BDSG – InfoSec Blog | Patrick Sauer & Dominik Sauer

Dynamische IP-Adressen sind nach dem Landgericht Berlin keine personenbezogenen Daten

27. Oktober 2013 by Patrick Sauer Leave a Comment

Das Landgericht Berlin hat entschieden (LG Berlin, 31.01.2013 – 57 S 87/08)[1], dass dynamische IP-Adressen keine personenbezogenen Daten sind. Die Richter bemühten sich, die Augen nicht vor der technischen Realität zu verschließen und nicht wie viele Datenschutzbeauftragte unrealistische Annahmen zu treffen, wie einfach doch ein Personenzug herstellbar sei. Ich muss anerkennen, dass das meiner Ansicht nach eine gute Bewertung der Realität und auch ein gutes Urteil ist.

Wirklich viel ist damit aber für niemanden gewonnen. Das Urteil ist keine finale Entscheidung, sodass die Rechtslage weiterhin undurchsichtig bleibt. Ein kleines aber sehr wichtiges Detail wird kaum erläutert: Das Urteil bezieht sich nur auf dynamische IP-Adressen, bei statischen IP-Adressen muss weiterhin von personenbezogenen Daten ausgegangen werden. In der Praxis ändert sich dadurch nichts, das Thema IP-Adresse als personenbezogenes Datum ist weiterhin unklar und man müsste als Unternehmen annehmen, dass IP-Adressen grundsätzlich personenbezogen sind.

Wie kann man sich als Unternehmen rechtssicher und realistisch die Einwilligung eines Nutzers einholen, dass seine IP-Adresse gespeichert werden darf? Ich meine gar nicht. Das eine Unternehmen wird gar keine IP-Adressen mehr speichern und ein anderes weiterhin möglichen rechtlichen Risiken ausgesetzt sein. Beide Alternativen sind schlecht.

Ich finde der gesetzliche Datenschutz muss an die Realität angepasst und reformiert werden.

[1] http://dejure.org/dienste/vernetzung/rechtsprechung?Text=57%20S%2087/08

Datenschutz betrifft auch Kleinstunternehmen

26. Oktober 2013 by Patrick Sauer Leave a Comment

Das ist jetzt eine kleine Verallgemeinerung, aber in der Regel müssen Unternehmen größer als 9 Personen einen internen oder externen Datenschutzbeauftragten bestellen. Diese Personen müssen zwar mit einer automatisierten Bearbeitung personenbezogener Daten beschäftigt sein, aber bereits durch ein E-Mail-Programm wird diese Voraussetzung erfüllt.

Wie sieht es nun mit kleineren Unternehmen aus: Einzelunternehmen, Personengesellschaften oder kleine GmbHs, die aus 9 Personen oder weniger bestehen? Nun, diese müssen keinen Datenschutzbeauftragten bestellen. Glück gehabt?

Nein, denn die Vorschriften des BDSG gelten dennoch. Verantwortlich für die Einhaltung und Kontrolle des Datenschutzes bleibt die verantwortliche Stelle, das heißt die Person, die die Geschäfte führt. Alle Pflichten aus dem Bundesdatenschutzgesetz sind zu erfüllen und nur die Bestellung eines Datenschutzbeauftragten entfällt. Welche kleine Personengesellschaft oder Kapitalgesellschaft führt nun in der Realität ein Verfahrensverzeichnis? Welches kleine Unternehmen ist auf eine datenschutzrechtliche Auskunftsanfrage von einem Kunden oder auch nur von einem Besucher der Unternehmenswebseite vorbereitet? Ich vermute kaum eins.

Sucht man im Netz nach Vorschriften zum Datenschutz und liest man sich nicht die spannende Bettlektüre des Bundesdatenschutzgesetzes durch, wird einem oftmals der Eindruck vermittelt der gesetzliche Datenschutz gelte nur für Unternehmen mit mehr als 9 Personen. Das stimmt nicht.

In der Praxis hat ein kleines Unternehmen gar keine andere Wahl als auf einen externen Datenschutzbeauftragten zurückzugreifen. Er muss zwar nicht bestellt werden, aber er hat das notwendige Know-how, welches intern meistens nicht zu finden ist. Meistens wird das Thema vom Geschäftsführer jedoch einfach ignoriert und zwar genau so lange, bis das Kind bereits in den Brunnen gefallen ist.