzrecht leben müssen, das die Onlinewirklichkeit nicht ausreichend abbildet.

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl