IITR Datenschutz Blog

Konsequenz aus IPs als personenbezogenen Daten

07.07.2008

Auch wenn ich es erfreulich finde, dass durch die YouTube/Viacom-Geschichte Bewegung in die Einordnung von IPs als personenbezogenes Datum kommt, muss ich nun eine Warnung aussprechen: Wer (so wie ich) dieser Meinung ist, muss die rechtlichen Probleme sehen, die danach kommen.

Wenn die IP nämlich ein personenbezogenes Datum ist, und somit entsprechend §13 TMG einer Einwilligung des Betroffenen zur Erhebung und Übermittlung bedarf, gibt es einige Probleme (die ich schon in meinem ersten Artikel zum Thema dargelegt habe):

  1. Javascripts von externen Servern zu laden, etwa um Werbung oder Analysetools einzubinden, wird nicht mehr möglich sein,
  2. das Einbinden externer Inhalte ist sogar generell nicht ohne weiteres möglich: Nichtmal Bilder darf man von externen Servern her ohne Einwilligung laden, da somit immer die IP des Nutzers an einen Dritten übermittelt wird – ob der das in seinen Logfiles speichert ist nebensächlich, da die Übermittlung in jedem Fall stattfindet!

Dass das nicht Sinn der Sache sein kann liegt auf der Hand, daher plädiere ich seit langem dafür, das Problem schon jetzt anzugehen. Einer meiner Vorschläge ist eine extensive Auslegung des §11 III TMG, der privilegierungen für “Telemedien, die überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen” vorsieht – ich subsumiere hier problemlos nicht nur einen Mailserver, sondern auch einen Webserver, so dass das Einbinden externer Inhalte kein Problem wäre.

Man muss dies nicht unbedingt begrüßen, doch vergrössert sich inzwischen zunehmend der Zwang, sich dieser Frage zu stellen. Solche Ansätze vermisse ich zur Zeit ganz.

Beitrag teilen:

29 Kommentare zu diesem Beitrag:

Adrian

Ich frage mich, ob das Einbinden fremder Grafiken wirklich eine Weitergabe der IP zur Folge hat. Denn technisch gesehen wird da ja vom Seitenbetreiber selbst rein gar nichts übermittelt. Der Browser des Besuchers ruft die Grafik ab und der Server, auf dem die Grafik liegt, speichert dann ggf. die IP. Die eigentliche Erhebung der IP-Adresse liegt also auf Seiten des Grafik-Servers vor.

Bei Statistik-Tools wie Google Analytics hätte man dann aber noch die Besonderheit, dass mit "Weiterleiten" des Nutzers zum fremden Javascript gerade eine Erhebung der IP-Adresse durch den externen Anbieter bezweckt wird.

So jedenfalls meine spontane Überlegung.

Ich kenne die Vorbehalte, mache es aber immer mit einem recht einfachen Beispiel deutlich, dass vor dem Hintergrund der zunehmenden Aktivitäten deutscher Staatsanwaltschaften die Brisanz verdeutlicht:

Wenn der User eine Webseite zum Thema X aufruft und mit nichts strafbarem rechnen muss, dort (warum auch immer) eine auch nur möglicherweise strafbare Grafik vom Server Z geladen wird, auf dem nachweislich diverse strafbare Grafiken hinterlegt sind, wird der User (zu Recht) anmerken, dass er nur durch ein Fehlverhalten des Seitenbetreibers der eigentlichen Webseite in den Fokus der Ermittlungsbehörden gerückt wurde.

Wenn man sich dann die Konsequenzen vor Augen hält (Stigmatisierung durch Ermittlungsverfahren, wirtschaftliche Nachteile durch Einzug vorhandener Hardware) ist hoffentlich verständlich, warum ich die theoretisch mögliche Differenzierung nicht mehr gehen möchte.

