IP-adressen, Google en gegevensbescherming: Om die redenen zijn IP-adressen voor Google potentieel altijd persoonsgerelateerd

De IP-adres (netwerkadres) is voor de Google-concern altijd potentieel een persoonsgegeven. De redenen zijn divers en worden in het artikel beschouwd. Daarmee is het IP-adres, wanneer het naar Google wordt gestuurd, onafhankelijk van nationale wetten als persoonsgegeven te beschouwen.

Inleiding

De EuGH heeft al lang geleden, namelijk op 19 oktober 2016 (zaaknr.: C-582/14), geoordeeld dat IP-adressen altijd als persoonsgegevens worden beschouwd wanneer een landelijke wet het mogelijk maakt om de abonnee van een IP-adres te kunnen achterhalen. Het is voldoende dat er objectief mogelijkheid bestaat hiertoe. Dit geldt ook als voor de vaststelling van de abonnee meerdere derden moeten worden ingeschakeld, bijvoorbeeld de telefoonmaatschappij en het BND of in andere landen dan wel andere organisaties of bedrijven.

In Duitsland bevestigde de Hoge Raad het vonnis van het EHRM (zie Hoge Raad-vonnis van 16 mei 2017 – VI ZR 135/13). Want in Duitsland is het binnen het kader van een strafonderzoek mogelijk om de abonnee van een persoon die interessant is voor de kriminalistiek te achterhalen.

In andere landen mag dit anders zijn, omdat nationale strafvorderingwetten van andere landen anders kunnen zijn dan in Duitsland.

Als Google de IP-adres van jou of mij krijgt, is het potentieel altijd persoonsgerelateerd. Google krijgt je IP-adres wanneer je een website bezoekt vanaf je desktop-pc en deze website Google Fonts of een ander Google-tool gebruikt. Ook bij gebruik van Google Analytics met IP-anoniemisering is dit het geval. De anoniemiseringsoptie zegt volgens Google dat ze belooft niet te gebruiken de sowieso altijd ontvangen IP-adres (dat zou in ieder geval de interpretatie zijn van de beloften van Google, die voor Google het beste zou zijn en hiermee als theoretisch wordt aangeduid).

Waarom uw IP-adres voor Google altijd een link naar uw persoon kan laten zien, leg ik hieronder uit.

Het Google-account

Bijna iedereen onder u heeft een Google-account. Dat geldt zelfs als u er nooit zelf een hebt aangemaakt. Google geeft u gewoon een account, wanneer u de Google-zoekmachine, Google Maps of een Android-smartphone (indien standaard en niet ent-Google-t) gebruikt.

Dus doet Google dat:

• Ze zoeken bijvoorbeeld de Google-zoekmachine op (wat u natuurlijk niet doet, omdat er andere zoekmachines zijn als Ecosia, DuckDuckGo of Xayn).
• Google vraagt zich bij het eerste bezoek (of wanneer u uw cookies eerder hebt verwijderd), of u akkoord bent met een niet noodzakelijke gegevensverwerking (de vetgedrukte formulering komt van mij en is als zeer verkorte weergave te begrijpen. Precies gezegd, zou men voor de gegevensverwerking bij Google honderden pagina's moeten schrijven).
• Egal, wat je ook klikt, Google maakt altijd een account aan voor je en slaat een identificator op voor je in één of meerdere cookies. Deze cookies heten ENID, __Secure-ENID of ook NID of IDE (of anderszins, dat vertelt Google niet. Bijvoorbeeld zoek ik nog steeds naar een betrouwbare uitleg voor de betekenis van de cookies DV, OTZ, SOCS en AES).

Ze kunnen zo van Google een Google-account gekoppeld worden, wanneer ze op een pagina van Google komen, een Google-apparaat gebruiken of een pagina bezoeken die een Google-service heeft geïntegreerd of die een service heeft geïntegreerd die met Google data communiceert (bijvoorbeeld een advertentieplatform dat bijna altijd Cookie Matching uitvoert).

Met behulp van een van de genoemde cookies kan Google u 100% nauwkeurig identificeren. Dat werkt bijvoorbeeld als een website het reCAPTCHA-plugin van Google heeft ingebouwd of het Google Maps-plugin in een populaire variant gebruikt. Over reCAPTCHA moet alleen kort worden vermeld dat dit plugin echt veel cookies met uitgebreide specificatie gebruikt.

Er ontstaat in het algemeen een persoonlijk contact

De Artikel 29-Gruppe is de voorganger van het Europees Comité voor gegevensbescherming en in Art. 94 DSGVO vastgelegd. Deze groep heeft de DSGVO geïnterpreteerd en tot de conclusie gekomen dat een gegevenwaarde dan personenbezogen kan zijn, wanneer het geschikt is om een persoon in een groep van personen van de anderen te onderscheiden. Deze opvatting wordt ook door de Ierse toezichthouder in hun motivering voor de boete tegen WhatsApp gehouden.

Er zou al een persoonsgebonden gegevensbestand zijn als u ermee van andere mensen onderscheiden kunt worden ("een persoon kan uit een groep personen gesingeld worden").

Een persoonslink ontstaat echter nog duidelijker, wanneer een persoonsgebonden gegevenswaarde aanwezig is. Deze is dan gegeven, wanneer er direct of indirect op u als Maxi Musterpersoon wordt gesloten kunnen worden. Een directe conclusie is vooral mogelijk via uw naam en uw adres.

Een indirecte conclusie is mogelijk wanneer u een waarde hebt vanwaar u objectief een concrete persoon kunt identificeren. Bijvoorbeeld kan uit een Kfz-Kennzeichen opgehaald worden wie het auto is dat daarmee geregistreerd staat. Zeker kennen jullie dat van de boete voor te hard rijden (van het gerucht natuurlijk alleen). Ook een telefoonnummer kan terugvervolgd worden naar een persoon. Uiteindelijk is deze nummer op een persoon geregistreerd. Eveneens kan een Mailadresse teruggevoerd worden naar een persoon. Een van mijn mailadressen luidt klaus.meffert@dr-dsgvo.de. Hier zijn er twee persoonsbezigheden. Eerst is mijn naam in de mailadresse verwerkt. Ten tweede kan via een NIC-inquiry (DENIC in dit geval) opgehaald worden wie de domeinnaam dr-dsgvo.de geregistreerd heeft. DENIC noemt de voorwaarden hiervoor, die bijvoorbeeld het doorzetten van naam- en kenmerkingsrechten omvatten, maar ook een „Rechtsverletzung durch Websites“. NIC staat voor Network Information Center, DENIC voor het Duitse NIC.