Allgemein
IP-Adresse steht für Internet Protokoll-Adresse und ist fundamentaler Bestandteil des Protokolls, das Grundlage für den Aufruf von Webseiten ist.
Eine IP-Adresse ist ein personenbezogenes Datum. Das stellte der EuGH in seinem Urteil vom 19.10.2016 – C-582/14 fest, danach ebenso der BGH in seinem Urteil vom 16.05.2017 – VI ZR 135/13. Dies gilt selbst für dynamische IP-Adressen, also solche Netzwerkadressen, die sich beispielsweise täglich ändern.
Bei jedem Aufruf einer Webseite über einen Browser wird die IP-Adresse des Nutzers, also dessen Netzwerkadresse, an die aufgerufene Webseite übertragen. Weil IP-Adressen personenbezogene Daten sind, ist der Aufruf einer Webseite immer ein DSGVO-relevanter Vorgang.
Übrigens sind IP-Adressen für weltweit operierende und den Alltag umfassende Unternehmen wie Google potentiell immer personenbezogen, und zwar unabhängig von Ländergesetzen. Auch das obige EuGH-Urteil braucht es für die Argumentation zum Personenbezug von IP-Adressen für Google nicht.
Was sind personenbezogene Daten?
Hierunter versteht man landläufig alle Daten, die dazu geeignet sind, eine Identität festzustellen. Allerdings zählen zu diesen Daten auch solche, die einer Person anhaften, also etwa die Vorlieben für rote Rosen.
Während man sich leicht vorstellen kann, dass Name, Adresse und Telefonnnummer einer Identität anhaften, fällt das bei IP-Adressen für den gesunden Menschenverstand schon schwer. Weil der oberste Deutsche Gerichtshof (BGH) aber so entschieden hat, sind IP-Adressen nun personenbezogen. Sobald ein Nutzer eine Webseite aufruft, wird dessen IP-Adresse an den Server übertragen, wo die Webseite liegt. Sind auf der Webseite Tools von Drittanbietern eingebunden, wird die IP-Adresse des Nutzers auch an den Drittanbieter übertragen. Solche Tools können etwa Videos, Karten oder Formulare sein.
Weitergabe an Dritte durch Einbinden von Diensten/Tools/Scripten/Dateien
Bindet eine Webseite X einen Dienst wie beispielsweise Google Maps ein, passiert aufgrund des o.g. Internet-Protokolls zwangsläufig immer folgendes:
- Nutzer mit IP-Adresse 4711 ruft Webseite auf
- Webseite X bindet Google Maps ein
- Dadurch wird IP-Adresse 4711 durch Webseite X an Google weitergegeben
Verantwortlich dafür, dass personenbezogene Daten des Nutzers über die Webseite an Google gelangen, ist der Betreiber der Webseite X.
Aufrufkette
Für gewöhnlich werden symbolische Namen für Webseiten und Dienste anstatt von IP-Adressen verwendet. Beispielsweise lautet eine Variante des für Google Analytics einzubindenden Scripts google-analytics.com/analytics.js.
Mittels eines Namensservers (Domain Name Service, kurz: DNS) wird dieser Name in eine IP-Adresse aufgelöst. Zu jeder IP-Adresse gibt es in Form von Datenbanken mit Adressbereichen eine Information, welchem Land diese IP-Adresse zuzuordnen ist. Diese Adressbereiche können sich theoretisch ändern. In der Praxis sind sie insbesondere für sehr häufig aufgerufene IP-Adressen lange stabil. Die Adress-Datenbanken werden zudem regelmäßig aktualisiert. Eine Lastverteilung bei großen Unternehmen wie Google sorgt dafür, dass nicht immer die gleiche IP-Adresse für eine Domäne wie google.com verwendet wird. Innerhalb einer Woche fielen nach meiner Beobachtung aus den Adressbereichen für die USA 72 x 256 IP-Adressen weg und einige andere kamen hinzu. Bei weiter über einer Milliarde IP-Adressen, die den USA zugeordnet sind, sind 72 x 256 = 18.432 eine nicht mehr wahrnehmbare Größenordnung.
Welche IP-Adresse aktuell ist, kann über den DOS-Befehl tracert, über das im folgenden genannte Tool CountryTraceRoute oder beim Abruf einer Webseite über die Entwicklerkonsole des Browsers festgestellt werden. Hier ein Beispiel nach Aufruf einer Webseite, wie es im Firefox Browser in dessen Entwicklerkonsole (aufrufbar mit Taste F12) gezeigt wird:
Die aufgerufene Webseite bindet ein Social Media Plugin von Twitter ein, wie man anhand der Dateinamen erkennen kann. Die Domäne pbs.twimg.com hat zu diesem Zeitpunkt die IP-Adresse 23.1.106.237 (die Postfix-Angabe :443 bezeichnet den Port, der hier irrelevant ist).
Meist besteht keine direkte Verbindung zwischen dem Aufrufer einer Webseite und der Adresse eines eingebundenen Dienstes wie Google Analytics. Dies ist analog von Zugverbindungen zwischen zwei Städten: Für bestimmte Reiserouten muss man in einen anderen Zug (eine andere Adresse) umsteigen. Im Unterschied zu Zügen sind Aufrufketten (Routen) für IP-Adressen nicht selten weltumspannend.
Länderbezug
Mit einem frei verfügbaren Tool wie CountryTraceRoute (kostenfreier Download über https://www.nirsoft.net/utils/country_traceroute.html) kann für einen beliebigen Domänennamen die Aufrufkette ermittelt werden. Pro dabei besuchter IP-Adresse wird direkt das Land mit ausgegeben.
Für die eben genannte IP-Adresse des Twitter-Plugins erhält man als Ausgabe (Teile anonymisiert):
Beim Abruf einer Datei des Twitter Plugins werden demnach die Länder Deutschland, Niederlande, USA und Vereinigtes Königreich besucht, zuletzt wieder die USA.
Hier ein weiteres Beispiel für google-analytics.com (Teile anonymisiert):
Beim Abruf einer Datei von der Domäne google-analytics-com werden demnach (wahrscheinlich) die Länder Deutschland, Niederlande sowie USA besucht.
Dass eine Domäne nicht cookielos ist, zeigt meine Untersuchung zum Google Tag Manager.
Wem eine Domäne rechtlich zugeordnet ist, kann über eine WHOIS-Abfrage ermittelt werden.
Erklärung zur Übermittlung von personenbezogenen Daten
Für alle personenbezogenen Daten, die Sie über eine Webseite erhoben, übertragen und verarbeitet werden, müssen den Nutzern eine entsprechende Erklärung zugänglich machen. Dies geschieht in der Datenschutzerklärung.
Für manche Prozesse dieser Art muss diese Erklärung sogar zugänglich gemacht werden, bevor Nutzerdaten übertragen werden. Ein Beispiel hierfür ist der Facebook Like Button als Plugin für Webseiten. Da dieses vorige Einholen einer Einverständnis oft nicht möglich oder unpraktikabel ist, erzeugt der Einsatz solcher Tools eine hohe rechtliche Unsicherheit.
Das Privacy Shield Problem
Der Privacy Shield war ein informeller Datenschutzabkommen zwischen Europa und Amerika. Es sollte sicherstellen, dass die Datenverarbeitung in den USA nach ähnlich hohen Standards stattfindet wie die Datenschutzgrundverordnung der EU (EU-DSGVO) dies garantiert. Der Europäische Gerichtshof (EuGH) hat am 16. Juli 2020 entschieden, dass der Privacy Shield ungültig ist. Die Konsequenzen sind vor allem für Webseiten gravierend: Sämtliche Tools von Google, Adobe, YouTube, Vimeo, Facebook, Instagram, Pinterest usw. dürfen auf Webseiten nicht mehr ohne Einwilligung eingesetzt werden. Der Grund ist, dass IP-Adressen personenbezogene Daten sind, wie weiter oben ausgeführt wurde. Betroffen sind beispielsweise folgende Tools:
- Google Maps
- Google reCAPTCHA
- Externe Google Schriften
- Fast Fonts (Fonts.com)
- Adobe Typekit
- Omniture Analytics (Adobe Analytics)
- OpenStreetMap (über MapBox o.ä.)
- YouTube Videos
- Vimeo Videos
- SoundCloud Player
Wie man an der Liste sieht, ist die Zahl der populären Tools, deren direkter Einsatz rechtswidrig erscheint, sehr groß bzw. die Zahl der betroffenen Webseiten. Zum Glück gibt es Abhilfe, beispielsweise anstelle von Google Maps eine datenschutzkonforme interaktive Karte. Kritische Plugins können mit meinem Webseiten-Check entdeckt werden.
Vielen Dank für die hilfreichen infos. ist ja doch ein kompliziertes Feld. Wenn ich ein Newslettertool in meine Webseite einbaue, dann wird dessen Anmeldeformular (z.B. von CleverReach, RapidMail oder SendinBlue) von der Herstellerseite geladen. Bei Sendinblue wird dafür eine Hintergrundverbindung zu "emailsys1a.net" ausgeführt.
Folglich wird auch eine IP übertragen, richtig? Ist das dann schon verboten oder ist das innerhalb der EU erlaubt? Sonst müsste man ja auch die Newsletter-Anmeldeformulare erst einmal blocken und durch den Nutzer freigeben lassen, ähnlich wie die Cookietools es machen.
Ja, beim Laden des Hintergrundbilds wird auch die IP-Adresse zu SendinBlue übertragen. Sie sollten mindestens einen AVV (eine Art Garantie, dass die DSGVO vollumfänglich von SendinBlue eingehalten wird) mit SendinBlu abschließen.
Am besten binden Sie solche Anbieter aber nicht (schon) bei der NL-Registrierung ein.