… und prallte gegen einen Feldbusch

Begriff der personenbezogenen Daten. Ich werde auch nicht zuletzt deshalb gefragt, was denn alles darunter zu verstehen ist. Ein gerne genommenes Beispiel dazu ist ein Bericht des Polizeikommissariats Verden aus dem Jahr 1998. Zu einem Verkehrsunfall hieß es darin: „Ein international bekannter 44jähriger Popstar aus Rosengarten geriet mit seinem Pkw infolge von Unachtsamkeit auf der regennassen Fahrbahn ins Schleudern, rutschte in den rechten Seitenraum, prallte gegen einen dort befindlichen Feldbusch…“ Popstar, Rosengarten, Feldbusch? Na raten Sie mal.

Das Bundesdatenschutzgesetz definiert personenbezogene Daten als Einzelangaben über persönliche oder sachlicheVerhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Bei der Bestimmbarkeit kommt es auf den Verwendungszusammenhang an. Eine Person ist dann bestimmbar, wenn Einzelangaben aus dem Zusammenhang heraus eine Identifikation der Person ermöglichen. Und damit wird ein „Feldbusch“ in der o.g. Polizeiberichterstattung zu einem personenbezogenem Datum. Wenn Sie das auf Ihren Alltag beziehen, dürfte schnell klar werden, dass der Schutzbereich „personenbezogene Daten“ sich z.B. nicht nur auf Personaldaten beschränkt, sondern allgegenwärtig ist.

Besondere Bedeutung hat diese Frage im Zusammenhang mit IP – Adressen erlangt. Jeder PC, der mit dem Internet verbunden ist, ist über eine eindeutige Nummer, der sog. IP-Adresse (Internet Protocol Adresse) identifizierbar. Oft wird diese Adresse von Internetdienstanbietern (Provider) dynamisch vergeben, d.h. ein PC bekommt bei jeder Verbindung mit dem Internet eine neue IP zugewiesen. Der Provider protokolliert die Vergabe der Adressen und kann jederzeit prüfen, wann ein PC mit welcher IP-Adresse online war. Die sich hieraus ergebene Frage ist, ob eine IP-Adresse eine Person bestimmbar macht, damit ein personenbezogenes Datum ist, oder nicht. Die Rechtsprechung ist sich hier nicht einig, eine jüngst vom Amtsgericht München getroffene Entscheidung sagt nein, das AG Berlin hat letztes Jahr anders geurteilt.

Im Wesentlichen gehen die Auffassungen der Gerichte dahingehend auseinander, wie hoch die Anforderungen an den Personenbezug von Daten zu stellen sind. München meint, dass theoretisch nur Zugangsprovider die durch sie vergebenen IP-Adressen anhand eines Zeitstempels einem Kunden zuordnen können, was der Betreiber einer Webseite nicht kann. Die nur „theoretisch denkbare“ Möglichkeit einer Identifizierung der Nutzer setze nach Auffassung der Münchner eine Herausgabe der Daten des Access-Providers an den jeweiligen Webseitenbetreiber voraus. Da eine solche Herausgabe aber illegal sei, könne eine solche Handlung für die Frage des Personenbezugs nicht berücksichtigt werden. Demgegenüber sagt das AG Berlin, dass wenn zwar nicht die speichernde Stelle, aber ein Dritter eine Angabe der Person des Betroffenen zuordnen kann, so ist das Datum personenbezogen.

Unabhängig davon, dass ein einzelner Nutzer mit einer festen IP-Adresse auch für einen Webseitenbetreiber identifizierbar ist, hat die Fa. Logistep AG Aufsehen im Zusammenhang mit einer Auswertung von IP-Adressen und der Ermittlung dahinter stehender Personen erregt. Logistep sammelt mittels einer speziell dafür entwickelten Software heimlich die IP von Personen, die in Filesharing-Systemen mutmaßlich Dateien ohne Zustimmung der Rechteinhaber anbieten. Für die Strafverfolgung wird hierbei der Internet Service Provider der Betroffenen durch die Staatsanwaltschaft gezwungen, die Kundendaten herauszugeben, denn nach dem deutschen Urheberrecht machen sich Teilnehmer strafbar, wenn sie urheberrechtlich geschützte Inhalte ohne Erlaubnis des Urhebers oder des Rechtsinhabers im Internet anderen zum Herunterladen zur Verfügung stellen. So gelangt Logistep über den Umweg einer Strafanzeige an die Kundendaten. Die Betroffenen werden dann von einer Anwaltskanzlei abgemahnt.

Der Datenschutzbeauftragte der Schweiz, Hanspeter Thür, hat der in Zug registrierten Firma Logistep AG im Januar 2008 empfohlen, bis zu einer eventuellen gerichtlichen Klärung die weitere Bearbeitung von entsprechenden Personendaten zu unterlassen, was der Berliner Entscheidung entspricht. Logistep ließ eine gesetzte Frist jedoch mit der Begründung verstreichen, dass der Datenschutzbeauftragte nicht zuständig sei. Jetzt liegt der Fall dem Bundesverwaltungsgericht der Schweiz zur Entscheidung vor.

Auch das Vorgehen der Fa. Logistep mag für den geneigten Leser nur ein Aspekt zu sein, der ihn selbst nicht betrifft, man hat ja schließlich nichts zu verbergen, wenn man sich an die geltende Rechtsordnung hält. Aber: Jeder Nutzer hinterlässt im World Wide Web Spuren, die Rückschlüsse auf seine Person und seine Vorlieben zulassen, sofern jemand ein Interesse und die Möglichkeiten hat, diese Datenspuren zu einem Bild zusammenzufügen. Der ehemalige Datenschutzbeauftragte des Landes Schleswig-Holstein, Dr. Hans-Jürgen Bäumler, hat das schon 2002 in einem Interview in der Computerzeitschrift c´t  so beschrieben: „Im Alltag muss niemand ein Namensschild tragen und sich am Kiosk registrieren lassen, wenn er eine Zeitung kauft“.

Warum sollte das im Internet anders sein? Neben grundsätzlichen Überlegungen zur Frage nach den Freiheitsrechten spricht ein weiterer Aspekt für ein Recht auf Anonymität im Internet. Daten können nicht nur für Ermittlungsbehörden oder kommerzielle Unternehmen von Interesse sein, sondern auch für Internet-User, die IP-Adressen scannen, um Sicherheitslücken auf PC ausfindig zu machen und Computer für ihre Zwecke zu missbrauchen.