Selbst wenn man aber Differenziert bleibt das Problem, dass ich nun mal die Seite X aufgerufen habe und nicht die Seite des Dritten, der meine IP erhält :(

Ein Mensch

Man könnte leicht den Webserver so erweitern, dass es dem Seitenautor erlaubt, die fremden Inhalte aus einer Art virtueller URL zu holen, die den Webserver veranlasst die Inhalte von der realen URL nachzuladen und durchzureichen. Trivial könnte man das als eine Art builtin CGI realisieren, z.B. virt.cgi?url=http://boese.statistik.site.com oder virt.cgi?url=http://kipo.com/hardcore.jpg)

Es ist klar, dass diese virtuelle URL besser nur dann funktionieren sollte, wenn die reale URL auf der betreffenden eigenen Seite vorhanden war. Dazu müsste der Webserver wohl einen kurzlebigen Cache vorhalten.

Man könnte dann im Browser wie gehabt einen Schalter vorsehen, der "cross-site HTML" verbietet oder einen Dialog popt ala "Der Browser will jetzt ihre IP Adresse an den Server kipo.com übertragen. Wollen Sie das zulassen?"

Technisch ist das alles kein Problem.

Adrian

Hmm, ich wüsste jetzt spontan keinen Fall, wo bereits das Anzeigen einer Grafik (was der Nutzer ja gar nicht verhindern kann), bereits zu einer strafbaren Handlung führen würde. Aber okay, der Verdacht könnte entstehen, das sehe ich ein.

Trotzdem kann mE allein aus dem Umstand, dass sich bei dieser Praxis (Einbindung von Inhalten fremder Server) Probleme ergeben, noch kein Datenschutzverstoß begründet werden. Denn das ändert ja nichts daran, dass tatsächlich keine Weitergabe von Daten stattgefunden hat - möglicherweise noch nicht einmal eine Erhebung.

Und die schlichte Weiterleitung zu fremden Inhalten ist ja nicht vom Datenschutzrecht erfasst. Man könnte in dem Zusammenhang höchstens über einen Unterlassungsanspruch aus Störerhaftung nachdenken, wenn - verursacht durch einen Seitenbetreiber - auf einem fremden Server rechtswidrig Daten erhoben werden.

"Denn das ändert ja nichts daran, dass tatsächlich keine Weitergabe von Daten stattgefunden hat"

Doch genau das geschieht: Wenn ich die Webseite eines grossen Autohauses aufrufe, das GoogleAnalytics installeirt hat, dann wird meine IP von dem den ich aufrufe an Google weitergegeben. Also fließen personenbezogene Daten (der Artikel geht ja davon aus, dass die IP eines ist) von einem Anbieter zu einem Dritten. Und ich sehe keinen Unterchied, ob ich ein JS oder ein 1px-GIF-Bildchen einbaue, dessen Aufruf ja ebenfalls zu Logfile-Einträgen beim Dritten mit meiner IP führen *könnte*.

Nachtrag: Ich glaube jetzt weiss ich was du meinst - der Anbieter der Webseite erhebt ja gar nicht die IP selber um diese z.B. an Google zu übermitteln, sondern fördert bestenfalls die direkte Übermittlung an einen Dritten, nimmt sie aber nicht selber vor? Wäre ein Ansatz, hatte ich mal angedacht und dann verworfen. Ich denke nochmal drüber nach :)

Ein Mensch

Das ist der Grund, warum ich Juristen nicht leiden kann. Es ist im Ergebnis doch egal, ob ich in eine Lagerhalle gehe und der Lagerhallenbesitzer mich erschiesst, oder ob ich in die Lagerhalle gehe und beim Drücken der Klinke über ein vom Lagerhallenbesitzer installiertes Zugseilsystem die Schusswaffe selber bediene und mich erschiesse.

Naja, sei mal nicht zu hart zu den Juristen: Wir arbeiten ja trotzdem an einer Lösung. Das Problem ist vielmehr das Gesetz, denn die Frage liegt auf der Hand -zumindest beim eingebauten Bild- : Die Übermittlung ist nicht selbst vorgenommen, wohl aber veranlasst. Kann man das noch subsumieren oder nicht?

Bei GoogleAnalytics stellt sich die Frage für mich dagegen nicht mehr, da hier eindeutig übermittelt wird - die Daten fliessen ja auch in einen Kundenaccount des Users bei GA ein. Das nicht mehr als Übermittlung zu sehen würde mir zu weit gehen.

