IP-Adressen: Teufelszeug oder harmlos? Ein datenschutzkritischer Dreiteiler – Teil 1: Motivation

Die meisten aktuellen Probleme, Diskussionen oder gar rechtlichen Maßnahmen im Bereich des Datenschutzes kondensieren fast immer alleinig an der IP-Adresse, ihrer Speicherung, Verarbeitung und, ganz böse, „Übermittlung in die USA„. Diese, in meinen Augen übertriebene und schädliche Fixierung auf dieses Einzeldatum war neben anderem Grund für mein Engagement in der Spackeria. Neben der rein juristischen Betrachtung der Personenbeziehbarkeit i.S.v. BDSG, TMG und anderen einschlägigen Gesetzen wird immer wieder angeführt, das man über die Speicherung von IP-Adressen durch Webseitenbetreiber „ausspioniert“ werden kann. Das ist nicht mal komplett falsch, allerdings ist dies allein mit der IP-Adresse einem Betreiber regelmäßig unmöglich.

Die Zuordnung IP-Adresse <-> Anschlußinhaber (und auch nur  zu diesem und nicht zu der Person die gerade die Fahrplanauskunft, „Downloadportale“ oder Bombenbastelanleitungen besucht) ist zunächst erstmal nur beim Provider möglich. Ein Webseitenbetreiber kann also (allein) anhand einer IP-Adresse nicht sagen: „Da surft grad Lieschen Müller bei mir rum“. Warum auch immer liegt nun trotzdem die IP-Adresse als personenbezogene Wurzel des Übels im Pfeffer? Ich weiß es auch nicht. Denn das kritisierte Tracking in der „real world“ ist sowohl mit, als auch ohne IP-Adressen möglich, üblich und überraschenderweise sogar unter bestimmten Vorraussetzungen (meist eben „Keine IPs“ und es muss irgendwo in ner AGB/DSE aufgeschrieben sein) datenschutztechnisch legal.

So wird etwa das OSS-Tool „Piwik“ als freier GoogleAnalytics-Klon regelmäßig als „datenschutzfreundliche Alternative“ genannt, aber auch für Blogsysteme wie WordPress gibt es Plugins die mit (und nur mit) „No IP tracking“ für Datenschutzverträglichkeit werben. Statistiken/Tracking über andere Daten dagegen, wie etwa

  • Referer (wo, über welchen Link, kommt der Besucher her)
  • Keywords (über welche Suchbegriffe wurde die Seite gefunden)
  • Browserversion
  • Betriebssystem
  • Länderzuordnung (über Spracheinstellung Browser/OS)
  • Cookies (schon kritischer, siehe die im Entwurf befindliche EU-Richtlinie)
  • Nutzernamen bei anmeldepflichtigen Seiten
  • Klickpfade (wo klickt der User wie häufig hin)
  • Verweildauern (welche Seiten betrachtet der Nutzer wie lange)
  • usw. usf.

generell also einem „digitalen Fingerabdruck“ werden oft unkritisch, gar nicht oder zu lax betrachtet. Schließlich wird ja keine IP-Adresse gespeichert. Ein schönes Beispiel ist  Panopticlick der EFF, was (m)eine persönliche Browserkonfiguration identifiziert und mich so losgelöst von der IP-Adresse trackbar macht. Jetzt noch ein Userlogin und fertig sind die digitalen Fußabdrücke im virtuellen Rasen.

Angesichts der obigen, datenschutzrechtlich oft völlig legal erfassbaren, vielen verschiedenen Daten, die unabhängig von IP oder nicht, mich ziemlich gut und eindeutig identifizieren können, stellt sich doch die Frage, ob eine mitgespeicherte (und ohne Zugriff auf den Provider oder die anderen, legal gesammelten, Daten keiner Person zuordenbare) IP-Adresse dann das „Kraut noch fett macht“. Statistiken, Auswertungen, Tracking, gutgemeint oder böswillig, das ist heute alles auch ohne IP möglich, wird gemacht und ist größtenteils auch rechtlich OK . Warum also schießt man sich so sehr auf ausgerechnet dieses eine Datum ein und baut ganze Debatten herum auf? Es wäre doch viel einfacher über Tracking an sich (und entsprechende Gegenmaßnahmen zum Selbstschutz) zu sprechen.

