Deutscher Bundestag – 17. Wahlperiode
– 49 –
setzt. Der Einsatz dieses Dienstes zur Analyse des Nutzungsverhaltens war unzulässig, da seine derzeitige Konfiguration eine wirksame Wahrnehmung der Rechte auf
Widerspruch, Information und Auskunft sowie Löschung
der gespeicherten Daten durch den Betroffenen nicht zuließ (vgl. dazu Nr. 4.3). Ich habe die in meinem Zuständigkeitsbereich liegenden Krankenkassen über meine Rechtsauffassung informiert und gebeten, den Einsatz von
Google Analytics umgehend einzustellen und die vorhandenen Daten zu löschen. Die betreffenden Websiteanbieter
haben daraufhin erklärt, diesen Webanalysedienst zukünftig nicht mehr zu verwenden. Eine stichprobenartige Überprüfung hat diese Zusagen bestätigt.
4.3.2
Immer noch: Der Dissenz bei
IP-Adressen
IP-Adressen sind personenbezogene Daten. Dies wird nicht
von allen so gesehen.
Im Zusammenhang mit meiner Aufsichtstätigkeit im Bereich der Bundesbehörden spielt nicht unwesentlich die
„alte“ Frage eine Rolle, ob IP-Adressen personenbezogene Daten sind. Nach Auffassung des BMI und des BSI
handelt es sich bei IP-Adressen dann nicht um personenbezogene Daten, wenn sie beim Anbieter einer Website
als Nutzungsdaten anfallen. Sie dürften deshalb dort beliebig lange gespeichert und sowohl für Statistik- als auch
für Datensicherheitszwecke verwendet werden.
Demgegenüber gehe ich davon aus, dass IP-Adressen – jedenfalls im Regelfall – als personenbezogene Daten anzusehen sind, weil mit Hilfe weiterer Informationen ein Personenbezug herstellbar ist. Dies entspricht auch der
Position der Artikel-29-Gruppe der europäischen Datenschutzbehörden. In ihrem Positionspapier vom 20. Juni
2007 (WP 136 – http://ec.europa.eu) stellte sie fest, dass
IP-Adressen – unabhängig davon, ob sie beim Zugangsvermittler oder beim Internet-Anbieter anfallen – als personenbezogen anzusehen sind, da sie sich auf eine bestimmbare Person beziehen.
In der Vergangenheit habe ich die Speicherung von
IP-Adressen von Website-Nutzern durch Bundesbehörden
bereits für unzulässig erklärt (vgl. etwa 22. TB Nr. 7.9)
und eine entsprechende Änderung der Speicherungspraxis
angemahnt. Leider beruft sich eine nicht geringe Anzahl
der Bundesbehörden auf die Position des BMI: Das BMI
will das Ergebnis eines Gerichtsverfahrens abwarten, in
dem es um die Klage eines Bürgers gegen die Bundesregierung, vertreten durch das BMI, wegen der unzulässigen
Speicherung von IP-Adressen beim Besuch von Internet-Angeboten der Bundesbehörden geht.
Ungeklärt ist nach Auffassung des BSI solange auch noch
die Frage, in welcher Form die Nutzungsdaten auf Basis
des BSI-Gesetzes verarbeitet werden dürfen. Das Gesetz
trifft keine Festlegung dazu, ob IP-Adressen als personenbezogen anzusehen sind oder nicht. Eine Regelung
gibt es jedoch für beide Fälle: die Protokolldaten, die im
Kommunikationsnetz des Bundes anfallen, müssen – nur
dann – vor der Verarbeitung zu Datensicherheitszwecken
durch das BSI pseudonymisiert werden, wenn sie personenbezogene Daten enthalten (vgl. u. Nr. 5.2).
4.4
Drucksache 17/5200
Ende eines langen Weges: Die EU-Telekommunikationsrichtlinien wurden
beschlossen
Mit ihrer Veröffentlichung im Amtsblatt der EU am
18. Dezember 2009 (L 337/11) sind die Änderungsrichtlinien zur Regulierung des Telekommunikationssektors in
Kraft getreten und müssen bis zum 25. Mai 2011 in nationales Recht umgesetzt werden.
Im Dezember 2009 war es endlich so weit. Die geänderten
Richtlinien zur Regulierung des Telekommunikationssektors traten in Kraft. Mehr als zwei Jahre hatte die Revision
gedauert, die die bestehenden Regelungen den Entwicklungen des Marktes anpassen und Bürgerinteressen stärker
berücksichtigen sollte. Nach zähen Verhandlungen zu einigen strittigen Punkten (vgl. 22. TB Nr. 7.12) stimmte das
EU-Parlament dem Reform-Paket zu.
Einige Änderungen betreffen die Datenschutzrichtlinie für
elektronische Kommunikation, die sogenannte ePrivacyRichtlinie. Bedeutsam ist die neu eingeführte Verpflichtung der Diensteanbieter, bei Datenschutzverletzungen die
Betroffenen zu benachrichtigen – allerdings nur dann,
wenn sie in ihrer Privatsphäre beeinträchtigt werden. Die
zuständige Aufsichtsbehörde muss jedoch in allen Fällen
benachrichtigt werden. Diese Verpflichtung leistet einen
wesentlichen Beitrag zu mehr Transparenz für die Bürgerinnen und Bürger und gibt ihnen die Möglichkeit, im
Falle einer Datenschutzverletzung auch selbst geeignete
Gegenmaßnahmen zu ergreifen. Mit dieser Regelung
wurde erstmalig eine verbindliche Verpflichtung zur Offenlegung von Datenschutzverstößen eingeführt. Es ist zu
hoffen, dass eine entsprechende Vorgabe bei der Revision
des EU-Rechtsrahmens für den Datenschutz allgemein
eingeführt wird. Das allgemeine deutsche Datenschutzrecht sieht eine solche Regelung für nicht-öffentliche Stellen schon seit der BDSG-Novelle von September 2009 vor
(vgl. o. Nr. 2.2).
Unerwünschte E-Mails waren schon in der „alten“ ePrivacy-Richtlinie verboten, die „neue“ Richtlinie erweitert
und präzisiert das Verbot auf Werbe-E-Mails, die in betrügerischer Absicht gegen bestimmte Informationspflichten
(z. B. klar erkennbare, unzweideutige und leicht zugängliche Bedingungen für die Inanspruchnahme eines Dienstes) verstoßen oder auf solche Websites verlinken, und
will dadurch den zunehmenden Betrugsfällen im Internet
Rechnung tragen. An der Wirksamkeit dieser Regelung
habe ich jedoch meine Zweifel, denn Betrüger werden
sich auch daran nicht halten.
Schon im Revisionsprozess gab eine weitere Regelung
Anlass zu Diskussionen. Sie schreibt nämlich für Cookies,
mit deren Hilfe Nutzungsprofile erstellt werden können
(„Tracking Cookies“), die informierte Einwilligung des
Nutzers vor. Was für die Nutzer ein großer Schritt in Richtung Transparenz und Selbstbestimmung ist, wird von
Diensteanbietern und den Werbenetzwerken als Hindernis
bei ihren Geschäften angesehen. In letzter Minute und von
vielen unbemerkt wurde daher in dem entsprechenden Erwägungsgrund der Hinweis aufgenommen, dass die Einwilligung auch durch die Einstellung des Browsers ausgesprochen werden kann – unter der Bedingung, dass „dies
BfDI 23. Tätigkeitsbericht 2009-2010