Adrian

@Ein Mensch: Ein ziemlich sinnfreies Beispiel. Wir diskutieren hier doch über praktische Probleme, wie sie jeden Tag im Internet vorkommen. Und hier muss man nunmal genau differenzieren, um zu wissen, ob und in welchem Fall nun das Einbinden fremder Inhalte zulässig ist oder nicht. Denn dummerweise ist das Gesetz, wie Jens schon gesagt hat, nicht ganz eindeutig.

Ganz kritisch wird das zum Beispiel auch bei Youtube-Videos: Das sind ja auch Inhalte von fremden Servern. Verstößt das nun gegen das Gesetz oder nicht? Das ist doch eine entscheidende Frage!

@Jens: Genau das meinte ich. Dass der Seitenbetreiber selbst die Daten ja gar nicht erhebt, die an den Dritten übermittelt werden.

Google Analytics & Co. würde ich in der Tat auch als Sonderfall behandeln. Denn in diesen Fällen wird ja gerade *im Auftrag* des Seitenbetreibers die IP-Adresse erhoben. Da darf es natürlich keinen Unterschied machen, ob der Betreiber die IP nun auf seinem eigenen oder auf einem fremden Server erhebt.

"Dass der Seitenbetreiber selbst die Daten ja gar nicht erhebt, die an den Dritten übermittelt werden."

Dazu ein Update: Ich wurde bei XING darauf hingewiesen, dass auf Nachfrage bei einer Aufsichtsbehörde mitgeteilt wurde, dass man keinen Unterschied zwischen "übermittelt" und "übermittlung veranlasst" sieht.

So einfach möchte ich es mir aber (noch) nicht machen

Ein Mensch

@Adrian: Genau das wollte ich ausdrücken. Wenn das Gesetz es nicht eindeutig regelt, ist das Gesetz falsch, und nicht der eindeutige Sachverhalt.

Wenn ich als Webseitenbetreiber auf einer Seite - insbesondere auf einer Einstiegsseite - eine serverfremde Grafik einbinde, dann habe ich (bei heutiger Browsertechnik zumindest!) als Besucher der Seite keine Alternative. Es ist *im*Ergebnis* nicht relevant, ob der Webseitenbetreiber meine IP-Adresse direkt übermittelt, oder nur die Übermittlung veranlasst.

Ja, ich habe mich selbst erschossen. Ich hatte die freie Wahl, die Türklinke zu drücken. Da die Tür aber nicht durchsichtig ist, kann ich den Seilzugmechanismus nicht sehen, bis ich die Tür tatsächlich geöffnet habe. Da ist es aber zu spät, die IP-Adresse ist bereits übermittelt.

Adrian

Das Problem wird ja auch nur verschoben. Denn was ist "veranlassen"?

"Denn was ist “veranlassen”?"

Finde ich ehrlich gesagt nicht so schwer, denn die veranlasste Übermittlung liegt alleine beim Seitenbetreiber. Denn:

Wenn ich die Seite aufrufe und er hat nichts eingebaut, findet keine Übermittlung statt - wenn er was einbaut, findet eine statt. Es liegt also alleine in seiner Hand, ob meine Daten an den Dritten übermittelt werden oder nicht. Insofern finde ich das "veranlassen" durchaus sinnvoll und einfach festzustellen.

Adrian

Nun weiß ich als Seitenbetreiber aber ja nicht, ob auf dem Server, von dem ich Daten einbinde, überhaupt Daten erhoben werden oder nicht.

Aber ich gehe davon aus, dass mit der Formulierung des "Veranlassens" vor allem die Lücken geschlossen werden sollen, wo jemand *im Auftrag* eines anderen Daten erhebt, damit sich eine datenerhebende Stelle nicht darauf berufen kann, dass die eigentliche Datenschutzverletzung durch einen Dritten begangen wurde (vergleichbar mit der Beauftragtenhaftung aus § 8 II UWG, § 100 UrhG usw). Das wäre zum Beispiel bei Google Analytics der Fall.

