Weitergereicht

Bei den Alltagsarbeiten eines Administrators fallen an zahlreichen Stellen IP-Adressen an, die gespeichert und häufig sogar an Dritte übermittelt werden – was unter Umständen gesetzeswidrig sein kann. So greifen Administratoren etwa zur Trennung von Spam- und anderen E-Mails gerne auf sogenannte DNS-basierte Schwarze Listen (DNSbased Blackhole List; DNSBL) zurück, die meist in Echtzeit und damit online genutzt werden. Dabei überprüft der empfangende Mail-Server die IP-Adresse des absendenden E-Mail-Servers anhand einer Liste von IP-Adressen, die in der Vergangenheit als Spam-versendende Server auf gefallen sind. Im Regelfall wird die IP-Adresse des zu überprüfenden Servers als DNS-Anfrage an den Betreiber der DNSBL übermittelt. Antwortet der DNSBL-Dienstleister daraufhin mit einem „Non-existent“, so ist die besagte IP-Adresse nicht gelistet. Erhält man eine Antwort des angefragten DNS-Servers, so ist sie hingegen als Spammer bekannt.

Bleibt festzuhalten: Bei diesem Verfahren erfolgt also eine Weitergabe der IP-Adresse an einen Dienstleister und damit einen Dritten im Sinne der E-Mail-Kommunikation zwischen den beiden Parteien „E-Mail-Absender“ (bzw. dem Betreiber des versendenden Servers) und dem „E-Mail-Empfänger“ (bzw. dem Betreibers des empfangenden Servers). Der Filternde hat in der Regel keine vertragliche Beziehung zu dem Betreiber der Blacklist. Letztgenannter befindet sich zudem häufig außerhalb Deutschlands oder sogar der EU – was unter Datenschutzaspekten noch zu beachten sein wird.

Bei näherer Betrachtung finden sich aber noch einige andere Verfahren, die IP-Adressen an Dritte übermitteln. Dazu gehört beispielsweise auch die inverse DNS-Abfrage, die zu einer vorgegebenen IP-Adresse den zugehörigen DNS-Eintrag liefern soll.

Verfahren, die anhand der IP-Adresse feststellen können, wo sich der zugehörige Rechner örtlich befindet (sogenannte Geo-IP-Verfahren), senden dessen IP-Adresse an einen Dienstleister, der den Standort anhand einer Datenbank ermittelt. Solche Methoden werden gerne angewendet, um betrügerische Szenarien schon im Vorfeld zu unterbinden, Nutzern Webseiten in der passenden Sprache zu präsentieren oder um eine Lastverteilung zu erreichen, indem immer der örtlich nächstgelegene Server genutzt wird. Ein weiteres Beispiel ist ein Whois-Dienst, der Aufschluss über die für eine IP-Adresse oder ein IP-Subnetz zuständige Stelle oder Person geben kann. Im letztgenannten Fall hat man es jedoch meist mit „manuellen“, auf den konkreten Fall bezogenen Abfragen zu tun.

Doch Administratoren leiten die IP-Adressen nicht nur wie in den genannten Beispielen an Dritte weiter, sie speichern sie auch teilweise lokal, etwa im Rahmen der Protokollierung der Zugriffe auf ihre Serverdienste. Damit möchte man im Falle einer Störung oder eines Angriffs gegen deren Urheber vorgehen können. Die so geloggten Daten werden oft über viele Monate gespeichert oder gar nicht gelöscht.

Bei all diesen Verfahren ist vielen Verantwortlichen die aus rechtlicher Sicht mitunter spannendste Frage gar nicht präsent: Sind die weitergegebenen oder geloggten IP-Adressen als personenbezogene Daten im Sinne der Datenschutzgesetze, etwa des Bundesdatenschutzgesetzes (BDSG) zu werten?

Personenbezogen oder nicht

Die Einordnung von IP-Adressen beschäftigt schon seit längerer Zeit die Gerichte und die juristische Literatur. Nicht nur in der Rechtsprechung gibt es zu diesem Punkt widersprüchliche Ansichten, wie die Urteile des Amtsgerichts Berlin (Az. 5 C 314/06 vom 27.03.2007) und des Amtsgerichts München in einem ähnlich gelagerten Fall (Az. 133 C 5677/08 vom 30.09.2008) deutlich zeigen.

Allerdings beschäftigt sich die bisherige Diskussion fast ausschließlich mit der Frage, ob man IP-Adressen im Rahmen des Betriebs von Websites für die Logfile-Auswertung speichern darf. Kaum Beachtung findet dagegen die Problematik der Weitergabe solcher Daten. Hinzu kommt, dass die Anbieter solcher Produkte häufig in den USA und damit in einem datenschutzrechtlich „unsicheren“ Drittstaat sitzen.

Nach § 3 BDSG sind personenbezogene Daten „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“. Die Frage ist also, ob sich anhand von IP-Adressen Personen identifizieren lassen. Kernpunkt des juristischen Meinungsstreits ist die Auslegung des Merkmals der „Bestimmbarkeit“ in § 3 BDSG.

Nach der wohl inzwischen herrschenden Ansicht reicht die theoretische Möglichkeit aus, den Bezug einer IP-Adresse zu einer Person herzustellen. Denn diese umfasst auch die potenzielle Mitwirkung durch den Access-Provider, der über die Werkzeuge verfügt, diese Daten personenbeziehbar zu machen. Verschiedene Gerichte sowie Datenschutzbeauftragte vertreten diese Ansicht. Ebenso das Bundesjustizministerium.

Kernargument der Gegenseite ist, dass eine solche Personenbeziehbarkeit oft nicht möglich ist. Der Bezug einer IP-Adresse zu einer Person müsse mit den zur Verfügung stehenden Mitteln und ohne unverhältnismäßigen Aufwand durchführbar sein. Das Hinzuziehen der Schlüsseldaten des Access-Providers sei dagegen nicht ohne Weiteres möglich und zudem nicht verhältnismäßig. Daher verfüge die verarbeitende Stelle, also etwa der Betreiber einer Website, über keine Zuordnungsmöglichkeit, sodass kein Personenbezug vorliegt. Zu diesem Ergebnis kommt etwa das AG München in seinem allerdings wenig überzeugend begründeten Urteil.

Die juristische Literatur unterscheidet bei der Frage des Personenbezugs häufig zwischen statischen und dynamischen IP-Adressen. Viele Autoren bejahen zumindest bei statischen IP-Adressen die Einordnung unter § 3 BDSG. Dafür spricht insbesondere die Tatsache, dass auch eine Privatperson eine statische IP-Adresse registrieren und für eigene Zwecke nutzen kann.

Bei der Aufteilung in statische oder dynamische Adressen wird allerdings häufig übersehen, dass es nicht offenkundig ist, welcher Natur die IP-Adressen sind. In technischer Hinsicht ist eine Trennung solcher Daten für den Betreiber eines Angebots daher nicht möglich. Um den Datenschutz zu wahren, muss man demnach alle IP-Adressen als personenbezogen werten. Dynamische Adressen würden durch statische gewissermaßen „infiziert“, sodass alle unter § 3 BDSG fallen.

Der Datenschutz und die Folgen

Die Einordnung als schützenswerte Daten hat zur Folge, dass solche Daten gar nicht erst in den Logfiles der Website-Betreiber gespeichert werden dürfen. Noch brisanter ist allerdings die Frage der Weitergabe an Dritte.

Für die Betreiber von Websites ist in dem Fall das Telemediengesetz (TMG) die anwendbare Vorschrift. Sie definiert IP-Adressen als Nutzungsdaten, da es sich dabei um Informationen handelt, die erforderlich sind, „um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen“. Und nur so weit sie dafür erforderlich sind, darf der Betreiber eines Onlineangebots sie überhaupt erheben und verwenden. Speichern darf er nur die Informationen, die „für Zwecke der Abrechnung mit dem Nutzer erforderlich sind“.

Eine Speicherung von IP-Adressen der Besucher einer frei zugänglichen Website und deren Auswertung anhand der Logfiles erlaubt das Gesetz im Normalfall nicht. Allerdings gibt es derzeit vonseiten des Gesetzgebers Bestrebungen, eine derartige Speicherung zumindest für einen gewissen Zeitraum zur Gefahrenabwehr zu erlauben. Doch diese Änderung wäre nicht unproblematisch: Kritiker des Gesetzesentwurfs sehen hierin eine Ausweitung der Vorratsdatenspeicherung und eine verdachtslose Aufzeichnung des Surfverhaltens im Internet.

Sehr genau gesetzlich geregelt sind allerdings die Vorraussetzungen, unter denen solche Nutzungsdaten an Dritte herausgeben werden dürfen. Nach § 15 Abs. 5 in Verbindung mit § 14 Abs. 2 TMG ist es erlaubt, wenn die Weitergabe zum Zwecke der Strafverfolgung, zur Gefahren- und Spionageabwehr oder neuerdings auch „zur Durchsetzung der Rechte am geistigen Eigentum“ erforderlich ist. Es ist offensichtlich, dass die Weitergabe an Dritte zu Zwecken der Erweiterung oder Überprüfung des Website-Betriebs nicht darunterfällt. Eine derartige Übermittlung von IP-Adressen an Dritte, etwa im Zusammenhang mit Geo-IP-Verfahren oder zu Werbezwecken, ist daher eindeutig rechtswidrig.

Blacklist-Nutzung am Rand der Legalität?

Etwas anders sieht der rechtliche Hintergrund bei E-Mail-Diensten aus, die nicht als Teledienste in den Anwendungsbereich des TMG, sondern unter das BDSG und das Telekommunikationsgesetz (TKG) fallen. In Ermangelung einer speziellen Regelung im TKG wird die Weitergabe von personenbezogenen Daten, wie sie bei Realtime-DNS-Blacklisting geschieht, daher durch § 28 BDSG geregelt. In dessen Rahmen ist das Interesse des von der Datenherausgabe Betroffenen gegen die Interessen des Betreibers abzuwägen.

Dabei ist im Rahmen der Spam-Filterung zu berücksichtigen, dass auch Nachrichten von völlig legitim handelnden E-Mail-Versendern einer Überprüfung unterzogen werden. Dies stellt einen Eingriff in schützenswerte Rechte des Versenders in Form des Fernmeldegeheimnisses und des Rechts auf informationelle Selbstbestimmung dar. Zudem wäre es für den Blacklist-Betreiber zumindest theoretisch möglich, anhand der IP-Adressen der eingehenden E-Mails Nutzungsprofile zu erstellen. Schließlich handelt es sich bei der datenübermittelnden Stelle – also dem Blacklist-Anbieter – häufig um einen ausländischen Anbieter ohne angemessenes Datenschutzniveau gemäß § 4c BDSG. Insbesondere sind die am Markt befindlichen amerikanischen Anbieter problematisch, sofern sie sich nicht zumindest den „Safe Harbour“-Bestimmungen verpflichtet haben.

Im Rahmen der Interessenabwägung des § 28 BDSG wird damit das Interesse der E-Mail-Versender das des Mailserver-Betreibers übertreffen. Der erhebliche Eingriff des Mailserver-Betreibers steht auch in keinem Verhältnis zum gewünschten Erfolg. Die Weitergabe von IP-Adressen an Betreiber von DNSBLs ist daher ebenfalls als rechtswidrig zu qualifizieren. Da sie in der Regel vorsätzlich erfolgt, kann diese Handlung sogar als Straftat nach § 44 BDSG, zumindest aber als Ordnungswidrigkeit nach § 43 BDSG zu bewerten sein.

Geht man also mit der inzwischen herrschenden Ansicht zu Recht von der Annahme aus, dass es sich bei IP-Adressen um personenbezogenen Daten handelt, so verstößt die derzeit übliche Praxis der Speicherung, Auswertung und vor allem Weitergabe dieser Daten an Dritte klar gegen gesetzliche Vorschriften.

Die Übermittlung von IP-Adressen zur Spam-Bekämpfung oder Lastverteilung durch Geo-IP sind zwar technisch gesehen im Hinblick auf ihr Resultat wünschenswert, sollten aber aus Datenschutzgründen entbehrlich sein. Letzteres gilt vor allem bei der Nutzung von Geo-IP-Diensten, die ohnehin nur einen zweifelhaften Mehrwert bieten: Im Zeitalter der Bot-Netze ist fragwürdig, ob man überhaupt eine sinnvolle Antwort und nicht nur den Ort des PCs eines ahnungslosen Malware-Opfers erhält.

Das Überwinden der juristischen Hürden könnte in einer Ausgestaltung der Weitergabe von IP-Adressen als Auftragsdatenverarbeitung im Sinne von § 11 BDSG liegen. Bei einem solchen Verfahren schließen Unternehmen und IT-Anbieter einen Vertrag, nach dem die datenschutzrechtliche Verantwortung für die Verarbeitung und Nutzung der personenbezogenen Daten beim Auftraggeber verbleibt. Dieser schreibt die technischen und organisatorischen Maßnahmen zur Datensicherung und zur Gewährleistung der Vertraulichkeit vor.

Dem IT-Dienstleister obliegt dagegen die faktische Verarbeitung oder Nutzung der Daten. In der jüngsten Reform des Datenschutzes hat der Gesetzgeber die Ansprüche an die Datenverarbeitung noch einmal genau festgelegt und zehn „Pflichtinhalte“ für eine solche Vereinbarung bestimmt. Bei der Übermittlung von IP-Adressen sind derartige Verträge allerdings bislang äußerst selten. Hier bleibt also nur der Rat: Entweder einen Anbieter suchen, der diese Dienste im Rahmen einer Auftragsdatenverarbeitung anbietet, oder noch besser schlichtweg ganz auf dieses Feature verzichten.

Auch in Bezug auf die DNSBL ist die geschickteste Lösung ein Anbieter, der den Dienst im Rahmen einer Auftragsdatenverarbeitung erbringt. Leider sind solche Angebote dünn gesät. Etwas besser ist die Lage für Lösungsmöglichkeit Nummer zwei, die Offline-Nutzung von DNSBL. Hier finden sich einige Anbieter, die ein regelmäßiges Synchronisieren mit der Liste des Anbieters ermöglichen, etwa per rsyncoder http-Anfrage.

Bei einigen ist diese Option allerdings gebührenpflichtig. So nimmt Spamhaus – ein bei kommerzieller Nutzung im Gegensatz zu vielen anderen DNSBL-Providern in jedem Fall gebührenpflichtiger Anbieter – für die kommerzielle Nutzung dieser Offline-Option bei 500 E-Mail-Nutzern eine Gebühr von etwa 600 Euro jährlich und bietet dafür eine Synchronisation alle 30 Minuten. Damit ist das Angebot knapp doppelt so teuer wie die Onlinevariante mit der Echtzeit-Abfrage durch Weitergabe der IP-Adressen. Überdies ist zu berücksichtigen, dass man für die Offline-Variante immer einen eigenen DNS-Server betreiben muss, der weitere Kosten nach sich ziehen kann.

IP-Adressen zur Strafverfolgung

Nicht nur Strafverfolgungsbehörden und Politiker argumentieren dagegen häufig, dass die Speicherung und Weitergabe von IP-Adressen zur Strafverfolgung unverzichtbar ist. Dabei muss allerdings ernsthaft hinterfragt werden, ob, wann und vor allem wie man diese Informationen zur Ermittlung eines potenziellen Täters nutzen will.

In den meisten Fällen wird nach der Entdeckung eines etwaigen Missbrauchs von Computer-Ressourcen bereits so viel Zeit vergangen sein, dass der Schuldige nicht mehr zu ermitteln ist. Erschwerend kommt hinzu, dass in vielen Fällen Bot-Netze oder andere gekaperte Rechner als Zwischenstation für einen Angriff dienen und damit die ermittelte IP-Adresse nichts mit dem Urheber der Attacke zu tun hat. In solchen Fällen ist die Ermittlung des Angreifers nahezu aussichtslos.

Die gute Nachricht ist, dass eine Lösung im datenschutzrechtlichen Sinne schnell umgesetzt ist: Man speichert einfach gar keine IP-Adressen mehr oder nutzt die Technik der Pseudonymisierung, indem man etwa das letzte Oktett der IP-Adresse nicht mitspeichert. Dieses Verfahren stößt allerdings schnell an seine Grenzen, wenn etwa einzelne Personen ein komplettes /24er-Subnetz registriert haben. Dann ist trotz des in vielen anderen Fällen ausreichenden Pseudonymisierens ein direkter Personenbezug realisierbar. Konsequenterweise müsste man gleich mehrere Oktette wegwerfen, aber dann braucht man die IP-Adresse auch nicht mehr zu speichern. Was aus genannten Gründen sowieso mehr als fraglich ist.

Fazit

Folgt man der Ansicht vieler Datenschützer und Juristen, dass es sich bei IP-Adressen um personenbezogene Daten handelt, so hat dies Auswirkungen auf zahlreiche Verfahren und Anwendungen der modernen Informationstechnik. Dies gilt zum einen für die Speicherung und Auswertung solcher Daten, vor allem aber für die Weitergabe von IP-Adressen an Dritte. Meist sind jedoch diese Verfahren technisch nicht wirklich erforderlich, um den betroffenen Dienst anzubieten.

Damit sind für Dienste wie DNSBL oder Geo-IP entsprechende Ersatzverfahren einzurichten und zu nutzen. Auch in Bezug auf die lokale Speicherung von IP-Adressen – etwa beim Erstellen von Logfiles – müssen die Verantwortlichen viele der aktuell verwendeten Verfahren ändern. Abhilfe schafft hier in den meisten Fällen eine recht einfach umzusetzende Pseudo- oder Anonymisierung der IP-Adressen, um den Ansprüchen der Datenschutzgesetze zu genügen. Der Appell an die Verantwortlichen und die zuständigen Administratoren kann daher nur lauten, vermehrt auf datensparsame Verfahren zu setzen.

Dr. Christoph Wegener ist promovierter Physiker und seit 1999 mit der wecon.it-consulting in den Bereichen Open Source, IT-Sicherheit und Datenschutz tätig.

Joerg Heidrich ist Justiziar des Heise Zeitschriften Verlags und Fachanwalt für IT-Recht in Hannover. (gs)