12.07.2020

Verkürzung der IP-Adressen: einst gefordert, dann empfohlen, jetzt unzulässig?

Portrait von Stefan Schleipfer
Stefan Schleipfer

Früher konnte man den Eindruck haben: Eine verkürzte Speicherung der IP-Adressen ist die erste Bürgerpflicht eines jeden Websiteanbieters. Seit den Urteilen von EuGH und BGH zu IP-Adressen wird eine Verkürzung von den Datenschutz-Aufsichtsbehörden nur noch empfohlen, wie im aktuellen Beschluss zu Google Analytics (DSK, "Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich", Beschl. v. 12.5.2020). Nimmt man das Bundesverfassungsgericht ernst, so stellt sich jetzt die Frage: Ist eine Verkürzung überhaupt noch zulässig?

Anforderungen der Aufsichtsbehörden

Von einer Voraussetzung:  Jahrelang war es eine der zentralen Forderungen der Datenschutz-Aufsichtsbehörden an Website-Anbieter: IP-Adressen dürfen nur in verkürzter Form gespeichert werden, vgl. etwa den Beschluss „Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten“ von 2009.

Über ein berechtigtes Interesse des Website-Anbieters:  Die „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ von 2019“ dagegen erkennt bereits das „Speichern von Log-Dateien und insbesondere IP-Adressen für einen längeren Zeitraum, um Missbrauch erkennen und abwehren zu können“ (S. 12) als berechtigtes Interesse des Website-Anbieters an.

Hin zur bloßen Empfehlung beim Tracking durch Dritte:  Auch bei Anbietern, die als Dritte auf einer Website tracken, wie Google Analytics, hat zwar neulich das Landgericht Dresden eine Kürzung verlangt (LG Dresden, Urt. v. 11.11.2019 – 1a O 1582/18, CR 2019, 604). Von den Aufsichtsbehörden aber wird sie inzwischen nur noch empfohlen. Nach dem aktuellen „Beschluss der DSK v. 12.5.2020 zum Einsatz von Google Analytics im nicht-öffentlichen Bereich“ „sollten“ (S. 6) Anwender  von  Google  Analytics  durch entsprechende Einstellungen die Kürzung der IP-Adressen veranlassen.

Rechtliche Begründung

Personenbezug:  Das Verbot, IP-Adressen vollständig zu speichern, wurde damit begründet, dass IP-Adressen personenbezogen seien und daher nur mit Rechtsgrundlage gespeichert werden dürften. Durch die Kürzung entfalle der Personenbezug und damit die Notwendigkeit einer Rechtsgrundlage.

Interessenabwägung:  Die Urteile des EuGH (Urt. 14 v. 19.10.2016 - C-582/14, CR 2016, 791 m.Anm. Nink) und des BGH (Urt. v. 16.5.2017 - VI ZR 135/13, CR 2017, 662 m.Anm. Keppeler) zu IP-Adressen haben zwar den Personenbezug von IP-Adressen teilweise (nur für dynamische IPAdressen unter bestimmten Voraussetzungen!) bestätigt. Trotzdem dürfen demnach IP-Adressen im Rahmen der Interessenabwägung vollständig gespeichert werden, etwa aus Gründen der IT-Sicherheit. Seitdem wird eine Kürzung von den Aufsichtsbehörden nur noch empfohlen.

Technischer Hintergrund

IP-Adresse & Webseitenaufruf:  Ruft ein Nutzer eine Webseite ab, so wird die IP-Adresse der Nutzer-Seite zum Anbieter übertragen und in einem Protokoll gespeichert. Setzt die Website Google Analytics ein, so nimmt der Browser auch Kontakt mit Google auf, um diesen Dritten über den Abruf zu informieren. Auch dabei wird immer die vollständige IP-Adresse der Nutzer-Seite übertragen. Das geht nicht anders; nur so funktioniert das Internet.

Google Analytics:  Der Website-Anbieter kann Google Analytics jedoch so konfigurieren, dass Google angewiesen wird, nach Erhalt der vollständigen IP-Adresse diese nur verkürzt in seinem Log zu speichern. Nur darum geht es: um die verkürzte Speicherung; eine verkürzte Übertragung, wie manchmal missverstanden, wäre technischer Unsinn.

