Internet-Law

Onlinerecht und Bürgerrechte 2.0

19.9.14

Der mittlerweile unbedeutende Streit der Datenschützer über IP-Adressen

Ob IP-Adressen als personenbezogene Daten im Sinne des Datenschutzrechts anzusehen sind, ist ein alter Streit, der seit Jahren geführt wird und der nunmehr auf Betreiben des Piratenpolitikers Patrick Breyer vor dem BGH gelandet ist. Und so wie es aussieht, könnte er von dort aus auch noch zum EuGH wandern. Auch wenn man diese Diskussion als Jurist für spannend halten kann, sollte man doch erkennen, dass sie ihre praktische Bedeutung in den letzten Jahren eingebüßt hat. Warum, das erklärt Alvar Freude in seinem Blog.

Aktuelle Tracking-Konzepte wie das Browser-Fingerprinting kommen ohne IP-Adressen aus. Für die gerne als Datenkraken verschrienen Unternehmen wie Google, Facebook oder Amazon spielen IP-Adressen keine wesentliche Rolle mehr, wenn es um die Ermittlung des Nutzerverhaltens geht.

Ganz anders sieht es allerdings im Bereich der Strafverfolgung oder bei der Ermittlung von Filesharern aus. Dort bildet die IP-Adresse, die im Zusammenhang mit einem bestimmten Nutzerverhalten zu einem bestimmten Zeitpunkt geloggt wurde, den zentrale Anknüpfungspunkt um mithilfe des Providers den dahinterstehenden User zu ermitteln. Insoweit ist es aber unerheblich, ob man die IP-Adresse als Datum mit absolutem oder nur relativem Personenbezug betrachtet. Denn das Gesetz sieht für diese Ermittlungsmaßnahmen ohnehin ausdrückliche Gestattungstatbestände vor.

Das höchste deutsche Zivilgericht wird also einen Streit entscheiden, der kaum mehr praktische Bedeutung hat, auch wenn ihn Juristen weiterhin eifrig führen.

posted by Stadler at 17:18  

20 Comments

  1. Für ganz so unbedeutend halte ich die IP-Adresse nicht. Denn sie ist immernoch DAS Einfallstor, um das Datenschutzrecht auf Online-Technologien überhaupt anwenden zu können.

    Es ist richtig, dass IP-Adressen für Tracking an sich nicht mehr dieselbe Bedeutung haben, wie noch vor einigen Jahren. Für die Bestimmung des Standortes des Users wird sie häufig aber noch immer verwendet.

    Und auch beim Einbinden von Inhalten Dritter (z.B. Javascripts) haben die Dritten technisch bedingt zumindest theoretisch immer auch Zugriff auf die IP-Adressen (ob das eine Übermittlung darstellt und ob sie auch tatsächlich erhoben werden, ist eine andere Frage).

    In jedem Fall ist IP-Adressen noch so unglaublich viel unklar, dass ich schon eine sehr hohe praktische Relevanz sehe. Nicht nur, aber auch bei Tracking.

    Comment by Adrian — 19.09, 2014 @ 18:04

  2. „Aktuelle Tracking-Konzepte wie das Browser-Fingerprinting kommen ohne IP-Adressen aus.“

    @ Herr Stadler

    Man merkt, dass Sie Jurist und kein Techniker sind. IPv6 ist auf dem Weg, IPv4 vollständig abzulösen. Mit IPv6 gibt es unbegrenzt viele IP-Adressen, sodass die dynamische Adressvergabe technisch nicht mehr notwendig sein wird. Mit IPv6 hat dann jeder Nutzer, sogar jedes Gerät eine eigene, lebenslang gültige IP-Adresse. Bei IPv4 gibt es solche statischen IP-Adressen schon heute, z.B. bei Firmen und Organisationen.

    Es ist genau umgekehrt:
    Sobald jedes Gerät und jeder Nutzer mit IPv6 eine eigene lebenslange IP-Adresse hat, können sich die Überwacher und Tracker die Mühe mit Fingerprinting sparen, da alles individuell und direkt identifiziert ist.

