- Datenschutz PRAXIS - https://www.datenschutz-praxis.de - DatenschutzPraxis

IP-Adressen: So prüfen Sie die Speicherpraxis

Dynamische IP-Adressen sind personenbezogene Daten. Für Unternehmen und öffentliche Stellen wie Behörden heißt das, zu überprüfen, wie sie diese IP-Adressen verarbeiten, um nicht gegen den Datenschutz zu verstoßen. Worauf müssen Sie achten?

IP-Adressen: DSGVO & Urteile sorgen für Klarheit

Die Aufsichtsbehörden für den Datenschutz haben seit Langem bekräftigt, dass dynamische IP-Adressen einen Personenbezug besitzen. Sie fallen deshalb unter den Datenschutz.

Entsprechend groß war die Zustimmung der Datenschützer zu den Urteilen des Bundesgerichtshofs (BGH, Urteil vom 16. Mai 2017 – VI ZR 135/13) und des Europäischen Gerichtshofs (EuGH, Entscheidung vom 19. Oktober 2016 [1], C-582/14).

Erwägungsgrund 30 zur Datenschutz-Grundverordnung [2] (DSGVO / GDPR) liefert die Begründung, warum der Schutz von IP-Adressen so wichtig ist:

„Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen und Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, … zugeordnet. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.“

Was dürfen Unternehmen mit IP-Adressen tun?

Der Bundesgerichtshof hat entschieden, dass Webseiten-Anbieter und andere Online-Dienste IP-Adressen unter bestimmten Bedingungen trotzdem speichern dürfen.

Voraussetzung: Die Speicherung ist erforderlich, um die Funktionsfähigkeit von Online-Diensten aufrecht zu erhalten.

Der Begriff „erforderlich“ ist allerdings nicht leicht zu fassen. Es reicht nämlich nicht, einfach zu behaupten, etwas sei erforderlich.

Lesen Sie dazu DSGVO: Was heißt eigentlich genau „erforderlich“? [3]

Und was dürfen sie nicht?

Es gibt aber eine Reihe von anderen Verarbeitungen von IP-Adressen, die das BGH-Urteil nicht legitimiert. Hier müssen Unternehmen genau überprüfen, wie ihre Speicherpraxis aussieht.

Vorsicht bei Web-Analysen und Werbung

Sind die Voraussetzungen, die der BGH nennt, nicht erfüllt, gilt: Da bei IP-Adressen ein Personenbezug besteht, sind sie nicht zu den Pseudonymen [4] zu rechnen.

Unternehmen müssen also Vorsicht walten lassen bei Web-Analysen und Werbung. Alle Webseiten-Betreiber in Deutschland, die Online-Werbung [5] und Webanalysen nutzen, sollten die Speicherung von IP-Adressen überprüfen.

Dabei ist es unerheblich, ob sie die Analyse selbst durchführen oder Dritte sie übernehmen. Denn bei einer extern durchgeführten Webanalyse handelt es sich um eine (hoffentlich vertraglich geregelte) Auftragsverarbeitung [6].

Worauf müssen Sie achten?

Was ist mit Google Analytics?

Die Aufsichtsbehörden für den Datenschutz haben neue Hinweise zum Einsatz von Google Analytics [8] im nicht-öffentlichen Bereich veröffentlicht. Dort finden sich auch die Anforderungen an die Kürzung von IP-Adressen.

Dazu ist auf jeder Internetseite, auf der Google Analytics eingebunden ist, der Trackingcode um die Funktion „_anonymizeIp()“ zu ergänzen. Weitere Details finden sich in der technischen Anleitung von Google, abrufbar unter https://developers.google.com/analytics/devguides/collection/gtagjs/ip-anonymization [9]

Wichtig: Die Kürzung der IP-Adresse ist eine zusätzliche Maßnahme gemäß Art. 25 Abs. 1 DSGVO zum Schutz der Nutzer. Sie führt jedoch nicht dazu, dass die vollständige Datenverarbeitung anonymisiert erfolgt, so die Datenschutz-Aufsichtsbehörden.

Google Analytics erhebt neben der IP-Adresse weitere Nutzungsdaten, die als personenbezogene Daten zu bewerten sind. Dazu gehören Identifizierungsmerkmale der einzelnen Nutzer, die auch eine Verknüpfung beispielsweise mit einem vorhandenen Google-Account erlauben.

Aus diesem Grund ist in jedem Fall der Anwendungsbereich der DSGVO eröffnet. Wer Google Analytics einsetzt, ist also auch dann verpflichtet, die Anforderungen der DSGVO zu beachten, wenn er die Kürzung der IP-Adressen veranlasst hat.

Verantwortliche müssen zudem in der Datenschutzerklärung angeben, ob sie die IP-Adressen kürzen.

Besser auf Web-Analyse verzichten?

Es wäre zu kurz gegriffen, einfach auf Dienste zur Web-Analyse zu verzichten. Denn auch die Logdateien des eigenen Webservers enthalten IP-Adressen. Sie gilt es ebenfalls zu kürzen oder anderweitig zu anonymisieren.

Bietet die Website des Unternehmens zum Beispiel Online-Formulare, um Informations-Material zu bestellen oder um sich für ein Kundenkonto zu registrieren, speichert der Webserver die IP-Adressen sogar eventuell in Verbindung mit den Daten, die der Nutzer angibt.

Wie den Widerspruch korrekt umsetzen?

Die Widerspruchsmöglichkeit muss abhängig von der Analyse- und Tracking-Methode, die die Webseite einsetzt, umgesetzt sein. So speichern die Logdateien des Webservers bislang nicht nur IP-Adressen, um Nutzungsprofile zu erzeugen. Es kommen oftmals auch Tracking-Cookies, JavaScript-Tracking-Code und Ein-Pixel-Bilder (Web Beacon) zum Einsatz.

Eine Widerspruchsmöglichkeit für den Nutzer allein in Form des Cookie-Managers seines Webbrowsers ist in der Regel nicht ausreichend. Auch die IP-Adressen, die ein Website-Betreiber durch JavaScript-Code und Web-Pixel erlangt, darf er ohne Opt-in nicht speichern und auswerten.

Ein wirksamer Widerspruch muss also zusätzlich Tracking-Code und Web-Pixel deaktivieren.

Selbstdatenschutz auch bei IP-Adressen entscheidend

Angesichts der Vielschichtigkeit von Nutzungsprofilen und der weiten Verbreitung des Profilings durch Webanalyse-Dienste und Werbenetzwerke (Affiliate Marketing) dürfte es dauern, bis personenbezogene Daten wirksam aus Online-Nutzungsprofilen verschwinden, wenn keine Einwilligung der betroffenen Personen vorliegt.

Empfehlen Sie als Datenschutzbeauftragter daher mehr Selbstdatenschutz gegen Online-Profiling.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker, Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz.