Mittlerweile gibt es zahlreiche Dienste, die eine Bestimmung des Aufenthaltsorts des Benutzers erlauben. Eine solche Geolokalisierung kann über die vom Internetprovider zugewiesene IP-Adresse oder über das Mobilfunknetz erfolgen. Die Position eines Internet- oder Mobilfunknutzers zu ermitteln kann für Unternehmen sehr attraktiv sein. Sie kann für lokalisierte Werbung, für Geoscoring im Rahmen eines Vertragsabschlusses oder gar für die Erstellung von Bewegungsprofilen genutzt werden.
Dabei stellt sich die Frage, inwiefern solche Informationen dem Datenschutzrecht unterfallen. Datenschutzrechtlich relevant sind personenbezogene Informationen, also Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, § 3 Abs. 1 BDSG.
Der Aufenthaltsort einer Person ist zweifelsohne ein personenbezogenes Datum. Allerdings ist es technisch unmöglich, einen Nutzer zweifelsfrei allein anhand seiner IP- oder Mobilfunknummer zu identifizieren. Schließlich könnte ein Dritter das Handy oder den Netzanschluss benutzen. Die rechtliche Beurteilung solcher Konstellationen ist bisher ungeklärt. Teilweise wird bei nicht variablen technischen Identifikationsmerkmalen wie der Mobilfunknummer oder einer festen IP-Adresse angenommen, dass die zugehörigen Geoinformationen personenbezogen sind. Der Grund dafür liegt in der enger eingrenzbaren betroffenen Personengruppe sowie der größeren Gefahr der Erstellung von umfangreichen Profilen über einen längeren Zeitraum. Bei Anschlüssen mit dynamischen IP-Adressen wird ein Personenbezug etwas zurückhaltender beurteilt und oft nur für den Serviceprovider angenommen.
Eindeutig ist dagegen die Beurteilung von Geolokalisationsdaten, die nach einem personalisierten Login-Vorgang erhoben werden. Im Gegensatz zu den Fällen, in welchen nur technische Adressen vorliegen, lässt sich für den Diensteanbieter ein Personenbezug mit hinreichender Wahrscheinlichkeit feststellen, wenn der Benutzer sich zuvor mit Nutzernamen und Kennwort identifiziert hat. Damit weisen die Informationen eine datenschutzrechtliche Relevanz auf. Folglich ist in solchen Fällen die Ermittlung und Verarbeitung von Geoinformationen nur mit Zustimmung des Betroffenen zulässig.
Bedeutung für die Praxis
Daten, die mittels eines Geolokalisierungsvorgangs ermittelt werden, sind nicht zwangsläufig auch gleich personenbezogene Daten im Sinne des Datenschutzgesetzes. Viele Konstellationen sind bis dato streitig. Sicher ist jedoch, dass immer dann, wenn eine eindeutige tatsächliche Identifizierbarkeit einer Person gegeben ist, auch datenschutzrechtliche Vorschriften greifen. In Zweifelsfällen sollte besser von der Anwendbarkeit des BDSG ausgegangen werden. (oe)
Kontakt:
Der Autor Thomas Feil ist Rechtsanwalt, Fachanwalt für IT-Recht und Lehrbeauftragter an der Fachhochschule Hannover. Tel.: 0511 473906-01, E-Mail: feil@recht-freundlich.de, Internet: www.recht-freundlich.de