    Comment by IPv6 — 19.09, 2014 @ 19:09

  3. Zu IPv6: Mittlerweile haben alle Provider und Geräte die „privacy extensions“ standardmäßig aktiv. Und trotz IPv6 wird es NAT geben – einfach um VoIP oder andere Dienste zu verhindern oder Trafficshaping betreiben zu können.
    Die IP macht es einfach, zu tracken und wenn ein Anbieter eine *geräte*genaue IP bekommen kann nimmt er diese. – Seine IP zu verschleiern schützt aber ohne weitere Maßnahmen nicht vor Tracking.

    Als Hinweis: Die Zeiten, dass man ständig mit Mode-Werbung zugepflastert wird, weil die Freundin über den gleichen Router surft, sind vorbei. Ihr Notebook zeigt trotz gelöschter Cookies Werbung für Schuhe und Hundeartikel. Meins zeigt Banner für Kettensägen und Storageserver.

    Comment by Falk D. — 19.09, 2014 @ 22:34

  4. Alvar Freude schreibt neben einigen richtigen Dingen auch Blödsinn. Z. B. wenn er feststellt „Google setzt beim erstmaligen Aufruf der Webseite einen Cookie. Sechs Monate gültig. Der Browser meldet jedes mal die so gesetzte Identifikationsnummer, und alle Suchen usw. lassen sich miteinander verknüpfen. Vollkommen ohne IP-Adresse.“ Google mag ein 6 Monate gültigen Cookie setzen. Nur kann der nicht übertragen werden, wenn dieser mit dem Schliessen des Browsers automatisch gelöscht wird. Es ist also nicht so, dass dagegen kein Kraut gewachsen wäre. Würde ein Cookie den User identifizieren, hätte überhaupt kein Bedarf bestanden Supercoockies oder Fingerprints zu entwickeln. Auch für die sogn. Super-Cookies gibt es aber Löschwerkzeuge (z. B. Better Privacy für den Firefox). Und auch wenn das Fingerprinting beeindruckend ist: ich habe noch keinen Test gesehen, bei dem ein Fingerprint exakt einen PC identifiziert. Zumal das ja nicht einmal heissen würde, dass man den User identifiziert hätte. Auch bedeutet die Tatsache, dass man einen Amazon Account hat sicher nicht, dass, wenn man sich dort umsieht, man immer angemeldet ist.
    Auch wenn ich Verständnis dafür habe, dass die IP-Adressen von Serverbetreibern und ISP gespeichert werden, so wird man verlangen können, das es die geringst mögliche Zeit geschieht. Um einen Angreifer festzustellen wird man kaum länger als ein paar Tage benötigen. Man darf wohl unterstellen, dass ein Angriff bei einem ordentlichen Betreiber kurzfristig festgestellt wird und der dann auch die Logs sichert, womit dann die IP-Adressen solange zur Verfügung stehen, wie sie zur Aufklärung benötigt werden.

    Zu guter Letzt: auch mit den Cookies man eine Person nicht direkt feststellen. Erst durch die Zusammenarbeit von Werbetreibenden wird das möglich, wenn sich ein User, bei dem ein entsprechendes Cookie gesetzt ist, bei einem der Partner anmeldet. In ähnlicher Weise liessen sich sehr wohl auch sexuelle Präferenzen und Krankheiten ermitteln. Dem ISP ist das sogar möglich, wenn die IP zwischendurch wechselt.

    Comment by M. Boettcher — 19.09, 2014 @ 23:25

  5. Lieber Thomas,

    Ziel meiner Klage ist, im Netz meine Meinung bilden und äußern zu können, ohne befürchten zu müssen, deswegen jederzeit ins Visier von Polizei oder Nachrichtendiensten kommen zu können. Wenn Staatsbehörden die Besucher eines Internetportals oder den Verfasser eines Kommentars identifizieren wollen, ist die IP-Adresse der entscheidende Ermittlungsansatz. Denn nur mit der IP-Adresse können sie bei einer zentralen Stelle – dem ISP – die Identität des Anschlussinhabers erfragen. Damit ist die IP-Adresse im Verhältnis zum Staat der Schlüssel zu Anonymität und Privatsphäre im Netz.

