Rechtstipp – Wie werden personenbezogene Daten geschützt?

Der Begriff „Vorratsdatenspeicherung“ ist in aller Munde. Die Debatte um die Speicherung von personenbezogenen Daten durch oder für öffentliche Stellen ohne aktuellen Bezug ist hochbrisant. Private Unternehmen können natürlich ohne Einwilligung der betreffenden Person keine Daten speichern. Aber die Verunsicherung mancher Internetnutzer ist doch groß. Denn: Was fällt unter personenbezogene Daten im Sinne des § 3 Bundesdatenschutzgesetz (BDSG)? Wie kann der Einzelne Einfluss auf die Speicherung seiner Daten nehmen?

Personenbezogene Daten nach § 3 BDSG

Personenbezogene Daten sind laut Gesetzestext „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“. Als Daten gelten dabei alle beliebigen Informationen über eine Person selbst oder deren Verhalten bzw. Aussagen.

Personenbezogene Daten sind zum Beispiel

  • Name
  • Postadresse
  • Telefonnummer
  • E-Mail-Adresse
  • Bilder
  • Aufenthaltsort

Nicht personenbezogen sind anonyme Daten. Diese liegen dann vor, wenn Accounts unter einem Fantasienamen oder Pseudonym angelegt werden. Doch Achtung: Werden diese mit personenbezogenen Daten zusammengeführt und eine Person dadurch bestimmbar, sind auch die anonymen Daten personenbezogen.

Ist die IP-Adresse ein personenbezogenes Datum?

Die IP-Adresse ist ein Zahlencode, der als Adresse in Computernetzen fungiert. Sie basiert auf dem Internetprotokoll (IP). Wird die IP-Adresse bestimmten mit dem Internet verbundenen Geräten zugewiesen, macht das diese erreichbar und adressierbar. Die IP-Adresse ist nicht ohne weiteres ein personenbezogenes Datum. Nur dort, wo die IP-Adresse ohne gerichtlichen Beschluss eine Person unzweifelhaft bestimmt, gilt sie als personenbezogenes Datum. Das trifft vor allem auf statische IP-Adressen zu. Bei den dynamischen IP-Adressen ist dies problematischer, da ein Provider als Auskunftsstelle zwischengeschaltet werden muss.

Wird im Browser eine Webseite aufgerufen, so übermittelt der PC des Nutzers neben dem Browser-Typ, dem Betriebssystem und dem Referer-Feld auch die IP-Adresse. Diese Übertragung kann mit einigen Kniffen blockiert werden. Angeboten werden entweder eine modifizierte Firefox-Version (Tor-Browser-Paket), die Einrichtung eines VPN (Virtual Private Network) oder die Verwendung eines Proxy-Servers. Der Internetnutzer ist dem Abgreifen seiner Daten also nicht schutzlos ausgeliefert. Außerdem bieten viele Webseiten-Betreiber ihrerseits ein Anonymisierungsverfahren für IP-Adressen an.

Wann können personenbezogene Daten erhoben, verarbeitet und weitergeleitet werden?

Die Erhebung, Verarbeitung und Weiterleitung von personenbezogenen Daten setzt die ausdrückliche Einwilligung der betreffenden Person voraus. Auch Gesetze können die Datenverarbeitung rechtfertigen, zum Beispiel bei Anmeldedaten zu Social Media-Auftritten. Die Einwilligung muss ausdrücklich erfolgen – elektronisch ist also aktiv ein Kontrollkästchen anzuklicken. Außerdem muss die Datenschutzerklärung mit Einwilligungsmöglichkeit deutlich erkennbar sein.

Wichtig sind weitere Voraussetzungen:

  1. Der Datennutzer muss den Betroffenen über Umfang und Zweck der Datenverarbeitung informieren.
  2. Die erhobenen Daten können dann nur für den vorgesehenen Zweck verwendet werden.
  3. Eine weitergehende Verwendung ist rechtswidrig.
  4. Es sind nur für den eigentlichen Zweck erforderliche Daten und nur vom Betroffenen selbst zu erheben.
  5. Die Datenschutzerklärung muss eine Widerrufsbelehrung und -möglichkeit enthalten.
  6. Werden die erhobenen Daten für den Zweck nicht mehr gebraucht, müssen sie gelöscht werden.

Datenschutzerklärungen schützen personenbezogene Daten

Datenschutzerklärungen sollten sich stets zu personenbezogenen Daten äußern. Werden solche Daten erhoben, weiterverarbeitet oder sogar weitergeleitet, muss der Nutzer einer Webseite hierüber aufgeklärt werden. Nur so kann er die Einsicht gewinnen, welche Daten vom Webseiten-Betreiber erhoben werden, in welcher Form diese für den konkreten Vorgang verarbeitet werden und wohin diese eventuell weitergeleitet werden.

Fazit:

Wer im Netz surft, muss sich über die Konsequenzen im Klaren sein. Auch wenn nirgendwo ein Anmeldevorgang erfolgt, kann der Internetnutzer über seine IP-Adresse identifiziert werden. Dann gilt sie als personenbezogenes Datum. Wird sie mit weiteren Daten zusammengeführt, gilt das Gleiche. Panik ist deshalb nicht nötig, werden doch solche Daten nur mit Einwilligung gespeichert.

Quellen:

IP-Adresse verschleiern
http://praxistipps.chip.de/ip-adresse-verschleiern-so-gehts_35690

Weiterführende Literatur:

Thomas Schwenke, Social Media Marketing & Recht, 2012


Datenschutz Datenschutzerklärung personenbezogene Daten Rechtstipp Tracking