IP-Adressen: Teufelszeug oder harmlos? Ein datenschutzkritischer Dreiteiler - Teil 2: Vorschlag

Klaus Peukert » 25 Juni 2011 » in Politisches » 10 Kommentare

Im ersten Teil erklärte ich, das eine der Hauptursachen für fremdschaminduzierenden und datenschutzhomöopathischen Aktionismus der sonst eher arbeits- oder erfolglosen Datenschützer die Betrachtung von IP-Adressen als persönliches/personenbezogenes/personenbeziehbares Datum ist. Heute gehts darum, ob und wie man das ändern kann.

Warum sind IP-Adressen überhaupt personenbezogen? Technisch sind das ja schlicht "Maschinenadressen", ein halbwegs passender Auto-Vergleich (ohne gehts wohl wirklich nie...) würde leicht schief liegend von "Nummernschildern" sprechen. Der Trick ist, das die Interpretation, bzw. der vermeintliche Personenbezug eine rein (formal)juristische Betrachtung ist. Und die ist nichtmal unumstritten, man kann zwar Stand heute davon sprechen, das die "herrschende Meinung" in Deutschland den Personenbezug bejaht, abweichende Meinungen gibt es aber und in USA und der Schweiz(?) gibt es Urteile, die einen so strengen Personenbezug, wie in Deutschland mit der neunschwänzigen Privacy-Knute durchgepeitscht, nicht erkennen wollen.

Im BDSG selber kommen "IP-Adressen" nicht vor, die Überlegung, was man damit in Bezug aufs BDSG anstellt kommt also von Datenschützern, Anwälten und Richtern. Eine enge/strenge Auslegung des BDSG erlaubt diese Interpretation, kann doch der Provider die verteilten IP-Adressen mit seiner Kundendatenbank abgleichen und so zumindest den "Halter" der IP-Adresse ermitteln. Und da kommt der erste Haken: Er kann auch nur den Halter ermitteln. Der Provider hat keine Möglichkeit anhand der IP-Adresse festzustellen, welche natürliche Person sich tatsächlich dahinter verbirgt, ja nicht einmal ob es eine, zwei oder viele sind. Gemeinsam genutzte Zugänge in WGs, das Internetcafe, das Smartphone per UMTS, das Firmennetzwerk usw. Beim "Halter" des Anschlusses ist Ende mit Personenbezug. Ja, aber warum ist denn dann mein Datenschutz in Gefahr? Ich nutze doch das WLAN meiner Vermieterin. Auf mich kommt nicht mal deren Provider.

Der Ritt auf der Personenbeziehbarkeit von IP-Adressen zeigt hier ein paar geschickte Volten. Man läßt für die Frage ob IP-Adressen personenbeziehbar sind nämlich außer acht, ob ein Bezug zum tatsächlichen Nutzer hergestellt werden kann. Nein, dem gemeinen Datenschützer genügt, wenn irgendeine Person mit der IP-Adresse in Verbindung gebracht werden kann. Das klingt jetzt ein wenig nach Parallelwelt, ist aber tatsächlich Realität. Die Datenschützer wissen sehr genau, das man maximal an den Halter rankommt. Nebenbei: Der Bereich "Störerhaftung" ist ähnlich lustig, und wenn man den Halter aus der unmittelbaren straf- bzw. zivilrechtlichen Verantwortung für den Anschluß entlassen würde, würde auch das Abmahnunwesen keinen mehr haben, den sie stellvertretend für den filesharenden "Kinofreund" an die Kandare packen könnten.

OK, Luftholen. Technisch sind IP-Adressen also "Nummernschilder" (das mancher jeden Tag ne neue kriegt, kann hier ohne Belang bleiben). Praktisch kann so der Provider den Halter einer IP-Adresse ermitteln, also wer den Zugang bestellt hat und wer ihn bezahlt. Rechtlich wird das BDSG so ausgelegt, das IP-Adressen personenbezogen bzw. personenbeziehbar, weil irgendeine Person (eben der Halter) ermittelt werden kann. Das das in der Mehrzahl der Fälle nicht der tatsächliche Nutzer ist, interessiert juristisch zunächst nicht. Achja, und ohne IP-Adressen funktioniert das Internet nicht. Wir können sie also nicht einfach weglassen und das Problem so "lösen". Gut, wissen wir also "was so geht". Was geht denn nicht?

Da nur der Provider die Zuordnung IP-Adresse Halter vornehmen kann, kann das also Google, Amazon, Facebook oder die Webseite der Kneipe um die Ecke nicht. Die sehen eine IP und können daraus vielleicht grob die Gegend schätzen wo die herkommt (wenn die Geo-Infos korrekt sind), ob es eine statische oder dynamische ist und den Provider. bei festen kann man es vielleicht noch aufs Unternehmen einschränken (wenn das den IP-Block selbst bestellt und nicht auch nur vom Provider delegiert bekommen hat). Ein Webseitenbetreiber kann alleine anhand der IP-Adresse idR keine natürliche Person identifizieren. Er braucht dazu Logindaten (wenn ich mich registriert habe), abschalt- und filterbare Cookies oder ähnliches.

Die IP-Adresse alleine nützt ihm jedenfalls nix. Nicht mal um den Halter rauszubekommen, das kann wiederum nur der Provider. Was geht noch nicht? Der Provider kennt zwar meine IP-Adresse (gut, die meiner Vermieterin), aber er weiß nicht, wo ich mich denn so rumtreibe. Das wiederum wissen nur die jeweiligen Webseiten. Übrigens eine große Angst, die durch AK Vorrat et al geschürt ist, das der IP-Speicherungsteil der Vorratsdatenspeicherung "Surfprotokolle" erlauben würde, eine Argumentation (leider) auf dem Niveau einer Uschi von der Leyen, aber darum solls hier nicht gehen.

Nochmal Luftholen. Webseitenbetreiber können mich also allein anhand meiner IP nicht (sicher) identifizieren und benötigen dafür mehr Daten, etwa die, die ich bei der Registrierung (idR freiwillig) angegeben habe. Und wenn sie die haben, dann brauchen sie die IP auch nicht mehr. Provider dagegen haben zwar meine IP, wissen aber nicht wo ich mich rumtreibe. Warum baut nun trotzdem ein Großteil der aktuellen Datenschutzdebatte auf der Personenbeziehbarkeit von IP-Adressen auf? AdSense, GoogleAnalytics, Like-Buttons, eingebundene Youtubevideos oder Flickr-Bilder, alles "böse", weil der jeweilige Betreiber meine IP "übermittelt" bekommt, am schlimmsten noch in den unsicheren Drittstaat USA.

Warum läßt man den (strengen/engen) Personenbezug denn an der Stelle nicht einfach weg? Das würde die Lage doch dramatisch vereinfachen. Analytics und Co wären "legal", Intrusion-Detection-Systeme von Krankenkassen könnten IP-basiert Angreifer blocken und die Daten schützen, Datenschützer müssten sich nicht mit Karnickelzuchtforen rumschlagen, die an einer Ecke AdSense schalten, man müsste nicht über Abmahnungen(!) für Datenschutzverletzungen Dritter(!!!) nachdenken usw., selbst die Polizei würde so "grundrechtsschonende" Ermittlungsansätze bekommen (wieder ein Autovergleich: Tempo- oder Parkverstöße gehen auch über den Halter und keiner schreit "Datenschutz!").

Die Speicherung von IP-Adressen ist (auch im Sinne des Datenschutzes in Form von Security) teilweise sogar notwendig. Firewalls, Abwehr von Denial-of-Service-Angriffen, IDS-Systeme etc. Die brauchen (neben anderem) alle IP-Adressen und müssen die auch aufheben, zum Vergleich, für Statistiken und Heuristiken usw. Für die würde es einfacher, wenn sie nicht wegen der Erfassung und Speicherung von "personenbezogenen Daten" in Form von IP-Adressen ständig in der Gefahr schwebten auf die Nase zu bekommen. Und technisch funktioniert das Internet ohne Übermittlung und Austausch von IP-Adressen eh nicht. Es "nützt" ja auch nichts, IP-Adressen zu verteufeln, denn etwa Tracking, auch personalisiert oder persönliche Werbung funktionieren heutzutage ganz prima ohne IP-Adressen (siehe den "Digitalen Fußabdruck" aus Teil 1) aus, läßt man IPs ausm Tracking raus hat man kaum was gewonnen:

Ja, man könnte sich glatt auf echte Datenschutzprobleme stürzen. Die tolle Personenkennziffer etwa, die wir alle in Form der SteuerID bekommen haben, obwohl das BVerfG (ja, genau das, was auch die hochgelobte informationelle Selbstbestimmung postulierte) eine solche ID nach den Erfahrungen von DDR und 3. Reich ablehnte. ELENA, dem "Hosen runter"-Programm für Arbeitnehmer. HartzIV, dem Datenstrip für Langzeitarbeitslose. SWIFT, Fluggastdatenübermittlung, Rasterfahndung und Kommunikationsüberwachung. Und so weiter. Wir latschen fröhlich den Weg in den Überwachungsstaat (und Dresden zeigt, das der echt nicht weit weg von uns ist) und verlieren uns unterwegs in der Zerstreuung der Streits, ob GoogleMail denn in Deutschland verboten werden müsste, weil die ja meine IP kennen.

Kann man denn das mit dem Personenbezug so einfach ändern? Ginge das denn? Ja klar ginge das. Der strenge/enge Personenbezug ist ja eine rein juristische Auslegung des BDSG, die mit der Technik (oder boshaft: mit dem echten Leben) kaum Überschneidungen hat. Die kann man ändern und nicht pauschal jede IP-Adresse, die meinen Router kreuzt, als streng geheimzuhaltendes Personendatum überqualifizieren. It's that easy. Wir haben echt größere Probleme als uns um "Übermittlung von IPs nach USA" zu streiten.

Die sollten wir angehen.

Nachtrag: Um Missverständnisse zu vermeiden: Die Idee, den Personenbezug bei IP-Adressen abzuschwächen bezieht sich ausschließlich auf die nackten Nummern, wie sie etwa in Mail- und Webserverlogs gespeichert werden. Die dann tatsächliche Zusammenführung eines solchen "nackten" Datensatzes mit einem aus den Logfiles des Providers ergeben dann natürlich "echte" personenbezogene Daten und diese Zusammenführung muss selbstverständlich geschützt, verhindert, verboten oder zumindest mit hohen gesetzlichen Hürden versehen werden. Denn dann hat man die Surfprotokolle, die Bewegungsprofile, den gläsernen Menschen, die Möglichkeiten zur staatlichen Überwachung und Generalverdächtigung der Bürger, gegen die AK Vorrat et al, Piratenpartei, die handvoll vernünftiger Netzpolitiker der "großen" Parteien und nicht zuletzt die vielbeschworene "Netzgemeinde" protestieren.

Und dieser Part von "1984" (um neben einem Auto- auch noch den unvermeidlichen Orwellvergleich hinzubekommen) darf tatsächlich nicht Wirklichkeit werden, und das ist, da lehn ich mich mal ausm Fenster, auch innerhalb der Spackeria Konsens.

Trackback-URL für diesen Eintrag

10 Kommentare zu "IP-Adressen: Teufelszeug oder harmlos? Ein datenschutzkritischer Dreiteiler - Teil 2: Vorschlag"

Ansicht der Kommentare: (Linear | Verschachtelt)
  1. Hans Carlos Hofmann
    25/06/2011 um 12:59 Permalink
    Bei der ganzen diskussion um die IP's in adsense & co geht meines Erachtens völlig unter, das bei einer html einbindung in Webseiten diese "Personen Bezogenen Daten" nicht vom Betreiber der Webseite an dritte übermittelt werden, sondern, diese Werden vom Rechner des Nutzers an den Drittanbieter übermittelt. Dieser ist aber dem Nutzer zuzurechnen, also übermittelt der Surfer seine IP mit der anfrage seines Browsers an den vermeidlichen Drittanbieter.

    Insoweit ist bei jeder Einbindung auf http basis jeder Host nur für die Handhabung der übermittelten IP's zuständig und verantwortlich.

    Wer als Surfer eine Übermittlung der IP an bestimmte Firmen oder Länder nicht wünscht, kann das z.B. durch Sperrlisten in seiner Firewall erreichen. Dazu muss er das nötige wissen haben oder aber einen Fachmann mit Installation und Wartung beauftragen.

    Dieser Vorgang ist auch nicht in transparent, weil es genügend verbreitete Browser wie z.B. Firefox gibt, welche auf Klick eine Analyse liefern, was wo her kommt.

    Antwort

  2. Torsten Fehre
    25/06/2011 um 14:26 Permalink
    Ich muss hier mal kurz reingrätschen.

    Gut, dass Du erkannt hast, dass die IP-Adressen ja schon so etwas ähnliches sind wie KFZ-Kennzeichen: Es lässt sich nur der "Halter" ermitteln; nicht die Person, welche tatsächlich das KFZ gefahren ist bzw. sich hinter dem NAT-Router verbirgt.

    Die Speicherung von IP-Adressen bei Website-Betreibern lässt sich vergleichen mit einem Supermarkt oder Einkaufszentrum, welches die Nummernschilder sämtlicher Autos auf dem Parkplatz erfasst. Der "Personenbezug" selbst ist hier auch für das EKZ nicht herstellbar; so einfach bekommt ja schließlich auch nicht jeder Zugriff auf die KFZ-Datenbank. Der EKZ-Betreiber kann anhand der Nummernschilder die Gegend herausfinden, aus der seine Kunden kommen (um wieder den Bogen zur IP-Adresse zurückzuführen).

    IMHO ist es überhaupt nicht notwendig, von sämtlichen Besuchern die IP-Adressen der Besucher gleich für ein Jahr auf Vorrat zu speichern (was aber genau der Apache in einer Debian-Standardinstallation tut).

    Wenn man statistisch Klick-Pfade auswerten möchte, dann empfehle ich sowieso das Tracking über einen Session-Cookie. Damit sollten selbst die hartnäckigsten Datenschutzfanatiker kein Problem haben. Darüber hinaus lässt sich das Surfverhalten der Besucher noch viel besser auswerten, da man damit auch mehrere Rechner erfasst, die sich die IP-Adresse hinter einem NAT-Router teilen.

    Dass die Geschichte mit der "IP-Adressübermittlung" Bullshit ist, darin gehe ich mit Dir jedoch völlig d'accord.

    Antwort

  3. Fluppdidupp
    19/07/2011 um 07:54 Permalink
    Du meldest dich bei deinem Supermarkt auch mit Realnamen, sexueller Orientierung, Infos zu deinem ganzen Freundeskreis, usw. an?
    Dein Supermarkt hat auch in 50% aller anderen Geschäfte des Landes "like" oder "analytics"-Stationen installiert die ihm automatisch sagen, dass dein Kennzeichen (und er weiss ja jetzt, wem es gehört) auch dort war?


    --- zum Originalpost:

    Das klingt alles bisschen naiv und kurzsichtig. Die IPs stehen eben NICHT für sich alleine da wie so viele analoge Analogien:-)

    In dem Moment, wo die IP nicht mehr personenbezogen ist, darf Google, Facebook, irgendein Werbenetzwerk quasi das gesamte Nutzungsverhalten zu einer IP speichern, dass es irgendwie in die Finger bekommt.

    Dann zu hoffen, dass irgendwie NICHT die Verknüpfung von komplettem Profil mit Person gemacht wird, finde ich haltlos naiv. Wie soll man das überhaupt mitbekommen? Ein Verbot ist dann rein symbolisch.

    Gegenfrage: Wenn IPS gehasht werden müssen (so dass man aus der IP nicht später den hash berechnen kann), wäre das so schlimm?
    Ist das so zum Fremdschämen, wenn z.B. IPv6 Adressen standardmässig dynamisch wechseln müssen (du darfsts ja gerne anders einstellen)?

    Antwort

  4. tarzun
    19/07/2011 um 09:01 Permalink
    Nein, ich gehe nicht mit meinen sexuellen Vorlieben im Supermarkt hausieren. Und meine sexuellen Vorlieben sind auch nicht im Nummernschild meines Autos codiert, genausowenig wie in meine festen oder dynamischen IP-Adressen (und nur um die geht es hier). Dieses von Dir erwähnte "Tracking" ist für die, die es wollen locker ohne IPs möglich. Dein digitaler Fußabdruck ist auch ohne IP noch genau genug, der "Schutz" also minimal.

