25. Januar 2010 - Online-Datenschutz

Prüfen Sie die Speicherpraxis für IP-Adressen!

Die Aufsichtsbehörden für den nicht-öffentlichen Bereich haben vor Kurzem den Personenbezug von IP-Adressen bekräftigt. Gefordert sind nun Konsequenzen von Webstatistik-Diensten, Werbenetzwerken und Webseitenbetreibern. Prüfen Sie deshalb, wie der Umgang mit IP-Adressen in Ihrem Unternehmern und bei Ihren Webdienstleistern geregelt ist.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Bereits im Januar 2009 gab es Kritik von einzelnen Landesdatenschutzbeauftragten. Denn Google Analytics und vergleichbare Dienste speichern IP-Adressen oft ohne Einwilligung der Betroffenen (Opt-in).

Personenbezug bei IP-Adressen nochmals unterstrichen

Ende November 2009 fasste dann der Düsseldorfer Kreis den Beschluss, dass die Nutzungsprofile der Webseitenbetreiber ohne Opt-in keine vollständigen IP-Adressen enthalten dürfen.

Nach Ansicht der im Düsseldorfer Kreis vertretenen obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich besteht bei IP-Adressen ein Personenbezug. Somit können sie nicht zu den Pseudonymen gerechnet werden, wie sie das Telemediengesetz bei Nutzungsdaten für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien vorsieht.

Google Analytics ist nur EIN Beispiel

Die Berichterstattung in den Medien nach Bekanntwerden des Beschlusses erweckte den Anschein, der Düsseldorfer Kreis richte sich mit seiner Entscheidung speziell gegen die Speicherpraktiken von Google Analytics. Diese Fehlinterpretation ging sogar so weit, dass einzelne Medien mutmaßten, Google Analytics solle durch den Beschluss des Kreises in Deutschland verboten werden.

Tatsächlich aber ging es dem Düsseldorfer Kreis um eine generelle „datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten“. Damit sind sämtliche Analyseverfahren im Internet gemeint, unabhängig vom Anbieter der Analyse.

Im Fokus stehen Web-Analysen und Online-Werbung

Nun ist aber die Speicherung vollständiger IP-Adressen bei zahlreichen Webstatistik-Diensten und nicht nur bei Google Analytics tägliche Praxis. Auch verschiedene Werbenetzwerke im Internet fügen die IP-Adresse den protokollierten Nutzerprofilen hinzu.

Alle Webseitenbetreiber in Deutschland, die Online-Werbung und WebAnalysen nutzen, sollten deshalb die Speicherung von IP-Adressen überprüfen, um schlimmstenfalls einem möglichen Bußgeld durch die Aufsichtsbehörden vorzubeugen.

Achtung, Auftragsdatenverarbeitung!

Dabei ist es unerheblich, ob Ihr Unternehmen die Analyse selbst macht oder durch Dritte durchführen lässt. Denn bei extern durchgeführter Webanalyse müssen Sie von einer Auftragsdatenverarbeitung (§ 11 BDSG) ausgehen.

Hält Ihr Unternehmen die Vorgaben des Telemedien­gesetzes (TMG) ein?

Der Personenbezug insbesondere bei den weit verbreiteten dynamischen IP-Adressen, die der Provider jeweils für eine Internetsitzung vergibt, ist zwar rechtlich umstritten. Trotzdem sollten Sie Ihrer Geschäftsleitung raten, genau zu überprüfen, ob Ihr Unternehmen die Vorgaben des Telemediengesetzes (§ 15 Abs. 3 TMG) einhält. So fordern das TMG und der entsprechende Beschluss des Düsseldorfer Kreises,

  • den Betroffenen eine Möglichkeit zum Widerspruch gegen die Erstellung von Nutzungsprofilen einzuräumen und die Widersprüche wirksam umzusetzen,
  • auf die Widerspruchsmöglichkeit deutlich hinzuweisen (in der Datenschutzerklärung auf der Website),
  • die pseudonymisierten Nutzungsdaten strikt von den Trägern der Pseudonyme zu trennen,
  • die Nutzungsprofile nach Zweck-erfüllung oder auf Verlangen des Nutzers zu löschen,
  • IP-Adressen und ihre Geolokalisierung nur bei bewusster, eindeutiger Einwilligung durch den Betroffenen zu nutzen,
  • andernfalls die IP-Adresse so zu kürzen, dass kein Personenbezug mehr möglich ist, sowie
  • Nutzungsprofile, die im Rahmen einer Auftragsdatenverarbeitung (Beispiel Google Analytics, Yahoo Web Analytics oder Webtrends) erstellt werden, ebenfalls diesen Maßgaben zu unterwerfen und die Einhaltung als Auftraggeber zu überprüfen.

Hinterfragen Sie den gegenwärtigen Umgang mit IP-Adressen

Während sich der Hinweis auf die Widerspruchsmöglichkeit gegen die Erstellung von Nutzungsprofilen vergleichsweise einfach in der eigenen Online-Datenschutzerklärung umsetzen lässt, stellen andere Forderungen eine Herausforderung dar.

So müssen Sie insbesondere klären, wie die Speicherpraxis für IP-Adressen beim gegenwärtigen Webanalyse-Dienst aussieht und ob er in Zukunft noch genutzt werden kann.