Man kann nun argumentieren: „Ja, wenn man die IP zum Tracking nicht braucht, dann ist es doch OK, das sie nicht erfasst, gespeichert, übermittelt werden darf“. Kann man. Nur fängt man sich damit halt die bizzaren und realitätsfremden Konsequenzen ein, das basierend darauf dann eben Forenbetreiber Probleme bekommen, weil sie Werbung von einem externen Server einbinden. Und, viel wichtiger: Man löst überhaupt nicht das Problem, das (böswillige) Webseitenbetreiber mich immer und überall wiedererkennen können. Das ist also mehr ne juristische Blendgranate, die den Blick aufs Wesentliche vernebelt, neue Probleme schafft und die eigentlichen überhaupt nicht tangiert.

Weiterhin ist Tracking per se erstmal nur auf der/den Webseiten des Betreibers möglich, d.h. der Online-Schuhversand weiß nichts von meinen Suchen nach Briefmarken aus der DDR-Zeit auf ebay und ebay wieder nichts von meiner Vorliebe für Blogs zu Militaria aus dem 19. Jahrhundert. Das klassische Gegenargument wäre jetzt Facebook mit seinem „Like-Button“ (oder Google mit dem Accountcookie), wo das dann doch geht. Das ist zwar korrekt, allerdings genau eines der Problemfelder wo die IP-Adresse herzlich egal ist, denn Facebook/Google trackt darüber eben genau nicht (bzw. kann es ohne IP-Adresse). Hier wäre und ist ein Browseraddon wie „Ghostery“ (http://www.ghostery.com/ ) die passende Lösung und nicht das Verbot des Ansehens von IP-Adressen für jedermann.

Die Schlussfolgerung aus der breiten Landschaft von unterschiedlichen Trackingmechanismen muss daher, unanhängig von der juristischen Auslegung der aktuellen Gesetze) lauten:

Wenn die IP nur ein kleines Mosaiksteinchen in den verschiedenen „Personenmeßpunkten“, nur optionaler Bestandteil des „digitalen Fingerabdrucks“ und obendrein technisch notwendig ist: Warum dann nicht die Fixierung darauf lösen und über die eigentlichen Trackingprobleme und Lösungen (etwa Browser-Addons wie Ghostery) reden? Dieser alleinige Fokus auf IP-Adressen vergiftet die Diskussion und verschleiert den Blick auf eigentliche und wichtigere Probleme und darauf, das man auch bei einer „Keine IPs“-Policy oder mit dem „Wir speichern nicht“-Siegel vor einem böswilliges Tracking ohne weitere, eigene Maßnahmen, nicht geschützt ist. Der Rückzug auf „Ohne IP-Speicherung ist datenschutzmäßig alles in Butter“ ist nicht mehr als „snake oil“ und wiegt einen in falscher und trügerischer Datenschutzsicherheit.

Ausblick: In Teil Zwei werde ich darauf eingehen das eine Änderung der (juristischen) Interpretation von IP-Adressen als personenbezogenes Datum die von RA Stadler angeregte „Entspannung“  herbeiführen könnte und warum. Im Teil Drei versuche ich in die Glaskugel zu schauen und einen Blick auf IPv6 und die damit einhergehenden neuen Herausforderungen bzw. „Alternativlosigkeiten“ zu werden. Natürlich wie immer basierend auf meinem kleinen Küchenlatein 🙂

Advertisements

Über Klaus Peukert

Klaus Peukert, 37 Jahre, verheiratet, Vater eines Sohnes, arbeitet und lebt in Leipzig. Neben Familie und Beruf ist er auf den Fußballplätzen Leipzigs als Schiedsrichter und -beobachter unterwegs. Er interessiert sich für die Weiterentwicklung der Demokratie mit den Werkzeugen des 21. Jahrhunderts und die Herausforderungen des Datenschutzes in einer vernetzten Welt.
Dieser Beitrag wurde unter Uncategorized veröffentlicht. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu IP-Adressen: Teufelszeug oder harmlos? Ein datenschutzkritischer Dreiteiler – Teil 1: Motivation

  1. Johannes Döh schreibt:

    Das stimmt ja so nicht ganz, lieber tarzun>/b>:

    …kondensieren fast immer alleinig an der IP-Adresse, ihrer Speicherung, Verarbeitung und, ganz böse, „Übermittlung in die USA„. Diese, in meinen Augen übertriebene und schädliche Fixierung auf dieses Einzeldatum war neben anderem Grund für mein Engagement in der Spackeria.

    Es wird wohl gerne die IP- Adresse in den Vordergrund gerückt, welche als Einzelmerkmal eigentlich bedeutungslos ist, doch die angeführten Beispiele fixieren sich keineswegs allein auf diese meist temporäre Netzkennung, wie hier dargestellt. Das in den Beispielen erwähnte Google Analytics beschränkt sich eben nicht auf die IP- Adresse, sondern erstellt durchaus so etwas wie einen digitalen Fingerabdruck. Was man damit anfangen kann, ist eine andere Geschichte. Besonders der Abgleich mit anderen erfassten Daten aus anderen Quellen, machen die Erstellung von Profilen erst möglich. Richtig ist, dass die IP- Adresse von Benutzern von Internetforen u.ä. für deren Betreiber eher von geringer Bedeutung ist. Gelegentlich lassen sich damit Spam- Accounts verifizieren im Abgleich mit anderen Accountdaten, also immerhin nützlich für den Betreiber. Für Strafverfolgungsbehörden hingegen ist die IP- Adresse imens wichtig, um eine mögliche Rückverfolgung zu initiieren.
    Datenschutz hat schon seine Berechtigung, aber nur mit Sinn und Verstand eingesetzt. Den Datenschutz dafür generell abschaffen zu wollen, nur weil manche ihn falsch verstehen und falsch anwenden wollen, kann nicht die Zielsetzung einer ideologischen Gruppierung wie Spackeria sein?

    Dieser alleinige Fokus auf IP-Adressen vergiftet die Diskussion und verschleiert den Blick auf eigentliche und wichtigere Probleme…

    Dieser angeblich alleinige Fokus findet man wo…?

  2. Frank schreibt:

    „Wenn die IP nur ein kleines Mosaiksteinchen in den verschiedenen „Personenmeßpunkten““

    Ja, aber der einzige, der einen unmittelbaren Rückschluss auf den Anschluss ermöglicht.
    Die verschiedenen Wiedererkennungsmöglichkeiten wie Browser-Fingerabdruck führen nicht wie die IP-Adresse zurück zu einer geographischen Position und zu einer Person, dem Anschlussinhaber.

    • tarzun schreibt:

      Ich fände es ja jetzt deutlich problematischer, über einen digital fingerprint *persönlich* identifizierbar zu sein, als wenn der Inhaber eines Netzanschlusses (Internetcafebetreiber, Tor-Nodeadmin, Firmenfirewall, offenes Nachbarschafts-WLAN etc.) rückschließbar ist, dem man die Bestellung der neuesten Sextoys oder die YouPorn-Orgie der tatsächlichen Nutzer nun nicht unbedingt zurechnen muss (ganz davon abgesehen, das weder der Sexshop noch YouPorn allein aus der IP-Adresse auch nur den Anschlußinhaber „ermitteln“ könnten, aber, nunje). Wobei auch bei der „Identifizierung“ per digitalem Fingerprint immer noch der Sprung „digitale Entität“ -> „reale Person“ zu machen ist, was, etwa wenn ich mich bei StudiVZ als „Limbo Uffnick“ anmelde, dann der VZ GmbH (bzw. dem Betreiber) regelmäßig schwer fallen dürfte. Das ist eh interessant, da der Betreiber aus seiner Sicht zwar jede Menge Profile von digitalen Entitäten besitzt, aber idR ohne eine sichere Verifizierung über ein Drittsystem (ePA, PostIdent, Kreditkarte, whatever) selbst da nicht sicher weiß welche reale Person sich bspw. hinter „tarzun“ verbirgt. Dazu komme ich aber in Teil 2, genauso wie darauf, das diese rein juristische Betrachtung („Es ist egal, auf welche Person und auf welchem Weg die IP zugeordnet wird) formal korrekt sein mag, aber letztlich mit der Realität massiv kollidiert.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s