Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Externe Links sind mit dem Symbol gekennzeichnet. Datenschutzinfo

IP-Adressen: Grundlagen und DSGVO

Veröffentlicht am 31. Dezember 2020 von Dr. DSGVO · Zuletzt aktualisiert am 17. April 2024 · Lesezeit: 7 Minuten
15
IP-Adressen

Kategorien: Datenschutz

Allgemein

IP-Adresse steht für Internet Protokoll-Adresse und ist fundamentaler Bestandteil des Protokolls, das Grundlage für den Aufruf von Webseiten ist.

IP-Adressen sind personenbezogene Daten.

Urteile von EuGH und BGH legen dies eindeutig fest

Eine IP-Adresse ist ein personenbezogenes Datum. Das stellte der EuGH in seinem Urteil vom 19.10.2016 – C-582/14 fest, danach ebenso der BGH in seinem Urteil vom 16.05.2017 – VI ZR 135/13. Dies gilt selbst für dynamische IP-Adressen, also solche Netzwerkadressen, die sich beispielsweise täglich ändern.

Bei jedem Aufruf einer Webseite über einen Browser wird die IP-Adresse des Nutzers, also dessen Netzwerkadresse, an die aufgerufene Webseite übertragen. Weil IP-Adressen personenbezogene Daten sind, ist der Aufruf einer Webseite immer ein DSGVO-relevanter Vorgang.

Übrigens sind IP-Adressen für weltweit operierende und den Alltag umfassende Unternehmen wie Google potentiell immer personenbezogen, und zwar unabhängig von Ländergesetzen. Auch das obige EuGH-Urteil braucht es für die Argumentation zum Personenbezug von IP-Adressen für Google nicht.

Was sind personenbezogene Daten?

Hierunter versteht man landläufig alle Daten, die dazu geeignet sind, eine Identität festzustellen. Allerdings zählen zu diesen Daten auch solche, die einer Person anhaften, also etwa die Vorlieben für rote Rosen.

Während man sich leicht vorstellen kann, dass Name, Adresse und Telefonnnummer einer Identität anhaften, fällt das bei IP-Adressen für den gesunden Menschenverstand schon schwer. Weil der oberste Deutsche Gerichtshof (BGH) aber so entschieden hat, sind IP-Adressen nun personenbezogen. Sobald ein Nutzer eine Webseite aufruft, wird dessen IP-Adresse an den Server übertragen, wo die Webseite liegt. Sind auf der Webseite Tools von Drittanbietern eingebunden, wird die IP-Adresse des Nutzers auch an den Drittanbieter übertragen. Solche Tools können etwa Videos, Karten oder Formulare sein.

Weitergabe an Dritte durch Einbinden von Diensten/Tools/Scripten/Dateien

Bindet eine Webseite X einen Dienst wie beispielsweise Google Maps ein, passiert aufgrund des o.g. Internet-Protokolls zwangsläufig immer folgendes:

  • Nutzer mit IP-Adresse 4711 ruft Webseite auf
  • Webseite X bindet Google Maps ein
  • Dadurch wird IP-Adresse 4711 durch Webseite X an Google weitergegeben

Verantwortlich dafür, dass personenbezogene Daten des Nutzers über die Webseite an Google gelangen, ist der Betreiber der Webseite X.

Aufrufkette

Für gewöhnlich werden symbolische Namen für Webseiten und Dienste anstatt von IP-Adressen verwendet. Beispielsweise lautet eine Variante des für Google Analytics einzubindenden Scripts google-analytics.com/analytics.js.

IP-Adressen in Server Logs

Mittels eines Namensservers (Domain Name Service, kurz: DNS) wird dieser Name in eine IP-Adresse aufgelöst. Zu jeder IP-Adresse gibt es in Form von Datenbanken mit Adressbereichen eine Information, welchem Land diese IP-Adresse zuzuordnen ist. Diese Adressbereiche können sich theoretisch ändern. In der Praxis sind sie insbesondere für sehr häufig aufgerufene IP-Adressen lange stabil. Die Adress-Datenbanken werden zudem regelmäßig aktualisiert. Eine Lastverteilung bei großen Unternehmen wie Google sorgt dafür, dass nicht immer die gleiche IP-Adresse für eine Domäne wie google.com verwendet wird. Innerhalb einer Woche fielen nach meiner Beobachtung aus den Adressbereichen für die USA 72 x 256 IP-Adressen weg und einige andere kamen hinzu. Bei weiter über einer Milliarde IP-Adressen, die den USA zugeordnet sind, sind 72 x 256 = 18.432 eine nicht mehr wahrnehmbare Größenordnung.

Welche IP-Adresse aktuell ist, kann über den DOS-Befehl tracert, über das im folgenden genannte Tool CountryTraceRoute oder beim Abruf einer Webseite über die Entwicklerkonsole des Browsers festgestellt werden. Hier ein Beispiel nach Aufruf einer Webseite, wie es im Firefox Browser in dessen Entwicklerkonsole (aufrufbar mit Taste F12) gezeigt wird:

IP-Adresse einer abgerufenen Datei beim Aufruf einer Webseite

Die aufgerufene Webseite bindet ein Social Media Plugin von Twitter ein, wie man anhand der Dateinamen erkennen kann. Die Domäne pbs.twimg.com hat zu diesem Zeitpunkt die IP-Adresse 23.1.106.237 (die Postfix-Angabe :443 bezeichnet den Port, der hier irrelevant ist).

Meist besteht keine direkte Verbindung zwischen dem Aufrufer einer Webseite und der Adresse eines eingebundenen Dienstes wie Google Analytics. Dies ist analog von Zugverbindungen zwischen zwei Städten: Für bestimmte Reiserouten muss man in einen anderen Zug (eine andere Adresse) umsteigen. Im Unterschied zu Zügen sind Aufrufketten (Routen) für IP-Adressen nicht selten weltumspannend.

Länderbezug

Mit einem frei verfügbaren Tool wie CountryTraceRoute (kostenfreier Download über https://www.nirsoft.net/utils/country_traceroute.html) kann für einen beliebigen Domänennamen die Aufrufkette ermittelt werden. Pro dabei besuchter IP-Adresse wird direkt das Land mit ausgegeben.

Für die eben genannte IP-Adresse des Twitter-Plugins erhält man als Ausgabe (Teile anonymisiert):

Route für IP-Adresse des Twitter-Plugins

Beim Abruf einer Datei des Twitter Plugins werden demnach die Länder Deutschland, Niederlande, USA und Vereinigtes Königreich besucht, zuletzt wieder die USA.

Hier ein weiteres Beispiel für google-analytics.com (Teile anonymisiert):

Aufrufkette samt Ländern für google-analytics.com

Beim Abruf einer Datei von der Domäne google-analytics-com werden demnach (wahrscheinlich) die Länder Deutschland, Niederlande sowie USA besucht.

Dass eine Domäne nicht cookielos ist, zeigt meine Untersuchung zum Google Tag Manager.

Wem eine Domäne rechtlich zugeordnet ist, kann über eine WHOIS-Abfrage ermittelt werden.

Erklärung zur Übermittlung von personenbezogenen Daten

Für alle personenbezogenen Daten, die Sie über eine Webseite erhoben, übertragen und verarbeitet werden, müssen den Nutzern eine entsprechende Erklärung zugänglich machen. Dies geschieht in der Datenschutzerklärung.

Für manche Prozesse dieser Art muss diese Erklärung sogar zugänglich gemacht werden, bevor Nutzerdaten übertragen werden. Ein Beispiel hierfür ist der Facebook Like Button als Plugin für Webseiten. Da dieses vorige Einholen einer Einverständnis oft nicht möglich oder unpraktikabel ist, erzeugt der Einsatz solcher Tools eine hohe rechtliche Unsicherheit.

Das Privacy Shield Problem

Der Privacy Shield war ein informeller Datenschutzabkommen zwischen Europa und Amerika. Es sollte sicherstellen, dass die Datenverarbeitung in den USA nach ähnlich hohen Standards stattfindet wie die Datenschutzgrundverordnung der EU (EU-DSGVO) dies garantiert. Der Europäische Gerichtshof (EuGH) hat am 16. Juli 2020 entschieden, dass der Privacy Shield ungültig ist. Die Konsequenzen sind vor allem für Webseiten gravierend: Sämtliche Tools von Google, Adobe, YouTube, Vimeo, Facebook, Instagram, Pinterest usw. dürfen auf Webseiten nicht mehr ohne Einwilligung eingesetzt werden. Der Grund ist, dass IP-Adressen personenbezogene Daten sind, wie weiter oben ausgeführt wurde. Betroffen sind beispielsweise folgende Tools:

Wie man an der Liste sieht, ist die Zahl der populären Tools, deren direkter Einsatz rechtswidrig erscheint, sehr groß bzw. die Zahl der betroffenen Webseiten. Zum Glück gibt es Abhilfe, beispielsweise anstelle von Google Maps eine datenschutzkonforme interaktive Karte. Kritische Plugins können mit meinem Webseiten-Check entdeckt werden.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen. Als Geschäftsführer der IT Logic GmbH berate ich Kunden und biete Webseiten-Checks sowie datenschutzfreundliche Lösungen der Künstlichen Intelligenz an.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/ip-adressen
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.
Schlagworte zu diesem Artikel:

Dieser Beitrag wird in anderen Beiträgen erwähnt

Kommentare von Lesern

Die Kommentare drücken die Meinungen der jeweiligen Kommentargeber aus
  1. Markus

    Vielen Dank für die hilfreichen infos. ist ja doch ein kompliziertes Feld. Wenn ich ein Newslettertool in meine Webseite einbaue, dann wird dessen Anmeldeformular (z.B. von CleverReach, RapidMail oder SendinBlue) von der Herstellerseite geladen. Bei Sendinblue wird dafür eine Hintergrundverbindung zu "emailsys1a.net" ausgeführt.
    Folglich wird auch eine IP übertragen, richtig? Ist das dann schon verboten oder ist das innerhalb der EU erlaubt? Sonst müsste man ja auch die Newsletter-Anmeldeformulare erst einmal blocken und durch den Nutzer freigeben lassen, ähnlich wie die Cookietools es machen.

    Antworten
    • Dr. DSGVO

      Ja, beim Laden des Hintergrundbilds wird auch die IP-Adresse zu SendinBlue übertragen. Sie sollten mindestens einen AVV (eine Art Garantie, dass die DSGVO vollumfänglich von SendinBlue eingehalten wird) mit SendinBlu abschließen.
      Am besten binden Sie solche Anbieter aber nicht (schon) bei der NL-Registrierung ein.

      Antworten

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Browser Fingerprinting: Nachverfolgen von Nutzern durch Verkehrsdaten