Ein bemerkenswerter Artikel von RA Prof. Härting und seinem Kollegen Lasse Konrad von Härting Rechtsanwälte aus Berlin auf der CR-Online Seite zum Thema Abmahnung (https://www.cr-online.de/blog/2019/09/28/liebesgruesse-aus-salzburg-marketinganwalt-harlander-mahnt-ab/) hat mich dazu inspriert, mir den Artikel 11 der DSGVO einmal etwas näher anzusehen.
Dieser läuft unter dem Titel "Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist". Und es ist einer dieser Artikel, bei dem den unbedarften Lesern vielleicht nicht sofort ein praktisches Beispiel einfällt.
Art. 11 Abs. 1 DSGVO sagt da:
"Ist für die Zwecke, für die ein Verantwortlicher personenbezogene Daten verarbeitet, die Identifizierung der betroffenen Person durch den Verantwortlichen nicht oder nicht mehr erforderlich, so ist dieser nicht verpflichtet, zur bloßen Einhaltung dieser Verordnung zusätzliche Informationen aufzubewahren, einzuholen oder zu verarbeiten, um die betroffene Person zu identifizieren."
Art. 11 Abs. 2 legt einen drauf:
"Kann der Verantwortliche in Fällen gemäß Absatz 1 des vorliegenden Artikels nachweisen, dass er nicht in der Lage ist, die betroffene Person zu identifizieren, so unterrichtet er die betroffene Person hierüber, sofern möglich. In diesen Fällen finden die Artikel 15 bis 20 keine Anwendung, es sei denn, die betroffene Person stellt zur Ausübung ihrer in diesen Artikeln niedergelegten Rechte zusätzliche Informationen bereit, die ihre Identifizierung ermöglichen."
Wenn man jetzt den von Prof. Härting genannten Fall der IP-Adresse nimmt, so bekommt dieser Artikel der DSGVO einen ganz realen Bezug (den er im CR-Online Text auch ausführt).
Bei einem Zugriff auf eine Webseite (ohne dass sich der Nutzer dort womöglich mit weiteren Authentifizierungs-Daten anmeldet) wird typischerweise die IP-Adresse erhoben und gespeichert, die ja ein personenbezogenes Datum darstellt.
Da diese Erhebung der IP-Adresse normalerweise dem technischen Verbindungsaufbau und ggf. der Abwehr von Angriffen dient, sind keine weiteren Daten beim Verantwortlichen erforderlich, die eine Identifizierung der Person anhand dieser IP-Adresse ermöglichen würden.
Sie ist also pseudonym (weil nur mit - wenn auch erheblichem - Aufwand über den Provider des Nutzers wieder ein direkter Personenbezug herstellbar wäre) und es besteht im Sinne des Art. 11 Abs. 1 DSGVO in diesem Fall auch keine Verpflichtung, weitere Informationen zur Identifizierung der Person zu verarbeiten.
Der Verantwortliche wird also in den meisten Fällen im Sinne des Art. 11 Abs. 2 nicht in der Lage sein, die betroffene Person, die zur IP-Adresse gehört (vice versa) zu identifizieren. Er kann also nicht herausfinden, welche IP-Adresse in den Server-Log Files zu dem Betroffenen gehört, der z.B. einen Lösch-Anspruch an ihn heran trägt.
Somit würde in diesem Fall die Verpflichtung zur Löschung einer IP-Adresse im Sinne des Art. 11 Abs. 2 Satz 2 DSGVO wohl oftmals entfallen.
Hinweis: Als externer Datenschutzbeauftragter und Datenschutz-Prozessberater kann, will und darf ich keinerlei Beratung oder Bewertung in Rechtsfragen vornehmen. Dieser Blog-Artikel stellt ausschließlich meine persönliche Meinung dar. Für juristische Bewertungen nehmen Sie bitte einen Fachanwalt für Datenschutz in Anspruch!