Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

IP-Adressen, Google und Datenschutz: Darum sind IP-Adressen für Google potentiell immer personenbezogen

0

Die IP-Adresse (Netzwerkadresse) stellt für den Google-Konzern potentiell immer ein personenbezogenes Datum dar. Die Gründe sind vielfältig und werden im Beitrag betrachtet. Somit ist die IP-Adresse, wenn sie an Google geschickt wird, unabhängig von nationalen Gesetzen als personenbezogen zu betrachten.

Einleitung

Der EuGH urteilte am 19.10.2016 (Az.: C-582/14), dass IP-Adressen immer dann als personenbezogen anzusehen sind, wenn ein Landesgesetz es ermöglicht, dass der Anschlussinhaber zu einer IP-Adresse ermittelt werden kann. Es reicht die objektive Möglichkeit, dies tun zu können. Das gilt auch dann, wenn zur Ermittlung des Anschlussinhabers mehrere Dritte hinzugezogen werden müssten, beispielsweise die Telekom und der BND oder in anderen Ländern dann eben andere Organisationen oder Unternehmen.

In Deutschland bestätigte der BGH das Urteil des EuGH (siehe BGH-Urteil vom 16.05.2017 – VI ZR 135/13). Denn in Deutschland ist es im Rahmen einer Strafverfolgung möglich, den Anschlussinhaber einer kriminaltechnisch interessanten Person herauszufinden.

In anderen Ländern mag dies anders sein, weil nationale Strafverfolgungsgesetze anderer Länder anders gestaltet sein können als in Deutschland.

Google muss nicht den Anschlussinhaber einer IP-Adresse herausfinden, damit ein Personenbezug entsteht. Google hat einfachere objektive Möglichkeiten.

Siehe Beitrag.

Wenn Google allerdings die IP-Adresse von Ihnen oder mir erhält, dann ist sie potentiell immer personenbezogen. Google bekommt Ihre IP-Adresse immer dann, wenn Sie eine Webseite von Ihrem Desktop PC besuchen und diese Webseite Google Fonts oder ein anderes Google Tool einbindet. Auch bei Verwendung von Google Analytics mit IP-Anonymisierung ist dies der Fall. Die Anonymisierungsoption besagt laut Google nur, dass Google verspricht, Ihre sowieso immer erhaltene IP-Adresse nicht zu verwenden (das jedenfalls wäre die Auslegung der Google Versprechen, die im besten Sinne für Google wäre und ist hiermit als rein theoretisch gekennzeichnet).

Warum Ihre IP-Adresse für Google potentiell immer einen Bezug zu Ihrer Person zulässt, erläutere ich im Folgenden.

Das Google Konto

Nahezu jeder von Ihnen hat ein Google Konto. Das gilt sogar dann, wenn Sie nie selber eines angelegt haben. Google verpasst Ihnen einfach ein Konto, wenn Sie die Google Suchmaschine, Google Maps oder ein Android Smartphone (sofern Standard und nicht ent-Google-t) nutzen.

Und so macht Google das:

  • Sie rufen beispielsweise die Google Suchmaschine auf (was Sie natürlich nicht tun, weil es andere Suchmaschinen wie Ecosia, DuckDuckGo oder Xayn gibt).
  • Google fragt sich beim ersten Besuch (oder wenn Sie Ihre Cookies vorher gelöscht haben), ob Sie mit einer nicht erforderlichen Datenverarbeitung einverstanden (die fett gedruckte Formulierung kommt von mir und ist als sehr verkürzte Darstellung zu verstehen. Genau gesagt, müsste man für die Datenverarbeitung bei Google hunderte Seiten schreiben).
  • Egal, was Sie anklicken, Google legt immer ein Konto für Sie an und speichert einen Identifizierer für Sie in einem oder mehreren Cookies. Diese Cookies heißen ENID, __Secure-ENID oder auch NID oder IDE (oder sonst wie, das verrät Google nicht. Beispielsweise suche ich immer noch nach einer belastbaren Erklärung für die Bedeutung der Cookies DV, OTZ, SOCS und AES).

Sie können somit von Google einem Google Konto zugeordnet werden, wann immer Sie auf eine Seite von Google gehen, ein Google Endgerät nutzen oder eine Seite besuchen, die einen Google Dienst eingebunden hat oder die einen Dienst eingebunden hat, der mit Google Daten austauscht (beispielsweise eine Werbeplattform, die wie fast immer Cookie Matching betreibt).

Anhand eines der genannten Cookies kann Google Sie zu 100 % genau identifizieren. Das funktioniert beispielsweise, wenn eine Webseite das reCAPTCHA Plugin von Google eingebunden hat oder das Google Maps Plugin in einer populären Variante verwendet. Zu Google reCAPTCHA sei nur kurz erwähnt, dass dieses Plugin wirklich viele Cookies mit ausführlicher Ausprägung verwendet.

So entsteht generell ein Personenbezug

Die Artikel 29-Gruppe ist die Vorgängerin des Europäischen Datenschutzausschusses und in Art. 94 DSGVO verewigt. Diese Gruppe hat die DSGVO interpretiert und kam zu dem Schluss, dass ein Datenwert dann personenbezogen sein kann, wenn er geeignet ist, eine Person in einer Gruppe von Personen von den anderen zu unterscheiden. Diese Auffassung vertritt auch die irische Datenschutzaufsicht in Ihrer Begründung des Bußgelds gegen WhatsApp.

Somit wäre eine personenbezogene Datenlage bereits gegeben, wenn Sie damit von anderen Personen unterschieden werden können („a person can be singled out from a group of persons“).

Ein Personenbezug entsteht aber noch eindeutiger, wenn ein personenbezogener Datenwert vorliegt. Dieser ist dann gegeben, wenn entweder direkt oder indirekt auf Sie als Maxi Musterperson geschlossen werden kann. Ein direkter Rückschluss ist insbesondere über Ihren Namen und Ihre Adresse möglich.

Ein indirekter Rückschluss ist möglich, wenn Sie einen Datenwert haben, zu dem Sie objektiv eine konkrete Person ermitteln könnten. Beispielsweise kann zu einem Kfz-Kennzeichen ermittelt werden, auf wen das Auto zugelassen ist. Sicher kennen Sie das vom Bußgeld wegen zu schnellen Fahrens (vom Hörensagen natürlich nur). Auch eine Telefonnummer kann zu einer Person rückverfolgt werden. Schließlich ist diese Nummer auf eine Person registriert. Ebenso kann eine Mailadresse auf eine Person zurückgeführt werden. Eine meiner Mailadressen lautet klaus.meffert@dr-dsgvo.de. Hier gibt es gleich zwei Personenbezüge. Erstens steckt mein Name in der Mailadresse. Zweitens kann über eine NIC-Abfrage (DENIC in diesem Fall) herausgefunden werden, auf wen die Domäne dr-dsgvo.de registriert wurde. DENIC nennt die Bedingungen hierfür, die beispielsweise das Durchsetzen von Namens- und Kennzeichnungsrechten einschließen, aber auch eine „Rechtsverletzung durch Websites“. NIC steht für Network Information Center, DENIC für das Deutsche NIC.

Umso mehr Daten zu einer Person vorlegen, je eher kann eindeutig auf eine konkrete Person geschlossen werden. Wenn die Mailadresse herberto.buechneri@web.de bekannt ist, dazu die IP-Adresse 4711, dazu der User-Agent Firefox97.Windows10.Version.1873, dazu noch der Besuch zahlreicher Webseiten von dieser IP, dazu noch die Kennung eines Google-Kontos, dazu noch die oft in Google Maps eingegebene Adresse Wielandtstr. 999 in 66666 Frankfurt, dazu noch die GPS-Koordinaten aus einem Android Smartphone, dazu noch die Telefonnummer eines Android-Smartphones, dann wird diese Person höchstwahrscheinlich vollständig identifizierbar sein. Man könnte sagen, diese Person kann objektiv identifiziert werden. Dies folgt der Logik des EuGH-Urteils “Breyer“. Objektiv identifizierbar schließt ein, dass dazu mehrere Dritte hinzugezogen werden müssten, etwa Strafverfolgungsbehörden, Telekommunikationsbehörden oder Nutzernachverfolgungsunternehmen wie Google. Weniger als die eben beispielhaft genannten Datenwerte würden sicher auch schon ausreichen. Übrigens kann man annehmen, dass eine Person, die beispielsweise Herbert Büchner heißt, auch dann gefunden werden kann, wenn die Mailadresse den Namen Herberto Büchneri nahelegt.

Warum Google (objektiv) direkt auf Sie als Person mit Namen X schließen kann, erläutere ich anhand von Fakten.

So entsteht ein Personenbezug für Google

Zunächst vertrete ich die Auffassung, dass es für Google gar nicht darauf ankommt, wie Sie heißen und wo Sie wohnen. Google möchte Sie vielmehr so gut kennenlernen, wie Ihre Eltern es nicht mal können. Es gab mal eine Studie zu Datenpunkten, die über Facebook Likes erhoben wurden, die genau diese Möglichkeit darstellt.

Nachdem Google Sie bestmöglich kennengelernt hat, können Sie über die Google Werbeplattform Gewinn bringend in Ihrer Meinung und Ihrem Verhalten beeinflusst werden. Das betrifft übrigens auch das Verhalten bei Wahlen.

Eigentlich ist es Google egal, wie Sie heißen und was Ihre Postadresse ist. Google will Ihnen kein Paket schicken, sondern anderen mitteilen, was Ihre Gewohnheiten und Vorlieben sind. Umso besser Sie beeinflussbar sind, umso mehr Geld können Google und andere mit Ihnen verdienen.

Dennoch kann Google mit Ihren Spuren aus dem Internet sehr oft auf Sie als Person schließen.

Bekanntlich hat Google viele Daten über sie gesammelt. Dazu gehören:

  • Ihre IP-Adresse (immer dann, wenn Sie eine Google-Seite aufrufen, ein Google Endgerät nutzen, eine Webseite mit einem Google Plugin aufrufen oder (direkt oder indirekt) einen Dienst nutzen, der Daten mit Google austauscht).
  • Ihre Gerätekennung (User-Agent): Wird zusammen mit Ihrer IP-Adresse an Google geschickt.
  • Referrer: Die Webseite, von der Sie kamen, als Sie eine Webseite besucht haben, die Daten (direkt oder indirekt) an Google schickt.
  • Die eben besagte besuchte Webseite selbst.
  • Weitere Daten, die von Google Diensten wie Google Analytics erhoben werden. Hierzu gehört etwa der Viewport, also die Größe Ihres Browser-Fensters.
  • Google-Cookies, die bei Google-eigenen Webseiten zum Einsatz kommen.
  • Dieselben Google-Cookies wie eben, die beim Einsatz von Google Plugins verwendet werden, welche auf Webseiten eingebunden sind, die von Ihnen besucht werden.
  • Andere Google-Cookies als eben, die aber nur in Google Plugins auf Dritt-Webseiten zum Einsatz kommen. Hierzu zählen beispielsweise Google Analytics Cookies, die im Standard immer User-IDs speichern und Ihnen somit einen Identifikator zuordnen, um Ihre Aktivitäten im Internet möglichst gut nachverfolgen zu können.
  • Ihre selbst eingegebenen Daten in einem explizit von Ihnen angelegten Google-Konto. Hierzu gehört die personenbezogene E-Mail-Adresse, vor allem dann, wenn Sie eine eigene Domäne haben oder Ihr echter Name vor dem @-Zeichen steht.
  • Ihre Abrechnungsdaten, sofern Sie einen kostenpflichtigen Google-Dienst nutzen. Ja, auch Sie als Google-Kunde sind ein Nutzer im Internet, der Rechte hat.
  • Ihre eingegebenen Login-Daten, sofern Sie einen kostenlosen oder kostenpflichtigen Google-Dienst nutzen. Beispielsweise wird die E-Mail-Adresse für die Nutzung von Google Analytics abgefragt. Auch bei Nutzung des Google Play Store auf Android Smartphones wird Ihre Mailadresse abgefragt.
  • Suchbegriffe: Die von Ihnen gesuchten Begriffe in der Google-Suche. Wir erinnern uns: Sie haben ein Google-Konto.
  • Statische IP-Adressen: Es soll Menschen geben, die haben eine (nur) auf sie registrierte IP-Adresse dauerhaft gemietet. Die ist ebenso personenbezogen wie ein Kfz-Kennzeichen eines privaten PKW. Da sind wir uns doch einig, oder?

An der Anzahl der Einträge dieser Aufzählung wird schnell deutlich, dass Google sehr schnell sehr viel von Ihnen wissen kann. Wer Google aufgrund der genannten Möglichkeiten seine Mailadresse gibt, der ist für Google nicht nur als Nutzer erkennbar, sondern auch als Person. Sie sind dann der Inhaber der Mailadresse maximusterperson@meinedomaene4711.de. Wer genau Sie sind, ergibt sich möglicherweise bereits aus der Mailadresse selbst. Aber falls nicht, würde ein Nachschlagen oder Suchen im Internet womöglich auf anderem Wege auf Sie als Maxi Musterperson schließen lassen. Denken Sie nur an ein XING-Konto, bei dem Ihr echter Name mit der hinterlegten Mailadresse verknüpft ist. Vielleicht haben Sie Ihre Mailadresse werichbinweissniemand@wirklichjetzt.de im Impressum Ihrer Webseite erwähnt. Wir alle wissen, dass (zumindest in Deutschland und wohl auch in Österreich) im Impressum eines Telemediums wie einer Webseite Name und Anschrift von Personen stehen. Wer nicht das Impressum bemühen möchte, findet häufig über eine WHOIS-Abfrage die gewünschte Information, beispielsweise für Domänen mit der Endung .at für Österreich.

Einige Webseiten bieten ein Kontaktformular an. Eben habe ich einen Fall gefunden, der alle dort eingegebenen Daten von mir beim Absenden an Facebook geschickt hat. Gleiches kann auch hin zu Google stattfinden. Vor allem können URLs von Webseiten, die beispielsweise Suchbegriffe enthalten, über Google Analytics zu Google geschickt werden. Wenn ich auf einer Webseite nach meinem eigenen Namen suche, weiß Google so, wer ich sein könnte. Suche ich dann noch auf Google nach meinem Namen, und kann Google meine IP-Adresse anderweitig mit meinem Namen in Verbindung bringen, dann schlägt die Wahrscheinlichkeit, dass ich den gesuchten Namen habe, schnell in Richtung Gewissheit aus.