Wichtige Fragen sind zudem,

  • wie sich der Widerspruch gegen Nutzungsprofile wirksam umsetzen lässt,
  • wie sich die Trennung zwischen Nutzungsdaten und Träger des Pseudonyms sicherstellen lässt,
  • wie sich die Nutzungsprofile, die Webdienstleister erzeugen, sinnvoll kontrollieren lassen. Beachten Sie, dass bereits Ihr Webhoster oder der eigene Webserver in der Regel Webstatistiken und Nutzungsprofile zu Ihrer Website anbietet, es also einer Teilnahme an Google Analytics oder vergleichbaren Diensten gar nicht bedarf, um in die Gefahr zu kommen, IP-Adressen unerlaubt speichern zu lassen.

Auf Google Analytics & Co. zu verzichten, reicht nicht!

Tatsächlich wäre es zu kurz gegriffen, einfach auf die Teilnahme an Diensten wie Google Analytics zu verzichten. Auch die eigenen Logdateien des Webservers enthalten IP-Adressen, die es zu kürzen oder anderweitig zu anonymisieren gilt.

So begegnen Sie den Schwierigkeiten wirksam in der Praxis

Bietet die Website Ihres Unternehmens z.B. ein Online-Formular zur Bestellung von Informationsmaterial oder zur Registrierung für ein Kundenkonto, so werden ggf. die IP-Adressen sogar in Verbindung mit den personenbezogenen Daten, die der Nutzer angibt, auf Ihrem Webserver gespeichert.

Selbst bei Verwendung von Pseudonymen anstelle der kompletten IP-Adresse wäre dabei die Trennung zwischen Nutzungsdaten und dem Träger des Pseudonyms in Gefahr. Deshalb steht eine genaue Untersuchung der Protokollierung durch Ihren Webserver hinsichtlich Umfang und Anonymisierung an.

Machen Sie den Widerspruch tatsächlich wirksam

Abhängig von der eingesetzten Analyse- und Tracking-Methode sollte auch die Widerspruchsmöglichkeit passend umgesetzt sein. So speichern Logdateien des Webservers zur Erzeugung von Nutzungsprofilen bislang nicht nur IP-Adressen. Es kommen darüber hinaus Tracking-Cookies, JavaScript-Tracking-Code und Ein-Pixel-Bilder zum Einsatz.

Eine Widerspruchsmöglichkeit für den Nutzer allein in Form des Cookie-Managers seines Webbrowsers ist in der Regel nicht ausreichend. Auch die durch den JavaScript-Code und die Web-Pixel erlangten IP-Adressen dürfen ohne Opt-in nicht in eine Speicherung und Auswertung einfließen.

Ein Widerspruch muss also auch Tracking-Code und Web-Pixel deaktivieren. Sehen Sie sich deshalb das Analyseverfahren Ihres Webhosters oder Ihres Webstatistik-Dienstleisters genau an und empfehlen Sie, nur solche Dienste zu verwenden, die die eingangs genannten Forderungen des TMG auch tatsächlich umsetzbar machen.

Systemsicherheit geht auch ohne gespeicherte IP-Adresse

Im Gespräch mit dem Webmaster oder dem IT-Sicherheitsbeauftragten werden Sie kritische Anmerkungen ernten, wenn Sie die Kürzung der IP-Adressen in den Web-Protokollen empfehlen.

So wird als Argument für eine vollständige Speicherung der IP-Adresse oftmals ins Feld geführt, dass sie für die Sicherheit des Dienstes notwendig sei. So könne z.B. eine mögliche Angriffsserie nur dann erkannt werden, wenn sich ein Besucher der Webseite eindeutig bestimmen lasse.

Weniger ist mehr

Tatsächlich ist dafür aber eine IP-Adresse mit Personenbezug gar nicht erforderlich. Es reicht, wenn ein eindeutiger Hashwert der IP-Adressen gespeichert wird. So lässt sich ein wiederholter böswilliger Zugriff erkennen, und man kann trotzdem auf vollständige IP-Adressen verzichten.

Selbstdatenschutz bleibt entscheidend

Bei der Vielschichtigkeit von Nutzungsprofilen und der weiten Verbreitung des Profilings durch Webanalyse-Dienste und Werbenetzwerke (Affiliate Marketing) wird deutlich, dass es seine Zeit dauern wird, bis personenbezogene Daten wirksam aus Online-Nutzungsprofilen verbannt worden sind, wenn keine Einwilligung des Betroffenen vorliegt.

Deshalb sollten Sie in Ihrer Datenschutzschulung nochmals den Selbstdatenschutz gegen Online-Profiling empfehlen!

Empfehlungen an die Mitarbeiter zum Selbstdatenschutz
  • Verschleierung der IP-Adresse durch Anonymisierungsdienste wie TOR (http://www.torproject.org), dabei immer daran denken, dass nun die IP-Adressen beim Anonymisierungsdienst gespeichert werden könnten
  • Einstellung des Cookie-Managers so, dass Cookies am Sitzungsende gelöscht und Cookies von Dritten nicht akzeptiert werden
  • Deaktivierung von JavaScript (generell oder mittels Browser-Plugin für bestimmte Webseiten, wie NoScript oder Customize Google für Firefox)
  • Nutzung von Plugins gegen Ein-Pixel-Bilder und Webbugs wie der Web Bug Detector für den Firefox-Browser
  • Datensparsamkeit im Web und insbe­sondere bei der Registrierung für Web­dienste und in sozialen Netzwerken
  • Nutzung aller Datenschutz-Optionen im Browser und bei Webdiensten
  • Keine Verwendung von Browser-Erweiterungen wie Toolbars der Suchmaschinenanbieter, um zusätzliches Tracking des Surfverhaltens zu vermeiden


Oliver Schonschek

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln