Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Analyse

BGH-Urteil zu IP-Adressen: Was darf ich als Website-Betreiber überhaupt noch?

    BGH-Urteil zu IP-Adressen: Was darf ich als Website-Betreiber überhaupt noch?
Bundesgerichtshof (BGH) in Karlsruhe. (Foto: dpa)

IP-Adressen sind personenbezogene Daten und datenschutzrechtlich zu schützen – eine Speicherung ist Website-Betreibern unter Umständen trotzdem erlaubt. Das hat der Bundesgerichtshof entschieden. Das klingt dramatischer als es ist.

Um IP-Adressen kommt man im Netz nicht herum. Sie sind die Telefonnummern des Internets. Jeder hat eine, kennt welche und benutzt sie täglich. Und auch viele Anwendungen setzen auf IP-Adressen: Webserver legen sie in Logs ab, Sicherheitssoftware protokolliert sie zur Gefahrenabwehr, Tracking-Software helfen sie bei der Statistik über Reichweiten und Zielgruppen.

Umso mehr hat diese Nachricht in den sozialen Netzwerken für einige Erregung gesorgt: IP-Adressen sind personenbezogene Daten und unterliegen damit den strengen Regeln des Datenschutzrechts. So hat es der Bundesgerichtshof (BGH) am Dienstag entschieden. Trotzdem dürfen Betreiber von Internetseiten die IP-Adressen sämtlicher Besucher unter Umständen speichern.

Ein Pirat gegen den Bund

Die Entscheidung ist eine weitere Etappe in einem Verfahren, das bereits 2007 seinen Anfang nahm. Patrick Breyer, Jurist und Politiker der Piratenpartei, wollte dem Bund verbieten lassen, die IP-Adressen von Besuchern staatlicher Internetseiten über die reine Besuchszeit hinaus zu speichern.

Im Mittelpunkt des Verfahrens stand die Frage, ob IP-Adressen „personenbezogene Daten“ sind. Nur dann sind sie vom Datenschutzrecht überhaupt erfasst – das schützt nämlich nur solche Informationen, die sich mit Personen in Verbindung bringen lassen. Und genau hier liegt die Krux: Wann ist eine Person „bestimmbar“?

Anzeige

Zeig mir deine IP und ich sage dir, wer du bist?

Geht es um IP-Adressen, zeigt sich dieses Problem ganz anschaulich beim Filesharing. Abmahn-Anwälte scheitern regelmäßig daran, eine IP-Adresse mit einer konkreten Person in Verbindung zu bringen. Hinter einer einzigen Adresse kann sich schließlich ein Unternehmensnetzwerk, ein offenes WLAN, ein ganzer Haushalt oder auch nur eine einzige Person verbergen. Ohne Mithilfe des Providers ist es sowieso kaum möglich, von der Ziffernfolge auf eine konkrete Personen zu schließen.

Der BGH hat nun gleichwohl entschieden, dass dynamische IP-Adressen personenbezogene Daten darstellen, wenn Anbieter Seitenzugriffe protokollieren.

Sonderlich viel Spielraum hatte er bei seiner Entscheidung nicht. Denn bereits vor drei Jahren hatte er die Frage des Personenbezugs von IP-Adressen vorab dem Europäischen Gerichtshof vorgelegt. Und dieser hatte letztes Jahr bereits festgestellt: IP-Adressen können personenbezogen sein, wenn für den Webseitenbetreiber rechtliche Möglichkeiten bestehen, eine Person hinter der IP zu identifizieren. Eine Speicherung ist dann nur mit besonderer Begründung erlaubt.

Ob solche rechtlichen Möglichkeiten bestehen, musste nun der BGH erneut klären. Ergebnis: Eine rechtliche Möglichkeit besteht, IP-Adressen sind personenbezogen. Darin erschöpft sich auch der aktuelle Kenntnisstand. Der BGH hat – wie üblich – bisher nur eine knappe Pressemitteilung zu seinem Urteil veröffentlicht, die genaue Begründung steht noch aus.

IP-Adressen sollten jetzt anonymisiert werden

Ob IP-Adressen als personenbezogene Daten gespeichert werden dürfen, hängt laut BGH vom Einzelfall ab: Wie nötig ist das Speichern der IP-Adresse und wie groß ist dagegen der Eingriff in die Grundrechte und -freiheiten der Besucher? Im Klartext: Ein Server, der sich regelmäßig Angriffen ausgesetzt sieht, darf IP-Adressen eher speichern als ein Server ohne „Angriffsdruck“. Wo genau hier die Grenzen zu ziehen sind und wie lange Anbieter die vollständigen IP-Adressen dann speichern dürfen, hat der BGH nicht entschieden. Vielmehr wird dazu das Landgericht Berlin entscheiden müssen, an das der BGH das Verfahren zurück verwiesen hat. Die Diskussion um IP-Adressen geht also in eine weitere Runde.

Vollständig geklärt ist die Rechtslage damit noch immer nicht. Wer als Seitenbetreiber auf die Erfassung vollständiger IP-Adressen verzichten kann, ist aber spätestens jetzt gut beraten, die IPs möglichst zu anonymisieren. Unproblematisch ist das beim Betrieb eines eigenen Servers. Webhosting-Anbieter bieten die Möglichkeit bisweilen als Option in ihren Kundenmenüs an, teils nehmen sie die Anonymisierung auch selbstständig vor.

IP-Adressen immer unwichtiger

Der praktische Informationsverlust ist dabei geringer als man meint. Aus den reinen IP-Adressen können Seitenbetreiber ohnehin nur bedingt Informationen über ihre Nutzer gewinnen. Für Geolokalisierung können IP-Adressen noch hilfreich und notwendig sein. Aber schon beim Werbetracking spielen IP-Adressen eine immer geringere Rolle. Tracking-Cookies, Browser-Fingerprints und ähnliche Verfahren sind da deutlich aufschlussreicher. Auch bei der Abwehr von DDoS-Angriffen oder bei Intrusion Detection sind IP-Adressen nur ein Faktor von vielen – zu einfach lassen sie sich verschleiern.

Begrenzt ist die Bedeutung des Verfahrens aber auch aus einem ganz anderen Grund: Im Mai 2018 tritt die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Gleichzeitig soll auch die neue E-Privacy-Verordnung wirksam werden, die sich auch mit Tracking-Technologien befasst. Und spätestens dann werden die Karten ohnehin neu gemischt.

Finde einen Job, den du liebst

2 Reaktionen
Lars
Lars

"Der praktische Informationsverlust ist dabei geringer als man meint. Aus den reinen IP-Adressen können Seitenbetreiber ohnehin nur bedingt Informationen über ihre Nutzer gewinnen."

Schon mal IPV6 gehört? Das verkehrt sich gerade ins Gegenteil.

Antworten
Adrian

Danke für die Anmerkung und den berechtigten Einwand. In der Tat ist IPv6 nochmal ein ganz anderes Thema. Allerdings hat der BGH ja gerade nicht über IPv6 sondern über IPv4 entschieden. Insofern sind alle Ausführungen dazu in der Tat nur auf IPv4 bezogen.

Allerdings wird es sich mE noch zeigen müssen, wie viel mehr Informationen sich in der Praxis aus IPv6-Adressen ableiten lässt. Mit Privacy Extensions und NAT können auch IPv6-Adressen keineswegs zwingend nur einem Gerät oder gar einer Person zugeordnet werden. Und ob sich hinter einer IPv6-Adresse nun ein smarter Kühlschrank oder ein Firmennetz mit 2.000 Mitarbeitern verbirgt, kann ich der Adresse auch nicht unbedingt ansehen. Insofern eignet sich auch IPv6 zur Identifikation oder Aussonderung einer bestimmten Person auch nur bedingt.

Aber du hast schon recht: Konzeptionell ist IPv6 anders angelegt und die Entscheidung des BGH sicher nicht ohne weiteres darauf übertragbar.

Antworten
Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden