Das Tracking ist in den vergangenen Jahren immer wieder ins Blickfeld der Datenschutzbehörden in Deutschland geraten (zum Beispiel die sehr detaillierten Informationen beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein, ULD).
Für einen der populärsten Dienste, Google Analytics, haben sich der Diensteanbieter Google und der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) im Jahr 2011 auf eine datenschutzkonforme Ausgestaltung des Tracking-Dienstes geeinigt. Diese Einigung, der sich die anderen Datenschutzbehörden der Länder angeschlossen haben (zum Beispiel den 30. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Baden-Württemberg 2010/2011, Seite 43) nimmt allerdings auch die Betreiber von Internetseiten in die Pflicht, die Google Analytics nutzen wollen.
IP-Adresse als „personenbezogenes Datum“
So muss den Nutzern der Internetseiten die Möglichkeit zum Widerspruch gegen die Erfassung von Nutzungsdaten eingeräumt werden. Hierfür stellt Google ein so genanntes Deaktivierungs-Add-On zur Verfügung.
Zudem muss auf Anforderung des Webseitenbetreibers das letzte Oktett der IP-Adresse vor jeglicher Speicherung gelöscht werden, so dass darüber keine Identifizierung des Nutzers mehr möglich ist. Schließlich verlangen die Datenschutzbehörden, dass zwischen Google und den Webseiten-Betreibern eine sogenannte Vereinbarung über eine Auftragsdatenverarbeitung geschlossen wird.
Hintergrund des Streits ist die Einordnung der IP-Adresse als „personenbezogenes Datum“. Die Datenschutzbehörden vertreten bereits seit einigen Jahren, dass sowohl statische als auch dynamische IP-Adressen als personenbezogene Daten zu behandeln sind, weil sie (und sei es unter Hinzuziehen von weiteren Informationen) eine Rückverfolgung auf eine bestimmte oder bestimmbare natürliche Person ermöglichen sollen (in diesem Sinne etwa die Stellungnahme des ULD vom 28. Januar 2011, die Stellungnahme des Düsseldorfer Kreises vom 27. November 2009 oder das Arbeitspapier der Artikel 29-Gruppe vom 10. Februar 2009).
Auch wenn diese Einstufung mit Blick auf dynamische IP-Adressen nicht unumstritten ist, empfiehlt sich in praktischer Hinsicht angesichts der klaren Haltung der Aufsichtsbehörden ein vorsichtiger Umgang mit IP-Adressen.
Fazit – Vorsicht ist geboten
Mit den jüngsten Entscheidung der Oberlandesgerichte in Hamburg, Karlsruhe und Köln sind die Gefahren von Internetseiten-Betreibern gestiegen, wegen möglicher Datenschutzverstöße auf Unterlassung und Ersatz der Rechtsanwaltskosten für eine Abmahnung erfolgreich in Anspruch genommen zu werden.
Denn mögliche Verstöße gegen die Regelungen des Datenschutzrechts zum Schutz von personenbezogenen Daten lassen sich beim Online-Auftritt in vielen Fällen leicht nachverfolgen und dokumentieren. Die oben genannten Beispiele zum Einsatz von Cookies, e-Newslettern und Tracking-Tools sind hierbei keineswegs abschließend, sondern nur die in der jüngeren Vergangenheit populärsten Fälle.
Für besondere Branchen und Internetangebote stellen sich oftmals ganz spezielle Fragen (etwa bei Webshops zur sogenannten Zahlartensteuerung, vergleiche etwa den Jahresbericht 2012 des Berliner Beauftragten für Datenschutz und Informationsfreiheit, S. 131 f.).
Am Ende empfiehlt es sich deshalb in jedem Fall, die eigenen Nutzungsbedingungen und Datenschutzhinweise kritisch auf mögliche Verstöße gegen datenschutzrechtliche Bestimmungen zu untersuchen.
Dr. Christian Tinnefeld (IT-Recht, Datenschutz, Internetrecht, New Media) ist seit 2006 Mitglied der Praxisgruppe IPMT – IP, Medien & Technologie der internationalen Kanzlei Hogan Lovells International LLP (www.hoganlovells.com). Er leitet als Counsel am Hamburger Standort der Sozietät den Bereich IT-Recht/ Datenschutzrecht.
Foto: Shutterstock