    Antwort

  5. Sleeksorrow
    26/06/2011 um 11:00 Permalink
    Hi Klaus,

    Vielleicht kommt das in Teil 3 dann noch, aber einiges, was Du oben als unproblematisch einstufst (und in dem Kontext auch vermutlich so ist), bekommt unter IPv6 ein ganz anderes Gewicht.

    Soweit ich weiß, hat IPv6 ja statische IPs und das sogar bis zum Endgerät, nicht nur bis zu meinem Router. Ich glaube, ich kann zwar mit Erweiterungen die IPs meiner Endgeräte regelmäßig durcheinanderwürfeln, dann habe ich immer noch den Zustand, daß meine IP immerhin den Anschlussinhaber aufzeigt. Dank der von Dir genannten Störerhaftung ist das IMHO in Deutschland auch ein für mich kritisches Datum.

    Jetzt braucht man bei IPv4 und dynamischen IPs immer noch den Provider, um IP -> Inhaber aufzulösen. Bei IPv6 gibt es dazu glaub ich schon Datenbanken. Gut, da wirds dann noch Wege geben, die Einträge dazu noch anonym zu halten, nehme ich an.

    Mir fehlt der absolute Durchblick hier, aber ich stelle mir folgende Problematik vor:

    So wie die Versicherungsunternehmen anbieterübergreifende Scoring Systeme haben, könnten Anbieter bei IPv6 anbieterübergreifende Identifizierungs-Datenbanken aufbauen. Das heißt, man meldet sich bei einem Gewinnspiel an und gibt - wie dabei immer üblich - alle persönlichen Daten, incl der sexuellen Orientierung des Haustieres, an. Der Gewinnspielanbieter kann diese Zuordnung dann in eine DB schreiben. Kommen aus dem IPv6 Block mehrere verschiedene Inputs zu verschiedenen Leuten, kann man über die Datenbank sogar genau sagen, wie viele Menschen welchen Geschlechts in einem Haushalt wohnen. Es wird sicher ein gewisses statistisches Rauschen geben, wenn jemand von der Arbeit aus surft, von nem Internet Café, etc, aber diese IP Pools wird man auch flugs identifiziert haben und ausklammern bzw getrennt behandeln.

    Und ich gehe davon aus, daß sich jeder einen Zugang zu der DB kaufen können wird. Das heißt, mit etwas Geldaufwand kann ich dann mein Apache Log nehmen und nach einiger Zeit vermutlich über 60% meiner Besucher mindestens auf den Anschlußinhaber auflösen und mit dem teureren "Premium (tm) Zugang" dann auch die ganzen Marktdaten abgreifen, wie Interessen, Kaufkraft, Alter, uvm.
    Und egal, was der User in seinem Browser einstellt, sogar wenn er HTTP manuell via Telnet spricht, er kann diese Zuordnung zu seinem Datensatz nicht mehr lösen/verhindern. Egal auf welchen Seiten er surft, egal wie secure sein System eingestellt ist.

    Ob das wirklich so passieren könnte, ob ich hier totalen Blödsinn von mir gegeben habe, oder ob es da irgendwelche Möglichkeiten gibt, das bei IPv6 zu verhindern, würde mich sehr interessieren und ich hoffe, daß das vielleicht noch in einem weiteren Teil kommt.

    Antwort

  6. Sebastian
    26/06/2011 um 13:34 Permalink
    Nun gut, vielleicht ist mein technisches Verständnis hier begrenzt, aber, mal von Browser-Einstellungen (wie dem Aninym-Serven-Modus im Firefox) abgesehen: Was ist den mit Proxys? Es gibt im Netz ja unzählige Dienste, die die eigene IP-Adresse verschleiern, und ich kenne viele, die diesen Service nutzen. Wenn ich die Funktion eines solchen Proxys richtig verstanden habe, dann serve ich damit unter einer fremden IP-Adresse (im Zweifel lege ich mir mehrere Knoten dazwischen)und damit kann kein Analysetool meine Daten zuordnen.

    Antwort

  7. Sleeksorrow
    26/06/2011 um 13:47 Permalink
    Prinzipiell hast Du recht, allerdings ist das in meinen Augen nur ein dirty workaround, keine richtige Lösung. Solange es nur ein paar Geeks nutzen, geht das, aber wenn jeder Surfer der Welt durch einen anonymizing Proxy will, können diese den Ansturm nicht mehr bewältigen, oder der Betreiber den Traffic nicht mehr bezahlen. Und da die Proxies auch für Illegales benutzt würden, können die nur wo stehen, wo der Betreiber nicht mit so etwas wie Störerhaftung bedroht wird. Das schränkt alles, incl Netzwerkgeschwindigkeit, extrem ein.

    Antwort

  8. Kommentar schreiben
    27/06/2011 um 01:05 Permalink
    Beispiel für die Problematik: angenommen, es gibt nur noch feste IP-Adressen und jemand surft durchs Web. Facebook (oder andere, ist nur ein Beispiel) holt sich auf verschiedenen Webseiten über seine eingebetteten Like-Buttons automatisch die IP-Adresse vom Client. Und schon hat der Anbieter eine ordentliche Surf-History, die speziell Facebook sehr gut auswerten kann, mit dortigem Account sowieso, allerdings auch ohne einen solchen - und ohne die Daten vom Provider.

    Da gibt es jetzt viele Grautöne, aber unterm Strich ist es besser - und verhältnismäßig - wenn es dynamische Adressen gibt (feste Adresse sind ja deswegen nicht verboten). Das gleiche gilt für Webseiten-Betreiber, die geschwätziges Javascript einbetten.

    Der Vergleich zwischen KFZ-Kennzeichen und IP ist nicht schlecht, aber es muss beachtet werden, dass der "Halter" bei der IP-Adresse teilweise stärker haftet.

    Antwort

  9. tarzun
    27/06/2011 um 08:38 Permalink
    Es geht hier doch gar nicht um "dynamische vs. statische IP" und Deine Facebook-Dystopie funktioniert entweder nicht oder kommt locker ohne IP-Adressen aus. Solange Facebook die Daten vom Provider nicht hat, wissen deren Server nur "IP XY war da und dort" und *nicht* "Person XY war da und dort". D.h. selbst wenn die ein "Surfprotokoll" (das per se aber lückenhaft ist, solang der Facebookbutton nicht 100% verbreitet ist :-)) hätten, dann wüßten sie nicht wer dahinter steckt.

    Wie gesagt, der Familien- oder WG-Router, das Firmennetzwerk usw., ja selbst bei "hartkodierten" Smartphones weiß keiner ob ich oder Du es in der Hand halten und grad nach der nächsten Tram zur Arbeit suchen. Was man natürlich (gesetztlich) regeln muss ist, das der Staat auf die obigen "unpersonalisierten" IP-Surfprotokolle (angenommen es würde sie geben) nicht bzw. nicht mal eben so zugreifen und sie mit den Daten des Providers und damit mit natürlichen Personen verknüpfen darf.

    An Personalakten oder Buchhaltungsunterlagen von Firmen kommt der Staat ja auch nur mit nem Durchsuchungsbeschluß ran und kann nicht einfach so per Fax ne Kopie anfordern.

    Antwort

  10. Pumuckl
    20/07/2011 um 22:09 Permalink
    Kurzer Einwand: es gibt durchaus auch Surfer die zufällig selber einen FB account haben und möglicherweise auch eingeloggt sind.

    Weiterhin bist du kaum auf Tracking-cookies eingegangen.

    Wie du schon richtig bemerkst ist erst die Zusammenführung mit der IP als Merkmal bzw. sogar Schlüsselmerkmal das wirklich gefährliche. Genau das passiert z.B. wenn Dienste (wie z.B. Google oder FB) die online recht präsent sind (Werbenetzwerke, Like/+1 Buttons, add-this Zeugs) Zugriff auf eine gemeinsame Datenbasis wie die ihrer Mitgliedsaccounts haben.

    Antwort

0 Trackbacks zu "IP-Adressen: Teufelszeug oder harmlos? Ein datenschutzkritischer Dreiteiler - Teil 2: Vorschlag"

  1. Keine Trackbacks

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA


cronjob