Hallo,

Das ist das Verarbeiten personenbezogener Daten

Dazu musst Du erstmal personenbezogene Daten haben. Ohne eine Registrierung ist das nur die IP-Adresse, ...

gerade bei der IP-Adresse wird oft gestritten, ob die nun ein personenbezogenes Merkmal nach DSGVO oder BDSG ist. Sie ist es meiner Ansicht nach nur dann, wenn ich sie tatsächlich einer Person zuordnen kann.

Das kann Lieschen Müller aber nicht, weil IP-Adressen normalerweise nicht direkt an Privatpersonen vergeben werden, sondern an große Unternehmen, vorwiegend solche aus der Telekommunikationsbranche (aber nicht nur). Eine whois-Abfrage bringt dann etwas wie Deutsche Telekom, SIEMENS AG oder Telefonica hervor.

Hat man ein "gewöhnliches" Unternehmen erwischt (wie hier im Beispiel SIEMENS), ist meist Schluss. Bei meinem Brötchengeber schlagen beispielsweise alle Mitarbeiter mit derselben öffentlichen IP-Adresse beim fremden Server auf.
Gehört die IP-Adresse zu einem Telekommunikations-Dienstleister, kann man vermuten, dass man es mit einer Privatperson oder einem Kleingewerbebetrieb zu tun hat. Und dann? Ermittlungsbehörden können in begründeten Verdachtsfällen z.B. die Telekom zwing ersuchen, aus ihren Protokollen herauszusuchen, welcher Kunde am 30.01.2022 um 18:28 die IP-Adresse a.b.c.d hatte. Anderen ist diese Information aber nicht zugänglich.

oder eine klebrige Identifizierungshinterlassenschaft im Browser des Anwenders (Cookie, IndexedDB, LocalStorage, ServiceWorker - you name it).

Auch das ist IMO noch kein personenbezogenes Merkmal. Daran erkennst du zwar, dass es immer wieder derselbe Nutzer ist - aber nicht wirklich, wer das ist.

Erst wenn man Informationen aus verschiedenen Quellen korreliert, hat man eine Chance, daraus wirklich personenbezogene Daten zu gewinnen. Und das ist die eigentliche Gefahr bei Datenkraken wie etwa Google: Das Zusammenführen von Informationsfragmenten aus Tausenden von verschiedenen Quellen.

Ich finde deshalb, dass das Thema Datenschutz im Internet zumindest in diesem Aspekt von der deutschen Juristerei zu hoch aufgehängt wird.

Wie es mit dem Grenzfall aussieht, einen Session-Cookie zu setzen, um die User-Reise eines einzelnen Users während einer einzigen Session zu monitoren, ohne den User dabei identifizieren zu können, weiß ich nicht. Das ist anonym und damit keine personenbezogene Datenverarbeitung.

Sehe ich auch so.

Immer eine Handbreit Wasser unterm Kiel
 Martin