Drücke „Enter”, um zum Inhalt zu springen.

IP-Adressen: Grundlagen und DSGVO

0
IP-Adressen sind Netzwerkadressen und gelten als personenbezogene Daten

Allgemein

IP-Adresse steht für Internet Protokoll-Adresse und ist fundamentaler Bestandteil des Protokolls, das Grundlage für den Aufruf von Webseiten ist.

Bei jedem Aufruf einer Webseite über einen Browser wird die IP-Adresse des Nutzers, also dessen Netzwerkadresse, an die aufgerufene Webseite übertragen. Weil IP-Adressen personenbezogene Daten sind, ist der Aufruf einer Webseite immer ein DSGVO-relevanter Vorgang.

Was sind personenbezogene Daten?

Hierunter versteht man landläufig alle Daten, die dazu geeignet sind, eine Identität festzustellen. Allerdings zählen zu diesen Daten auch solche, die einer Person anhaften, also etwa die Vorlieben für rote Rosen.

Während man sich leicht vorstellen kann, dass Name, Adresse und Telefonnnummer einer Identität anhaften, fällt das bei IP-Adressen für den gesunden Menschenverstand schon schwer. Weil der oberste Deutsche Gerichtshof (BGH) aber so entschieden hat, sind IP-Adressen nun personenbezogen. Sobald ein Nutzer eine Webseite aufruft, wird dessen IP-Adresse an den Server übertragen, wo die Webseite liegt. Sind auf der Webseite Tools von Drittanbietern eingebunden, wird die IP-Adresse des Nutzers auch an den Drittanbieter übertragen. Solche Tools können etwa Videos, Karten oder Formulare sein.

Weitergabe an Dritte durch Einbinden von Diensten/Tools/Scripten/Dateien

Bindet eine Webseite X einen Dienst wie beispielsweise Google Maps ein, passiert aufgrund des o.g. Internet-Protokolls zwangsläufig immer folgendes:

  • Nutzer mit IP-Adresse 4711 ruft Webseite auf
  • Webseite X bindet Google Maps ein
  • Dadurch wird IP-Adresse 4711 durch Webseite X an Google weitergegeben

Verantwortlich dafür, dass personenbezogene Daten des Nutzers über die Webseite an Google gelangen, ist der Betreiber der Webseite X.

Aufrufkette

Für gewöhnlich werden symbolische Namen für Webseiten und Dienste anstatt von IP-Adressen verwendet. Beispielsweise lautet eine Variante des für Google Analytics einzubindenden Scripts google-analytics.com/analytics.js.

Mittels eines Namensservers (Domain Name Service, kurz: DNS) wird dieser Name in eine IP-Adresse aufgelöst. Zu jeder IP-Adresse gibt es in Form von Datenbanken mit Adressbereichen eine Information, welchem Land diese IP-Adresse zuzuordnen ist. Diese Adressbereiche können sich theoretisch ändern. In der Praxis sind sie insbesondere für sehr häufig aufgerufene IP-Adressen lange stabil. Die Adress-Datenbanken werden zudem regelmäßig aktualisiert. Eine Lastverteilung bei großen Unternehmen wie Google sorgt dafür, dass nicht immer die gleiche IP-Adresse für eine Domäne wie google.com verwendet wird. Innerhalb einer Woche fielen nach meiner Beobachtung aus den Adressbereichen für die USA 72 x 256 IP-Adressen weg und einige andere kamen hinzu. Bei weiter über einer Milliarde IP-Adressen, die den USA zugeordnet sind, sind 72 x 256 = 18.432 eine nicht mehr wahrnehmbare Größenordnung.