    Unser Surfverhalten jederzeit personenbezogen nachzuverfolgen ist nur möglich, wenn Anbieter anlasslos und flächendeckend unser Nutzungsverhalten mitsamt IP-Adresse speichern. Diese Totalerfassung bildet die Grundlage für unsere nachfolgende Ausspähung. Hat meine Klage Erfolg, wird die anlasslose Surfprotokollierung gestoppt und gehen sämtliche Auskunftsersuchen und Befugnisse ins Leere (bezüglich „retrograder“ Ermittlungen gegen nicht angemeldete Surfer). Deswegen ist es von zentraler Bedeutung, ob eine personenbezogene Protokollierung unseres Nutzungsverhaltens zulässig ist oder nicht.

    Bundesbehörden wenden meines Wissens kein Browser-Fingerprinting an. Auch wenn meine Klage gegen die Speicherung von IP-Adressen gerichtet ist, wird ihr Ergebnis entsprechend auf jede personenbezogene Nutzungsprotokollierung anwendbar sein, weil dieselben Vorschriften gelten (§ 15 TMG). Es geht bei der Klage ja nicht nur um den Personenbezug von IP-Adressen, sondern allgemein um die Unzulässigkeit eines Mitschneidens unseres Surfverhaltens. Der Bund hält dies für gerechtfertigt und beruft sich auf verschiedene Erlaubnisnormen. Der Bundesgerichtshof wird klären, dass eine anlasslose Surfprotokollierung unzulässig ist.

    Ich hoffe, ich habe deine Meinung von der Bedeutung des „unbedeutenden“ Rechtsstreits etwas verändern können. :-)

    Beste Grüße

    Comment by P. Breyer — 20.09, 2014 @ 08:04

  6. „Mit IPv6 gibt es unbegrenzt viele IP-Adressen“

    2^128 oder 340.282.366.920.938.463.463.374.607.431.768.211.456 Adressen ist nicht unbegrenzt. ;)

    Comment by Max — 20.09, 2014 @ 08:42

  7. Eine IP-Adresse geht immer nur an ein Gerät, nie an Personen.
    Das scheint hier in den Kommentaren öfter mal miteinander vermischt zu werden.

    Comment by Frank — 20.09, 2014 @ 11:25

  8. @IPv6:

    Eine IPv6-Adresse wird nicht lebenslang vergeben, dies ist Unsinn. Bei IPv4 sind die kleinsten in globalen Routing-Tabellen enthaltene Einheiten 1024 Adressen, bei IPv6 wird generell kein Netz unter /64 (2^64 Adressen) in Routing-Tabellen eingetragen, in der Praxis dürfte es sogar ehrheblich mehr sein. Statisch ist zudem nur die sog. EUI64, aus der die unteren 64 Bit der IPv6-Adresse gebildet werden, vorausgesetzt die Privacy Extensions werden nicht verwendet. Eine dynamische Adressvergabe mag nicht mehr notwendig sein, verschiedene ISPs wollen diese Praxis bekanntermaßen dennoch weiterführen. Beim Wechsel der Netzwerkes wird sowieso selbstverständlich eine neue Adresse bezogen. Und dass IPv6 auf dem Weg wäre IPv4 vollständig abzulösen kann heute wohl eher als fromme Hoffnung betrachtet werden.

    Comment by eman — 20.09, 2014 @ 13:20

  9. @M. Boettcher: richtig, man kann Cookies manuell oder automatisch löschen. In der Praxis macht dies aber nur ein extrem kleiner Anteil der Internet-Nutzer. Es ist nicht der Standard. Und ich gehe mal davon aus, dass es bei allen die sich mit dem Thema beschäftigen allgemein bekannt ist, dass man Cookies löschen kann. Daher habe ich das nicht gesondert erwähnt.

    Comment by Alvar — 20.09, 2014 @ 13:20

  10. @9: Alvar, das mag stimmen, allerdings nicht für die PC, die ich in den letzten 10 Jahren konfiguriert habe; und das waren ziemlich viele. Es ist dann aber angebracht das Wissen um diese Möglichkeit zu erhöhen, wie um andere Optionen auch. Dass das Google-Cookie immer an Google übertragen wird, ist eben nur die halbe Wahrheit. Es gehört sich daher m. E. nicht so zu tun, als wäre es quasi unabwendbar durch Cookies gegenüber Google seine Identität zu offenbaren, abgesehen davon, dass das durch ein Cookie allein gar nicht möglich ist. Cookies legen ebenso wenig wie IP-Adressen die Identität eines Nutzers offen. Cookies diese Eigenschaft zuzuschreiben, den Wunsch nach Nicht-Speicherung von IPs aus einem ähnlichen Misvrständnis heraus aber mit Geschrei zu titulieren, ist, um es mit Deinen Worten zu sagen, vollkommener Unsinn.

