Drücke „Enter”, um zum Inhalt zu springen.
Auf dieser Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise

Urteil: IP-Adressen sind personenbezogene Daten

· Ein Beitrag von IT Logic

Kategorien: Allgemein und Datenschutz

Bereits 2017 entschied der BGH, dass IP-Adressen als personenbezogene Daten anzusehen sind. Aus dieser Einschätzung erwachsen für die Betreiber von Webseiten eine ganze Reihe großer Herausforderungen.

Die höchstrichterliche Entscheidung des BGH, dass Netzwerkadressen, sogenannte IP-Adressen, als personenbezogen gelten, sorgt dafür, dass alle Betreiber von Webseiten seitdem ein Problem haben: Das Internet funktioniert nämlich nicht, ohne dass solche IP-Adressen ausgetauscht werden. Damit hat das BGH-Urteil vom 16.05.2017 (Az.: VI ZR 135/13) gleichzeitig Internetrecht geklärt und die Rechtsunsicherheit im Web auf ein neues Niveau gehoben.

Webseiten erheben permanent personenbezogene Daten

Im Urteil wird erklärt, dass eine IP-Adresse dann als personenbezogen gilt, wenn es theoretisch möglich ist, von dieser Internetadresse aus eine Person zu bestimmen. Dies gilt, egal, ob dies allein oder zusammen mit Dritten geschieht wie etwa Internetprovidern, Anbietern von Analytics Tools etc.). Auch das Vorhandensein eines Kontaktformulars mit Adressfeldern oder die Anmeldemöglichkeit für einen Newsletter sind ebenfalls eindeutige Merkmale, dass hier personenbezogene Daten erhoben werden. Falls der Besucher einer Webseite über ein Firmennetzwerk darauf zugreift, kann er eventuell nicht über die IP-Adresse alleine identifiziert werden. Aber von der Betreiberseite aus gilt: Die öffentlich zugängige Webseite kann von Firmenmitarbeitern ebenso wie von Privatpersonen oder Einzelunternehmern aufgerufen werden, die ihren Internetanschluss allein und nachverfolgbar nutzen. Daher ist unserer Ansicht nach davon auszugehen, dass Webseitenbetreiber regelmäßig personenbezogene Daten erheben. Damit unterliegen sie der Pflicht zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten nach der DSGVO.

Personenbezogene Daten – was ist das?

Landläufig versteht man unter personenbezogenen Daten alle, die dazu geeignet sind, die Identität der dahinterstehenden Person festzustellen. Allerdings zählen dazu auch solche Daten, die einer Person anhaften, beispielsweise also ihre Vorliebe für rote Rosen. Es ist leicht einsichtig, dass Fakten wie Name, Adresse und Telefonnummer einer Identität anhaften, bei IP-Adressen fällt dies für den gesunden Menschenverstand schon schwer. Doch das Urteil des obersten deutschen Gerichtshofs ist eindeutig: auch IP-Adressen sind nun personenbezogene Daten.

Im Internet spielen sie eine Rolle als Kennung. Sobald ein Nutzer eine Webseite aufruft, wird dessen IP-Adresse an den Server übertragen, auf dem die entsprechende Webseite liegt. Wenn auf dieser Webseite nun Komponenten von Drittanbietern eingebunden sind – dies sind zum Beispiel Videos, Landkarten oder Onlineformulare –, dann wird die IP-Adresse des Nutzers auch an diese Drittanbieter übertragen.

Der Fingerabdruck Ihres Browsers

Neben der IP-Adresse werden bei jedem Aufruf einer Webseite zahlreiche Informationen von Ihnen zur Webseite übertragen.

Wenn die Webseite wiederum Google Maps oder ein YouTube Video lädt, werden damit Ihre Daten auch an Google bzw. YouTube weitergegeben.

Um welche Daten neben der IP-Adresse handelt es sich? Hier sehen Sie einen Auszug aus dem Fingerabdruck, den Sie bei jedem Aufruf einer Seite im Internet übermitteln:

Device Fingerprint

Sie können Ihren eigenen Fingerabdruck jetzt ermitteln. Klicken Sie dazu einfach auf diesen Link. Sie sehen im zugehörigen Artikel zu Tracking dann Ihren in Echtzeit ermittelten Fingerabdruck. So wird vielleicht klar, dass das Nachverfolgen des Nutzers (Tracking) auch ohne Cookies möglich ist.

Übermittlung personenbezogener Daten

Ob Sie wollen oder nicht: Sie erheben personenbezogene Daten Ihrer Webseitenbesucher, übertragen und verarbeiten sie. Über diese Prozesse nun müssen Sie die Nutzer in der Datenschutzerklärung Ihrer Seite mit einer entsprechenden Erklärung informieren. Doch Sie müssen mehr als informieren. Bei etlichen Prozessen müssen Sie den Ablauf erklären, bevor Nutzerdaten übertragen werden, und die Möglichkeit zum Widerspruch einräumen. Ein typisches Beispiel hierfür ist Facebook Connect bzw. der Facebook-Like-Button in Script-Form. Das Einholen solch einer Einverständniserklärung im Vorfeld erscheint oft weder praktikabel noch kundenfreundlich. Deshalb wird es meist außer Acht gelassen. Doch damit verstoßen Sie gegen Datenschutzrichtlinien, insbesondere gegenüber der Datenschutzgrundverordnung DSGVO.

Vorschlag: eine praktikable Lösung

Jede Datenschutzerklärung muss leicht verständlich und dennoch vollständig sein. Dabei ist eine schwerer verständliche, dafür vollständige Erklärung unserer Auffassung nach rechtssicherer als ein verständlicher Text, der unvollständig ist.

Wir raten Ihnen daher, Ihre gesamte Webseite inklusive aller Unterseiten zu scannen und alle darin verwendeten Komponenten zu identifizieren. Typischerweise besteht eine Webseite aus ca. 300 Unterseiten. Jede einzelne davon ist zu prüfen. Viele Komponenten sind nicht direkt erkennbar, denn sie bestehen nur aus unsichtbarem Code, der dem Nutzer nichts anzeigt. Dies gilt zum Beispiel für Komponenten zur Nutzeranalyse, insbesondere Google Analytics, Piwik, eTracker oder Webtrekk.

Quellcode untersuchen

Nehmen Sie also bei jeder Seite nicht nur die sichtbaren Teile in Augenschein. Sie müssen zwar damit beginnen, Ihre Website inklusive Unterseiten im Browser aus Nutzersicht anzusehen, doch anschließend muss auch auf jeder einzelnen Seite der Quellcode angesehen und untersucht werden.

Bei Hunderten von Seiten ist diese Aufgabe entweder nicht vollständig zu erfüllen oder sie ist wirtschaftlich untragbar. Ein manuelles Durchsehen kostet zu viel Zeit und Geld. Die meisten Betreiber von Webseiten und die eigentlich Verantwortlichen für den Inhalt sind zudem nicht in der Lage, Quelltexte zu lesen. Und selbst für Programmierer und Entwickler ist es keine Traumvorstellung, endlose Quellcodes zu durchforsten.

Die Lösung

Wie kann also eine echte Lösung aussehen, wenn der Mensch solch eine umfangreiche Analyse von Webseiten nicht durchführen kann? Auch Anwälte, Datenschutzbeauftragte oder Webmaster sind damit meistens überfordert oder müssten fürstlich dafür bezahlt werden.

Eine gute Alternative bietet das Webseitenschutzpaket. Damit können Websites wirtschaftlich untersucht werden, und zwar Seite für Seite für Seite. Es spielt keine Rolle, ob eine Webpräsenz 50 oder 700 Seiten enthält. Die dem Schutzpaket zugrunde liegende Software arbeitet sich durch alle Inhalte und Quellcodes hindurch.

Nachdem dieser automatisierte Scan stattgefunden hat, werden die ersten Ergebnisse manuell von uns ausgewertet. Parallel dazu führen wir weitere manuelle Prüfungen durch, um eine entsprechend hohe Qualität für Empfehlungen zu erreichen, wie Sie Ihre Webseite aus datenschutzrechtlicher Sicht optimal umgestalten müssen. Ein wichtiger Teil unseres Services ist auch das Prüfen der Erreichbarkeit von Impressum und Datenschutzerklärung.

Das Ergebnis

Wenn alle Prüfungen abgeschlossen sind, stellen wir Ihnen Empfehlungen zusammen, die neben Lösungsvorschlägen für gefundene Datenschutzprobleme auch Begründungen und weitergehende Ratschläge enthalten. Zusätzlich berücksichtigen wir das Telemediengesetz, soweit es das Impressum oder Erklärungen zum Datenschutz betrifft.

Sie erhalten zum Abschluss einen übersichtlichen Prüfbericht, der die gefundenen Probleme enthält, samt Empfehlungen, Lösungsvorschlägen und weiterführenden Hinweisen, wie etwa Verweise auf Urteile oder Gesetze.

Fazit

Datenschutz ist kein einfaches Thema. Aber er muss weder mühsam noch teuer sein.

Eine manuelle Prüfung wird diesen Ansprüchen nicht gerecht. Deshalb haben wir eine intelligente Software entwickelt, die die manuelle Analyse von Webseiten effizient und effektiv unterstützt.

Mit dem Schutzpaket für Webseiten steht Ihnen damit endlich eine Dienstleistung zur Verfügung, die nach unseren Recherchen weder Anwälte noch Datenschutzbeauftragte, weder Webmaster noch Homepage-Baukästen und Generatoren für Rechtstexte alleine leisten können.

DSGVO-Schnelltest
Das könnte Sie auch interessieren:
Google Fonts Abmahnung erhalten: Was tun? Kostenfreie Erstberatung
Google Fonts: Schreiben wegen Datenschutzverstoß erhalten. Was tun?
Google Fonts und Google Analytics: Das rechtliche Risiko steigt
Google Analytics Webinar: Das sollten Datenschutzberater über das Tracking-Tool wissen
Datenschutz-News: Beitrag zu Consent Tools auf Webseiten
Consent Tools für Webseiten im großen Praxistest: Big Fail