Personenbeziehbar

Inhaltsverzeichnis

Für viel Wirbel hat Mitte Januar die Entscheidung des Datenschutzbeauftragten der Stadt Hamburg gesorgt, die Website seiner Behörde kurzfristig offline zu nehmen. Auslöser für diese Entscheidung war die Erkenntnis, dass die bis zu diesem Zeitpunkt unter der Webpräsenz von hamburg.de betriebene Seite die IP-Adressen von Besuchern über ein Zählpixel an die "Informationsgemeinschaft zur Feststellung der Verbreitung von Werbeträgern" (IVW) weitergegeben hatte. Bei der IVW wurden sie nach eigener Angabe allerdings nicht gespeichert, sondern lediglich übermittelt, um via Geolocation das Herkunfts-Bundesland des Besuchers zu ermitteln und anschließend einen Hash-Wert zu bilden, aus dem sich die IP-Adresse nicht zurückgewinnen lässt. Danach, spätestens aber nach zehn Minuten, war die IP-Adresse aus dem Speicher des Servers gelöscht worden. Doch bereits diese Weitergabe und Verarbeitung von IP-Adressen ist, zumindest bei strenger Lesart, ein Verstoß gegen die Vorgaben der einschlägigen Regelungen des Bundesdatenschutzgesetzes (BDSG) und des Telemediengesetzes (TMG) [1].

Von größerer Praxisrelevanz ist der bereits seit einiger Zeit tobende Streit rund um die Nutzung von Google Analytics. Dabei werden IP-Adressen von Website-Besuchern nicht nur gespeichert, sondern ohne die Zustimmung des Betroffenen auch an die Google-Server in die USA übermittelt. Nach Ansicht der zuständigen Datenschutzbehörden stellt diese Praxis einen ganz erheblichen Verstoß gegen datenschutzrechtliche Vorgaben dar. Nachdem inzwischen sogar Bußgeldverfahren gegen Webseiten im Raum stehen, die Google Analytics einbinden, hat Google reagiert und bietet mit der "IP-Masken-Methode" ein zumindest datenschutzfreundlicheres Verfahren an, das IP-Adressen nur verkürzt speichert. Kernpunkt dieser beiden Auseinandersetzungen bildet die Frage, ob es sich bei IP-Adressen um personenbezogene Daten im Sinne des § 3 BDSG handelt. Während Datenschutzbehörden dies eindeutig bejahen, sind sich die Gerichte und die juristische Literatur in diesem Punkt keineswegs einig. Insbesondere fehlt es bislang immer noch an Entscheidungen des Bundesgerichtshofs oder des Verfassungsgerichts, die diesen Streit beenden könnten.

Bestimmbar oder nicht?

Nach § 3 BDSG sind personenbezogene Daten "Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person". Umstritten ist dabei die Frage, ob über eine IP-Adresse ein Nutzer bestimmbar ist. Gegen eine solche Bestimmbarkeit wird argumentiert, dass es für einen normalen Betreiber einer Website eben nicht möglich ist, aus 193.99.144.85 auf eine natürliche Person zu schließen. Zudem seien diese Zahlenkombinationen allenfalls einem bestimmten Computer und nicht einer bestimmten Person zuzuordnen. Insbesondere könne gerade bei Familien- oder Firmenzugängen nicht festgestellt werden, welche natürliche Person den Rechner bedient. Diese Ansicht vertreten unter anderem die Online-Verwerter, Unternehmen wie Google oder auch das OLG Hamburg [2].

Demgegenüber sieht die wohl inzwischen herrschende Ansicht sehr wohl einen Personenbezug von IP-Adressen. Diese Meinung vertreten unter anderem verschiedene Gerichte, die Datenschutzbehörden und auch das Bundesjustizministerium. Nach dieser Auffassung muss für die Bewertung auch das Zusatzwissen Dritter berücksichtigt werden, im vorliegenden Fall das der Provider. Mit deren Hilfe sei eine Zuordnung zum Anschlussinhaber in den allermeisten Fällen möglich, nicht jedoch zum Nutzer des Rechners. Diese Tatsache zeige sich unter anderem an den im vergangenen Jahr mehr als 500.000 Filesharing-Abmahnungen, bei denen gerade dies geschieht. Zudem könne man auch andere Arten von Daten nur mit Zusatzwissen auswerten, wie etwa Kontonummern, Autokennzeichen oder Telefonnummern. Trotzdem bestehe keinerlei Zweifel darüber, dass diese Daten unter die Anwendung des Datenschutzrechts fallen.

IPv6 und die Personenbeziehbarkeit

Von erheblicher praktischer Bedeutung ist daher die Frage, ob sich hinsichtlich dieser Einschätzung bei IPv6-Adressen etwas ändert. Hierfür scheint auf den ersten Blick einiges zu sprechen, bieten doch die neuen Adressen potentiell sehr viel mehr Möglichkeiten, Informationen über den User zu transportieren. Daher ist es nicht verwunderlich, dass bereits einige Presseberichte das "Ende der Privatsphäre" durch die neue Technik kommen sehen. Ebenso wird bereits darüber spekuliert, ob die Vorratsdatenspeicherung unnötig sei, da zukünftig jeder Bürger anhand seiner IP-Adresse zu identifizieren sei. Schaut man sich das neue Protokoll im Detail an [3], so erscheinen diese Befürchtungen nach momentanem Stand ziemlich übertrieben.

Eine IPv6-Adresse besteht aus einem 64 Bit langen Interface Identifier und einem Präfix, der seinerseits in unterschiedliche lange Abschnitte gegliedert sein kann. Das Präfix enthält in erster Linie Informationen zu dem verwendeten Provider. Dabei wäre es technisch möglich, jedem Anschlussinhaber ein eigenes, statisches Präfix zuzuordnen. Aus Marketinggründen erhalten auch bei IPv6 normale Endkunden eine dynamische IP-Adresse, während statische Adressen, die von Server-Betreibern gebraucht werden, nur gegen zusätzliches Entgelt vertrieben werden. Manche Provider werden jedoch intern jeder Anschlussleitung ein festes Präfix zuordnen, das sich dann wie ein statisches verhält. Es würde sich allerdings mit einem Wohnungsumzug oder einem Providerwechsel ändern.

Doch selbst statische Präfixe enthalten keine anderen weiterführenden Informationen als die bisherigen IPv4-Adressen. Um die Identität des Anschlussinhabers zu ermitteln, ist weiterhin das zusätzliche Wissen des Providers erforderlich, der allein zu einer solchen Zuordnung in der Lage ist. Da sich das Präfix durch Wohnungsumzug oder Providerwechsel geändert haben kann, muss dieses Zusatzwissen auch in jedem Fall neu eingeholt werden. Dementsprechend ergibt sich aus dem IPv6-Präfix allein noch kein Anlass für eine Neubewertung des bisherigen Streits um die Personenbezogenheit dieser Daten.

Datenschutzrisiko

Ganz anders sieht dies mit dem zweiten Teil der neuen Adressen aus, dem ebenfalls 64 Bit langen Interface Identifier. Dieser birgt aus datenschutzrechtlicher Sicht ganz erheblichen Sprengstoff. Denn ursprünglich war der Interface Identifier darauf ausgelegt, jede einzelne Netzwerkschnittstelle eines Hosts mit einer dauerhaft gültigen Adresse zu versorgen. Der Desktoprechner sollte ebenso über eine dauerhaft vorhandene eigene Nummernkombination verfügen wie der Laptop, das IP-Telefon oder gar der Kühlschrank. Um dieses Ziel der eindeutigen Identifizierbarkeit zu erreichen, enthält er in der Regel die so genannte MAC-Adresse der jeweiligen Hardware. Damit ist ein Gerät eindeutig identifizierbar und – sofern nur eine Person dieses benutzt – auch diese Person.

Um dieser Nutzertransparenz zu begegnen und datenschutzrechtlichen Einwänden Genüge zu tun, wurde allerdings bereits früh ein Verfahren namens "Privacy Extension" entwickelt. Dabei erzeugen die Endgeräte einen zufälligen Interface Identifier, den sie zudem regelmäßig ändern. Eine dauerhafte Identifizierung des Geräts oder Users ist in diesen Fällen nicht möglich.

Zuschaltbare Privatsphäre

Allerdings hat bislang nur Microsoft in Windows 7, XP und Vista die Privacy Extension per Default aktiviert. Bei Linux- und Mac-Systemen ist dies nicht der Fall; eine manuelle Aktivierung ist aber immerhin möglich [4]. Dieses ist allerdings für technisch wenig versierte Nutzer schwierig und für Anfänger kaum möglich. Wie c’t festgestellt hat, fehlt die Funktion zum Aktivieren der Privacy Extensions aber gänzlich bei mobilen Geräten von Apple (iPhone, iPad, iPod touch) und unter aktuellen Versionen von Android. Diese sind zwar, zumindest im WLAN-Betrieb, IPv6-geeignet, ermöglichen jedoch keine Verschleierung der Interface Identifier.

Es ist offensichtlich, dass ein Nutzer bereits anhand der global einmaligen MAC-Adresse eines solchen persönlichen Geräts zu erkennen ist. Ein Traum für Datensammler: Dieser kann anhand dieser Grundinformationen wunderbar Profile der einzelnen Nutzer bilden und mit Hilfe von Zusatzinformationen wie Forenanmeldungen, Social Media oder Online-Transaktionen diesen möglicherweise sogar als natürliche Person identifizieren. Derartige Daten wären mit Sicherheit als personenbezogen im Sinne des Datenschutzgesetzes zu qualifizieren. Faktisch wird dies zur Folge haben, dass zwar immerhin die Mehrheit der Windows-User beim großflächigen Start von IPv6 mit Hilfe von Privacy Extension gegen eine allzu leichte Identifizierbarkeit ihrer Person geschützt ist. Für viele Mac-OS- und Linux-Nutzer gilt dies aber ebenso wenig wie für sämtliche Nutzer von mobilen Geräten unter iOS 4 und Android seit Version 2.2.

Stattdessen werden bei jedem Seitenabruf per WLAN eindeutige Informationen über den User in Form der MAC-Adresse des jeweiligen Geräts übermittelt. Dies hat auch Auswirkungen auf die datenschutzrechtliche Einordnung von IPv6-Adressen. Bei der Beurteilung von Adressen mit Identitätsschutz dürfte sich hinsichtlich der Personenbezogenheit kaum etwas gegenüber den IPv4-Adressen ändern. Sie sind grundsätzlich zwar einer Person zuzuordnen, hierfür braucht man jedoch die zusätzlichen Informationen des Providers. Anders sieht es aber bei den Adressen ohne Privacy Extension aus: Zwar ist auch hier keine unmittelbare Identifikation des Users möglich.

Dennoch lässt sich ein User dauerhaft wiedererkennen und ist mit Hilfe von Zusatzinformationen sogar vergleichsweise leicht zu personifizieren. Zudem werden gerade mobile Geräte in aller Regel immer nur von einer einzelnen Person genutzt, was die Erfassung zusätzlich erleichtert. Diese Daten sind daher eindeutig als personenbezogene im Sinne von § 3 BDSG anzusehen. Alle Interface Identifier, die die MAC-Adresse enthalten, sind leicht an einer immer gleichen Kombination von zwei Bytes zu erkennen.

Für Datensammler ist das gleichsam ein Hinweisschild auf besonders wertvolle Premium-Informationen. Es ist somit zwar möglich, IPv6-Adressen mit der MAC-Adresse im Interface Identifier von anderen zu unterscheiden und gegebenenfalls zu verwerfen. Doch dazu müssen sie vorab gespeichert und verarbeitet werden. Daher müssen IPv6-Adressen grundsätzlich als personenbezogen betrachtet werden. Dies hat zur Folge, dass diese Daten nur auf Basis einer Zustimmung durch den Betroffenen oder auf Basis der Vorgaben des BDSG gespeichert, verarbeitet oder übermittelt werden dürfen. Eine Erfassung im Rahmen von Server-Logs ist daher ebenso rechtlich fragwürdig wie eine Weitergabe an Dritte oder gar eine Übermittlung dieser Daten in die USA, die datenschutzrechtlich als "unsicherer Drittstaat" einzustufen sind.

Fazit

Die herrschende Meinung unter den Juristen geht bereits bei IPv4-Adressen mit guten Argumenten davon aus, dass es sich um personenbezogene Daten im Sinne des BDSG handelt. Die Bestimmbarkeit einer Person auf Basis dieser Daten ändert sich bei IPv6-Adressen hinsichtlich des ersten Teils (des Präfixes) kaum. Datenschutzrechtlich relevanter ist allerdings der zweite Teil, der Interface Identifier, der ohne Privacy Extensions die Gefahr einer Identifizierbarkeit des Users enthält. Derartige Daten sind eindeutig personenbezogen und fallen damit in den Anwendungsbereich des Datenschutzes. Da eine Trennung dieser beiden Bestandteile der Adressen nicht möglich ist, spricht viel dafür, IPv6-Adressen grundsätzlich als personenbezogen zu betrachten. (je)

Joerg Heidrich ist Justiziar des Heise Zeitschriften Verlags und Rechtsanwalt in Hannover.

Literatur

[1] Joerg Heidrich, Dr. Christoph Wegener, Weitergereicht, Zu sorglose Speicherung und Weitergabe von IP-Adressen?, iX 11/09, S. 116
[2] Beschluss vom 3.11.2010, Az. 5 W 126/10
[3] Johannes Endres, Ist IPv6 privat genug?, Was die lange IP-Adresse über Sie verrät, c’t 3/11, S. 146
[4] Hotline-Tipp "IPv6 anonym" (map)