W ogólności
Adres IP oznacza adres Internetowy Protokołu i jest podstawowym elementem protokołu, który służy do wezwania stron internetowych.
Adresy IP są danymi osobowymi.
Orzeczenia Trybunału Sprawiedliwości Unii Europejskiej i Federalnego Trybunału Karnego jednoznacznie potwierdzają to
Adres IP jest danymi osobowymi. Takie orzeczenie wydał Trybunał Sprawiedliwości Unii Europejskiej w swoim orzeczeniu z dnia 19.10.2016 – C-582/14, a następnie tak samo postąpił Sąd Najwyższy Niemiec w swoim orzeczeniu z dnia 16.05.2017 – VI ZR 135/13. To dotyczy nawet adresów IP dynamicznych, czyli tych, które np. zmieniają się każdego dnia.
Przy każdym wezwaniu strony internetowej za pomocą przeglądarki, jest przesyłana adresem IP użytkownika, czyli jego adresu sieciowego, do strony internetowej, która została wywołana. Ponieważ adresy IP są danymi osobowymi, każde wezwanie strony internetowej jest zawsze czynem DSGVO-relevantnym.
Przypominam, że adresy IP dla firm globalnie działających i obejmujących cały codzienny życie, takich jak Google, mogą być potencjalnie związane z osobami, niezależnie od przepisów prawa krajowego. Nie jest to również wymagane przez powyższe orzeczenie Trybunału Sprawiedliwości Unii Europejskiej do argumentacji dotyczącej związku IP-Adresu z osobą w przypadku Google.
Co to są dane osobowe?
Oto tłumaczenie: Pod tym pojęciem rozumie się powszechnie wszystkie dane, które są odpowiednie do ustalenia tożsamości. Jednakże do takich danych zalicza się również te, które przypisuje się osobie, np. preferencje w kwestii czerwonych róż.
Podczas gdy można sobie wyobrazić, że nazwa, adres i numer telefonu są związane z tożsamością, trudno jest przyjąć to w przypadku adresów IP dla zdrowego rozsądku. Ponieważ Najwyższy Trybunał Federalny (BGH) tak postanowił, adresy IP są teraz związane z osobą. W momencie, gdy użytkownik odwiedza stronę internetową, jego adres IP jest przekazywany do serwera, na którym znajduje się strona. Jeśli na stronie są narzędzia od dostawców trzecich włączone, adres IP użytkownika jest również przekazywany do dostawcy trzeciego. Takie narzędzia mogą być np. filmy, mapy lub formularze.
Przekazywanie do osób trzecich poprzez włączenie usług/narzędzi/skryptów/plików
Jeśli strona internetowa X złączy się z usługą taką jak np. Google Maps, następuje na mocy ww. protokołu internetowego zawsze następujące:
- Użytkownik z adresem IP 4711 odwiedza stronę internetową
- Strona X włącza _Google Maps
- Poprzez tę stronkę X adres IP 4711 jest przekazywany do Google
Osoba odpowiedzialna za przekazanie danych osobowych użytkownika przez stronę internetową do Google jest właściciel strony X.
Każdorazowy łańcuch wezwań
Zwykle używa się nazw symbolicznych dla stron internetowych i usług zamiast adresów IP. Na przykład jedna z wersji skryptu do włączenia na Google Analytics to google-analytics.com/analytics.js.
Za pomocą serwera nazw domenowych (Domain Name Service, krótko: DNS) ten adres jest rozwiązywany do adresu IP. Do każdego adresu IP przypisana jest informacja, do którego kraju należy dany adres IP. Te obszary mogą się teoretycznie zmieniać. W praktyce są one szczególnie stabilne dla bardzo często odwiedzanych adresów IP. Bazy danych z adresami są regularnie aktualizowane. Dystrybucja obciążenia przy dużych firmach takich jak Google sprawia, że nie zawsze używa się tej samej adresu IP dla jednej domeny takiej jak google.com. W ciągu tygodnia z mojej obserwacji wynikało to, że z obszarów dla USA odpadły 72 x 256 adresów IP i kilka innych zostało dodanych. Gdy mamy ponad miliardę adresów IP związanych z USA, to 72 x 256 = 18.432 jest niezauważalną wielkością.