Welche IP-Adresse aktuell ist, kann über den DOS-Befehl tracert, über das im folgenden genannte Tool CountryTraceRoute oder beim Abruf einer Webseite über die Entwicklerkonsole des Browsers festgestellt werden. Hier ein Beispiel nach Aufruf einer Webseite, wie es im Firefox Browser in dessen Entwicklerkonsole (aufrufbar mit Taste F12) gezeigt wird:

IP-Adresse einer abgerufenen Datei beim Aufruf einer Webseite

Die aufgerufene Webseite bindet ein Social Media Plugin von Twitter ein, wie man anhand der Dateinamen erkennen kann. Die Domäne pbs.twimg.com hat zu diesem Zeitpunkt die IP-Adresse 23.1.106.237 (die Postfix-Angabe :443 bezeichnet den Port, der hier irrelevant ist).

Meist besteht keine direkte Verbindung zwischen dem Aufrufer einer Webseite und der Adresse eines eingebundenen Dienstes wie Google Analytics. Dies ist analog von Zugverbindungen zwischen zwei Städten: Für bestimmte Reiserouten muss man in einen anderen Zug (eine andere Adresse) umsteigen. Im Unterschied zu Zügen sind Aufrufketten (Routen) für IP-Adressen nicht selten weltumspannend.

Länderbezug

Mit einem frei verfügbaren Tool wie CountryTraceRoute (kostenfreier Download über https://www.nirsoft.net/utils/country_traceroute.html) kann für einen beliebigen Domänennamen die Aufrufkette ermittelt werden. Pro dabei besuchter IP-Adresse wird direkt das Land mit ausgegeben.

Für die eben genannte IP-Adresse des Twitter-Plugins erhält man als Ausgabe (Teile anonymisiert):

Route für IP-Adresse des Twitter-Plugins

Beim Abruf einer Datei des Twitter Plugins werden demnach die Länder Deutschland, Niederlande, USA und Vereinigtes Königreich besucht, zuletzt wieder die USA.

Hier ein weiteres Beispiel für google-analytics.com (Teile anonymisiert):

Aufrufkette samt Ländern für google-analytics.com

Beim Abruf einer Datei von der Domäne google-analytics-com werden demnach (wahrscheinlich) die Länder Deutschland, Niederlande sowie USA besucht.

Dass eine Domäne nicht cookielos ist, zeigt meine Untersuchung zum Google Tag Manager.

Erklärung zur Übermittlung von personenbezogenen Daten

Für alle personenbezogenen Daten, die Sie über eine Webseite erhoben, übertragen und verarbeitet werden, müssen den Nutzern eine entsprechende Erklärung zugänglich machen. Dies geschieht in der Datenschutzerklärung.

Für manche Prozesse dieser Art muss diese Erklärung sogar zugänglich gemacht werden, bevor Nutzerdaten übertragen werden. Ein Beispiel hierfür ist der Facebook Like Button als Plugin für Webseiten. Da dieses vorige Einholen einer Einverständnis oft nicht möglich oder unpraktikabel ist, erzeugt der Einsatz solcher Tools eine hohe rechtliche Unsicherheit.

Das Privacy Shield Problem

Der Privacy Shield war ein informeller Datenschutzabkommen zwischen Europa und Amerika. Es sollte sicherstellen, dass die Datenverarbeitung in den USA nach ähnlich hohen Standards stattfindet wie die Datenschutzgrundverordnung der EU (EU-DSGVO) dies garantiert. Der Europäische Gerichtshof (EuGH) hat am 16. Juli 2020 entschieden, dass der Privacy Shield ungültig ist. Die Konsequenzen sind vor allem für Webseiten gravierend: Sämtliche Tools von Google, Adobe, YouTube, Vimeo, Facebook, Instagram, Pinterest usw. dürfen auf Webseiten nicht mehr ohne Einwilligung eingesetzt werden. Der Grund ist, dass IP-Adressen personenbezogene Daten sind, wie weiter oben ausgeführt wurde. Betroffen sind beispielsweise folgende Tools:

Wie man an der Liste sieht, ist die Zahl der populären Tools, deren direkter Einsatz rechtswidrig ist, sehr groß bzw. die Zahl der betroffenen Webseiten.

Bitte nutzen Sie als Quelle für diesen Artikel oder die Verwendung von Ergebnissen aus diesem Artikel folgende Angabe (leichte Variationen sind erlaubt):
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/ip-adressen
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage.