- Werbung - Hier Werbung schalten -

suchradar.de > Magazin > Archiv > Ausgabe 21 > Speicherung von IP-Adressen

Speicherung von IP-Adressen:
Illegal oder nicht?

In den letzten Wochen sorgte die Meldung für Aufsehen, dass Deutschlands Datenschutzbeauftragte den Einsatz von Web-Tracking-Software jedenfalls dann für rechtswidrig halten, wenn dabei die IP-Adresse des Nutzers gespeichert wird. Dies hat der so genannte Düsseldorfer Kreis, ein informeller Zusammenschluss Deutschlands oberster Datenschutzbehörden, am 27. November 2009 nun auch formal beschlossen.

Der Beschluss richtet sich klar und recht unverhohlen gegen Google Analytics (GA) und die Website-Betreiber, die GA einsetzen. Und dies sind viele! Laut der Düsseldorfer Bewertungsgesellschaft Xamit läuft derzeit bei über 13 Prozent aller deutschen Domains GA. Knapp 4 Prozent nutzen zur Beobachtung andere Analysewerkzeuge.

Tracking und die IP-Adresse

Über die Vorteile - ja Notwendigkeit - des Einsatzes von Tracking Tools muss an dieser Stelle nichts geschrieben werden. Ob man dafür vollständige IP-Adressen dauerhaft speichern muss, ist offenbar umstritten. Es gibt Software, die ohne eine Speicherung der Original-IP-Adresse auskommt. Viele Tracking-Tools speichern die IP-Adresse, die dem Surfenden zugeordnet ist, wenn er sich auf der jeweiligen Website befindet.

Doch ist es gem. § 15 Abs. 4 des Telemediengesetzes (TMG) untersagt, personenbezogene Daten zu speichern und zu verarbeiten, ohne dass der Betroffene in diese Nutzung eingewilligt hat. Nutzungsprofile dürfen nur erstellt werden, wenn dabei Pseudonyme verwendet werden und ein Rückschluss auf die Identität des Betroffenen nicht möglich ist.

Personenbezug der IP-Adressen?

Ob die gespeicherten IP-Adressen personenbezogene Daten im Sinne von § 15 Abs. 4 TMG sind, ist unter Juristen umstritten. Hier soll die Diskussion nicht noch einmal eröffnet werden (vgl. Suchradar 16/2009). Im Kern geht es um die Frage, ob Personenbeziehbarkeit für irgendjemanden genügt, oder ob es darauf ankommt, ob derjenige, der die Daten gerade erhebt, das Datum mit einer konkreten Person in Verbindung bringen kann. Folgt man - wie die Datenschutzbeauftragten - der ersten Ansicht, gelten auch für dynamische IP-Adressen die strengen Regeln der Datenschutzgesetze, weil sich über den Access-Provider und gegebenenfalls die Staatsanwaltschaft ein Bezug zu einem Telefonanschluss und unter Umständen auch einer natürlich Person herstellen lässt.

Das alles ist nicht neu.

Beschluss des Düsseldorfer Kreis

In seinem Beschluss Ende November in Stralsund unter dem Titel "Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten" hält der Düsseldorfer Kreis nun unter anderem Folgendes fest:

"Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) ist aufgrund der Personenbeziehbarkeit dieser Daten ... nur mit bewusster, eindeutiger Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist."

Letztlich heißt das, dass IP-Adressen nur dann überhaupt erhoben und anschließend gespeichert werden dürfen, wenn der Nutzer damit ausdrücklich einverstanden ist. Ein solches Einverständnis gibt natürlich kein Nutzer ab, weil es vor dem Aufruf der Website an einer Kommunikation zwischen Nutzer und Website-Betreiber fehlt.

Damit ist nach Ansicht der Aufsichtsbehörden dem Website-Betreiber jede Speicherung einer IP-Adresse verboten. Auch die Erhebung der IP-Adresse ist nur zulässig, "soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen."

Sobald die IP-Adresse für den Website-Aufbau nicht mehr benötigt wird, darf sie nicht mehr behalten werden.

Wenngleich der Beschluss in den letzten Wochen für erhebliche Unruhe gesorgt hat, ist auch das letztlich nichts Neues. Schon seit Jahren sind Datenschützer der Meinung, dass IP-Adressen Personenbezug besitzen und deshalb in gleicher Weise wie der Name, die sexuelle Orientierung und die Anschrift des Betroffenen geschützt werden müssen.

