Algemeen
IP-adres staat voor Internet Protocol-adres en is een fundamenteel onderdeel van het protocol dat de basis vormt voor het oproepen van webpagina's.
IP-adressen zijn persoonsgegevens.
Uitspraken van het Europees Hof en het Duitse Hooggerechtshof maken dit duidelijk vast
Een IP-adres is een persoonsgegeven. Dat stelde de EGJ in zijn vonnis van 19.10.2016 – C-582/14 vast, daarna eveneens de Hoge Raad in zijn vonnis van 16.05.2017 – VI ZR 135/13. Dit geldt zelfs voor dynamische IP-adressen, dus zulke netwerkadressen die zich bijvoorbeeld dagelijks veranderen.
Bij elke aanvraag van een website via een browser wordt de IP-adres van de gebruiker, dus zijn netwerkadres, naar de opgeroepen website overgedragen. Omdat IP-adressen persoonsgegevens zijn, is het aanroepen van een website altijd een DSGVO-relevant proces.
Overigens zijn IP-adressen voor wereldwijd opererende en in het dagelijks leven omvattende bedrijven als Google potentieel altijd persoonsgerelateerd, ongeacht landelijke wetten. Ook dit eerdere EU-uitspraak heeft het niet nodig voor de argumentatie over de persoonsrelatie van IP-adressen voor Google.
Wat zijn persoonsgegevens?
Hieronder verstaan we gewoonlijk alle gegevens die geschikt zijn om een identiteit vast te stellen. Daarbij tellen ook gegevens mee die aan een persoon kleven, bijvoorbeeld de voorkeuren voor rode rozen.
Tijdens het normale proces van internetgebruik kan men zich moeilijk voorstellen dat een IP-adres een identiteit is, net zoals naam, adres en telefoonnummer. Maar de hoogste Duitse rechter (BGH) heeft zobeslist, dat IP-adressen nu persoonlijk zijn. Zodra een gebruiker een website opent, wordt diens IP-adres overgedragen aan de server waarop de website staat. Als er op die websiteTools van derden zijn geïntegreerd, dan wordt ook het IP-adres van de gebruiker overgedragen aan de derde partij. Dergelijke tools kunnen bijvoorbeeld video's, kaarten of formulieren zijn.
Doorgeven aan derden door in te schakelen van diensten/hulpmiddelen/scripten/bestanden
Als een website X een dienst als bijvoorbeeld Google Maps inroept, gebeurt op grond van het genoemde internetprotocol noodzakelijkerwijs steeds het volgende:
- Gebruiker met IP-adres 4711 belt website op
- Websitie X combineert _Google Maps
- Door deze actie wordt de IP-adres 4711 door website X aan Google doorgestuurd
Verantwoordelijk voor het feit dat persoonsgegevens van de gebruiker via de website naar Google worden gestuurd, is de eigenaar van de website X.
Call chain
Voor het grootste deel worden symbolische namen gebruikt voor websites en diensten in plaats van IP-adressen. Bijvoorbeeld: een variant van het script dat je moet toevoegen aan Google Analytics is google-analytics.com/analytics.js_
Met behulp van een namensserver (Domain Name Service, kort: DNS) wordt deze naam omgezet in een IP-adres. Voor elk IP-adres zijn er databases met adresbereiken waarin staat welk land dit IP-adres toegekend is. Deze adresbereiken kunnen theoretisch veranderen. In de praktijk zijn ze vooral voor heel vaak opgeroepen IP-adressen lang stabiel. De adress-databases worden regelmatig bijgewerkt. Een lastverdeling bij grote bedrijven als Google zorgt ervoor dat niet altijd hetzelfde IP-adres gebruikt wordt voor een domein zoals google.com. Binnen een week vielen volgens mijn waarnemingen uit de adresbereiken voor de VS 72 x 256 IP-adressen weg en kwamen er ook nog andere bij. Bijna een miljard IP-adressen die de VS toegekend zijn, zijn 72 x 256 = 18.432 een niet meer waarneembare omvang.
Welke IP-adres is actueel, kan worden vastgesteld met behulp van de DOS-opdracht tracert, het in het volgende genoemde hulpmiddel CountryTraceRoute of bij het laden van een webpagina via de ontwikkelersconsole van de browser. Hieronder staat een voorbeeld na het laden van een webpagina, zoals het wordt weergegeven in de Firefox Browser in zijn ontwikkelersconsole (bereikbaar met toets F12):
De opgeroepen website bindt een Social Media Plugin van Twitter in, zoals uit de bestandsnamen blijkt. De domeinnaam pbs.twimg.com had op dat moment de IP-adres 23.1.106.237 (de postfix-annotatie :443 verwijst naar de poort, die hier niet relevant is).
Meestal bestaat er geen directe verbinding tussen de aanroeper van een website en de adres van een ingebouwd dienst zoals Google Analytics. Dit is analoog met treinverbindingen tussen twee steden: voor bepaalde reisroutes moet je in een andere trein (een ander adres) overstappen. In tegenstelling tot treinen zijn aanroepketens (routen) voor IP-adressen niet zelden wereldwijd.
Landelijke betekenis
Met een gratis beschikbaar hulpmiddel als CountryTraceRoute (gratis download via https://www.nirsoft.net/utils/country_traceroute.html) kan voor een willekeurige domeinnaam de aanroepketen worden bepaald. Per daarbij bezochte IP-adres wordt direct het land aangegeven.
Voor de netwerkadres van het Twitter-plugin krijg je als resultaat (gedeeltelijk geanonimiseerd):
Bij het ophalen van een bestand uit het Twitter Plugin worden dus de landen Duitsland, Nederland, VS en Verenigd Koninkrijk bezocht, laatstelijk weer de VS.
Viele Artikel in PDF-Form · Kompakte Kernaussagen für Beiträge · Offline-KI · Freikontingent+ für Website-Checks
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
