Internet-Law

Die EU Kommission hat zu dem Themenbereich RFID und Datenschutz eine Empfehlung an die Mitgliedsstaaten ausgesprochen.

Danach soll bei der Verwendung von RFID-Chips ein striktes Opt-In-Verfahren gelten, um den Schutz der Privatsphäre zu gewährleisten. Die Grundsätze der Kommission lauten:

– Den Verbrauchern sollte bekannt sein, welche Artikel in den Geschäften mit RFID-Chips ausgestattet sind. Beim Kauf solcher Artikel sollten die Chips noch im Geschäft automatisch, umgehend und kostenfrei deaktiviert werden, es sei denn, sie sollen auf ausdrücklichen Wunsch des Käufers entsprechend dem Opt-in-Prinzip funktionsfähig bleiben. Ausnahmen sind zulässig, etwa um unnötige Belastungen der Einzelhändler zu vermeiden, wenngleich zuvor mögliche Beeinträchtigungen der Privatsphäre zu untersuchen sind.

– Unternehmen und Behörden, die RFID-Chips verwenden, sollten den Verbrauchern einfache und klare Informationen bereitstellen, damit sie verstehen, wann welche personenbezogenen Daten (z. B. Name, Adresse, Geburtsdatum) zu welchem Zweck verwendet werden. Zudem sollten die Geräte, mit denen die Daten aus den RFID-Chips ausgelesen werden, klar gekennzeichnet sowie Anlaufstellen genannt werden, bei denen die Bürger nähere Informationen erhalten können.

– Einzelhandelsverbände und -organisationen sollten die Verbraucher durch ein europaweit einheitliches Zeichen über die Präsenz von RFID-Chips an Produkten informieren.

– Unternehmen und Behörden sollten vor der Verwendung von RFID-Chips Folgenabschätzungen zum Datenschutz durchführen. Diese werden von den nationalen Datenschutzbehörden überprüft und sollen die Sicherheit und den Schutz personenbezogener Daten gewährleisten.
Quelle: Pressemitteilung der Kommission vom 12.05.09

Eine neue Studie von TNS-Infratest, die am 30.01.09 vorgestellt wurde, hat einen Bewusstseinswandel der Internetnutzer beim Datenschutz in Richtung einer größeren Freizügigkeit im Umgang mit persönlichen Daten festgestellt.

Das ist wenig erstaunlich, zumal wenn ich lese, dass diese Studie von Microsoft in Auftrag gegeben worden ist. Denn die sind ja bekanntlich beim Datenschutz ganz weit vorn. ;-)

Quelle: magnus.de

Zum dritten Mal findet heute der Europäische Datenschutztag statt, in Berlin mit einer zentralen Veranstaltung der Datenschutzbeauftragten von Bund und Ländern. Kernpunkt ist diesmal die Frage „Wieviel darf mein Arbeitgeber über mich wissen?“

Die sog. Art29-Gruppe der Datenschutzbeauftragten der EU hat nach einem zweitägigen Meeting für April 2009 einen Report zu Suchmaschinen, speziell zur Dauer der Speicherung von Suchanfragen, angekündigt.

Wie die Herald Tribune berichtet, besteht unter den Datenschützern Konsens, dass von Google und Co. Änderungen und Anpassungen gefordert werden sollen, damit die Einhaltung der Vorgaben des europäischen Datenschutzes gewährleistet ist.
Quelle: European privacy advocates to issue report in April (Herald Tribune vom 20.01.2009)

Seit Jahren wird die Frage, ob IP-Adressen personenbezogene Daten i.S.d. BDSG sind, kontrovers diskutiert.

Während die Datenschutzbehörden mittlerweile einheitlich annehmen, dass IP-Adressen als personenbezogene Daten zu qualifizieren sind, ist die Frage in der juristischen Literatur äußerst umstritten.

In der aktuellen Ausgabe der Zeitschrift MultiMedia und Recht (MMR) findet sich ein Aufsatz von Per Meyerdierks (MMR 2009, S. 8 ) zu diesem Thema mit dem Titel „Sind IP-Adressen personenbezogene Daten?“. Meyerdierks ist Justitiar der Google Germany GmbH, weshalb seine Ansicht, IP-Adressen seien keine personenbezogene Daten, nicht überraschend kommt. Google hat gerade wegen solcher Dienste wie Google Analytics kein gesteigertes Interesse daran, IP-Adressen als personenbezogen einzustufen.

Meyerdierks stellt zunächst die Streitfrage dar, ob der erforderliche Personenbezug objektiv zu bestimmen ist oder subjektiv/relativ danach zu fragen ist, ob die konkret verarbeitende Stelle den Personenbezug selbst herstellen kann.

Sodann stellt er fest, dass der Wortlaut des § 3 Abs. 1 BDSG für keine der beiden Ansichten zwingende Argumente liefert.

Meyerdierks versucht anschließend aus einem Umkehrschluss aus § 3 Abs. 6 BDSG abzuleiten, dass IP-Adressen keine personenbezogene Daten sind. § 3 Abs. 6 BDSG enthält eine Legaldefinition der Anonymisierung von Daten. Danach sind anonymisierte Daten u.a. solche, die nur mit einem unverhältnismäßigen Aufwand einer bestimmten Person zugeordnet werden können. Da IP-Adressen nach Meinung des Autors allenfalls mit unverhältnismäßigem Aufwand personalisiert werden können, hält er eine Gleichseitzung von IP-Adressen und anonymisierten Daten für gerechtfertigt.

Insoweit bleibt aber die Frage offen, ob man bei IP-Adressen von einem unverhältnismäßigen Aufwand sprechen kann und v.a. aus wessen Sicht der Aufwand unverhältnismäßig sein muss.

Der Zugangsprovider kann, wenn er IP-Adressen geloggt hat, diese ohne nennenswerten Aufwand dem Anschlussinhaber zuordnen. Aus seiner Sicht ist der Aufwand also gering. Sogar derjenige, der sich in seinen Rechten verletzt fühlt, kann, über den Umweg des strafrechtlichen Ermittlungsverfahrens und über Auskunftsansprüche nach §§ 101 Abs. 2 UrhG, 19 Abs. 2 MarkenG beim Provider die zur IP-Adresse gehörige natürliche Person ermitteln.

Der Aufsatz von Meyerdierks lässt außerdem eine Auseinandersetzung mit Art. 2a) der Datenschutz-Richtlinie vermissen. Anders als der Wortlaut des BDSG spricht der Wortlaut der Richtlinie nämlich sehr wohl dafür, IP-Adressen als personenbezogene Daten zu qualifizieren. Hiernach wird eine Person als bestimmbar angesehen, wenn sie indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer.

Gerade das passt auf IP-Adressen sehr gut. IP-Adressen sind eine Art Kennnummer, die über den Umweg des Providers und damit indirekt eine Identifizierung einer natürlichen Person ermöglichen.

Damit hat der europäische Gesetzgeber auch klargestellt, dass die Möglichkeit der indirekten Identifizierung ausreichend ist. Dadurch ist der Ansicht, es käme nur auf das Wissen der konkret verarbeitenden Stelle an und die Kenntnisse Dritter könnten nicht berücksichtigt werden, der Boden entzogen.

Die Diskussion wird wohl noch eine Weile andauern.