Schlagwortarchiv für: BDSG

Wie sahen Ihre Gesichtszüge aus, als Sie diese Überschrift gelesen haben? Genervt, wütend oder verzweifelt? Das ist schade, denn Hysterie oder Resignation rund um die Buchstaben „DS-GVO“ helfen niemandem weiter.

Datenschutz und Datenschutzgesetze gab es bereits vor dem 25. Mai 2018 und vor allem in Deutschland hat sich weit weniger geändert, als uns so mancher glauben lassen will. Glauben Sie mir gerne, wenn ich Ihnen verrate, dass ich mich bereits 2010 mit dem Thema Datenschutz in meinem Jurastudium beschäftigt habe. Auch damals gab es etwa ein Bundesdatenschutzgesetz (BDSG) sowie Abschnitte im Telekommunikationsgesetz (TKG) und im Telemediengesetz (TMG), die sich ganz intensiv mit dem Thema Datenschutz auseinandersetzten.

Um es vorwegzunehmen: Einen sinnvollen Datenschutz braucht es! Aber vielleicht sollten eher die „großen Player“ und ihre Dienstleistungen, die häufig alles andere als datenschutzkonform gestaltet sind, unter die Lupe genommen werden. Wenn Kitas im Namen des Datenschutzes sämtliche Gesichter der betreuten Kinder schwärzen, man für die öffentliche Bekanntgabe einer Beerdigung mindestens einen Monat im Voraus eine Einwilligung im Pfarrbüro abgeben soll, Tischreservierungen nicht mehr namentlich erfolgen dürfen und sich Ihr Friseur nicht mehr traut Sie namentlich zu begrüßen, führt das zu Recht zu Unverständnis.

Also, lassen Sie sich gerne von Ihrem Arzt mit Ihrem vollen Nachnamen laut aufrufen und behalten Sie bitte im Auge: Der Datenschutz soll den Menschen dienen, nicht anders herum. Bleiben Sie tapfer!

Autor: Christian Schellhase ANMATHO AG

Vor kurzem war noch in mehreren Medien von einer Änderung der Benennungspflicht für Datenschutzbeauftragte durch nichtöffentliche Stellen zu lesen. Die Bundesratsausschüsse für Inneres und Wirtschaft hatten in ihrer Empfehlung zum Regierungsentwurf des 2. EU-Datenschutz-Anpassungs- und Umsetzungsgesetzes (2. DSAnpUGEU) zusätzliche Änderungen im Bundesdatenschutzgesetz (BDSG nF) gefordert. Nach den Wünschen der Ausschüsse sollte sich der Bundesrat verstärkt für eine Änderung der Benennungspflicht für den Datenschutzbeauftragten einsetzen.

Beide Ausschüsse forderten den Wegfall der deutschen Sonderregelungen in § 38 BDSG nF. Nach diesen sind in Deutschland Datenschutzbeauftragte durch nichtöffentliche Stellen neben den Regelungen in Art. 37 DS-GVO dann zu benennen, wenn

1. mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder
2. eine Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung besteht oder
3. die personenbezogenen Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.

Insgesamt standen mehrere Forderungen der Ausschüsse im Raum: Zunächst wurde eine Benennungspflicht nur für den Fall gefordert, dass personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden. Sollte diese Forderung keine Zustimmung im Bundesrat finden, gab es zwei Alternativen. Die erste Alternative sah vor, dass zwar die Personengrenze von 10 bestehen bleibt, aber nur, wenn die Verarbeitung gewerblichen Zwecken dient. Die andere Alternative sah eine Benennungspflicht nicht ab 10 Personen sondern erst ab 50 Personen vor.

In seiner 971. Sitzung am 19. Oktober 2018 hat sich der Bundesrat nun auf eine Stellungnahme zum 2. EU-Datenschutz-Anpassungs- und Umsetzungsgesetz verständigt, die keinerlei Änderungen an § 38 BDSG nF vorsieht. Auch der ursprüngliches Gesetzesentwurf der Bundesregierung lässt keinerlei Änderungen in diesem Punkt erkennen.

Seit dem 25.05.2016 steht fest – IP-Adressen sind, genauso wie der Name, eine Adresse oder das Geburtsdatum, personenbezogene Daten. Aber welchen Personenbezug kann eine IP-Adresse eigentlich haben?

Kleiner Exkurs

Zu Beginn der Digitalisierung hingen nur Personal Computer (PC) im Netz und benötigten zur Kommunikation im Internet eine sogenannte IP-Adresse. Heute sind immer mehr Devices an das Internet angebunden, um uns den Alltag zu erleichtern – die Armbanduhr, das Mobiltelefon, der Kühlschrank, die Lampen in der Wohnung unser Smart TV und vieles mehr. Jedes dieser Geräte benötigt eine IP-Adresse, um Datenpakte im Internet versenden und empfangen zu können. Mit IPv4 ist die Anzahl an verfügbaren IP-Adressen allerdings begrenzt. Eine IPv4-Adresse besteht aus 32 Bit. Insgesamt sind so 4.294.967.296 Adressen darstellbar. Die Weltbevölkerung liegt aktuell bei 7,5 Milliarden Menschen, hiervon besitzen etwa 50% einen Zugang zum Internet. Hierbei ist zu berücksichtigen, dass die meisten Menschen nicht nur ein internetfähiges Gerät, sondern mehrere davon besitzen. Diese Zahlen zeigen, dass IPv4 in Zukunft nicht mehr ausreichen wird, um alle Geräte an das Internet anzubinden. Deshalb wird der Adressraum gerade durch die Umstellung auf IPv6 erweitert. IP-Adressen der Version 6 besitzen 128 Bit, somit bestehen 25616 verschiedene Kombinationsmöglichkeiten. Mit dieser Anzahl an möglichen Adressen können für jeden Quadratmillimeter der Erdoberfläche 665.570.793.348.866.944 IP-Adressen bereitgestellt werden.

IP-Adressen der Version 4 können statisch oder dynamisch sein. Wenn man von statischen IP-Adressen spricht, wird immer genau eine Adresse einem Gerät zugeordnet, welche es für immer behält. Dynamische IP-Adressen werden bei jedem Login geändert. Bei IPv6-Adressen handelt es sich immer um eine statische Vergabe der Adressen.

Warum sind IP-Adressen personenbezogene Daten?

Kommen wir nach dem kleinen Exkurs zurück zu der Frage, warum IP-Adressen personenbezogene Daten sind. Beispielsweise erhält der Betreiber einer Webseite mit der IP-Adresse des Absenders alle relevanten Informationen, um alle erforderlichen Daten an den Nutzer übertragen zu können und die Webseite entsprechend aufbauen zu können. Hierbei wird die IP-Adresse bei den meisten Webseiten-Betreibern gespeichert. Wenn die Geräte dynamische IP-Adressen verwenden, besteht kaum eine Möglichkeit für den Anbieter Profiling zu betreiben. Ist die verwendete IP-Adresse allerdings statisch, können durchaus Rückschlüsse auf das Surfverhalten getroffen werden.

IP-Adressen sind also personenbezogen, weil durch diese Information Nutzer-Profile erstellt werden können, anhand derer beispielsweise Rückschlüsse auf das Surf- und Kaufverhalten, den Gesundheitszustand oder den Familienstand gezogen werden können. Um die Betroffenen vor Schäden auf Grund von Missbrauch dieser Daten zu schützen, gibt es entsprechende Datenschutzregelungen in der neuen DS-GVO, dem BDSG (neu) sowie in weiteren speziellen Gesetzen. Dieses Fazit wird durch das Urteil des BGH vom 16.05.2017 manifestiert, in dem auch dynamische IP-Adressen zu personenbezogenen Daten erklärt werden (Urt. V. 16.05.2017, Az. VI ZR 135/13).

Quellen:
https://techterms.com/definition/ipv4
https://www.itwissen.info/IPv6-Adresse-IPv6-address.html
https://www.welt.de/print/welt_kompakt/webwelt/article168773209/Milliarden-Menschen-weltweit-ohne-Internet.html
https://www.umrechnung.org/weltbevoelkerung-aktuelle-momentane/weltbevoelkerungs-zaehler.htm
https://praxistipps.chip.de/dynamische-und-statische-ip-adressen-das-sind-die-unterschiede_13536
https://www.lto.de/recht/hintergruende/h/bgh-urteil-vizr13513-dynamische-ip-adressen-personenbezogene-daten-speicherung-internetseiten-bundesrepublik/

Schlagwortarchiv für: BDSG