computerwoche.de

Compliance & Recht

Sind die Daten personenbezogen oder nicht?

Geolokalisierung und Datenschutz

18.01.2011
Von 


Renate Oettinger war Diplom-Kauffrau Dr. rer. pol. und arbeitete als freiberufliche Autorin, Lektorin und Textchefin in München. Ihre Fachbereiche waren Wirtschaft, Recht und IT. Zu ihren Kunden zählten neben den IDG-Redaktionen CIO, Computerwoche, TecChannel und ChannelPartner auch Siemens, Daimler und HypoVereinsbank sowie die Verlage Campus, Springer und Wolters Kluwer. Am 29. Januar 2021 ist Renate Oettinger verstorben.
Alle Posts des Autors Email:
Thomas Feil erklärt, inwiefern Informationen über den Aufenthaltsort eine Sache des Datenschutzrechts sind.

Mittlerweile gibt es zahlreiche Dienste, die eine Bestimmung des Aufenthaltsorts des Benutzers erlauben. Eine solche Geolokalisierung kann über die vom Internetprovider zugewiesene IP-Adresse oder über das Mobilfunknetz erfolgen. Die Position eines Internet- oder Mobilfunknutzers zu ermitteln kann für Unternehmen sehr attraktiv sein. Sie kann für lokalisierte Werbung, für Geoscoring im Rahmen eines Vertragsabschlusses oder gar für die Erstellung von Bewegungsprofilen genutzt werden.

Dabei stellt sich die Frage, inwiefern solche Informationen dem Datenschutzrecht unterfallen. Datenschutzrechtlich relevant sind personenbezogene Informationen, also Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, § 3 Abs. 1 BDSG.

Foto: Fotolia, mik ivan

Der Aufenthaltsort einer Person ist zweifelsohne ein personenbezogenes Datum. Allerdings ist es technisch unmöglich, einen Nutzer zweifelsfrei allein anhand seiner IP- oder Mobilfunknummer zu identifizieren. Schließlich könnte ein Dritter das Handy oder den Netzanschluss benutzen. Die rechtliche Beurteilung solcher Konstellationen ist bisher ungeklärt. Teilweise wird bei nicht variablen technischen Identifikationsmerkmalen wie der Mobilfunknummer oder einer festen IP-Adresse angenommen, dass die zugehörigen Geoinformationen personenbezogen sind. Der Grund dafür liegt in der enger eingrenzbaren betroffenen Personengruppe sowie der größeren Gefahr der Erstellung von umfangreichen Profilen über einen längeren Zeitraum. Bei Anschlüssen mit dynamischen IP-Adressen wird ein Personenbezug etwas zurückhaltender beurteilt und oft nur für den Serviceprovider angenommen.

Eindeutig ist dagegen die Beurteilung von Geolokalisationsdaten, die nach einem personalisierten Login-Vorgang erhoben werden. Im Gegensatz zu den Fällen, in welchen nur technische Adressen vorliegen, lässt sich für den Diensteanbieter ein Personenbezug mit hinreichender Wahrscheinlichkeit feststellen, wenn der Benutzer sich zuvor mit Nutzernamen und Kennwort identifiziert hat. Damit weisen die Informationen eine datenschutzrechtliche Relevanz auf. Folglich ist in solchen Fällen die Ermittlung und Verarbeitung von Geoinformationen nur mit Zustimmung des Betroffenen zulässig.