    Comment by M. Boettcher — 20.09, 2014 @ 19:35

  11. @9 Alvar „In der Praxis macht dies aber nur ein extrem kleiner Anteil der Internet-Nutzer.“ Entsprechend macht, dass die meisten ihre IP nie von sich aus wechseln, diese zum Tracking geeignet. Bei Cookies kann man sich immerhin grundsätzlich ganz weigern, diese rauszugeben, schlimmstenfalls funktioniert dann eine Webseite nicht. Aber eine IP muss man liefern, da helfen nur Pools wie Tor, die immer mit der Gefahr verbunden sind, dass entweder die eigene IP an andere verliehen wird oder der Pool austrocknet weil genau dies jeder fürchtet.

    Comment by thorstenv — 20.09, 2014 @ 20:38

  12. Frage an die Experten: Ich nehme eine Prepaid-SIM-Karte für ein WiFi-Gerät und melde sie unter beliebigem Namen und Adresse an; welche Aussage- bzw. Beweiskraft hat dann die gespeicherte IP-Adresse?

    Comment by Michael — 20.09, 2014 @ 23:20

  13. @12 Ich antworte mal stattdessen. Es ist schon lange so, dass, wer Kinderpornos will, die über’s Handy lädt. Auf dem Prepaidmarkt wird um Centbruchteile gekämpft. Da leistet sich keiner mehr ein zuverlässiges Identifikationsverfahren. Das ist zwar unzulässig, aber was kann der arme Staat schon machen, wenn die Wirtschaft gegen Gesetze verstößt? Solche Begriffe wie Mitstörer und Haftung sind da eher unbekannt. Mit IP-Speicherung fängt man ab und zu ein paar dumme Kriminelle, das war’s. Trotzdem ist IP-Speicherung natürlich wahnsinnig wichtig, wie soll man sonst an die Daten des Schülers kommen, der sich Bravo Hits per Torrent lädt und wie an das Geld seiner Eltern?

    Comment by thorstenv — 21.09, 2014 @ 09:44

  14. @11: Bei Dial-In Usern wird die IP mit jeder Einwahl ohne zutun des Users geändert, bei DSL-Nutzern in der Regel mind. einmal am Tag. Ein Cookie „überlebt“ aber ohne besondere Maßnahmen jeden IP-Wechsel. Sogn. Supercookies dazu noch den Wechsel des Browsers. Wer eine feste IP hat, kann diese nicht wechseln. Firmen, die über einen eigenen Pool von IPs verfügen, früher wurden IP-Adressen sehr viel großzügiger zugeteilt, können oft jeden Arbeitsplatz-PC mit einer öffentlichen IP-Adresse ausstatten. Wird so ein PC nur von einer Person genutzt, so ist die im Prinzip identifizierbar. In jeder Mail wäre nämlich die IP-Adresse des PC enthalten.

    Comment by M. Boettcher — 21.09, 2014 @ 12:45

  15. Wobei auch für firmeninterne Arbeitsplätze immer seltener feste IPv4-Adressen verwendet werden, weil der administrative Aufwand im Vergleich zu einem DHCP-Dienst viel zu groß ist. Dazu kommt, dass heute viele Arbeitsplätze schon aus Sicherheitsgründen nur über Proxy-Server mit dem Internet verbunden sind. Das gilt selbst für Firmen, die über eigene IPv4-Adressen verfügen.
    IP-Adressen sind ähnlich wie Kfz-Nummernschilder nicht immer und automatisch mit einer Person verbunden, und das selbst wenn man den Zeitpunkt mit einbezieht.

    Comment by Werner F. — 21.09, 2014 @ 20:59

  16. IPv6 mag ja mit privacy Extension ausgerüstet sein. Aber das nutzt weder strafrechtlich noch Datenschutzmässig viel. Es schränkt das Hacken bzw angreifen ein.