Wer oft Google Maps nutzt, wird üblicherweise oft seinen Wohnort als Start- oder Zielpunkt eingeben. Auch hier ist der Personenbezug schnell hergestellt.

Das weiß Google über einen fiktiven Nutzer, der einige Webseiten besucht hat (nur ein Auszug, damit das Beispiel nicht so lang wird):

  • Hat Haustiere
  • Kauft regelmäßig Hundefutter
  • Ist männlich
  • Ist Angestellter oder anderweitig tätig
  • Tätigt auch teurere Anschaffungen (aber nicht: teure TV-Geräte)
  • Hat ein Konto bei Bank X und eines bei Bank Y sowie ein Aktiendepot
  • Interessiert sich für Kunst
  • Reist gerne nach Südamerika
  • Fährt gerne Fahrrad
  • Betreibt gerne Wintersport
  • Interessiert sich für Mode
  • Hat Erektionsprobleme bzw. sucht oft nach Medizin aus diesem Bereich
  • Hat Fotos eines Städtetrips hochgeladen (womöglich mit GPS-Koordinaten in den Bild-Metadaten)
  • Nutzt Browser Version X unter Windows 10 Home mit Bildschirmauflösung Z sowie Android Smartphone Modell Y
  • Wohnt in Frankfurt/Main oder in unmittelbarer Umgebung
  • Gibt oft die folgende Adresse in die Routenplanung ein: Hansaplatz 999, 66666 Frankfurt/Main
  • Gibt oft die folgende Adresse in die Routenplanung ein: Blauring 888, 66667 Frankfurt/Main
  • [Das lassen wir weg, sonst wäre es zu einfach: Hat die Mailadresse abcd4711@08151617.de]
Fiktives Beispiel. Wie viele Personen es wohl geben mag, auf die diese Kriterien alle zutreffen?

Wenn Sie die Google Suche nutzen und einen Treffer anklicken, weiß Google immer, dass Sie die Website X aufgerufen haben, die hinter dem Treffer steht. Rufen Sie dann von Webseite X über einen dort vorhandenen externen Link eine ganz andere Webseite Y auf, weiß Google auch darüber Bescheid, sofern die Webseite Y einen Dienst wie beispielsweise Google Fonts nutzt.

Wer seine Webseite in der Google Search Console registriert hat, hat mindestens zwei Angaben dort gemacht: Die Adresse von Webseiten und eine Mailadresse. Wenn Google einem dann aufgrund dessen Mails schickt, erhält Google dann Ihre IP-Adresse, wenn Sie die Mail lesen und Bilder nicht blockiert haben. Google weiß dann, dass die IP-Adresse X zu der Person gehört, die die Mailadresse Y und die Webseite Z registriert hat. Mehr Personenbezug geht im Internet kaum. Klar gibt es Fälle, in denen dieser Personenbezug dann immer noch nicht existiert. Aber diese sind schon eher selten. Vor allem, wenn die anderen oben genannten Möglichkeiten zusätzlich betrachtet werden.

Weiterhin sei erwähnt, dass die Kombination aus IP-Adresse und User-Agent Sie und mich mit hoher Wahrscheinlichkeit eindeutig kennzeichnet. Mithilfe von Cookies, WLAN-Signalen und möglicherweise weiteren Methoden können selbst dynamische IP-Adressen abgeglichen werden. Die Methode wird an sich als Session Stitching bezeichnet. Übrigens sind IP-Adressen von Kabelanschlüssen oft über Monate lang stabil. Manche Menschen sollen ja auch eine statische IP-Adresse haben, die für wenig Geld gemietet werden kann. Über Autos mit Android Auto oder über Google Nest oder Google Smartwatches wollen wir jetzt gar nicht sprechen.

Eine zusätzliche Möglichkeit, einen Nutzer innerhalb eines Browsers nachzuverfolgen, bieten erweiterte Techniken wie ETag. Eine Demo-Seite zeigt, dass Sie und ich als Nutzer auch ohne Cookies, IP-Adressen, Browser Fingerprinting oder ähnliches nachverfolgt werden können. Selbst nach Schließen des Browsers wurde, jedenfalls in meinem Fall, der Zugriffszähler für mich weiter hochgezählt und begann nicht vor neuem bei 1.

Warum hat jemand ein Google Konto angelegt?

Google hatte bis vor kurzem eine rechtswidrige Einwilligungsabfrage auf der Seite der Google Suchmaschine und der Seite für Google Maps. Sie wurden genötigt, fünf oder sechs Mal zu klicken, um KEINE Einwilligung zu erteilen. Stattdessen mussten Sie nur einmal klicken, um einzuwilligen. Wenn Sie dann, wie viele Vertreter von Datenschutzfeinden empfehlen, regelmäßig Ihre Cookies löschen, mussten Sie wieder eine Klick-Orgie ausführen, wenn Sie die Google Suche oder Maps nutzen wollten.

Google hat hierfür einen Ausweg für Sie parat: Legen Sie doch selbst ein Google Konto an. Sie müssen nur Ihre Mailadresse und ein Passwort hinterlegt. Wenn Sie dann wieder Ihre Cookies löschen, brauchen Sie sich nur schnell anzumelden (ggf. mit vorausgefüllten Login-Feldern) anstatt fünfmal zu klicken.

Google weiß dann auch gleich wieder, wer Sie sind (Stichwort: Mailadresse und Historie Ihrer Internetaktivitäten, die Google mit Ihrem Profil verknüpft hat). Wie praktisch, denn dann können die zuvor von Ihnen gelöschten Cookies wieder erneuert werden. Gut für Google und die Werbeindustrie, eher schlecht für betroffene Personen wie Sie und mich.

Fazit

Die IP-Adresse lässt für Google sehr oft einen Personenbezug zu. Zusammen mit dem User-Agent verbessert sich das Bild über Sie aus Sicht von Google noch.

Wenn dann noch Cookies zum Einsatz kommen, etwa aus einem meist (!) vorhandenen Google Konto, werden Sie als Internetnutzer schnell gläsern. Alternativ geht auch ein Super-Cookie wie der Chrome Browser, der einen Kekskuchen darstellt. Statt Chrome tut es für Google auch ein Android-Smartphone, über das Sie gnädigerweise Ihre Datenspende an Google leisten.

Aus Ihrer Surf-Historie alleine könnten Sie als konkrete Person bereits identifiziert werden. So viele Menschen mit denselben 40 Vorlieben gibt es eben nicht in Deutschland. Jedenfalls gibt es üblicherweise nur eine Person mit einer bestimmten Mailadresse. Und wenn es ein Ehepaar ist, erkennt man anhand einer Nachricht oft, ob Peter oder Erna oder beide schreiben.

Die IP-Adresse ist für Google ein personenbezogenes Datum, auch in Österreich.

Beweis über Logik oder Sachverständigengutachten. Auch das Lesen der Google Datenschutzhinweise hilft.

Erfährt Google über die Google Search Console, welche Webseiten Ihnen gehören, liegt der Personenbezug servierbereit auf dem Tisch. Aber vielleicht haben Sie sich ja einfach irgendwann mal bei Google „angemeldet“, um diese nervige Cookie-Abfrage von Google nicht mit fünf Klicks schließen zu müssen. Dann nämlich hat Google Ihre Mailadresse, die sehr oft einen direkten oder indirekten Personenbezug aufweist. Bitte beachten, dass in Art. 4 Nr. 1 DSGVO die Definition der personenbezogenen Daten die personenbeziehbaren Daten mit einschließt!

Selbst wenn also die IP-Adresse in Ländern ungleich Deutschland an sich als nicht personenbezogen gelten könnte: Für den Google-Konzern, der weltweit versucht, alle Internetnutzer auszuspähen, ist die IP-Adressen aus den zahlreichen genannten Gründen potentiell immer personenbezogen. Somit führt der Einsatz von Google Fonts zum Transfer personenbezogener Daten an Google, und zwar in der Verantwortlichkeit des Betreibers der Webseite, der die Google Schriften eingebunden hat.

Wenn jemand (nennen wir diesen Jemand Adam oder Eva) eine Klage in Österreich führen würden, müsste er oder sie nur ein Google Konto haben, das mit einer guten Mailadresse verknüpft ist. Dann könnte festgestellt werden, dass die IP-Adresse des Klägers für Google als personenbezogen anzusehen ist. Vielleicht reicht auch schon die Existenz eines Google Android Smartphones aus.

Exkurs Google Fonts

Die Google Fonts Nutzungsbedingungen verweisen auf die Google APIs Terms of Service. Letztere benennen als Anbieter “Google LLC mit Sitz in 1600 Amphitheatre Parkway, Mountain View, Kalifornien 94043, USA“.

Dass US-Geheimdienste mit IP-Adressen mehr anstellen können als der Feld-Wald-Wiesen-Webseitenbetreiber, sollte jedem klar sein.

Aus den genannten Nutzungsbedingungen wird auch auf die Google Datenschutzhinweise verwiesen. Dort heißt es (Fettdrucke von mir):

Ihr Standort kann mit unterschiedlicher Genauigkeit bestimmt werden. Dazu verwenden wir:

  • GPS- und andere Sensordaten von Ihrem Gerät
  • IP-Adresse
  • Aktivitäten in Google-Diensten, zum Beispiel Ihre Suchanfragen und Orte, die Sie mit einem Label versehen, etwa Ihr Zuhause oder Ihr Arbeitsplatz
  • Informationen über Objekte in der Nähe Ihres Geräts, wie etwa WLAN-Zugriffspunkte, Funkmasten und Bluetooth-fähige Geräte
Quelle: https://policies.google.com/privacy

Weiterhin heißt es dort:

Zu den von uns erhobenen Daten zählen eindeutige Kennungen, der Typ und die Einstellungen des Browsers, der Typ und die Einstellungen des Geräts, das Betriebssystem, Informationen zum Mobilfunknetz wie der Name des Mobilfunkanbieters und die Telefonnummer sowie die Versionsnummer der App. Wir erheben auch Daten über die Interaktion Ihrer Apps, Browser und Geräte mit unseren Diensten. Hierzu zählen u. a. die IP-Adresse, Absturzberichte, Systemaktivitäten sowie das Datum, die Uhrzeit und die Verweis-URL Ihrer Anfrage.