Folgen für die E-Commerce-Branche

Direkte Folgen des Beschlusses gibt es nicht. Letztlich halten die Datenschützer nur ihre gemeinsame Meinung fest. Darüber ob nun in Zukunft von den Behörden gegen einzelne Website-Betreiber, die Google Analytics einsetzen, vorgegangen wird, gehen die Meinungen auseinander. Wenn überhaupt wird es sicher einige wenige Musterverfahren geben.

Wichtiger sind aber die rechtlichen Folgen, für andere Bereiche. Nach Ansicht der Datenschutzbeauftragten darf die IP-Adresse überhaupt nicht gespeichert oder ausgewertet werden. Das gilt also nicht nur im Rahmen von Tracking Tools, sondern stets, wenn IP-Adressen ausgewertet werden oder über die Verbindungsdauer hinaus gespeichert werden.

Beispiel: Geolokalisierung
Die Auswertung der IP-Adressen stellt ein wichtiges Instrument zur Verbesserung der Qualität von Suchergebnissen und eingeblendeter Werbung dar. Mit Hilfe der Geolokalisierung kann man IP-Adressen einem geografischen Ort zuordnen. Von daher sind Geolokalisierungs-Verfahren überall dort von Bedeutung, wo es um die Herkunft von Internetnutzern geht.

Wer zum Beispiel in Deutschland die Domain google.com aufrufen möchte, wird automatisch auf die deutsche Webseite google.de umgeleitet. Möchte man die Domains amazon.com oder ebay.com öffnen, wird man sofort gefragt, ob man zu einem deutschsprachigen Ableger wechseln möchte.
Durch Zoning kann ein Anbieter von Webdiensten auch Nutzer aus bestimmten IP-Bereichen ganz ausschließen. In einem Gerichtsverfahren um Wettangebote im Internet ist dem Betreiber sogar gesagt worden, dass er deutsche Besucher anhand der IP-Adresse erkennen könne.

Darf die IP-Adresse nun nicht mehr verwendet werden, scheidet auch die Möglichkeit einer Geolokalisierung aus.

Beispiel: Votings
Nahezu jede größere Seite bietet Meinungsumfragen oder Votings an. Um Mehrfachabstimmungen zu erschweren wird dabei oft die IP-Adresse des Abstimmenden gespeichert. Verboten - meinen die Datenschützer.

Darf das jeweilige Internetportal die IP-Adressen in Zukunft nicht mehr speichern, dürften die "Lieblingskandidaten" von Vielklickern in Zukunft deutlich besser abschneiden.

Beispiel: Tell-a-friend-Funktion
Viele Anbieter, die eine Tell-a-friend-Funktion anbieten, speichern die IP-Adresse. War der Empfänger kein Freund und fühlte sich durch die Empfehlungs-E-Mail belästigt, mag er den Betreiber der Website, auf der die Tell-a-friend-Funktion bereitgehalten wird, abmahnen lassen. Dieser kann für die Empfehlungs-E-Mail als Mitstörer verantwortlich sein.

Hat der abgemahnte Website-Betreiber nun noch die IP-Adresse des Versenders der Empfehlungs-E-Mail gespeichert, wird er versuchen, bei diesem Rückgriff zu nehmen. Abgesehen davon, dass dies für den Website-Betreiber ohnehin meist nicht erfolgreich sein wird, würde ihm diese Möglichkeit genommen, wenn die Speicherung der IP-Adresse im Rahmen des Web-Tracking rechtswidrig ist.

Beispiel: Affiliate-Systeme
Während bei Votings und Tell-a-friend denkbar ist, dass eine Einwilligung in die Datenspeicherung bei dem Nutzer eingeholt wird, ist dies bei Affiliate-Systemen nicht möglich. Netzwerke, die die IP-Adressen zur Auswertung speichern, haben in gleicher Weise ein Problem, wie die angeschlossenen Publisher und Advertiser.

Beispiel: DOS-Angriffe
Schließlich dient die Speicherung der IP-Daten auch der Fehlersuche bei hohen Lasten und dem Aufdecken von Denial-of-Service-Angriffen. Dürfen IP-Adressen nur noch verändert gespeichert werden, könnte man solche Attakken nur noch durch Sperrung ganzer IP-Räume verhindern.

Über den Autor Dr. Martin Schirmbacher ist Partner bei HÄRTING Rechtsanwälte, Berlin. Dr. Martin Schirmbacher HÄRTING Rechtsanwälte Chausseestr. 13 10115 Berlin Telefon: +49 30 28 30 57 40 Fax: +49 30 28 30 57 44 Email: schirmbacher@haerting.de Web: www.haerting.de

Kommentar abgeben