Neue Erkenntnisse gab es eigentlich nicht. Die Fronten sind klar abgesteckt und Lösungsvorschläge, wie ich z. B. einem anonymen Besucher ein Opt-Out anbieten soll, wenn ich doch nicht wissen darf wer er ist und er keine Cookies akzeptiert, gab es auch nicht. Hier sieht sich der Datenschutz allerdings auch nicht in der Pflicht Vorschläge zu unterbreiten.

Ja, auch mir scheint das gerade der letzte Satz bei vielen Datenschutzthemen von “Datenschützern” gerne ausgelebt wird (Nicht alle, es gibt durchaus auch interessante und praktische Ansätze auch von Datenschützern).

Letztendlich muss ich leider sagen, dass die Diskussionen nur die verhärteten Fronten aufgezeigt haben, aber keine praktikablen Lösungswege. Für den Site-Betreiber wächst in zunehmenden Maße die Rechtsunsicherheit und es entsteht der Eindruck, dass dies durchaus von den Datenschützern gewollt ist, um weiterhin auf technisch niedrigem Niveau polemisieren zu können.

Das sehe ich ganz ähnlich. Nicht nur die Datenschützer müssen aufklären was Datenschutz ist, sondern auch die Datenverarbeiter müssen den Datenschützern erklären warum, wie und welche Daten verarbeitet werden. Es gibt dermaßen viele Halbwahrheiten, Gerüchte und Unkenntnis die Basis für (unsinnige) Diskussionen liefern….

Der ganze Besuchsbericht ist hier zu lesen:

http://www.smartmetrics.de/2011/04/11/emetrics-2011-ein-messebericht/

Zuletzt habe ich dies in der sehr guten Ausführung „Reibt sich Google Analytics am Datenschutzrecht?” von RA Dr. Martin Schirmbacher gelesen: http://www.shopbetreiber-blog.de/2009/07/16/reibt-sich-google-analytics-am-datenschutzrecht/

Hieraus habe ich auch die beiden Nachfolgenden Definitionen für mich abgeleitet.

Die relative Bestimmbarkeit meint, dass eine Person oder Stelle, die die Daten erhoben hat, den Nutzer identifizieren kann, weil neben der IP weitere Daten erhoben werden, während eine andere Person oder Stelle, welche nur die IP erhebt, genau dies nicht kann. Dies führt dazu, dass das gleiche Datum (hier die IP) für einen Dienstleister Personenbezug haben kann, weil er aus der Information einen Rückschluss auf eine konkrete Person ziehen kann, während das Datum für andere Dienstleister neutral ist, weil sie keine Möglichkeit haben, die dahinterstehende Person zu identifizieren.

Beispiel:
Accessprovider weist die IP seinen Kundendaten zu
= personenbezug hergestellt

Im Bestellformular werden Adressdaten UND die IP erfasst
= personenbezug hergestellt
 
Ein Statistikprogramm erfasst (kurzzeitig) die IP
= KEIN direkter personenbezug hergestellt

Dazu auch das AG München „IP-Adresse ist kein personenbezogenes Datum” (Urteil vom 30.9.2008, Az. 133 C 5677/08): „Nach diesseitiger Auffassung stellen die IP-Adressen deswegen keine personenbezogenen Daten dar, weil ihnen die notwendige Bestimmbarkeit fehlt. Bestimmbarkeit ist dann gegeben, wenn die datenspeichernde Stelle die hinter der Einzelangabe stehende Person mit den ihr normalerweise zur Verfügung stehenden Kenntnissen und Hilfsmitteln und ohne unverhältnismäßigen Aufwand bestimmen kann (vgl. Gola/Schunerus, BDSG, § 3 Rdnr. 10).
…
Diese Möglichkeit steht der Beklagten nicht ohne weiteres zu. Die Beklagte könnte den Nutzer nur mit Hilfe des Access-Provider ermitteln, der aber mangels Rechtsgrundlage … diese Angaben nicht zur Verfügung stellen darf. Die theoretisch mögliche, aber illegale Möglichkeit einer Identifikation des Nutzers durch den Access-Provider und Weitergabe der Daten … kann vorgeschilderter Definition der Bestimmbarkeit der personenbezogenen Daten nicht entsprechen.”

http://www.telemedicus.info/urteile/Datenschutzrecht/Tracking-von-IP-Adressen/524-AG-Muenchen-Az-133-C-567708-IP-Adresse-ist-kein-personenbezogenes-Datum.html

Für die absolute Bestimmbarkeit genügt die theoretische Möglichkeit einer Identifizierung des Betroffenen, wonach „bei der Entscheidung, ob eine Person bestimmbar ist, alle Mittel berücksichtigt werden sollten, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen” (AG Berlin-Mitte (Urteil vom 27.3.2007, Az. 5 C 314/06)).

Hierbei ist es wohl auch egal, ob dies durch illegale Methoden oder unverhältnismäßigen Aufwand geschieht.

Interessant ist hierbei ein Blick wie unterschiedlich die Länder dies Auslegen:

Die schwedischen Verwaltungsgerichte sind der Meinung, dass IP-Adressen nicht nur bei dem Internet-Zugangsanbieter, sondern allgemein personenbeziehbar sind und deswegen dem Datenschutzrecht unterliegen.

Das britische und das irische Datenschutzgesetz finden nur Anwendung, wenn der Verantwortliche den Personenbezug selbst herstellen kann.

Das österreichische Datenschutzgesetz bestimmt in § 4 Nr. 1 sogar ausdrücklich die Anwendbarkeit auf „nur indirekt personenbezogene” Daten, bei denen der Verantwortliche „die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann”.

Das deutsche Datenschutzgesetz ist nicht so eindeutig formuliert.

In Artikel 2 der Richtlinie 95/46/EG (http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:DE:HTML) des Europäischen Parlaments heißt es: „…als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann…”

Die Frage ist aber, ob diese indirekte Bestimmung auch die theoretischen Möglichkeiten einschließen soll oder ob nur die normalerweise zur Verfügung stehenden Möglichkeiten (ohne unverhältnismäßigen Aufwand) gemeint sind.

Interessant ist hierbei auch der Hinweis von Daten-Speicherung.de auf die weiteren nationalen Gesetze und wie diese mit dem Sachverhalt umgehen:

Der Kläger hatte insoweit angeführt, dass das britische und das irische Datenschutzgesetz nur Anwendung finden, wenn der Verantwortliche den Personenbezug selbst herstellen kann.

Dagegen sieht beispielsweise das deutsche Bundesdatenschutzgesetz eine solche Einschränkung nicht vor. Das österreichische Datenschutzgesetz bestimmt in § 4 Nr. 1 sogar ausdrücklich die Anwendbarkeit auf „nur indirekt personenbezogene“ Daten, bei denen der Verantwortliche „die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann“.

Ich persönlich finde den Personenbezug wie im britischen und irischen Datenschutzgesetz logisch. Denn erst durch die Verknüpfung zu weiteren, eindeutig personenbezogenen Daten können diese nicht (direkt) personenbezogenen Daten einer Person zugeordnet werden.

Beispielsweise kann ich mit einer IP Adresse erstmal keinerlei personenbezug herstellen. Nur der Zungansgprovider kann der IP einen Anschlußinhaber zuordnen. Dies darf er aber nicht einfach so machen sondern nur per richterlichem Beschluß.