Harte Zeiten für Datensammler

© seen - Fotolia.com

Die Frage, ob die IP-Adresse zu den personenbezogenen Daten des Internetnutzers gehört, ist seit langem umstritten. Während Datenschützer darauf beharrten, verneinten deutsche Gerichte dies bis zuletzt. Ob nun eine Randziffer des EuGH das Ende des Online-Marketings einläutet, klären Thomas Weimann und Daniel Nagel.

Der Zwist zwischen Online-Marketing und Datenschutzrecht wird in der EU derzeit eigentlich vor allem von der so genannten Cookie-Richtlinie (2009/136/EG) bestimmt. Diese erlaubt nur dann eine beschränkungsfreie Verwendung von Cookies, wenn sie "unverzichtbar sind, um die Nutzung eines […] Dienstes zu ermöglichen". In allen anderen Fällen ist über deren Verwendung umfassend zu informieren und eine vorherige Einwilligung des Nutzers einzuholen. Deutschland hat die Richtlinie noch nicht in nationales Recht umgesetzt, obwohl die Umsetzungsfrist bereits im Mai 2011 abgelaufen ist. Die nicht rechtzeitige Umsetzung einer Richtlinie kann allerdings ihre unmittelbare Geltung zur Folge haben.

Peter Hustinx, der Europäische Datenschutzbeauftragte, und Peter Fleischer, oberster Datenschützer bei Google, lieferten sich kürzlich bei einer internationalen Datenschutzkonferenz in Paris deshalb einen Schlagabtausch über die Zulässigkeit der Verwendung von Cookies. Hustinx legte dar, dass der Nutzer bereits bei der Sammlung allgemeiner Informationen umfassend aufgeklärt werden müsse. Außerdem müsse die Möglichkeit bestehen, sich gegen die Erhebung der Daten zu wehren. Fleischer hingegen versuchte die Bedeutung der Richtlinie herunterzuspielen.

Einen guten Tipp für Webseitenbetreiber hatte Fleischer dennoch parat: Diese sollten sich im Einzelnen gut überlegen, welche Funktion die integrierten Cookies erfüllen. Nach seiner Ansicht wird die Mehrzahl der Cookies nicht benötigt und ist nur deswegen Bestandteil einer Homepage, da ihr Skript auch von wenig begabten Programmierern beherrscht wird.

Nach EuGH sind auch IP-Adressen personenbezogene Daten

Nicht gefallen dürfte Fleischer, dass sich nun auch der Europäische Gerichtshof (EuGH) in eine Diskussion eingemischt hat, die weitreichende Folgen für Analysetools und Onlinemarketing haben könnte. Im September 2011 hatte Google noch erreicht, dass auch deutsche Datenschützer einer abgeschwächten Form von Google Analytics eine datenschutzkonforme Anwendungsmöglichkeit bescheinigten. Nun gießt der EuGH neues Öl ins Feuer:

Am 24. November hatte der EuGH über den Fall Scarlet Extended zu befinden. Eigentlich ging es hierbei vor allem darum, ob ein Internet Service Provider gegenüber Rechteinhabern verpflichtet ist, den Austausch von urheberrechtlich geschützten Werken über Peer-to-Peer Netzwerke zu verhindern. Dies hat der EuGH abgelehnt, weil er damit die gebotene Neutralität von Internet Service Providern in Gefahr sieht. Vor allem sei aber die Privatsphäre der Nutzer bedroht, da "eine präventive Überwachung [durch den Provider] eine aktive Beobachtung sämtlicher elektronischen Kommunikationen im Netz des betreffenden Providers erfordere und mithin jede zu übermittelnde Information und jeden dieses Netz nutzenden Kunden erfasse."

Die eigentliche Überraschung versteckt sich aber in einer eher unscheinbaren Randziffer. Darin stellte der EuGH recht unvermittelt fest, dass die Einrichtung eines solchen Filtersystems auch ebenfalls die Sammlung von IP-Adressen einschließt. Diese seien personenbezogene Daten, "da sie die genaue Identifizierung der Nutzer ermöglichen."

Im Gegensatz dazu hatte noch das Oberlandesgericht (OLG) Hamburg (Beschl. v. 03.11.2010, Az. 5 W 126/10) ausdrücklich erklärt, dass bei "IP-Adressen ein Personenbezug mit normalen Mitteln ohne weitere Zusatzinformationen nicht hergestellt werden kann." Umso bedauerlicher ist, dass der EuGH keine weiteren Erklärungen folgen lässt, sondern einfach nur etwas feststellt, wogegen, zumindest in Bezug auf IPv4, auch gute Argumente sprechen.

Die genannte EuGH Entscheidung hat bislang hinsichtlich dieser Aussage in Randziffer 51 des Urteils noch wenig Beachtung gefunden. Es bleibt abzuwarten, ob in Bezug auf die Sammlung von IP-Adressen damit ab sofort eine ebenso strenge Handhabung wie bei Cookies gilt. Eine Analyse von Homepagedaten durch die Erhebung von IP-Adressen wäre dann an vergleichbare Voraussetzungen geknüpft. Zulässig wäre sie nur mit vorheriger Einwilligung des Nutzers oder wenn technisch sichergestellt ist, dass nicht die vollständige IP-Adresse abgespeichert wird.

Das Ende des Online-Marketing zu verkünden bleibt zwar immer noch Pessimisten vorbehalten; die vorweihnachtliche warme Kleidung sollten Datensammler aber am besten gleich anbehalten: Für das Frühjahr wird das neue Datenschutzkonzept der Kommission erwartet.

Der Autor Dr. Thomas Weimann ist Fachanwalt für Informationstechnologierecht und Partner bei BRP Renaud und Partner am Standort Stuttgart.

Der Autor Daniel Nagel ist Rechtsanwalt bei BRP Renaud und Partner am Standort Stuttgart.

Beide beschäftigen sich schwerpunktmäßig mit IT-Recht, Datenschutzrecht, AGB-Gestaltung und internationalem Recht und sind Verfasser diverser Veröffentlichungen auf diesen Gebieten

Mehr auf LTO.de:

EuGH zum Urheberrechtsschutz: Provider müssen nicht auf ihre Kosten filtern und sperren

IPv6 und Datenschutz: Personalisiertes Surfen mit Gefahren für die Privatsphäre

Datenschutz bei Google Analytics: Kritik an digitalen Fährtenlesern