Verfolgt der Seitenbetreiber aber mit der Einbindung der externen Inhalte einen völlig anderen Zweck und werden die Daten in dem Zusammenhang zwangsläufig ohne Wissen und Wollen des Seitenbetreibers erhoben, kann mE nicht von einem "Veranlassen" ausgegangen werden.

"Nun weiß ich als Seitenbetreiber aber ja nicht, ob auf dem Server, von dem ich Daten einbinde, überhaupt Daten erhoben werden oder nicht."

Das mag stimmen, ist aber keine Entlastung, da der andere Anbieter ja jederzeit speichern kann. Die Unsicherheit ist ja gerade das Argument, warum man es kontrollieren muss.

Adrian

Naja, Moment: Jetzt bewegen wir uns doch wieder in einigermaßen bekannten juristischen Gewässern. Für die Frage, ob ich für eine Rechtsverletzung hafte, ist es ja schon von Bedeutung, ob ich vorsätzlich oder fahrlässig gehandelt habe - völlig unabhängig davon, ob ich sie selbst begangen habe oder ob es ein Dritter war. Zumindest muss ich zumutbare Prüfungspflichten verletzt haben.

Und ob ein Webseitenbetreiber die im Verkehr erforderliche Sorgfalt oder auch nur zumutbare Prüfungspflichten verletzt, wenn er ein Video von Youtube in seine Seite einbindet und Youtube daraufhin die IP-Adresse der Nutzer speichert, wage ich schon zu bezweifeln.

Und ich meine auch, dass die Unsicherheit kein ausreichender Grund ist, ein datenschutzrechtliches Verbot anzunehmen. Im Zweifel müssen wir uns fragen, was der Wille des Gesetzgebers war und das Gesetz im Lichte der Verfassung auslegen. Und da gilt nicht "im Zweifel für den Datenschutz". Ganz so einfach ist die Sache IMO nicht.

Obiges ist zwar richtig, geht aber am Thema vorbei: Wenn ich z.B. ein Bild von einem externen Server einbinde, übermittelt der Client, der dieses Bild lädt, immer seine IP an den externen Server - das ist Bestandteil des HTTP-Protokolls.

Die Frage, ob die so übermittelte IP auch gespeichert wird ist für die Frage der Übermittlung ohne Belang - die IP kommt ja drüben an. Die Übermittlung ist ja gerade ein eigener "Tatbestand" neben der Speicherung im BDSG.

"Und ob ein Webseitenbetreiber die im Verkehr erforderliche Sorgfalt oder auch nur zumutbare Prüfungspflichten verletzt, [...]"
Siehe soeben: Es gibt keine Prüfungspflichten. Dass eine IP übermittelt wird lässt sich nicht wegdiskutieren. Die Frage ob sie gespeichert wird mag bestehen, hat aber mit der Übermittlung nichts zu tun.

Übrigens mal nebenbei: Danke für die fruchtbare Diskussion. Gibt viel Anreiz zum Nachdenken, Hinterfragen und Analysieren.

Ich möchte hier mal kurz einen Zwischenstand ziehen: Verstehe ich dich richtig, dass du sagst:

1) Das Einbinden externer Inhalte ist prinzipiell kein Datenschutzverstoß im Sinne des BDSG/TMG, eine Ausnahme ist aber z.B. Google Analytics

2) Wenn Daten auf dem Wege externe Einbindung übermittelt werden, steht dem Betroffenen die Möglichkeit aber offen, gegen den Seitenbetreiber im Wege der Störerhaftung vorzugehen;

3) gegen den Dritten müsste aber dennoch ein Löschungsanspruch bestehen (?)

Soweit korrekt?

Adrian

zu 1: richtig.

zu 2: Ganz im Klaren bin ich mir da selbst noch nicht. Derzeit würde ich sagen: Im Einzelfall nach den Grundsätzen der Störerhaftung, also insbesondere wenn Prüfungspflichten verletzt wurden. In aller Regel würde ich das aber nicht als gegeben sehen. Besonders hier bin ich mir aber noch nicht ganz sicher.

zu 3: Klar, den Dritten treffen alle datenschutzrechtlichen Bestimmungen, sofern er Daten erhebt.