Wir erheben diese Daten, wenn ein Google-Dienst auf Ihrem Gerät unsere Server kontaktiert, beispielsweise wenn Sie eine App vom Play Store installieren oder wenn ein Dienst automatische Updates abfragt. Wenn Sie ein Android-Gerät mit Google Apps verwenden, kontaktiert Ihr Gerät regelmäßig die Google-Server, um Daten über Ihr Gerät und die Verbindung zu unseren Diensten bereitzustellen. Zu diesen Daten zählen beispielsweise der Typ Ihres Geräts und der Name Ihres Mobilfunkanbieters, Absturzberichte, die von Ihnen installierten Apps und, abhängig von den Einstellungen auf Ihrem Gerät, weitere Informationen dazu, wie Sie Ihr Android-Gerät verwenden.

Quelle: https://policies.google.com/privacy

Es geht aber noch weiter:

Wir erheben in unseren Diensten Daten zu Ihren Aktivitäten. Diese Daten verwenden wir beispielsweise, um Ihnen ein YouTube-Video zu empfehlen, das Ihnen gefallen könnte. Unter anderem könnten folgende Aktivitätsdaten erhoben werden:

  • Begriffe, nach denen Sie suchen
  • Videos, die Sie sich ansehen
  • Inhalte und Werbeanzeigen, die Sie sich ansehen und mit denen Sie interagieren
  • Sprach- und Audiodaten
  • Kaufaktivitäten
  • Personen, mit denen Sie kommunizieren oder Inhalte austauschen
  • Aktivitäten auf Websites und Apps von Drittanbietern, die unsere Dienste nutzen
  • Der Chrome-Browserverlauf, den Sie mit Ihrem Google-Konto synchronisiert haben
Quelle: https://policies.google.com/privacy

Google nutzt diese vielen Daten laut eigenen Angaben zur Personalisierung von Daten und Werbeanzeigen (mit Werbung erwirtschaftete Google zuletzt ca. 66 % des Umsatzes von 160 Milliarden Dollar in einem Jahr).

Kurzfassung: Google gibt (wenigstens) zu, dass sämtliche direkt bei Google durch Datenlieferungen anfallenden Daten verwendet werden, um Sie besser kennenzulernen und Sie mit Werbung zu beeinflussen.

Exkurs: Falsche Argumente

Im CRonline-Blog erschien ein Beitrag mit dem Titel „Google Fonts: Aufdringliche Abmahnungen“. Dort sind einige Sachverhalte falsch dargestellt. Darauf gehe ich im Folgenden ein:

Es würde gar kein Datentransfer in die USA stattfinden. Als Argument wird die Lastverteilung bzw. Server-Architektur genannt. Weiterhin wird von GET-Requests gesprochen. Das alles ist rechtlich unerheblich. Wenn ein amerikanischer Geheimdienst bei Google LLC, USA (dem selbsternannten Betreiber von Google Fonts) anklopft und den Zugang zu einem Google Server verlangt, dann wird Google diesen gewähren müssen, sofern eine Rechtsgrundlage nach amerikanischem Recht dies erfordert (Cloud Act, EO12333 oder FISA 702 zum Beispiel).

Es gäbe gar keinen Personenbezug aufgrund der IP-Adresse, die wegen Google Fonts zu Google geschickt wird. Das ist Unsinn bzw. eine völlig substanzlose Behauptung, wie mein obiger Beitrag hoffentlich zeigt. Alleine die Kenntnis eines Ausschnitts der Historie der Internetnutzung einer Person reicht aus, um die Person bestens zu kennen. Wer das nicht akzeptiert, sollte sich vergegenwärtigen, dass Google die potentiell immer personenbezogenen Mailadressen von Nutzern kennt, und dazu die IP-Adresse. Über den zeitliche Verlauf können es auch mehrere IP-Adressen sein. Diese können über verschiedene Wege, die Google alle zur Verfügung stehen, miteinander verheiratet werden. Cookies sind nur eine Möglichkeit, Cookie-loses Tracking eine weitere, Google Endgeräte eine dritte, das GPS-Signal des Handys eine vierte, Android Aut eine fünfte, Google-Kundenkonten eine sechste usw.