Praktische Auswirkung einer verkürzten Speicherung

Abgesehen von der rechtlichen Begründung stellt sich die häufig vernachlässigte Frage: Welche praktischen Auswirkungen hat eine verkürzte Speicherung von IP-Adressen?

Identifikation des Anschlussinhabers:  Über IP-Adressen kann grundsätzlich nur der Anschlussinhaber herausgefunden werden, nicht der Nutzer. Hinter einem Anschlussinhaber stehen häufig mehrere (privates Netz zuhause) oder sehr viele (Firmennetz) Nutzer. Die Vorstellung, Google würde versuchen, über die IP-Adresse die Identität des Nutzers herauszufinden, vielleicht sogar, wie in von BGH und EuGH angedeutet, dazu einen Gerichtsprozess beginnen, ist völlig unrealistisch.

Profilbildung:  Allerdings könnte Google versuchen, die Google-Analytics-Logdaten mit anderen, personenbezogen Daten über denselben Nutzer zusammenzuführen und sie so indirekt der Person zuzuordnen. In den Mustervergleich bei der Zusammenführung könnte auch die IP-Adresse einfließen.

Anonymität gegenüber Strafverfolgungsbehörden:  Die wichtigste Auswirkung einer verkürzten Speicherung ist eine andere, und die wird häufig verschwiegen: Im Fall von Rechtsverletzungen auf einer Website können die Strafverfolgungsbehörden anhand der protokollierten (dynamischen) IP-Adresse durch Anfrage an den zuständigen Access-Provider den Anschlussinhaber herausfinden, mit dem Ziel, in weiteren Recherchen den Nutzer zu bestimmen. Anstatt beim Website-Anbieter können sie auch bei Google anfragen, falls auf der Website Google Analytics eingesetzt wird. Verkürzt gespeicherte IP-Adressen entziehen diesem Vorgehen die technische Grundlage. Sie bewirken die Anonymität des Nutzers nicht gegenüber dem Website-Anbieter oder Google, sondern gegenüber den Strafverfolgungsbehörden.

Widerspruch:  Diese Anonymität gegenüber den Strafverfolgungsbehörden aber widerspricht dem Willen des Gesetzgebers, der für derartige Zuordnungen eigene gesetzliche Bestimmungen (§ 113 TKG i.V.m. § 100j StPO) geschaffen hat.

Vergleich mit E-Mail-Provider

Ansatz des BVerfG:  In diesem Zusammenhang ist es hilfreich, sich an den Ablehnungsbeschluss des BVerfG zu posteo (BVerfG, Beschl. v. 20.12.2018 – 2 BvR 2377/16, CR 2019, 195) zu erinnern. Damit wurde posteo verpflichtet, IP-Adressen zu speichern, damit die Strafverfolgungsbehörden im Bedarfsfall den Anschlussinhaber herausfinden können.

Vollständige IP-Adresse:  Auch wenn im Beschluss des BVerfG das Thema Kürzung nicht angesprochen wurde, ist klar: Das geforderte Ziel wird nur mit vollständigen IP-Adressen erreicht und durch eine verkürzte Speicherung verhindert.

Übertragbarkeit auf Websites & Tracking Tools:  Die Aussage des BVerfG bezieht sich zwar formal nur auf E-Mail-Provider, ist aber sinngemäß durchaus auch auf Websites und Tracker wie Google Analytics übertragbar: Auch hier verhindert eine vermiedene oder verkürzte Speicherung der IP-Adressen eine Zuordnung durch die Strafverfolgungsbehörden.

Fazit

Die früher von den Datenschutz-Aufsichtsbehörden geforderte und jetzt noch empfohlene verkürzte Speicherung der IP-Adressen hat sich ins Gegenteil verkehrt:

IP-Adressen dürfen nicht mehr verkürzt, sondern sie müssen jetzt unverkürzt gespeichert werden.

Dies gilt nicht nur für Google Analytics, sondern für jede Website und jeden Tracker.

 

Zurück