Interview mit Datenschützer Henry Krasemann zu IP-Adressen

23.02.2010 11:21 Uhr

Ende 2009 berichtete ich ausführlich darüber, dass die IP-Adresse verstärkt als personenbezogenes Datum angesehen wird. Dadurch ist sie mit z.B. einer E-Mail-Adresse gleichzusetzen. Dies wirft für Webmaster neue Fragen und neue Restriktionen auf, wie Sie z.B. in dem Artikel „11 illegale Dinge, die fast jeder Webmaster macht“ lesen konnten.

Wie Sie als Leser wissen, setzt sich auch Anonym-Surfen.com seit 7 Jahren für den Datenschutz ein. So berichte ich über Skandale und veröffentliche Anleitungen, wie Sie Ihre Privatsphäre stärken können. Dennoch stehe ich diesen Entwicklungen sehr kritisch gegenüber.

Deshalb freue ich mich ganz besonders, dass mir Herr Henry Krasemann für ein Interview zur Verfügung stand. Herr Krasemann arbeitet für das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein im Referat Datenschutz-Gütesiegel.

Das Interview

Herr Krasemann, warum stufen Sie die IP-Adresse als personenbezogene Information ein?

IP-Adressen sind dann personenbeziehbare Daten, wenn darüber auf eine natürliche Person geschlossen werden kann (z. B. auf den Nutzer eines PCs / Vertragsinhaber eines Anschlusses). Dies ist in der Regel bei statischen IP-Adressen der Fall, die einem Rechner fest zugewiesen sind, sofern es sich nicht um einen Rechner handelt, der von einer Vielzahl von Nutzern verwendet wird (z. B. Firmenrechner).

Auch bei dynamisch vergebenen IP-Adressen können diese durch Dritte mit Hilfe der Logfiles des Internet Service Providers (ISP) einzelnen Anschlüssen und damit ggf. einzelnen Personen zugeordnet werden. Daher muss zumindest von einer Personenbeziehbarkeit der dynamischen IP-Adresse und damit der Anwendung der Datenschutzgesetze ausgegangen werden.

In Erwägung Nr. 26 zur EU-Datenschutzrichtlinie 95/46/EG wird eindeutig festgelegt, dass alle Mittel zu berücksichtigen sind, die von dem für die Verarbeitung Verantwortlichen oder von jeder anderen Person nach vernünftiger Einschätzung zur Identifizierung der betreffenden Person genutzt werden können, um festzustellen, ob eine Person bestimmbar ist. Die europäische Artikel 29-Datenschutzgruppe hat dies in ihrem Arbeitspapier Nr. 159 besonders hervorgehoben.

Webseitenbetreiber können der IP-Adresse keine konkrete Identität zuordnen, sofern der Besucher die Informationen nicht selbst preisgibt. Die Einzigen die das können, sind die Internet-Provider. Während also denen, für die die IP-Adresse keinen Personenbezug hat, die Speicherung verboten wird, wird den Providern die Pflicht auferlegt die Daten auf Vorrat zu speichern. In wie weit schützt das den unbescholtenen Bürger?

Zunächst besteht eine Möglichkeit der Zuordnung zu einer konkreten Identität in vielen Fällen, in denen statische IP-Adressen verwendet werden. Wir sehen jedoch die Speicherpflicht von Providern im Rahmen der Vorratsdatenspeicherung ebenfalls als kritisch an und hoffen diesbezüglich auf eine entsprechende Entscheidung des Bundesverfassungsgerichts.

Der Statistikdienst Google Analytics scheint immer wieder im Fokus der Gespräche zu stehen. Gegner der Diskussion schätzen, dass Google Analytics als prominenter Gegner ausgesucht wurde, um möglichst viel Aufsehen auf diese Datenschutzbewegung zu ziehen. Was ist dran?

Dieses kann ich nicht bestätigen. Google Analytics ist ein großer Player auf dem Markt der Analyse-Tools, was ihn auch in den Fokus der Datenschützer bringt. Es gibt eine ganze Reihe Punkte, die kritisch bei diesem Dienst zu sehen sind. Diesbezüglich verweise ich auf unsere zahlreichen Informationen zum Bereich Tracking: https://www.datenschutzzentrum.de/tracking/

Durch die Einstufung der IP-Adresse als personenbezogenen Information, ist es ebenfalls illegal Inhalte von fremden Servern einzubinden. Alleine das Einbinden einer Grafik führt dazu, dass die IP-Adresse mitgespeichert werden kann, ohne dass der Nutzer widersprechen kann. In wie weit trifft dies zu?

Grundsätzlich haben Sie Recht, dass die Datenschutzgesetze (insbesondere das TMG) auch schon beim Einbinden einer Grafik greifen können, wenn diese bei einem Dritten hinterlegt ist. Allerdings gibt es neben der Einholung der Einwilligung des Nutzers (was wahrscheinlich in der Praxis kaum realisierbar ist) noch die Möglichkeit der Auftragsdatenverarbeitung. Auch ist die Frage, wie transparent die Einbindung eines Dritten in die Seite ist bzw. inwieweit der Nutzer mit dieser Erhebung der IP-Adresse durch den Dritten rechnen konnte. Fragen, die sich nur für den Einzelfall klären lassen. So wäre es durchaus in einigen Fällen denkbar, die Einbindung fremder Dienste außerhalb der Profilerstellung als Verwendung der Daten zur Erbringung des Dienstes anzusehen (vgl. § 12 Abs. 1 TMG).

Dadurch werden Webseitenbetreiber die Ihre Kosten über Werbung refinanzieren, kriminalisiert, da Werbung stets von den Servern der Werbetreibenden eingeblendet wird. Das selbste gilt für Videos, Audio, PDFs, Bilder, Bildergalerien von flickr, Twitter-Kurznachrichten und alle anderen „einbindbaren Inhalte“.

Ich befürchte hier einen enormen Rückschritt im internationalen Vergleich. Das Internet basiert auf einer Vernetzung, die das deutsche Recht nun verhindert. In wie weit ist dieser Einschnitt in die Entwicklung und Zukunft des Internets mit den Risiken vereinbar, zumal der Aufwand bei Webseitenbetreibern hängen bleibt die ohnehin nichts mit der IP-Adresse anfangen können?

Die Einbindung externer Dienste ist nicht grundsätzlich verboten. Wir haben inzwischen sogar schon Dienste, die Targeting betreiben und Werbung in fremde Seiten einblenden, mit einem Datenschutz Gütesiegel ausgezeichnet. Diese Dienste verwenden meist einen Anonymisierer und nutzen die schon erwähnte rechtliche Möglichkeit einer Auftragsdatenverarbeitung.

Ist es zu befürchten, dass durch die Einstufung der IP-Adresse als personenbezogene Information, eine neue Abmahnwelle losbricht? Es sind immerhin Bußgelder von bis zu 50.000 Euro möglich. Müssen Webseitenbetreiber nun befürchten, dass die Abmahnanwälte auf den Zug aufspringen oder ist dies rechtlich nicht möglich?

Die Einstufung der IP-Adresse als personenbeziehbares Datum ist nicht neu und wird seit vielen Jahren von den Datenschützern vertreten. Ich gehe nicht davon aus, dass eine Abmahnwelle losbricht. Wer sich rechtskonform verhält, muss natürlich Abmahner auch nicht fürchten.

Was empfehlen Sie Webseitenbetreibern für die Zukunft?

Wir geben in unserer o. g. FAQ auch konkrete Hinweise darauf, wie etwa datenschutzgerechte Statistiken erstellt werden können. Für Targeting / Werbeeinblendungen können inzwischen Dienste mit Datenschutz-Gütesiegel genutzt werden. Grundsätzlich ist ansonsten so weit wie möglich auf die Verwendung vollständiger IP-Adressen zu verzichten.

Fazit

Für mich war das Interview mit Herrn Krasemann sehr aufschlussreich und ich möchte mich herzlichst dafür bedanken.

Leider bleibt für mich, als Betreiber einer Webseite, ein fader Beigeschmack. Ein fader Beigeschmack weil ich vieles nicht mehr darf, wenn ich mich rechtskonform verhalten will. Zum Beispiel darf ich nicht mehr einfach YouTube-Videos einbinden, die Ihnen etwas veranschaulichen. Hierbei wird nämlich Ihre IP-Adresse an YouTube übertragen – was u.U. nicht rechtskonform ist.

Als Aktivist, der Ihnen zu mehr Sicherheit im Internet verhelfen möchte, ist es absolut maßgeblich für mich Datenschutzgesetze einzuhalten. Allerdings ist dies technisch aktuell nur möglich, wenn man auf sehr viel verzichtet (z.B. die Videos und mindestens 10 weitere Dinge). Ein Teufelskreis.