Google: IP-Adressen sind keine personenbezogenen Daten
In der EU bereiten die in der Artikel-29-Arbeitsgruppe(öffnet im neuen Fenster) vereinten europäischen Datenschützer gegenwärtig einen Bericht zur Verwendung personenbezogener Daten durch Internetdienste vor. In einer Anhörung des Bürgerrechtskomitees des Europäischen Parlaments ging es am vergangenen Donnerstag auch um die Frage, wie IP-Adressen einzustufen sind(öffnet im neuen Fenster) . Dabei prallten unterschiedliche Auffassungen von Google, Microsoft und der US-Handelsrepräsentantin Pamela Harbour auf der einen Seite sowie von europäischen Datenschützern und Bürgerrechtlern auf der anderen Seite aufeinander. Mehrere Mitglieder des EU-Parlamentsausschusses befürworteten die Behandlung von IP-Adressen als personenbezogene Daten. Auch der Bundesdatenschutzbeauftragte Peter Schaar, bis vergangenen Monat Leiter der Artikel-29-Arbeitsgruppe, hatte sich kürzlich in diesem Sinne geäußert.
Im Kern geht es um die Frage, ob IP-Adressen generell als personenbezogene Daten zu behandeln sein sollten. In diesem Fall wären in der Europäischen Union die strengen Datenschutzbestimmungen gemäß der " Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr(öffnet im neuen Fenster) anwendbar. Praktisch alle EU-Mitgliedsstaaten haben diese Richtlinie mehr oder weniger vollständig umgesetzt.
Für Google würde das bedeuten, die im Rahmen der Geschäftstätigkeit des Unternehmens in Europa anfallenden IP-Adressen nur noch sehr eingeschränkt nutzen zu können. Dabei würde der Grundsatz der Zweckbindung zum Tragen kommen. In der Folge dürften IP-Adressen nur noch mit Zustimmung der Nutzer beispielsweise für die Auslieferung zielgerichteter Werbung ausgewertet werden.
Google-Vertreter Peter Fleischer und Pamela Harbour wandten sich gegen die Einstufung von IP-Adressen als personenbezogene Daten. Harbour: "Aus US-Perspektive gibt es dazu keinen Konsens." Fleischer warnte vor unangemessenen Vereinfachungen: "Es gibt nicht nur Schwarz oder Weiß bei den Antworten. Manchmal kann eine IP-Adresse ein personenbezogenes Datum darstellen, andermal nicht. Es kommt dabei immer auf den Zusammenhang an, darauf, welche persönlichen Informationen offenbart werden."
Fleischer machte deutlich, dass Googles Geschäftsmodell auf der Nutzung von personenbezogenen IP-Adressen basiert: "Wir müssen wissen, wer wonach fragt – andernfalls könnte unser Unternehmen nicht funktionieren" . Fleischer wurde sekundiert von Microsoft-Vertreter Thomas Nyrup, der darauf hinwies, dass "das Internet nicht wäre, was es ist, gäbe es die Werbung nicht" . Google bestätigte in der Anhörung, die Inhalte von über Google-Mail versandten E-Mails zu Werbezwecken zu analysieren.
Marc Rothenberg vom Electronic Privacy Information Center (EPIC) sprach sich ausdrücklich für die Anerkennung von IP-Adressen als personenbezogene Daten aus. Er verwies auf den kommenden IPv6-Standard, bei dem die Menge der verfügbaren IP-Adressen dazu führen könne, dass IP-Adressen eindeutig einzelnen Personen zugeordnet werden. Im Hinblick auf den DoubleClick-Kauf durch Google unterstrich Rothenberg "das Bedürfnis, den Datenschutz angemessen zu berücksichtigen, wenn die Behörden den Kauf beurteilen" .
In Reaktion auf die Anhörung hat Google-Sicherheitsfachfrau Alma Whitten im Google-Blog(öffnet im neuen Fenster) am vergangenen Freitag noch einmal ausführlich erklärt, warum man IP-Adressen nicht ohne Weiteres als personenbezogene Daten einstufen dürfe: "Eine schwarz-weiß-malende Bestimmung, dass alle IP-Adressen personenbezogene Daten sind, würde zu Unrecht suggerieren, dass jede IP-Adresse mit einem bestimmten Individuum in Verbindung zu bringen ist. Unter bestimmten Umständen ist das eher gerechtfertigt: Wenn Sie ein ISP sind und eine IP-Adresse einem Computer zuweisen, der sich unter einem bestimmten Nutzerkonto anmeldet, und sie kennen Namen und Anschrift der Person, der das Konto gehört, dann handelt es sich bei der IP-Adresse wahrscheinlich um eine personenbezogene Angabe, selbst wenn mehrere Personen den Computer benutzen können. Auf der anderen Seite können die IP-Adressen von Websites in aller Welt nicht als personenbezogene Daten angesehen werden, weil für gewöhnlich die Personen hinter den Ziffernfolgen nicht identifiziert werden können."
Auf der Website der New York Times, die über die Debatte berichtete, hat sich mittlerweile eine intensive Diskussion über die Problematik entwickelt, an der sich auch Google-Mitarbeiter beteiligen. Google-Datenschützer Peter Fleischer legt dort in aller Ausführlichkeit seine " persönliche Sicht(öffnet im neuen Fenster) " der Dinge "mehr aus rechtlicher und europäischer Perspektive" dar.
Wie mehrere Kommentatoren in der New York Times anmerken, vermeidet Google in dem Zusammenhang, über die vom Unternehmen eingesetzten Cookies zu reden. Wenn die Nutzer die Cookies nicht regelmäßig löschen, verfügt Google zusätzlich zu den IP-Adressen über die Möglichkeit, anhand der Cookies Nutzerprofile zu erstellen, die von Fall zu Fall eine Identifizierung erleichtern. In Anbetracht der langen Lebensdauer von Google-Cookies – bei regelmäßiger Nutzung von Google-Diensten verlängert sich die Lebensdauer automatisch(öffnet im neuen Fenster) – dürfte es sich keineswegs nur um ein hypothetisches Problem handeln. [von Robert A. Gehring]