Alles natürlich unter der Maßgabe, dass man IP-Adressen als personenbezogenes Datum betrachtet (was ich ja schon kritisch sehe). Aber die Diskussion müssen wir an dieser Stelle nicht auch nochmal neu führen. ;-)

Adrian

Zum Begriff der "Übermittlung":

Ich hab leider keinen BDSG-Kommentar zu Hause (Beck online sollte da dringend mal nachbessern ;)), deshalb frei aus dem Gedächtnis.

Umfasst der Begriff nicht klassischerweise den Fall, wo eine Stelle Daten erhoben hat und diese dann an eine andere Stelle weitergibt? Es würde mich jedenfalls wundern, wenn das BDSG den reinen Transport von personenbezogenen Daten behandeln würde, ohne dass diese vorher erhoben wurden. Denn dann stünden wir ja vor dem selben Problem, wie am Anfang.

Auch von mir danke. Lange nicht mehr so schön über derart offene Fragen diskutiert. :-)

Jetzt wird es kompliziert - ich habe den Gola/Schomerus hier (leider nicht den Simitis, der ist im Büro). Der GS sieht im übermitteln die reine weitergabe von Daten (§3 Rn.32). Bevor ich hier aber philosophiere (die Möglichkeit gäbe es durchaus), springe ich direkt zu Rn. 36 dort und zitiere: "eine unbefugte Übermittlung kann auch in mittelbarer Täterschaft erfolgen".

Du weißt was jetzt kommt? Ich schreibe es:

Der Seitenbetreiber veranlasst eine Übermittlung personenbezogener Daten in mittelbarer Täterschaft, wobei undoloses Werkzeug der Betroffene selber ist.
Dabei nimmt der Seitenbetreiber zumindest billigend in Kauf, dass der Dritte die IP speichern kann, da ihm ja im Rahmen des HTT-Protokolls klar ist, dass die IP auf jeden Fall übermittelt wird. Ich habe somit auch noch Eventualvorsatz beim Seitenbetreiber konstruiert.

Übrigens finde ich, muss man ehrliche Motiv-Suche bei mir betreiben: Mir liegt etwas daran, das BDSG/TMG anzuwenden, da nur so die Möglichkeit von Bußgeldern eröffnet wird. Andernfalls müsste ich ja mit der Störerhaftung schon zufrieden sein, da ich ja auf dem anderen Weg faktisch die gleichen Ansprüche als Betroffener habe.

Adrian

Naja, die Frage, ob eine "Weitergabe" das vorherige Erheben von Daten voraussetzt, ist damit noch nicht beantwortet.

Aber wo du es schon ansprichst, bringen wir es doch auf den Punkt: Ich persönlich will gerade weg von der unmittelbaren Anwendung von TMG und BDSG. Eben um genau die Bußgeldvorschriften zu vermeiden. Es kann doch nicht sein, dass ich ein Bußgeld riskiere, nur weil ich ein Youtube-Video, ein externes Gadget oder einen Creative-Commons-Button einbinde. Ich kann mir nicht vorstellen, dass das vom Gesetzgeber gewollt ist. Allein schon weil es so extrem weit von der Lebenswirklichkeit entfernt ist und im Ergebnis auch nichts mehr mit informationeller Selbstbestimmung mehr zu tun hat. Ich würde deshalb zur Not sogar so weit gehen, die entsprechenden Vorschriften teleologisch zu reduzieren.

"Naja, die Frage, ob eine “Weitergabe” das vorherige Erheben von Daten voraussetzt, ist damit noch nicht beantwortet."

Ich denke begrifflich schon: Man kann ja nur "weitergeben", was man auch hat. Schlußlogisch muss man also erst erheben und kann dann übermitteln.
Die Sache mit der mittelbaren täterschaft finde ich da momentan auch einfach viel reizender, da so herrlich konstruiert.

Kommentar schreiben:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

https://www.iitr.de/blog/wp-content/uploads/2020/10/chatbot-load.png https://www.iitr.de/blog/wp-content/uploads/2020/10/loading.gif