Im CRonline-Blog wird folgende komplett unsinnige Behauptung aufgestellt: „Der GET-request des Betroffenen an Google Inc. beinhaltete kein personenbezogenes Datum, sondern nur eine nichtssagende Zeichenfolge.“ Erstens ist es Google LLC, nicht Google Inc. Das wenigstens müsste ein Rechtsanwalt als Autor des genannten Blog-Artikels eigentlich besser als ich wissen. Nebenbei: Gibt es Google Inc. überhaupt noch? Zweitens ist diese vom Rechtsanwalt „nichtssagende Zeichenfolge“ anscheinend doch so aufschlussreich, dass Google damit ca. 100 Milliarden Dollar Umsatz pro Jahr macht. Wie oben geschrieben, ist die Zeichenfolge nicht nichtssagend. Weiterhin ist die IP-Adresse immer mit dem User-Agent verknüpft, wenn ein Zugriff über einen Internet Browser stattfindet. Dadurch jedenfalls wird die IP-Adresse nicht nichtssagender.

Dann wird im CRonline-Blog auch noch folgende Aussage getroffen: „Die IP-Adresse lässt ja keinen Schluss auf das Endgerät und damit den Nutzer, sondern nur auf den Anschluss zu.“ Das ist natürlich auch etwas daneben. Wer gerade in seinem Google Konto angemeldet ist (das Google einem immer verpasst, wenn man die Google Suchmaschine oder Google Maps aufruft oder einen anderen Google Dienst oder ein Google Endgerät nutzt), der fängt sich üblicherweise ein Cookie ein (siehe mein Beitrag oben). Dieses Cookie liegt sehr wohl im Endgerät des Nutzers. Bei Cookie-Zugriff wird gleichzeitig die IP-Adresse des Nutzers mit zu Google übertragen. Hmm, jetzt ist die IP-Adresse ja doch nutzerbezogen bzw. Endgerät-bezogen. Ich jedenfalls nutze meinen PC alleine. Es soll ja PCs geben, die von mehreren Menschen benutzt werden (dann aber wohl eher höchstens zwei oder drei Personen). Das hat Microsoft irgendwann mal mitbekommen und in Windows eine Anmeldefunktion eingebaut, die den Speicherplatz und die Anwendungen pro Nutzer separat verwaltet. Also selbst bei Mehrnutzerbetrieb, den der Kläger wohl nicht selbst anführen würde, sondern die Beklagte beweisen müsste, wäre ein Endgerät als auf einen Nutzer bezogen zu werten, wenn dieser Nutzer im Internet surft. Alleine schon wegen der Google-Cookies, die vom Betriebssystem pro Nutzer geführt werden.

Google nutzt die erhaltene IP-Adresse als Signal und verknüpft dieses Signal mit weiteren Signalen sowie mit personenbezogenen Daten. Somit entsteht aus jedem Signal ein personenbezogener Datenwert.

Vgl. meinen Beitrag sowie Art. 4 Nr. 1 DSGVO.

Die Verantwortlichkeit des Website-Betreibers verneint der Artikel im CRonline-Blog ebenfalls und führt an, dass Google laut Google Fonts Nutzungsbedingungen kein „Voodoo“ veranstalten würde. Hmm, das habe ich aber ganz anders gelesen. Siehe meinen Beitrag oben sowie die Zitate aus den Google Datenschutzhinweisen, die über die Google Fonts Nutzungsbedingungen verlinkt sind. Sollte ich vielleicht doch Anwalt werden und der Autor des CRonline-Artikels sich ein neues Berufsfeld suchen, oder habe ich die falschen Datenschutzhinweise gelesen? Bitte klären Sie mich auf, wenn es etwas aufzuklären gibt. Ein erneutes Nachschlagen hat mir jedenfalls dasselbe Ergebnis gebracht, wie zuvor von mir beschrieben. Mehr noch: Wenn andere Datenschutzbestimmungen als die von Google zur Google Fonts Plattform verlinkten greifen würden, dann wären das die, in denen Google schreibt: „Soweit dies gemäß den Datenschutzgesetzen für die Parteien erforderlich ist, vereinbaren die Parteien die Datenschutzbestimmungen zwischen Datenverantwortlichen“. Klicken Sie auf diesen Link, dann ist von Controller-Controller die Rede. Controller heißt Verantwortlicher, Controller-Controller ist eine gemeinsame Verantwortlichkeit (jedenfalls eine Verantwortlichkeit von zwei Parteien). Klingt auch so, als hätte der CRonline-Artikel-Schreiber nicht recht.

Fazit: Der Beitrag im CRonline-Blog glänzt durch die Abwesenheit von Fakten. Was den Charakter von Massenabmahnungen angeht, so kann durchaus über Rechtsmissbräuchlichkeit gesprochen werden. Deswegen aber den Verstoß abzuerkennen, ist völlig fehlgeleitet und eine rein akademische Diskussion. Natürlich haben Sie einen Auskunftsanspruch gegen einen Website_Betreiber, um die Rechtmäßigkeit der Verarbeitung zu prüfen, wenn dieser auf seiner Webseite Google Fonts einbindet. Ob ein Massenabmahner diesen Anspruch auch hat, steht auf einem anderen Blatt.

Eine fiktive Abmahnung

So eine Begründung könnten einige Personen in Deutschland sicher nennen, um zu zeigen, dass ein Personenbezug bei Google gegen eine betroffene Person vorliegt, wenn Google Fonts auf einer besuchten Webseite eingebunden wurde:

Sehr geehrte Verantwortliche eines Google Fonts Verstoßes,

Sie binden Google Fonts auf Ihrer Webseite xyzabd4711.de ein, die ich am X. um Y. Uhr besuchte.

Dadurch wurden meine IP-Adresse und meine Gerätekennung (User-Agent) in Ihrer Verantwortlichkeit an Google LLC (1600 Amphitheatre Parkway, Mountain View, Kalifornien 94043, USA; kurz “Google”) übermittelt. Das genannte Google ist laut eigener Aussage der Anbieter von Google Fonts.

Dies geschah ohne Rechtsgrundlage. Ich erteilte keine Einwilligung und es gab keinen Vertrag zwischen uns. Weiterhin können Sie sich nicht auf das berechtigte Interesse berufen. Siehe die Ausführungen in diesem Beitrag. Somit haben Sie meine personenbezogenen Daten ohne Rechtsgrundlage verarbeitet (vgl. Art. 4 Nr. 2 DS-GVO sowie Art. 6 Nr. 1 DS-GVO).

Es handelt sich um meine personenbezogenen Daten (vgl. Art. 4 Nr. 1 DS-GVO), da Google meine IP-Adresse sowie meinen User-Agent mit meinem Google-Konto in der Google Search Console oder anderen genutzten Google Diensten zusammenführen kann. Die Google Search Console nutze ich beispielsweise, um die Leistung meiner Webseite in der Ihnen sicher bekannten Google Suchmaschine zu optimieren. Für die Nutzung der Google Search Console muss ich meine Mailadresse und Telefonnummer an Google weitergeben. Diese Mailadresse ist die gleiche, mit der ich Sie gerade anschreiben. Meine Mailadresse ist aus mehreren Gründen personenbezogen. Erstens ist mein voller Name in der Mailadresse vorhanden, um bei Mailkommunikation ein höheres Vertrauen aufzubauen. Zweitens kann objektiv über DENIC herausgefunden werden, dass ich Inhaber der Maildomäne bin.

Weiterhin verpasst Google mir bei jeder Nutzung der Google Suchmaschine oder von Google Maps mindestens ein Cookie, das einen Identifikator enthält, mit dem Google mich nächste Woche wiedererkennen kann. Das Cookie wird zusammen mit meiner IP-Adresse übertragen. Immer, wenn ich in Google Maps zwei Adressen für eine Routenplanung eingebe, erfährt Google davon, und zwar von den Adressen und meiner IP-Adresse. Diese Daten kann Google verheiraten, um aus der IP-Adresse meine Adresse zu ermitteln, an der ich der alleinig gemeldete bin (jedenfalls der einzige mit dem Namen, den ich trage und den meine Mailadresse widerspiegelt).

Meine IP-Adresse kann somit, auch wenn sie wechselt (dynamische IP-Adresse), von Google zur selben Person, nämlich mir, zurückgeführt werden. Als wäre das nicht genug, nutze ich gelegentlich auch eine statische IP-Adresse, da ich diese zum Betrieb eigener Web-Dienste benötige. Die statische IP-Adresse ist direkt auf mich rückführbar, wie ein Blick in meinen Vertrag mit dem Telekommunikationsunternehmen, das mir diese IP-Adresse bereitstellt, verrät.

Ich könnte noch weitere Gründe nennen, warum meine IP-Adresse, die Sie ohne Rechtsgrundlage an Google übermitteln, personenbezogen ist. Sie finden diese Begründungen in einem Artikel auf Dr. DSGVO. Ferner empfehle ich die Lektüre des EuGH-Urteils vom 19.10.2016 – C-582/14, insbesondere RN. 49, die auch dynamische IP-Adressen thematisiert und es als ausreichend ansieht, dass ein rechtliches Mittel existiert, einen Datenwert auf eine Person zurückzuführen, damit der Datenwert personenbezogen im Sinne des Art. 4 Nr. 1 DS-GVO ist.

Strafbewehrte Unterlassungserklärung

Sie haben es zu unterlassen, …

Beispielhafte Begründungen
Das Beitragsbild ganz oben wurde von einem Computer-Programm und ohne meine kreative Mitarbeit erzeugt. Verwendet wurde ein KI-Programm, was ähnlich zu Dall-E ist. Die Bilder dürfen auf Webseiten frei verwendet werden, sofern eine üblich sichtbare dofollow-Verlinkung auf diesen Blog gegeben ist.
Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT und Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über neue Beiträge werden Sie informiert, wenn Sie meinen Newsletter abonnieren. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Auskunftsgesuch an das Magazin DER Spiegel wegen Problemen mit dem Datenschutz auf der Website spiegel.de