In der MMR ist ein Aufsatz von Paul Voigt mit dem Titel „Datenschutz bei Google“ (MMR 2009, 377) erschienen.
Der Autor untersucht hierbei die datenschutzrechtliche Relevanz der Erstellung von Profilen, die über die Verknüpfung von IP-Adressen und Cookies gespeichert werden. Dabei stellt er auch die Ansichten zum Personenbezug der IP-Adresse dar. Im Ergebnis geht er davon aus, dass jedenfalls bei Google aufgrund der Vielzahl personalisierter Dienste ein Personenbezug besteht oder hergestellt werden kann. Als Folge daraus sei die Speicherung über einen längeren Zeitraum als die reine Nutzungszeit nach § 12 Abs. 1 TMG datenschutz- und damit rechtswidrig.
Interessant finde ich die Einschränkung, die der Autor macht: Google sei nur bei anmeldepflichtigen Diensten in der Lage, Personenbezug herzustellen.
Schließlich liegt eine datenschutzrechtliche Relevanz im Regelfall nur dann vor, wenn der Nutzer ein Konto bei einem anmeldepflichtigen Google-Dienst hat. In allen anderen Fällen wäre bei IP-Adressen und Cookies nach dem oben Gesagten nicht von einem Personenbezug auszugehen.
Das ist meiner Auffassung nach zu eng. Denn in vielen Fällen kann Google über andere, frei verfügbare Informationen seine Profile mit ebensolchen Personeninformationen kombinieren (s. zur Lösbarkeit der Anonymität über Personenprofilgraphen hier) und damit Personenbezug herstellen. Im Fazit stellt der Autor doch darauf ab, dass die Gefährdung des Allgemeinen Persönlichkeitsrechts zu verhindern sei:
Das Datenschutzrecht soll aber das Allgemeine Persönlichkeitsrecht einfachrechtlich schützen. Verhindert werden soll nicht nur tatsächlicher Missbrauch, sondern bereits die Gefährdung des Rechts auf informationelle Selbstbestimmung.
Wenn man diesem Gedanken aber konsequent folgt, dann besteht wenigstens die Gefahr, dass Google auch bei den nicht anmeldepflichtigen Diensten Personenbezug herstellt – mit dem Ergebnis einer Rechtswidrigkeit der Speicherung.
Der Autor empfiehlt Google zur Lösung, seine Datensätze um „personenbeziehbare Daten zu entschlacken“, also im Grunde alles zu löschen, was eine Deanonymisierung nach § 3 Abs. 9 BDSG ermöglichen würde. Die technischen Schwierigkeiten für die Dienste von Google nimmt der Autor dabei in Kauf – in Anbetracht des rechtsverletzenden Verhaltens bei der Speicherung von Daten auch eine Selbstverständlichkeit.
S. auch: