Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

05. August 2024

IP-Adressen: So prüfen Sie die Speicherpraxis

IP-Adressen: So prüfen Sie die Speicherpraxis
Bild: popba / iStock / Thinkstock
3,20 (5)
Inhalte in diesem Beitrag
Datenschutz für IP-Adressen
Dynamische IP-Adressen sind personenbezogene Daten. Für Unternehmen und öffentliche Stellen wie Behörden heißt das, zu überprüfen, wie sie diese IP-Adressen verarbeiten, um nicht gegen den Datenschutz zu verstoßen. Worauf müssen Sie achten?

IP-Adressen: DSGVO & Urteile sorgen für Klarheit

Die Aufsichtsbehörden für den Datenschutz haben seit Langem bekräftigt, dass dynamische IP-Adressen, genauso wie statische IP-Adressen einen Personenbezug besitzen. Sie fallen deshalb unter den Datenschutz.

Entsprechend groß war die Zustimmung der Datenschützer zu den Urteilen des Bundesgerichtshofs (BGH, Urteil vom 16. Mai 2017 – VI ZR 135/13) und des Europäischen Gerichtshofs (EuGH, Entscheidung vom 19. Oktober 2016, C-582/14).

Erwägungsgrund 30 zur Datenschutz-Grundverordnung (DSGVO) liefert die Begründung, warum der Schutz von IP-Adressen so wichtig ist:

„Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen und Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, … zugeordnet. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.“

Wann dürfen IP-Adressen gespeichert werden?

Der EuGH hatte am 20. September 2022 über die Speicherung von IP-Adressen entschieden und eine allgemeine sowie unterschiedslose Verkehrsdatenspeicherung für grundsätzlich unzulässig erklärt. Gleichzeitig hatte der EuGH Möglichkeiten aufgezeigt, um schwerste Kriminalität wie Kindesmisshandlungen und Kinderpornografie mit der Speicherung von Verkehrsdaten zu bekämpfen.

In einem weiteren Urteil, ergangen am 30. April 2024 (https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:62021CJ0470), hat der EuGH dann jedoch die anlasslose IP-Adressenspeicherung zu bestimmten Zwecken erlaubt. Konkret ging es um die Speicherung und den Zugang zu Daten zur Verfolgung von Urheberrechtsverletzungen.

Die jüngste Entscheidung des EuGH erlaubt demnach die von  Ermittlungsbehörden geforderte Speicherung von IP-Adressen und ihre Nutzung zur Kriminalitätsbekämpfung, unabhängig von der Schwere des Delikts. Es sind jedoch Speichermodalitäten zu beachten, die eine wirksame strikte Trennung der verschiedenen Kategorien personenbezogener Daten gewährleisten (https://curia.europa.eu/jcms/upload/docs/application/pdf/2024-04/cp240075de.pdf).

Was dürfen Unternehmen mit IP-Adressen tun, was nicht?

Der Bundesgerichtshof hat entschieden, dass Webseiten-Anbieter und andere Online-Dienste IP-Adressen unter bestimmten Bedingungen speichern dürfen.Voraussetzung: Die Speicherung der Daten ist erforderlich, um die Funktionsfähigkeit von Online-Diensten aufrecht zu erhalten.

Der Begriff „erforderlich“ ist allerdings nicht leicht zu fassen. Es reicht nämlich nicht, einfach zu behaupten, etwas sei erforderlich.

Lesen Sie dazu DSGVO: Was heißt eigentlich genau „erforderlich“?

Es gibt aber eine Reihe von anderen Verarbeitungen von IP-Adressen, die das BGH-Urteil nicht legitimiert. Hier müssen Unternehmen genau überprüfen, wie ihre Speicherpraxis aussieht.

Vorsicht bei Web-Analysen und Werbung

Sind die Voraussetzungen, die der BGH nennt, nicht erfüllt, gilt: Da bei IP-Adressen ein Personenbezug besteht, sind sie nicht zu den Pseudonymen zu rechnen.

Unternehmen müssen also Vorsicht walten lassen bei Web-Analysen und Werbung. Alle Webseiten-Betreiber in Deutschland, die Online-Werbung und Webanalysen nutzen, sollten die Speicherung von IP-Adressen überprüfen.

Dabei ist es unerheblich, ob sie die Analyse selbst durchführen oder Dritte sie übernehmen. Denn bei einer extern durchgeführten Webanalyse handelt es sich um eine (hoffentlich vertraglich geregelte) Auftragsverarbeitung.

Worauf müssen Sie bei Analysen Ihrer Webseite achten?

  • Die betroffenen Personen müssen eine Möglichkeit haben, der Erstellung von Nutzungsprofilen zu widersprechen.
  • Der Verantwortliche muss Prozesse haben, um die Widersprüche wirksam umzusetzen.
  • Er muss die betroffene Person auf die Widerspruchsmöglichkeit deutlich hinweisen (in der Datenschutzerklärung auf der Website).
  • Er muss die pseudonymisierten Nutzungsdaten strikt von den Trägern der Pseudonymen trennen.
  • Er muss die Nutzungsprofile nach Zweckerfüllung oder auf Verlangen des Nutzers löschen.
  • Er muss sicherstellen, dass er IP-Adressen und ihre Geolokalisierung nur bei bewusster, eindeutiger Einwilligung durch die betroffene Person nutzt.
  • Andernfalls muss der Verantwortliche die IP-Adresse so kürzen, dass kein Personenbezug mehr möglich ist.
  • Außerdem muss er Nutzungsprofile, die im Rahmen einer Auftragsverarbeitung erstellt werden, ebenfalls diesen Maßgaben unterwerfen und die Einhaltung als Auftraggeber überprüfen.

Was ist mit Google Analytics?

Die Aufsichtsbehörden für den Datenschutz haben schon vor Längerem Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich veröffentlicht. Dort finden sich auch die Anforderungen an die Kürzung von IP-Adressen.

Dazu ist auf jeder Internetseite, auf der Google Analytics eingebunden ist, der Trackingcode um die Funktion „_anonymizeIp()“ zu ergänzen. Weitere Details finden sich in der technischen Anleitung von Google, abrufbar unter https://developers.google.com/analytics/devguides/collection/gtagjs/ip-anonymization

Achtung
Die Kürzung der IP-Adresse ist eine zusätzliche Maßnahme gemäß Art. 25 Abs. 1 DSGVO zum Schutz der Nutzer. Sie führt jedoch nicht dazu, dass die vollständige Datenverarbeitung anonymisiert erfolgt, so die Datenschutz-Aufsichtsbehörden.

Google Analytics erhebt neben der IP-Adresse weitere Nutzungsdaten, die als personenbezogene Daten zu bewerten sind. Dazu gehören Identifizierungsmerkmale der einzelnen Nutzer, die auch eine Verknüpfung beispielsweise mit einem vorhandenen Google-Account erlauben.

Aus diesem Grund ist in jedem Fall der Anwendungsbereich der DSGVO eröffnet. Wer Google Analytics einsetzt, ist also auch dann verpflichtet, die Anforderungen der DSGVO zu beachten, wenn er die Kürzung der IP-Adressen veranlasst hat.

Verantwortliche müssen zudem in der Datenschutzerklärung angeben, ob sie die IP-Adressen kürzen.

Prüfen die Aufsichtsbehörden den Einsatz von Google Analytics?

Es finden Prüfungen der Aufsichtsbehörden statt, ob der Einsatz von Diensten wie Google Analytics den Datenschutzvorgaben entsprechend umgesetzt wird. Ein aktuelles Beispiel aus Sachsen unterstreicht dies:

Die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) (https://www.datenschutz.sachsen.de) hat im Mai 2024 rund 30.000 Internetauftritte aus Sachsen auf Datenschutzverstöße untersucht. Dabei ging es auch um den Einsatz des Webanalyse-Dienstes Google Analytics.

Wer mit diesem Tracking-Werkzeug auf seiner Website das Nutzerverhalten überwachen möchte, benötigt von den Besucherinnen und Besuchern der Seite zuvor eine freiwillige und eindeutige Einwilligung, so der Hinweis der Datenschutzaufsicht. In 2.300 Fällen waren Betreiberinnen und Betreiber von Webauftritten dieser Pflicht nicht in ausreichender Form nachgekommen. Darunter befanden sich sowohl Unternehmen und Vereine als auch öffentliche Stellen.

In einem Schreiben wurden die Verantwortlichen aufgefordert, den Datenschutzverstoß zu beseitigen und alle rechtswidrig erhobenen Daten zu löschen. Sollten Website-Betreibende diesem Hinweis nicht nachkommen, droht ihnen nach einer erneuten Überprüfung ein förmliches Verwaltungsverfahren.

Besser auf Web-Analyse verzichten?

Es wäre zu kurz gegriffen, einfach auf Dienste zur Web-Analyse zu verzichten. Denn auch die Logdateien des eigenen Webservers enthalten IP-Adressen. Sie gilt es ebenfalls zu kürzen oder anderweitig zu anonymisieren.

Bietet die Website des Unternehmens zum Beispiel Online-Formulare, um Informations-Material zu bestellen oder um sich für ein Kundenkonto zu registrieren, speichert der Webserver die IP-Adressen sogar eventuell in Verbindung mit den Daten, die der Nutzer angibt.

Wie den Widerspruch korrekt umsetzen?

Die Widerspruchsmöglichkeit muss abhängig von der Analyse- und Tracking-Methode, die die Webseite einsetzt, umgesetzt sein. So speichern die Logdateien des Webservers bislang nicht nur IP-Adressen, um Nutzungsprofile zu erzeugen. Es kommen oftmals auch Tracking-Cookies, JavaScript-Tracking-Code und Ein-Pixel-Bilder (Web Beacon) zum Einsatz.

Eine Widerspruchsmöglichkeit für den Nutzer allein in Form des Cookie-Managers seines Webbrowsers ist in der Regel nicht ausreichend. Auch die IP-Adressen, die ein Website-Betreiber durch JavaScript-Code und Web-Pixel erlangt, darf er ohne Opt-in nicht speichern und auswerten.

Achtung
Ein wirksamer Widerspruch muss also zusätzlich Tracking-Code und Web-Pixel deaktivieren.

Tipp: Selbstdatenschutz auch bei IP-Adressen entscheidend

Angesichts der Vielschichtigkeit von Nutzungsprofilen und der weiten Verbreitung des Profilings durch Webanalyse-Dienste und Werbenetzwerke (Affiliate Marketing) dürfte es dauern, bis personenbezogene Daten wirksam aus Online-Nutzungsprofilen verschwinden, wenn keine Einwilligung der betroffenen Personen vorliegt.

Empfehlen Sie als Datenschutzbeauftragte oder Datenschutzbeauftragter daher mehr Selbstdatenschutz gegen Online-Profiling.

Oliver Schonschek

Oliver Schonschek
Verfasst von
Oliver Schonschek
Oliver Schonschek
Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.