Die Nicht-Protokollierung von IP-Adressen: Alles gut beim Datenschutz?

Kategorien: Datenschutz und Tracking

Google und andere verkünden vereinzelt, dass IP-Adressen nicht protokolliert werden würden. Übrigens beruft sich auch die Deutsche Bahn bei Ihrer DB Navigator App darauf. Sind damit alle Datenschutzprobleme erledigt? Eine Untersuchung am Beispiel von Google Fonts.

Einleitung

Die Idee zu diesem Beitrag kam mir aufgrund einer schriftlichen Äußerung von Google, dass beim Abruf von sogenannten Google Fonts keine IP-Adressen protokolliert werden würden. Google Fonts sind Schriften beliebiger Designer, die auf einer Google Infrastruktur verwaltet und bereitgestellt werden. Google Fonts werden eingebunden, indem sie von einem Google Server abgerufen werden. Unter Protokollierung wird üblicherweise die Verarbeitungskette aus Entgegennahme, Speicherung sowie eventueller Auswertung von Daten verstanden.

In diesem Beitrag geht es um die Nicht-Protokollierung von IP-Adressen, also um das Ausbleiben eine Speicherung. Bekanntlich sind IP-Adressen personenbezogene Daten (Urteil „Breyer“ von EuGH und BGH aus den Jahren 2016 und 2017), dies gilt ebenso für dynamische IP-Adressen.

Google schreibt in den „Häufig gestellten Fragen“ zu Google Fonts wörtlich:

„IP-Adressen werden nicht protokolliert.“

Quelle: https://developers.google.com/fonts/faq#what_does_using_the_google_fonts_api_mean_for_the_privacy_of_my_users

Das soll wohl bedeuten, dass Google die beim Abruf der Google Fonts-Dateien aus technischen Gründen erhaltene IP-Adresse eines Besuchers einer Webseite, die Google Fonts einbindet, nicht abspeichert.

Sind damit alle Datenschutzprobleme erledigt? Immerhin verwenden Google Fonts nach aktuellem Stand keine Cookies. Ist das Urteil des LG München zu Google Fonts, das dem Kläger sogar 100 Euro Schadenersatz zusprach, somit überzogen?

Nicht-Protokollierung: Alles gut?

Die folgende Frage zeigt direkt, wo der Hase hinläuft:

Ist die Protokollierung die einzige Verarbeitungstätigkeit?

Die DSGVO beschäftigt sich insbesondere mit der Verarbeitung von (personenbezogenen) Daten. Diese Verarbeitung schließt die Speicherung, die man fallweise auch als Protokollierung bezeichnen könnte, mit ein. Daneben gibt es aber zahlreiche weitere Datenverarbeitungstätigkeiten neben der Protokollierung bzw. Speicherung.

In Art. 4 Nr. 2 DSGVO werden insbesondere folgende Aktivitäten der Datenverarbeitung genannt:

• Erheben
• Erfassen
• Organisation
• Ordnen
• Speicherung
• Anpassung oder Veränderung
• Auslesen
• Abfragen
• Verwendung
• Offenlegung durch Übermittlung
• Verbreitung oder eine andere Form der Bereitstellung
• Abgleich oder die Verknüpfung
• Einschränkung
• Löschen
• Vernichtung

Fett gedruckt in dieser Aufzählung ist die Speicherung, die der Protokollierung quasi entspricht. Wie zu sehen ist, existiert ein ganzer Reigen weiterer Datenverarbeitungsaktivitäten. Alle diese anderen Aktivitäten müssen hinsichtlich der DSGVO ebenfalls von Google eingehalten werden, wenn Google Fonts abgerufen werden.

Das Erheben von Daten ist die frühestmögliche Verarbeitungstätigkeit. Diese habe ich recht ausführlich untersucht. Beim Abruf von Google Fonts durch eine besuchte Webseite findet ein Erheben von Daten durch Google statt, und zwar in der Verantwortlichkeit des Webseitenbetreibers. Das Erheben ist, verkürzt gesagt, der objektiv mögliche, gewollte Erhalt von Daten.

Weil Google Ihre IP-Adresse erhält, kommt hier direkt die Schrems II Problematik ins Spiel. Siehe die einschlägigen Urteile hierzu sowie amerikanische Überwachungsgesetze und die Tatsache, dass die Google Muttergesellschaft als Inhaberin der Google Assets in den USA sitzt. Darüber wurde bereits genügend geschrieben, siehe andere Beiträge in diesem Blog.

Mit dem Auslesen geht es los

Google hat das Auslesen der IP-Adresse nicht als Datenverarbeitungstätigkeit ausgeschlossen. Ein Server muss als Netzwerkteilnehmer die Adresse des Absenders (= besuchte Webseite) auslesen, um die Antwort an den Absender (= anfragende Webseite) zurückschicken zu können. Dass Google diese IP-Adresse mit Hilfe von Zusatzlogik nicht aber auch noch für andere Zwecke verwendet, wird nirgends in der genannten Quelle („Häufig gestellte Fragen“ zu Google Fonts) ausgeschlossen. Das erinnert ein wenig an die polemischen Wahrheiten unter Ausschluss der eigentlich interessanten Fakten, die Microsoft in seiner jüngst erschienenen dreiseitigen Erklärung veröffentlichte.

Verwendung, Anpassung und Veränderung

Wenn Google die IP-Adresse 1.2.3.4 von Ihnen erhält, weil Sie eine Webseite besuchen, die Google Fonts nutzt, dann wird Google laut eigener Aussage diese IP-Adresse in Form des Wertes 1.2.3.4 nicht protokollieren. Man könnte darüber streiten, ob Google lügt, wenn stattdessen der Wert 4.3.2.1 protokolliert wird, also die Rückwärtsschreibweise.

Was allerdings möglicherweise nicht als Lüge von Google zu werten wäre, wäre die Protokollierung eines quasi kollisionsfreien Hash-Wertes der IP-Adresse 1.2.3.4. So könnte Google den Wert 17ab27ecd9ff240 abspeichern. Das sieht nicht nach einer IP-Adresse aus. Alternativ könnte Google die IP-Adresse mit anderen werten kombinieren, etwa mit Ihrem Browser-Typ, und dann einen Hash-Wert bilden.

Wenn Sie irgendwann später wieder eine Webseite besuchen, von der Google Ihre IP-Adresse erhält, dann kann Google Ihre IP-Adresse wieder hashen und erhält denselben Wert, nämlich 17ab27ecd9ff240, dafür. Google weiß dann, dass dieselbe IP-Adresse wie ein paar Tage zuvor wieder auf einer Webseite war. Dafür genügt ein Vergleich des gerade erzeugten Hash-Wertes mit bisher gespeicherten Hash-Werten.

Weil die dann wieder bei Google vorliegende IP-Adresse dazu genutzt werden könnte, um den Anschlussinhaber herauszufinden, gelten die IP-Adresse sowie deren Hash-Wert als personenbezogene Daten. Vergleiche das oben erwähnte EuGH-Urteil „Breyer“, in dem der EuGH genau dies ausführte. Der Hash-Wert ist bestenfalls pseudonymisiert. Beim Datenimporteur (Google) ändert das aber nur wenig (vgl. Art. 4 Nr. 5 DSGVO sowie die Tatsache, dass Google eine De-Pseudonymisierung durchführen kann, sobald der Nutzer wieder aufschlägt).

Somit spielt es kaum eine Rolle, ob Google die IP-Adresse als solche mit ihrem direkten, unverfälschten Wert speichert, also protokolliert, oder ob dies nicht passiert, sondern stattdessen ein Hash-Wert gespeichert wird.

Weitere Daten neben der IP-Adresse

Google gibt selbst zu, dass zahlreiche Daten erfasst werden, wenn eine Webseite Google Fonts einbettet.

Man braucht nicht viel Phantasie, um sich zu überlegen, dass alleine die Kenntnis darüber, welche Webseiten und Inhalte ein Nutzer abruft, viel über den Nutzer verrät. Wenn Ihr Arbeitgeber weiß, dass Sie gerne auf Pornoseiten surfen, sich für Hundehalsbänder interessieren, aber kein Interesse an Tierfutter haben usw., dann könnte es peinlich werden. Das Beispiel war sehr verkürzt. Sicher können Sie es gedanklich fortführen und andere Beispiele finden, die harmloser sind, aber dennoch die Privatsphäre unangenehm berühren oder beschädigen.

Genau diese besuchten Webseiten kennt Google, wenn alle möglichen Websites Google Fonts einbinden und sie diese Websites besuchen. Derart können leicht Bewegungsprofile von Internetnutzern erstellt werden. Insbesondere funktionierte diese Profilbildung über die IP-Adresse des Nutzers. Hierfür ist es nahezu egal, ob die IP-Adresse protokolliert wird oder nicht. Es reicht der oben beschriebene Hashwert der IP-Adresse oder ein vergleichbares Konstrukt. Auch dynamische IP-Adressen haben übrigens oft monatelang denselben Anschlussinhaber. Mittels Session Stitching können verschiedene IP-Adressen demselben Nutzer zugeordnet werden. Besonders leicht ist das möglich, wenn ein Nutzer bei etwa Facebook oder Google angemeldet ist. Übrigens sind Sie immer „bei Google angemeldet“, sobald Sie die Google Suchmaschine oder Google Maps aufrufen. Google verpasst Ihnen einfach ein unsichtbares Konto, sofern Sie nicht eigenmotiviert eines anlegen möchten, um Ihre Daten großflächig bereitzustellen.

