Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
Ergebnis in wenigen Sekunden sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

IP-Adressen: Grundlagen und DSGVO

13

Allgemein

IP-Adresse steht für Internet Protokoll-Adresse und ist fundamentaler Bestandteil des Protokolls, das Grundlage für den Aufruf von Webseiten ist.

IP-Adressen sind personenbezogene Daten.

Urteile von EuGH und BGH legen dies eindeutig fest

Eine IP-Adresse ist ein personenbezogenes Daten. Das stellte der EuGH in seinem Urteil vom 19.10.2016 – C-582/14 fest, danach ebenso der BGH in seinem Urteil vom 16.05.2017 – VI ZR 135/13. Dies gilt selbst für dynamische IP-Adressen, also solche Netzwerkadressen, die sich beispielsweise täglich ändern.

Bei jedem Aufruf einer Webseite über einen Browser wird die IP-Adresse des Nutzers, also dessen Netzwerkadresse, an die aufgerufene Webseite übertragen. Weil IP-Adressen personenbezogene Daten sind, ist der Aufruf einer Webseite immer ein DSGVO-relevanter Vorgang.

Was sind personenbezogene Daten?

Hierunter versteht man landläufig alle Daten, die dazu geeignet sind, eine Identität festzustellen. Allerdings zählen zu diesen Daten auch solche, die einer Person anhaften, also etwa die Vorlieben für rote Rosen.

Während man sich leicht vorstellen kann, dass Name, Adresse und Telefonnnummer einer Identität anhaften, fällt das bei IP-Adressen für den gesunden Menschenverstand schon schwer. Weil der oberste Deutsche Gerichtshof (BGH) aber so entschieden hat, sind IP-Adressen nun personenbezogen. Sobald ein Nutzer eine Webseite aufruft, wird dessen IP-Adresse an den Server übertragen, wo die Webseite liegt. Sind auf der Webseite Tools von Drittanbietern eingebunden, wird die IP-Adresse des Nutzers auch an den Drittanbieter übertragen. Solche Tools können etwa Videos, Karten oder Formulare sein.

Weitergabe an Dritte durch Einbinden von Diensten/Tools/Scripten/Dateien

Bindet eine Webseite X einen Dienst wie beispielsweise Google Maps ein, passiert aufgrund des o.g. Internet-Protokolls zwangsläufig immer folgendes:

  • Nutzer mit IP-Adresse 4711 ruft Webseite auf
  • Webseite X bindet Google Maps ein
  • Dadurch wird IP-Adresse 4711 durch Webseite X an Google weitergegeben

Verantwortlich dafür, dass personenbezogene Daten des Nutzers über die Webseite an Google gelangen, ist der Betreiber der Webseite X.

Aufrufkette

Für gewöhnlich werden symbolische Namen für Webseiten und Dienste anstatt von IP-Adressen verwendet. Beispielsweise lautet eine Variante des für Google Analytics einzubindenden Scripts google-analytics.com/analytics.js.

Mittels eines Namensservers (Domain Name Service, kurz: DNS) wird dieser Name in eine IP-Adresse aufgelöst. Zu jeder IP-Adresse gibt es in Form von Datenbanken mit Adressbereichen eine Information, welchem Land diese IP-Adresse zuzuordnen ist. Diese Adressbereiche können sich theoretisch ändern. In der Praxis sind sie insbesondere für sehr häufig aufgerufene IP-Adressen lange stabil. Die Adress-Datenbanken werden zudem regelmäßig aktualisiert. Eine Lastverteilung bei großen Unternehmen wie Google sorgt dafür, dass nicht immer die gleiche IP-Adresse für eine Domäne wie google.com verwendet wird. Innerhalb einer Woche fielen nach meiner Beobachtung aus den Adressbereichen für die USA 72 x 256 IP-Adressen weg und einige andere kamen hinzu. Bei weiter über einer Milliarde IP-Adressen, die den USA zugeordnet sind, sind 72 x 256 = 18.432 eine nicht mehr wahrnehmbare Größenordnung.

Welche IP-Adresse aktuell ist, kann über den DOS-Befehl tracert, über das im folgenden genannte Tool CountryTraceRoute oder beim Abruf einer Webseite über die Entwicklerkonsole des Browsers festgestellt werden. Hier ein Beispiel nach Aufruf einer Webseite, wie es im Firefox Browser in dessen Entwicklerkonsole (aufrufbar mit Taste F12) gezeigt wird:

IP-Adresse einer abgerufenen Datei beim Aufruf einer Webseite

Die aufgerufene Webseite bindet ein Social Media Plugin von Twitter ein, wie man anhand der Dateinamen erkennen kann. Die Domäne pbs.twimg.com hat zu diesem Zeitpunkt die IP-Adresse 23.1.106.237 (die Postfix-Angabe :443 bezeichnet den Port, der hier irrelevant ist).

Meist besteht keine direkte Verbindung zwischen dem Aufrufer einer Webseite und der Adresse eines eingebundenen Dienstes wie Google Analytics. Dies ist analog von Zugverbindungen zwischen zwei Städten: Für bestimmte Reiserouten muss man in einen anderen Zug (eine andere Adresse) umsteigen. Im Unterschied zu Zügen sind Aufrufketten (Routen) für IP-Adressen nicht selten weltumspannend.

Länderbezug

Mit einem frei verfügbaren Tool wie CountryTraceRoute (kostenfreier Download über https://www.nirsoft.net/utils/country_traceroute.html) kann für einen beliebigen Domänennamen die Aufrufkette ermittelt werden. Pro dabei besuchter IP-Adresse wird direkt das Land mit ausgegeben.

Für die eben genannte IP-Adresse des Twitter-Plugins erhält man als Ausgabe (Teile anonymisiert):

Route für IP-Adresse des Twitter-Plugins

Beim Abruf einer Datei des Twitter Plugins werden demnach die Länder Deutschland, Niederlande, USA und Vereinigtes Königreich besucht, zuletzt wieder die USA.

Hier ein weiteres Beispiel für google-analytics.com (Teile anonymisiert):

Aufrufkette samt Ländern für google-analytics.com

Beim Abruf einer Datei von der Domäne google-analytics-com werden demnach (wahrscheinlich) die Länder Deutschland, Niederlande sowie USA besucht.

Dass eine Domäne nicht cookielos ist, zeigt meine Untersuchung zum Google Tag Manager.

Erklärung zur Übermittlung von personenbezogenen Daten

Für alle personenbezogenen Daten, die Sie über eine Webseite erhoben, übertragen und verarbeitet werden, müssen den Nutzern eine entsprechende Erklärung zugänglich machen. Dies geschieht in der Datenschutzerklärung.

Für manche Prozesse dieser Art muss diese Erklärung sogar zugänglich gemacht werden, bevor Nutzerdaten übertragen werden. Ein Beispiel hierfür ist der Facebook Like Button als Plugin für Webseiten. Da dieses vorige Einholen einer Einverständnis oft nicht möglich oder unpraktikabel ist, erzeugt der Einsatz solcher Tools eine hohe rechtliche Unsicherheit.

Das Privacy Shield Problem

Der Privacy Shield war ein informeller Datenschutzabkommen zwischen Europa und Amerika. Es sollte sicherstellen, dass die Datenverarbeitung in den USA nach ähnlich hohen Standards stattfindet wie die Datenschutzgrundverordnung der EU (EU-DSGVO) dies garantiert. Der Europäische Gerichtshof (EuGH) hat am 16. Juli 2020 entschieden, dass der Privacy Shield ungültig ist. Die Konsequenzen sind vor allem für Webseiten gravierend: Sämtliche Tools von Google, Adobe, YouTube, Vimeo, Facebook, Instagram, Pinterest usw. dürfen auf Webseiten nicht mehr ohne Einwilligung eingesetzt werden. Der Grund ist, dass IP-Adressen personenbezogene Daten sind, wie weiter oben ausgeführt wurde. Betroffen sind beispielsweise folgende Tools:

Wie man an der Liste sieht, ist die Zahl der populären Tools, deren direkter Einsatz rechtswidrig erscheint, sehr groß bzw. die Zahl der betroffenen Webseiten. Zum Glück gibt es Abhilfe, beispielsweise anstelle Google Maps eine datenschutzkonforme interaktive Karte.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/ip-adressen
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Dieser Beitrag wird in anderen Beiträgen erwähnt

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Browser Fingerprint