Ist sie eine personenbezogene oder zumindest personenbeziehbare Information? Darüber wird viel diskutiert. In Bezug auf Websites und andere internetbezogene Dienste ist dies jedenfalls eine hochbrisante Frage mit weitreichenden Konsequenzen.
Absoluter oder relativer Ansatz bei verschlüsselten Daten?
Bei der Frage nach dem Personenbezug kennt der Datenschutz die Unterscheidung zwischen einem „absoluten“ und einem „relativen“ Ansatz. Dieser sehr spezielle Aspekt sorgte für jahrelange und sehr kontroverse Diskussionen hinsichtlich des Personenbezugs von dynamischen IP-Adressen.
Absoluter Ansatz
IP-Adressen sind immer personenbezogen. Demnach unterliegen diese Daten immer dem Datenschutz, solange irgendjemand die dazugehörige Person kennt oder ermitteln könnte. Diese Argumentation ist nicht ganz unkritisch, weil ein „Besitzer“ der Daten diese Frage bei pseudonymisierten Daten (wie IP-Adressen) nicht immer sicher beurteilen kann.
Relativer Ansatz
IP-Adressen sind personenbezogen, wenn der Verarbeiter internes oder externes Wissen nutzen kann (z.B., wenn er eine Strafanzeige wegen Urheberrechtsverletzung erstattet und der Staatsanwaltschaft die IP-Adresse nennt und der Verarbeiter dann Akteneinsicht nimmt).
Problemstellung
Die Abmahnwelle rund um die Google-Fonts basiert auf der Annahme, dass die persönliche IP-Adresse eines Website-Besuchers widerrechtlich an den US-Konzern Google weitergegeben worden sei. Letztlich ist das Thema aber viel größer, denn es geht ganz grundsätzlich um die Einbindung externer Ressourcen auf der Website.
Während die Deutschen Aufsichtsbehörden und der EuGH hierzu recht pauschale Einschätzungen verlautbaren lassen, ist diese Stellungnahme erfrischend konkret ablehnend. Allerdings gibt es dazu auch eine herbe Kritik. Die Beurteilung hängt von vielen Details ab. Beispielsweise im Falle der Nutzung von Google-Produkten gibt es die Besonderheit, dass viele Nutzer mit ihren Endgeräten ständig eingeloggt sind und die Google Inc. insofern letztlich immer einen Personenbezug herstellen kann. Aus diesem Grund sollte man sich bei allen Onlinediensten immer so schnell wie möglich wieder explizit ausloggen.
FAZIT
Eine fachlich abschließende und immer gültige Beurteilung lässt sich wohl kaum finden. Vielleicht sieht ein Kompromiss folgendermaßen aus: Intern sollten Sie vorsichtshalber immer davon ausgehen, dass IP-Adressen personenbezogen sind. Doch im Falle von drohenden Bußgeldern oder Schadenersatzforderungen sollten Sie nicht scheuen das Gegenteil detailliert begründet zu formulieren.