Aktualnie która jest IP-Adressem, można ustalić za pomocą polecenia DOS tracert, narzędzia CountryTraceRoute lub przy odwzorowaniu strony internetowej w konsoli deweloperskiej przeglądarki. Poniżej przedstawiono przykład po wezwaniu strony internetowej, jakie wygląda to w przeglądarce Firefox (dostępne jest za pomocą klawisza F12):
Strona internetowa została wywołana i włączy Social Media Plugin z Twitterem, co można rozpoznać po nazwach plików. Domena pbs.twimg.com miała na tym czasie adres IP 23.1.106.237 (postfiks :_443 oznacza port, który tutaj nie ma znaczenia).
Najczęściej nie ma bezpośredniej łączności między adresatem strony internetowej a adresem usługi wplecionej, takiej jak Google Analytics. Jest to podobne do połączeń kolejowych pomiędzy dwoma miastami: dla niektórych tras podróżnych trzeba przesiąść się z jednego pociągu (adresu) na inny. W przeciwieństwie do pociągów, łańcuchy wywołujących (ścieżki) adresów IP są często globalne.
Odwołanie do krajów
Z użyciem darmowego narzędzia takiego jak CountryTraceRoute (darmowy pobieranie z https://www.nirsoft.net/utils/country_traceroute.html) można ustalić łańcuch adresów strony internetowej dla dowolnego nazwy domeny. Przy każdej odwiedzonej adresem IP automatycznie wyświetla się kraj.
Dla wskazanej wcześniej adresu IP Twitter-Pluginu otrzymuje się następującą odpowiedź (części zanonimizowane):
Podczas pobierania pliku z Twitter Plugins odwiedzone są kraje: Niemcy, Holandia, Stany Zjednoczone i Wielka Brytania, ostatnio ponownie Stany Zjednoczone.
Tu jeszcze jedno przykład na google-analytics.com (części anonimizowane):
Podczas pobierania pliku z domeny google-analytics-com będą odwiedzone (prawdopodobnie) kraje Niemcy, Holandia oraz Stany Zjednoczone.
Ze pokazuje moja badania nad Google Tag Managerem, że domena nie jest bez plików cookie.
Jeśli domena jest prawnie przypisana do jakiejś jednostki, można ją ustalić poprzez WHOIS-Abfrage.
Wyjaśnienie dotyczące przekazywania danych osobowych
Dla wszystkich danych osobowych, które zebrane są z poziomu strony internetowej, przesyłane i przetwarzane są, użytkownikom należy udostępnić odpowiednią deklarację. To następuje w Polityce prywatności.
Dla niektórych procesów tego rodzaju taka wyjaśnienie musi być dostępne, zanim dane użytkownika będą przenoszone. Przykładem jest przycisk "Like" na Facebooku jako plugin dla stron internetowych. Ponieważ wcześniejsze uzyskanie zgody często nie jest możliwe lub niemożliwe do zastosowania, użycie takich narzędzi powoduje wysoką niepewność prawną.
Problem ochrony prywatności
Prawo ochrony prywatności (Privacy Shield) było nieformalnym porozumieniem dotyczącym ochrony danych między Europą a Ameryką. Miałoby zapewnić, że przetwarzanie danych w USA odbywa się według takich samych wysokich standardów jak Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO), które gwarantuje to samo. Europejski Trybunał Sprawiedliwości (ETS) orzekł 16 lipca 2020 roku, że Prawo ochrony prywatności jest nieważne. Skutki są przede wszystkim poważne dla stron internetowych: wszystkie narzędzia Google, Adobe, YouTube, Vimeo, Facebook, Instagram, Pinterest itp. nie mogą być już używane na stronach internetowych bez zgody użytkownika. Powód to fakt, że adresy IP są danymi osobowymi, jak zostało wyjaśnione powyżej. Dotyczą one np. następujących narzędzi:
- Mapy Google
- Google reCAPTCHA
- Zewnętrzne pisma Google
- Fast Fonts (Fonts.com)
- Typo Kit Adobe
- Omniture Analytics (Adobe Analytics)
- Otwarte Mape Karty (za pomocą MapBox itp.)
- Wideo na YouTube
- Wideo na Vimeo
- SoundCloud Player
Jak wynika z listy, liczba popularnych narzędzi, których bezpośredni użycie jest nielegalne, jest bardzo duża oraz liczba dotkniętych stron internetowych. Na szczęście istnieją rozwiązania, np. w miejsce Google Maps można użyć interaktywną mapę zgodną z prawem ochrony danych osobowych. Krytyczne plugini mogą zostać odnalezione przy pomocy mojego narzędzia do sprawdzenia stron internetowych.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
