Freitag, 28. Januar 2011

IP-Adressen und andere Nutzungsdaten - Häufig gestellte Fragen

I. Mit Blick auf Telekommunikationsdienstleister

1. Sind IP-Adressen personenbezogene Daten?

Antwort: Ja, wenn darüber auf eine natürliche Person geschlossen werden kann (z. B. auf den Nutzer eines PCs / Vertragsinhaber eines Anschlusses). Dies ist in der Regel bei statischen IP-Adressen der Fall, die einem Rechner fest zugewiesen sind, sofern es sich nicht um einen Rechner handelt, der von einer Vielzahl von Nutzern verwendet wird (z. B. Firmenrechner). Auch bei dynamisch vergebenen IP-Adressen können diese durch Dritte mit Hilfe der Logfiles des Internet Service Providers (ISP) einzelnen Anschlüssen und damit ggf. einzelnen Personen zugeordnet werden. Daher muss zumindest von einer Personenbeziehbarkeit der dynamischen IP-Adresse und damit der Anwendung der Datenschutzgesetze ausgegangen werden. Unter dem demnächst vermutlich in der Praxis mehr verwendeten neuen IP-Adressenstandard IPv6 kann internetfähigen Geräten jeweils eine individuelle und einzigartige IP-Adresse zugewiesen werden. Die Vergabe dynamischer IP-Adressen wird damit sukzessive obsolet.

In Erwägung Nr. 26 zur EU-Datenschutzrichtlinie 95/46/EG wird eindeutig festgelegt, dass alle Mittel zu berücksichtigen sind, die von dem für die Verarbeitung Verantwortlichen oder von jeder anderen Person nach vernünftiger Einschätzung zur Identifizierung der betreffenden Person genutzt werden können, um festzustellen, ob eine Person bestimmbar ist. Die europäische Artikel 29-Datenschutzgruppe hat dies in ihrem Arbeitspapier Nr. 159 besonders hervorgehoben.

2. Sind IP-Adressen Bestandsdaten oder Verkehrsdaten; und welche Auswirkungen hat dies, wenn die Polizei bei einem Provider die Aufdeckung der Person hinter einer IP-Adresse verlangt?

Antwort: Laut § 3 Telekommunikationsgesetz (TKG) sind „Bestandsdaten“ Daten eines Teilnehmers, die für die Begründung, inhaltliche Ausgestaltung, Änderung oder Beendigung eines Vertragsverhältnisses über Telekommunikationsdienste erhoben werden. „Verkehrsdaten“ sind Daten, die bei der Erbringung eines Telekommunikationsdienstes erhoben, verarbeitet oder genutzt werden. 

Statische IP-Adressen und die dem Provider zugewiesenen IP-Adressen-Bereiche sind hinsichtlich ihrer festen Zuweisung zu einem Rechner als Bestandsdaten anzusehen. Im Zusammenhang mit der Nutzung des Internet sind dies jedoch auch Verkehrsdaten (bzw. Nutzungsdaten), z. B. für den Webseitenbetreiber. Dynamische IP-Adressen sind in der Regel keine Bestandsdaten, sondern Verkehrsdaten. Zu den Verkehrsdaten gehören in diesem Zusammenhang u. a. auch das Datum und der Zeitpunkt der Nutzung der IP-Adresse.

Über Bestandsdaten muss nach § 113 TKG auf Anforderung der Strafverfolgungsbehörden durch den Provider Auskunft gegeben werden. Die Auskunft über Informationen im Zusammenhang mit Verkehrsdaten muss durch einen Richter (in eiligen Fällen durch die Staatsanwaltschaft) nach §§ 100g, 100b StPO angeordnet werden. Dies gilt - nach Meinung vieler Datenschützer - auch für die Fälle, wenn mit einem Verkehrsdatum (z. B. der IP-Adresse) Auskunft über Bestandsdaten (Name, Adresse des Kunden) verlangt wurde; eine einfache Bestandsdatenabfrage nach § 113 TKG genügte dann nicht. Das Bundesverfassungsgericht hat in seinem Urteil vom 2. März 2010 (BVerfG, 1 BvR 256/08 Rn. 288-291) festgestellt, dass zwar auf Basis einer entsprechenden Rechtsgrundlage eine Bestandsdatenabfrage mit Verkehrsdaten möglich ist, jedoch ein entsprechender hinreichender Anfangsverdacht oder eine konkrete Gefahr vorliegen muss. Die entsprechende Rechtsgrundlage existiert zurzeit allerdings nicht, so dass unserer Ansicht nach bei Heranziehung von Verkehrsdaten für eine Abfrage eine Verkehrsdatenabfrage vorliegt und diese unter Richtervorbehalt steht.

3. An wen dürfen Telekommunikationsdienstanbieter Informationen über Personen, denen eine bestimmte IP-Adresse zu einer gewissen Zeit zugewiesen worden war, herausgeben?

Antwort: Wenn es sich um ein Bestandsdatum (statische IP-Adressen) handelt, genügt eine Anfrage nach §113 TKG der zuständigen Stellen (i. d. R. Polizeidienststellen / Staatsanwaltschaften). Bei Verkehrsdaten ist eine richterliche Anordnung nach §§ 100g, 100b Strafprozessordnung (StPO) notwendig (bei Gefahr in Verzug auch durch die Staatsanwaltschaft). Private Organisationen / Privatleute / Rechtsanwälte haben keinen direkten Auskunftsanspruch. Diese können jedoch bei Gerichtsverfahren ggf. Akteneinsicht verlangen und erhalten, wenn sie beteiligt sind. Im Rahmen des Urhebergesetzes gibt es für Rechteinhaber (z. B. Musikindustrie oder Filmindustrie) nach § 101 Abs. 9 Urhebergesetz die Möglichkeit, direkt beim Richter den Antrag auf Verwendung von beim Provider vorhandenen Verkehrsdaten (u. a. der IP-Adresse) zu stellen.

4. Wie lange müssen / dürfen IP-Adressen gespeichert werden?

Antwort: Grundsätzlich gilt, dass IP-Adressen als Verkehrsdaten nur so lange aufbewahrt werden dürfen, wie sie für den erhobenen Zweck notwendig und erforderlich sind. Eine Speicherpflicht gibt es zurzeit nicht.

  • Zu Abrechnungszwecken: je nach Abrechnungszeitraum und Einwendungsfrist. Nach § 97 Abs. 3 TKG gilt, dass Daten bis zu sechs Monate nach Versendung der Rechnung gespeichert werden dürfen. Wurde vom Betroffenen eine Einwendung erhoben (z. B. Bestreiten einer Geldforderung), so verlängert sich diese Frist bis zur Erledigung der Einwendung.
  • Zu eigenen Sicherheitszwecken: es wird im Allgemeinen von den Aufsichtsbehörden eine Speicherfrist von maximal 7 Tagen nicht beanstandet.
  • Zur Vermarktung / Dienstverbesserung (was auch die Erstellung von Statistiken hierfür einschließt): Es gilt § 96 Abs. 3 TKG – grundsätzlich muss hierzu eine Einwilligung des Betroffenen vorliegen und die Daten des anderen Kommunikationspartners (der Angerufenen bei Telefonie) sind unverzüglich zu anonymisieren.

II. Mit Blick auf Telemedienanbietern

1. Sind IP-Adressen personenbeziehbare Daten?

Antwort: In der Regel ja. Dies gilt sowohl für statische als auch dynamische IP-Adressen, sofern hierüber ein Rückschluss auf eine natürliche Person erfolgen kann (vgl. die Ausführungen zur Personenbeziehbarkeit von IP-Adressen im Rahmen von Telekommunikationsdiensten oben zu Frage I. Nr. 1).

2. Sind IP-Adressen Pseudonyme im Sinne des Telemediengesetzes?

Antwort: Nein, die IP-Adresse ist kein Pseudonym, so dass in der Regel die Erleichterungen für die Verarbeitung pseudonymer Daten für IP-Adressen nicht gelten.

3. Für welche Zwecke dürfen IP-Adressen wie lange gespeichert werden?

Antwort: Eine Speicherpflicht besteht nicht. Die möglichen Speicherfristen richten sich nach dem Speicherzweck.

  • Zur Erbringung des Dienstes: nur so lange der Dienst erbracht wird.
  • Zu Abrechnungszwecken: je nach Abrechnungszeitraum und Einwendungsfristen – maximal bis 6 Monate nach Rechnungsstellung. Wurde vom Betroffenen eine Einwendung erhoben (z. B. Bestreiten einer Geldforderung), so verlängert sich diese Frist bis zur Erledigung der Einwendung.
  • Zu eigenen Sicherheitszwecken (z. B. Identifikation von DOS-Angriffen) wird im Allgemeinen eine Speicherfrist von maximal 7 Tagen von den Aufsichtsbehörden nicht beanstandet. Dabei gilt jedoch eine strenge Zweckbindung vgl. § 31 BDSG.
  • Zur Erstellung von Statistiken / Profilerstellung (§ 15 Abs. 3 TMG): keine Speicherfrist, so dass hierfür auch keine Speicherung der IP-Adresse zulässig ist. Dies betrifft insbesondere Logfiles von Webservern, deren Webseiten sich an natürliche Personen richten. Sollen IP-Adressen in diesen Logfiles für Statistikzwecke / Profilerstellung verwendet werden, so müssen sie vorher so anonymisiert (z. B. gekürzt) werden, dass ein Rückschluss auf die ursprüngliche IP-Adresse ausgeschlossen ist. Auf dieser Datenbasis sind rein statistische Auswertungen zulässig. Werden IP-Adressen im Rahmen der Anonymisierung durch Pseudonyme ersetzt, so ist sicherzustellen, dass keine Möglichkeit besteht,  die ursprüngliche IP-Adresse zurückzuberechnen oder durch das Zusammenspiel weiterer Daten eine Identifizierung des Nutzers vorzunehmen. Vgl. auch Beschluss des Düsseldorfer Kreises vom 27. November 2009 zur datenschutzkonformen Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten vom 29.11.2010.
  • Anbieter von reinen Telemedien (z. B. Webseitenanbieter) sind nicht zur Speicherung von Nutzungsdaten etwa zur Strafverfolgung verpflichtet.

Zu beachten ist des Weiteren, dass der Dienstanbieter den Nutzer zu Beginn über Umfang und Zweck der Verarbeitung der IP-Adresse aufklärt (vgl. § 13 Abs. 1 Telemediengesetz (TMG)). Dies erfolgt in der Regel in der Datenschutzerklärung der Webseite.

4. Wie soll ein Webseitenbetreiber konkret mit Logfiles umgehen?

Antwort: In Logfiles ist so weit wie möglich auf personenbeziehbare Daten (insbesondere IP-Adressen) zu verzichten. In der Praxis sind die IP-Adressen unverzüglich durch ein nicht zurück auflösbares Kennzeichen zu ersetzen. Sowohl für Apache als auch Microsoft Internet Information Server existiert Software, die diese Anonymisierung automatisch vornehmen kann. Beispiele finden Sie hier: http://www.saechsdsb.de/ipmask/
Eine längere Speicherfrist ist zu Abrechnungszwecken und Sicherheitszwecken ggf. zulässig (vgl. Frage 3). Die Unterrichtungspflicht des Webseitenbetreibers nach § 13 Abs. 1 TMG ist zu beachten. Analysen des Nutzungsverhaltens mit ungekürzten IP-Adressen sind nur mit der bewussten und eindeutigen Einwilligung des Nutzers möglich.

5. Genügt für eine Anonymisierung der IP-Adressen, dass ich nur Hashwerte der IP-Adresse verwende?

Antwort: In der Regel nein. Zwar können Hashwerte meist nicht einfach in die ursprünglichen IP-Adressen zurückgerechnet werden. Jedoch ist der Aufwand gering, zu jeder denkbaren IP-Adresse einen Hashwert vorauszuberechnen, um dann anhand dieser Tabelle auf die ursprüngliche IP-Adresse schließen zu können. Das Hash-Verfahren ist nur sinnvoll, wenn noch eine weitere Zufallszahl hinzugerechnet wird, die regelmäßig geändert bzw. verworfen wird, ohne dass diese Zufallszahl wiederum durch ein Verfahren zurückberechnet werden könnte. Alternativ ist für eine Anonymisierung die Löschung der letzten beiden Oktette der IP-Adresse anerkannt.

In dem Dokument „WP 148“ führt die Artikel 29-Datenschutzgruppe zur Anonymisierung von IP-Adressen u. a. aus: „Bei der Anonymisierung von Daten sollte jegliche Möglichkeit der Identifizierung von Personen ausgeschlossen werden. Auszuschließen ist selbst das Kombinieren der anonymisierten Informationen eines Suchmaschinenbetreibers mit Informationen, die ein anderer Beteiligter gespeichert hat (beispielsweise ein Internet-Diensteanbieter). Derzeit schneiden einige Suchmaschinenbetreiber IPv4-Adressen ab, indem sie die letzte Achtergruppe entfernen, womit sie effektiv Informationen über den Internet-Diensteanbieter oder das Teilnetz des Benutzers speichern, ohne die Person direkt zu identifizieren. Die Aktivität könnte dann von einer beliebigen der 254 IP-Adressen ausgehen. Dies ist für eine Anonymisierungsgarantie möglicherweise aber nicht immer ausreichend.“

6. Kann ich IP-Adressen für eine Geolokalisierung im Rahmen der Analyse von Nutzungsverhalten verwenden?

Antwort: Eine Geolokalisierung mit vollständigen IP-Adressen zur Analyse des Nutzungsverhaltens ist nur mit bewusster und eindeutiger Einwilligung des Nutzers möglich. Liegt diese nicht vor, so muss die IP-Adresse so gekürzt werden, dass eine Personenbeziehbarkeit ausgeschlossen werden kann

7. Können Drittanbieter durch Einbindung von Javascript / Web-Bugs mit der Erstellung von Statistiken / Profilen von einem Webseitenbetreiber beauftragt werden?

Antwort: Hierfür gibt es rechtlich zwei Möglichkeiten.

  • Der Drittanbieter, der die Statistik für den Webseitenbetreiber erstellen soll, wird als Auftragsdatenverarbeiter i. S. d. § 11 BDSG eingebunden. Hierfür muss ein gültiger Auftragsdatenverarbeitungsvertrag geschlossen werden und das beauftragte Unternehmen handelt hinsichtlich der anfallenden IP-Adressen ausschließlich im Auftrag des Auftraggebers ohne Eigeninteresse an den Daten. Dabei gelten die oben genannten Pflichten und Fristen auch für den Auftragnehmer. Bei der Profilerstellung müssen dann auch die Vorgaben des § 15 Abs. 3 TMG beachtet werden (u. a. Ermöglichung eines Widerspruchsrechts für den Webseitennutzer). Denkbar ist auch die Beauftragung bzw. Zwischenschaltung eines Anonymisierungsdienstes durch den Webseitenbetreiber, so dass dann das Targeting-Unternehmen (das die Profile erstellt) nur anonymisierte Daten erhält. In diesem Fall wäre auch beim Auftragnehmer eine Vermischung von Profildaten denkbar, sofern sichergestellt bleibt, dass kein Personenbezug hergestellt werden kann.
  • Ohne Auftragsdatenverarbeitung muss der Nutzer vor (!) dem Aufruf des Javascripts bzw. des Webbugs über dessen Existenz aufgeklärt werden; es muss ihm in der Regel die Möglichkeit eingeräumt werden, den Dienst auch ohne diese Weiterleitung zu nutzen.

8. Was muss ich bei der Nutzung von Cookies zur Erstellung von Nutzungsprofilen beachten?

  • Auch ID-Nummern von Cookies können personenbeziehbare Daten darstellen, wenn hierüber ein Rückschluss auf die dahinter stehende Person (ggf. auch in Zusammenwirken mit weiteren Daten) möglich ist. In dem Dokument „WP 148“ führt die Artikel 29-Gruppe zu Cookies aus: „Dauerhafte Cookies mit einer eindeutigen Benutzerkennung sind personenbezogene Daten und unterliegen daher den anwendbaren Datenschutzgesetzen.“
  • Bei den ID-Nummern von Cookies kann es sich um ein Pseudonym i. S. d. § 15 Abs. 3 TMG handeln, wenn keine direkte Zuordnungsmöglichkeit bei demjenigen existiert, der den Cookie gesetzt hat und es auslesen kann. Eine Zuordnungsmöglichkeit besteht jedoch dann, wenn z. B. auf der Webseite eine Anmelde- bzw. Registrierungsmöglichkeit angeboten wird.
  • Derartige Cookies mit ID-Nummern sollten eine Lebenszeit von maximal 6 Monaten haben, wenn während dieser Zeit keine automatische Verlängerung dieser Frist erfolgt, wobei je nach Dienst auch eine kürze Lebenszeit geboten sein kann. Sieht das Verfahren eine automatische Verlängerung vor (etwa bei erneutem Besuch einer Webseite), dann ist dieses zulässig, wenn die maximale Lebenszeit des Cookies so kurz bemessen ist, dass es wahrscheinlich wird, dass die Cookie-ID nicht ‚lebenslang’ verwendet wird (z. B. wenige Tage).
  • Der Nutzer ist in der Datenschutzerklärung auf die entsprechende Verwendung des Cookies hinzuweisen (§ 13 Abs. 1 Satz 2 TMG). Die Datenschutzerklärung muss von jeder Seite, die mit dem Cookie in Verbindung steht, mit einem Klick erreichbar und leicht erkennbar sein.
  • Der Nutzer muss die Möglichkeit haben, der Profilbildung zu widersprechen (§ 15 Abs. 3 S. 2 TMG). Dieses kann mittels eines sog. „Widerspruchscookies“ gelöst werden, den der Nutzer aktivieren kann. Es reicht nicht aus, nur einen Hinweis darauf aufzunehmen, dass der Nutzer selber Cookies im Browser abschalten kann. Auf die Widerspruchsmöglichkeit ist der Nutzer auch hinzuweisen.
  • Ggf. ist in Zukunft für die Nutzung von Cookies zur Erstellung von Nutzungsprofilen in der Regel eine Einwilligung des Nutzers nach dem neuen Artikels 5 Absatz 3 der EU-Richtlinie 2002/58/EG einzuholen. Eine Umsetzung in nationales Recht in Deutschland steht noch aus.

9. Reicht es aus, dass der Nutzer selber Cookies, Javascript etc. abschalten kann?

Antwort: Nein. Die Pflichten des TMG betreffen den Webseitenbetreiber. Es sind keine Pflichten, die einseitig auf den Nutzer abgewälzt werden können.

10. Wie muss ich mit pseudonymisierten Nutzungsdaten grundsätzlich umgehen?

Antwort: Die pseudonymisierten Nutzungsdaten dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden. Sie müssen gelöscht werden, wenn ihre Speicherung für die Erstellung der Nutzungsanalyse nicht mehr erforderlich ist oder der Nutzer dies verlangt.

11. Bitte beachten Sie auch den Leitfaden des BfDI und der BNetzA für eine datenschutzgerechte Speicherung von Verkehrsdaten Extern vom 13.09.2012.