    Viele begreifen nicht, das es irrelevant ist, das eine IP nur einem Gerät zugeordnet ist. Eine Telefonnummer ist auch nur einem Gerät zugeordnet. Trotzdem ist ein Anruf dieser Nummer auch immer mit der Person verbunden der das Gerät gehört. Es ist kein 100% wasserdichter Beweis, weil ja immer auch ein dritter als Nutzer in Frage kommen könnte. Es rechtfertigt aber tiefergehende Beweissuche. Ist die IP der einzige Beweis einer Täterschaft, wird keiner nur darauf ein Strafverfahren aufbauen. Zivilverfahren hingegen schon(Abmahnung Filesharing). Da eine IPv6 aber einen Providerteil hat, der einem einzelnen Kunden zugeordnet ist und eine private Teil, den der Kunde dann an SEINE Geräte verteilt. Diese Providerbereich war angedacht als fester immerwährender Teil.

    Wenn ich also 123-xxx habe und 123 dem Kunden Maier zugeordnet ist, spielt xxx keine Rolle mehr. Jede Nummer dieses xxx ist einem Gerät des Herrn Maier zugehörig. Ob man also den Ebay-Betrug vom PC oder vom Handy oder vom Tablet aus macht ist schnurzegal. erstens: man wird pauschal alle Geräte beschlagnahmen und dann nach Spuren suchen. Und da wird man höchstwahrscheinlich fündig werden. Und auch wenn nicht, so muss man sich die Frage gefallen lassen, wer alles im Haus zu Besuch kommt und ins Internet darf. Dann muss die Polizei den langen Weg gehen und bei Freunden und Bekannten überprüfen, wer zur fraglichen Zeit dort war.

    IPv6 ist also mitnichten anonym. Und es würde den Richterbeschluss untergraben, da ein Prefix das man bei Amazon nutzt nun einer Adresse, einem Namen, einer Zahlungsoption zugeordnet ist. vor 20 Jahren wusste man nur welcher Provider eine bestimmte IP vergibt und das wusste man nicht von allen sondern nur Teilweise. Locations anhand der IP ausmachen war schwer und nur für relativ wenige IP-bereiche zuverlässig. IBM zb hatte ein komplettes Class A Netz, nutzte das aber weltweit. Welche IP nun zu welcher Niederlassung gehört wusste man nicht. Heute nach 20 Jahren ist die Datenbasis so ausgereift, das man personalisierte Werbung anhand des Einwahlservers bekommt. Und Geolocation aus der IP ableitet und Videos sperrt. Mit IPv6 wird das keine 20 Jahre dauern, eher 2 Jahre nach Umstellung. Wenn dann noch die Fraktion der festen IP sich durchsetzt, weil die einige Dinge vereinfacht, wird aus der IP eine Art Personalnummer. Und zwar über den prefix. Auch wenn ich dann aufgrund dauernden Suffix-wechsel das gerät kaum finden kann(hacker haben es damit schwerer) spielt das für den Rest der Welt keine Rolle. So wie der NSA wichtig ist WER mit WEM redet und nicht was.

    Comment by chefin — 22.09, 2014 @ 10:30

  17. Ich möchte hier direkt mal die Gelegenheit nutzen, Herrn Breyer für seinen Einsatz zur Erhaltung der Grundrechte, zu danken.

    Comment by Grundgesetz — 22.09, 2014 @ 16:21

  18. @16: Meinen Sie bei den Telefonnummern auch juristische Personen (Telekom)? Bei öffentlichen Telefonen sind die Nutzer immer Dritte. Eine tiefer gehende Beweissuche erscheint mir da recht aussichtslos ;-)

    Comment by Michael — 22.09, 2014 @ 17:28

  19. Ich kann dem Artikel nicht ganz folgen. Strafbehörden verfolgen doch keine Filesharer mehr. Ist das nicht Zivilrecht?

    Ich finde das hier interessant: https://kowabit.de/ip-adressabfragen-bei-urheberrechtsverstoessen-und-anderen-vergehen/

    Jede IP-Adress-Auskunft kann angezweifelt werden.

    Comment by Silverstar — 24.09, 2014 @ 10:59

  20. Es ist angedacht, in Zukunft den FF-Browser automatisch mit dem Tor-Netzwerk auszustatten. Die Planungen laufen, die Fäden sind geknüpft. Kein Problem mehr für Newbies, kein großartigen Veranstaltungen auf dem Rechner.

    Es ist nicht das Gelbe vom Ei, aber besser, als gar nichts.

    Comment by Eckhard — 2.10, 2014 @ 21:20

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.