Als ich das erste Mal den Vorschlag des LIBE-Ausschusses des Europäischen Parlaments zum Profiling las, war ich verwirrt. In dem neuen Erwägungsgrund 58a heißt es nämlich, dass die Profilbildung im Zweifel erlaubt sein soll, wenn sie ausschließlich auf der Basis von pseudonymen Daten vorgenommen wird:
„Profiling based solely on the processing of pseudonymous data should be presumed not to significantly affect the interests, rights or freedoms of the data subject. Where profiling, whether based on a single source of pseudonymous data or on the aggregation of pseudonymous data from different sources, permits the controller to Attribute pseudonymous data to a specific data subject, the processed data should no longer be considered to be pseudonymous.“
(COMP, Recital (58a) zu Art. 20 v. 16.10.2013)
Unabhängig davon bestehe – so Erwägungsgrund 58 und Art. 20 Abs. 1 – ein Widerspruchsrecht.
Opt-out statt opt-in beim targeted advertising und bei anderen Formen der Profilbildung im Netz: Dies soll also immer dann gelten, wenn sich das Profiling auf eine Auswertung pseudonymer Daten beschränkt.
Voraussetzung: Da sich das Profiling heutzutage vornehmlich auf IP-Adressen stützt, würde dies Sinn ergeben, wenn es sich bei IP-Adressen um pseudonyme Daten handelt. So weit, so diskutabel.
Geltendes Recht
„Schönheitsfehler“: Dass es sich bei IP-Adressen um pseudonyme Daten handelt, hat bislang – jedenfalls in Deutschland – noch niemand (!) vertreten.
Auf der Website des Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) kann man nachlesen, wie der schleswig-holsteinische Datenschutzbeauftragte IP-Adressen einschätzt:
„2. Sind IP-Adressen Pseudonyme im Sinne des Telemediengesetzes?
Antwort: Nein, die IP-Adresse ist kein Pseudonym, so dass in der Regel die Erleichterungen für die Verarbeitung pseudonymer Daten für IP-Adressen nicht gelten.“
(ULD, „FAQ IP-Adressen und andere Nutzungsdaten“ v. 28.11.2011)
Und dem ULD ist zuzustimmen:
- Weder pseudonymisiertes Ergebnis: IP-Adressen sind nicht das Ergebnis einer Pseudonymisierung von Daten gemäß § 3 Abs. 6a BDSG („Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.“)
- Noch originäres Pseudonym: Und IP-Adressen sind auch kein Fall der originären Pseudonymität – also eines selbst gewählten Phantasienamen, wie dies beispielsweise bei einem Chatnamen („Schatz0815“) der Fall ist (vgl. Stellungnahme Nr. 37/2013 des Deutschen Anwaltvereins durch den Ausschuss Informationsrecht zu Anreizen für anonyme und pseudonyme Kommunikation durch Regelungen in dem Vorschlag der EU-Kommission für eine Datenschutz-Grundverordnung (KOM(2012) 11 endgültig), Juni 2013, Berlin).
Vorschlag des LIBE-Ausschusses
Und auch die Definition in Art. 4 (2a) des LIBE-Vorschlags hilft nicht weiter:
‚pseudonymous data‘ means personal data that cannot be attributed to a specific data subject without the use of additional information, as long as such additional information is kept separately and subject to technical and organisational measures to ensure nonattribution“
(COMP, Art 4 (2a) v. 11.10.2013)
Diese Definition ähnelt § 3 Abs. 6a BDSG, da sie zwischen zwei Datenbeständen unterscheidet – den pseudonym(isiert)en Daten und den Zusatzdaten, die eine Zuordnung ermöglichen und die – ähnlich wie § 15 Abs. 3 Satz 3 TMG („Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.“) – strikt von den pseudonymen Datenbeständen zu trennen sind.
Auslegung eindeutig
Lassen sich IP-Adressen dennoch als pseudonyme Daten verstehen? Eindeutig nein:
- Dem natürlichen Sprachgebrauch liegt eine solche Deutung fern. Wer würde schon auf die Idee kommen, die IP-Adresse, die nicht mehr als eine Geräte-Kennziffer ist, als seinen „Tarnnamen“ („Pseudonym“, Wikipedia, zuletzt geändert am 8.10.2013) zu begreifen?
- Nach geltendem Recht erfüllt die IP-Adresse unstreitig nicht die Voraussetzungen des § 3 Abs. 6a BDSG.
- Die neue Definition der Pseudonymität, die der LIBE-Ausschuss vorschlägt, unterscheidet sich wenig von § 3 Abs. 6a BDSG. Dass diese Definition IP-Adressen erfasst, ist jedenfalls alles andere als sicher.
Unklarheit des Europäischen Gesetzgebers
Jetzt spätestens sollte sich der geneigte Leser fragen, warum die Brüsseler Parlamentarier ihren Vorschlag nicht so klar gefasst haben, dass das – offenkundig gewollte – Opt-out für das Profiling außer Streit gestellt wird. Das Profiling gehört zu den ökonomischen Säulen der Netzwirtschaft, und man darf vom europäischen Gesetzgeber erwarten, dass er klare und praktikable Spielregeln für das Profiling schafft.
Streit in der Praxis
Anderenfalls bleibt die Deutung der Spielregeln den Datenschutzbehörden überlassen und damit dem Streit im Einzelfall. Und es drohen neue Verfahren wie der Rechtsstreit um IP-Adressen, den das LG Berlin im vergangenen Januar nach 5 Jahren Rechtsstreit entschieden hat mit einem Urteil, das stolze 30 Seiten lang ist (LG Berlin, Urt. v. 31.1.2013 – 57 S 87/08, CR 2013, 471 = ITRB 2013, 131 (Intveen); zum relativen Personenbezugs-Verständnis des LG Berlin ausführlich Gerlach, „Personenbezug von IP-Adressen – Praktische Konsequenzen aus dem Urteil des LG Berlin v. 31.1.2013“, CR 2013, 478ff.). Solche Gerichtsverfahren braucht kein Mensch.
Vorteile einer derartigen Neuregelung?
Wenn es den Brüsseler Protagonisten nicht gelingen sollte, zu IP-Adressen und zum Profiling klar formulierte und praktikable Regelungen zu schaffen, erhalten wir statt einer einheitlichen Modernisierung des Datenschutzrechts lediglich Stoff für Streit und juristische Auseinandersetzungen.
Als Rechtsanwalt würde ich – bei zynischer Betrachtung – zu den wenigen echten Gewinnern einer Reform gehören, die zu vielfältigem Auslegungsstreit einlädt. Das kann aber doch nicht der Ernst der verantwortlichen Entscheidungsträger sein!