Der Tätigkeitsbericht des Bundesdatenschutzbeauftragten
Der alle zwei Jahre erscheinende Tätigkeitsbericht des Bundesdatenschutzbeauftragten ist heute veröffentlicht worden. Das mehr als 200 Seiten starke Papier beschäftigt sich mit einer ganzen Fülle von Fragen. Zwei Themen, die im Netz viel diskutiert werden, habe ich mir näher angeschaut, nämlich das Cloud Computing und die Qualifizierung von IP-Adressen.
Cloud Computing wird von Peter Schaar als Auftragsdatenverarbeitung nach § 11 BDSG betrachtet und ist nach der Ansicht Schaars in seiner Reinform – als ein offenes, globales Modell – mit dem geltenden Datenschutzrecht schwer in Einklang zu bringen. Unabhängig davon, sind die Anforderungen des § 11 BDSG, der eine schriftliche Vereinbarung über die Auftragsdatenverarbeitung und die Einhaltung der dort genannten strengen Voraussetzungen erfordert, zumindest im Massengeschäft kaum zu erfüllen. Oder um es deutlicher zu sagen: Cloud Computing geht nach unserem Datenschutzrecht eigentlich nicht. Nachdem manche Landesdatenschutzbehörden auch das Hosting als Fall des § 11 BDSG betrachten, wäre auch dieses Massengeschäft foglich datenschutzwidrig. Siehe hierzu auch meinen Beitrag „Das Datenschutzproblem„.
Der Bundesdatenschutzbeauftragte befasst sich auch mit der Kontroverse um den Personenbezug von IP-Adressen. Schaar räumt zumindest ein, dass die durchgehende und absolute Qualifizierung von IP-Adressen als personenbezogene Daten nicht einhellige Ansicht ist. Er weist darauf hin, dass das BMI und das BSI IP-Adressen dann nicht als personenbezogen betrachten, wenn sie beim Anbieter einer Website als Nutzungsdaten anfallen. Nach dieser Ansicht dürfen sie deshalb dort beliebig lange gespeichert und sowohl für Statistik- als auch für Datensicherheitszwecke verwendet werden.
Das wird auch von einigen Gerichten so gesehen. An dieser Stelle muss man natürlich berücksichtigen, dass speziell das BMI ein Interesse an dieser Rechtsauslegung hat, weil damit natürlich auch eine Vorratsdatenspeicherung ein Stück weit überflüssig wird. Daten die unbeschränkt lang in zulässiger Weise gespeichert werden, stehen damit natürlich auch für einen Zugriff von Polizei- und Sicherheitsbehörden grundsätzlich zur Verfügung.
Herr Stadler, Ihre Blogs lese ich wirklich gerne.
Sie vergessen nie die Inhalte zwischen den Zeilen verständlich zu machen.
Comment by Gastleser — 12.04, 2011 @ 16:35
Unbestritten dient es zumindest mittelbar Ermittlungsinteressen, wenn Website-Betreiber IP-Adressen nach Belieben loggen dürfen. Warum dies die VDS „ein Stück weit überflüssig“ machen soll, erschließt sich mir aber nicht. Die VDS hat sich gerade nicht auf die aufgerufenen Seiten, sondern nur auf die Zuordnung der IP-Adresse bezogen. Andererseits: Solange überwiegend dynamisch adressiert wird, benötigt man oftmals die VDS, um die geloggten IP zuzuordnen. IP-Speicherung beim Website-Betreiber und VDS machen einander darum nicht überflüssig, sondern stehen zueinander in einem Ergänzungsverhältnis.
Comment by Matthias Bäcker — 13.04, 2011 @ 09:39