Ich habe gerade den insgesamt gelungenen Artikel bei Kriegs-Recht gelesen zum Thema „Viele Webseiten von Mitgliedern der Enquete-Kommission rechtsfehlerhaft“, wobei mir dieser Abschnitt aufgefallen ist:
Was heißt das auf gut Deutsch: Wenn jemand eine Webseite aufruft, dann wird automatisch seine IP-Adresse an den Server übertragen, auf dem die aufgerufene Webseite gehostet wird […] Nach herrschender Meinung ist die IP-Adresse ein “personenbezogenes Datum” […] wird also automatisch ein personenbezogenes Datum erhoben
Das ist m.E. beides so nicht richtig:
- Ich fange hinten an: Auch wenn es mich freut, dass er es so sieht: Die IP-Adresse ist nicht nach h.M. ein personenbezogenes Datum, vielmehr herrscht hier erbitterter Streit. Zusammengefasst habe ich das hier.
- Zweitens ist es m.E. ein Fehler, in der protokollbedingten clientseitigen Übermittlung einer IP-Adresse an einen Server das Erheben eines Personenbezogenen Datums zu sehen. Erst wenn der Server bzw. das eingesetzte Skript auf diese vom Client „hinaus geschriehene“ IP-Adresse zugreift, liegt eine Erhebung vor. Die aber ist keinesfalls zwingend: Ich z.B. habe unseren Server so eingestellt, dass keinerlei IP-Adressen gespeichert werden, nicht einmal erfasst werden. Selbiges gilt für die hier eingesetzten WordPress und Piwik Versionen.
Der Leser wird den Eindruck haben, dass man gezwungen ist, immer eine Datenschutzerklärung anzubieten sobald man nur eine Webseite betreibt – das ist m.E. falsch. Vielmehr kommt es darauf an, ob man personenbezogene Daten nun erhebt bzw. verarbeitet. Und schon der Gesetzestext des TMG geht eindeutig in Wortlaut und System davon aus, dass es Telemediendienste geben muss, die keiner Datenschutzerklärung bedürfen. Wenn man – wie in dem Artikel – davon ausgeht, dass schon protokollbedingte Übertragungen ohne Zugriff diese Pflicht entstehen lassen, würde eine grenzenlose Pflicht zur Angabe einer Datenschutzerklärung entstehen. Die zudem unmöglich zu erfüllen wäre: Der Client hat in der Hand, welche Daten er noch überträgt. Wenn nun jemand in den Browser-Identifier seinen Namen einträgt, wäre dies nach der dort vertretenen Logik eine Datenerhebung, auf die der Seitenbetreiber unmöglich hinweisen könnte. Insofern von hier nur der kurze Hinweis: Ich denke, die dortige Ansicht geht diesbezüglich zu weit.