IP-Adressen: So prüfen Sie die Speicherpraxis
Dynamische IP-Adressen sind personenbezogene Daten, so aktuelle Gerichtsurteile. Für Unternehmen heißt das, zu überprüfen, wie sie die Adressen verarbeiten, nutzen und speichern, um nicht gegen den Datenschutz zu verstoßen. Worauf müssen Sie achten?
IP-Adressen: Gerichtsurteile sorgen für Klarheit
Die Aufsichtsbehörden für den Datenschutz bekräftigen seit Langem, dass dynamische IP-Adressen einen Personenbezug besitzen und deshalb unter den Datenschutz fallen.
Entsprechend groß ist die Zustimmung zu den Urteilen des Bundesgerichtshofs (BGH, Urteil vom 16. Mai 2017 – VI ZR 135/13) und des Europäischen Gerichtshofs (EuGH, Entscheidung vom 19. Oktober 2016, C-582/14), etwa von der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), Andrea Voßhoff.
Erwägungsgrund 30 zur Datenschutz-Grundverordnung (DSGVO / GDPR) liefert die Begründung, warum der Schutz von IP-Adressen so wichtig ist: „Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen und Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, … zugeordnet. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.“
Was dürfen Unternehmen?
Der Bundesgerichtshof hat entschieden, dass Webseiten-Anbieter und andere Online-Dienste IP-Adressen unter bestimmten Bedingungen trotzdem speichern dürfen. Voraussetzung: Die Speicherung ist erforderlich, um die Funktionsfähigkeit von Online-Diensten aufrecht zu erhalten.
Die Bundesdatenschutzbeauftragte weist dabei auf die notwendige Abwägung mit den verfassungsrechtlich festgeschriebenen Persönlichkeitsrechten hin.
Und was dürfen sie nicht?
Es gibt aber eine Reihe von anderen Verarbeitungen, Nutzungen und Speicherungen von IP-Adressen, die das BGH-Urteil nicht legitimiert. Hier müssen Unternehmen genau überprüfen, wie ihre Speicherpraxis aussieht.
Vorsicht bei Web-Analysen und Werbung
Sind die Voraussetzungen, die der BGH nennt, nicht erfüllt, gilt: Da bei IP-Adressen ein Personenbezug besteht, sind sie nicht zu den Pseudonymen zu rechnen, wie sie das Telemediengesetz (TMG) bei Nutzungsdaten für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien vorsieht.
Unternehmen müssen also Vorsicht walten lassen bei Web-Analysen und Werbung. Alle Webseiten-Betreiber in Deutschland, die Online-Werbung und Webanalysen nutzen, sollten die Speicherung von IP-Adressen überprüfen.
Dabei ist es unerheblich, ob sie die Analyse selbst durchführen oder Dritte sie übernehmen. Denn bei extern durchgeführter Webanalyse handelt es sich um eine (hoffentlich vertraglich geregelte) Auftragsverarbeitung.
Worauf müssen Sie achten?
- Die Betroffenen müssen eine Möglichkeit haben, der Erstellung von Nutzungsprofilen zu widersprechen.
- Der Verantwortliche muss Prozesse haben, um die Widersprüche wirksam umzusetzen.
- Er muss auf die Widerspruchsmöglichkeit deutlich hinweisen (in der Datenschutzerklärung auf der Website).
- Er muss die pseudonymisierten Nutzungsdaten strikt von den Trägern der Pseudonymen trennen.
- Er muss die Nutzungsprofile nach Zweckerfüllung oder auf Verlangen des Nutzers löschen.
- Er muss sicherstellen, dass er IP-Adressen und ihre Geolokalisierung nur bei bewusster, eindeutiger Einwilligung durch den Betroffenen nutzt.
- Andernfalls muss er die IP-Adresse so kürzen, dass kein Personenbezug mehr möglich ist.
- Außerdem muss er Nutzungsprofile, die im Rahmen einer Auftragsverarbeitung erstellt werden, ebenfalls diesen Maßgaben unterwerfen und die Einhaltung als Auftraggeber überprüfen.
Verzicht auf Web-Analyse ist keine Lösung
Es wäre zu kurz gegriffen, einfach auf die Teilnahme an Diensten zur Web-Analyse zu verzichten. Denn auch die eigenen Logdateien des Webservers enthalten IP-Adressen, die es zu kürzen oder anderweitig zu anonymisieren gilt.
Bietet die Website des Unternehmens zum Beispiel Online-Formulare, um Informations-Material zu bestellen oder um sich für ein Kundenkonto zu registrieren, speichert der Webserver die IP-Adressen sogar eventuell in Verbindung mit den Daten, die der Nutzer angibt.
Widerspruch korrekt umsetzen
Die Widerspruchsmöglichkeit muss abhängig von der Analyse- und Tracking-Methode, die die Webseite einsetzt, umgesetzt sein. So speichern die Logdateien des Webservers bislang nicht nur IP-Adressen, um Nutzungsprofile zu erzeugen. Es kommen auch Tracking-Cookies, JavaScript-Tracking-Code und Ein-Pixel-Bilder (Web Beacon) zum Einsatz.
Eine Widerspruchsmöglichkeit für den Nutzer allein in Form des Cookie-Managers seines Webbrowsers ist in der Regel nicht ausreichend. Auch die IP-Adressen, die durch JavaScript-Code und Web-Pixel erlangt wurden, dürfen ohne Opt-in nicht in eine Speicherung und Auswertung einfließen. Ein wirksamer Widerspruch muss also zusätzlich Tracking-Code und Web-Pixel deaktivieren.
Selbstdatenschutz auch bei IP-Adressen entscheidend
Angesichts der Vielschichtigkeit von Nutzungsprofilen und der weiten Verbreitung des Profilings durch Webanalyse-Dienste sowie Werbenetzwerke (Affiliate Marketing) dürfte es dauern, bis personenbezogene Daten wirksam aus Online-Nutzungsprofilen verschwinden, wenn keine Einwilligung des Betroffenen vorliegt.