Google gibt in seinen Datenschutzhinweisen (https://policies.google.com/privacy?hl=de) ausführlich zu, dass über Google Dienste erhaltene Daten von Ihnen für alle möglichen Zwecke benutzt werden. Zu diesen Zwecken gehört laut Google auch:

• Entwicklung neuer Produkte → Bedeutet unter anderem „Marktforschung“. Wurden Sie auch schon mal von einem Marktforschungsinstitut belästigt und haben sich darüber geärgert oder mindestens gewundert?
• Marketing → auf Deutsch: „Werbung“ oder „Vermarktung“. Sie selbst helfen Google also, noch mehr Geld zu verdienen.
• Bereitstellung von Werbung → Besonders gemeint ist hier die personalisierte Werbung. Der Umsatz von Google wird dadurch um jährlich ca. 120 Milliarden Dollar erhöht (angenommener Jahresumsatz 160 Milliarden Dollar, 2/3 des Umsatzes basiert auf personalisierter Werbung, deren Grundlage das Ausspionieren von Ihnen und mir ist).

Klingt nicht so, als wären diese Zwecke notwendig oder durch das berechtigte Interesse abgedeckt, wie Google meint. Vor allem aber sind diese Zwecke nicht durch das berechtigte Interesse des Betreibers der Webseite abgedeckt, die Sie besuchen und aufgrund dessen Sie über Google Fonts nachverfolgt werden können.

Fazit

Ob eine IP-Adresse von einem Dienst oder Dienstleister protokolliert wird, ist eine wichtige Information. Schließlich erscheint das anlasslose Protokollieren der IP-Adresse in Webserver Logs als unzulässig. Allerdings ist es keineswegs so, dass alle Datenschutzregeln eingehalten werden, wenn keine Protokollierung von IP-Adressen stattfindet. Vielmehr müssen die 99 Artikel der DSGVO insgesamt betrachtet werden. Hinzu kommt § 25 TTDSG (umbenannt in TDDDG), wenn es um Endgerätzugriffe geht. Diese sind insbesondere durch Cookies, aber auch durch JavaScript-Zugriffe gegeben. Der letztgenannte Fall wird oft vergessen. Er liegt aber bereits vor, wenn der Viewport, also die Größe des Browser-Fensters, ausgelesen wird. Über den Zugriff auf Endeinrichtungen („Smart Home Geräte“) wollen wir hier gar nicht sprechen.

Alleine der Datentransfer in Drittstaaten wie die USA erfordert gemäß Art. 44f DSGVO eine Einwilligung.

Bei Google Fonts ist die Sache jedenfalls für mich klar und hinreichend untersucht. Wer eine datenschutzfreundliche Alternative will, nutzt lokale Schriften. Auch Google Fonts können dahingehend transformiert werden, wie in einigen meiner Beiträge beschrieben.

Ganz am Anfang hatte ich die DB Navigator App kurz angerissen. Die Deutsche Bahn tut das, was manch andere Organisation bei Auskunftsgesuchen auch tut. Nämlich Ausreden zu nennen, anstatt sich um die Behebung von Datenschutzproblemen zu kümmern. So behauptet die Deutsche Bahn auf die Frage, welche Rechtsgrundlage für die Weitergabe einer Nutzer-IP an Anbieter eingebundener Dienste bestehe, dass die Nutzer-IP von der Deutschen Bahn nicht aufgezeichnet werde. Danke, Deutsche Bahn! Entweder weiß Eure Datenschutzabteilung wirklich nicht, wie das Internet funktioniert, oder Ihr redet Euch gerne raus.

Wer datenschutzfeindliche Lösungen dadurch rechtfertigt, dass sie alternativlos seien, hat stellenweise zwar mein Mitleid verdient, bricht aber dennoch oft das Gesetz. Das berechtigte Interesse jedenfalls kann nicht mit der Begründung angeführt werden, es gäbe keine andere Möglichkeit, und die einzige Möglichkeit ist ansonsten rechtswidrig, was aber wegen des berechtigten Interesses angeblich doch nicht der Fall sein soll. Wer sein Auto verbotenerweise vor der Feuerwehrzufahrt parkt, kann – soweit ich weiß – sich üblicherweise nicht mit dem Vermerk freisprechen, dass der nächste echte Parkplatz so weit weg ist.

Eine datenschutzfreundliche Lösung zu finden, ist nicht immer leicht. Wer es aber gar nicht erst versucht, hat eher Verachtung als Mitleid verdient. Auf der grünen Wiese mit einem amerikanischen Cloud-Dienst zu starten, halte ich für eine komische Idee, weil es mittlerweile bereits deutsche Alternativen gibt, die den Namen verdienen.