PHPGangsta - Der praktische PHP Blog

PHP Blog von PHPGangsta


IP-Adressen: Personenbezogene Daten oder nicht?

with 12 comments

ix112009

In der iX 11/2009 fand ich einen sehr interessanten Artikel zum Thema „Zu sorglose Speicherung und Weitergabe von IP-Adressen?“. Wir als Informatiker machen uns da eher selten Gedanken drüber, und lassen einfach die Standard-Einstellungen der Software so wie sie sind. Dass dies aber ein Problem sein kann (oder werden kann) zeigt der Artikel recht deutlich.

„IP-Adressen sind nicht personenbezogen“ war mein erster Gedanke, denn es gibt für mich keine Möglichkeit, aus einer IP-Adresse den Namen oder Anschrift des Benutzers herauszufinden.
Das stimmt allerdings nur so lange wie wir über dynamische IP-Adressen reden. Wenn Privatpersonen statische IP-Adressen besitzen, sieht es schon etwas anders aus, denn darüber kann man eine spezielle Person längere Zeit beobachten, auch wenn man nicht direkt an seinen Namen herankommt. Auch bei Firmen ist die Situation eine andere, denn diese kaufen häufig ganze IP-Bereiche, und die Besitzer von IP-Bereichen sind z.B. im RIPE-Register einsehbar, also zurückverfolgbar. Zwar nicht auf eine Person, aber auf eine Firma.

Doch wir wissen auch, dass die Provider (zumindestens einige) Auskunft geben, wem eine bestimmte IP-Adresse zugeteilt wurde, Gott sei Dank nicht jedem Anfragenden, aber mindestens die Staatsanwaltschaft sowie die Vertreter der Rechteinhaber können das mittlerweile, je nachdem an welchen Provider man gerät und wie er zu diesem Thema steht. Da wir aber nicht trennen können zwischen dynamischen und statischen IP-Adressen, müssen wir eher davon ausgehen, dass sie personenbezogen sind, konsequenterweise müssen wir alle IPs gleich behandeln.

Warum sind personenbezogene Daten etwas besonderes? Wir als Entwickler und Betreiber müssen dann besondere Schutzmaßnahmen ergreifen, damit die Daten bestmöglich geschützt sind. Für Kreditkarteninformationen wissen wir das und es ist auch einleuchtend, aber IP-Adressen werden aktuell von fast niemandem als besonders schützenswert angesehen. Die Webserver (Apache, IIS und alle anderen) speichern standardmäßig zu jedem Request die IP-Adresse in einer einfachen Log-Datei.

Natürlich brauchen wir genau die IP-Adressen auch hier und da, um den Dienst am Laufen zu halten, beispielsweise um fehlgeschlagene Login-Versuche mitzuloggen. Auch hat nahezu jeder irgendeinen Apache-Log-Parser laufen, der täglich Statisiken generiert über die Besucher, deren Herkunftsland etc. Stichworte sind da Webalizer, AWStats, Piwik usw. Es gibt Meinungen, die besagen, dass man zur Gefahrenabwehr oder im Fehlerfall Logdateien braucht und für eine gewisse Zeit erheben und aufbewahren darf. Doch das geht einigen schon zu weit in Richtung „verdachtsloser Aufzeichnung des Surfverhaltens“.

Etwas komplizierter wird es, wenn wir diese Daten (die IP-Adressen) an andere Dienstleister senden. Hä, tun wir das? Ja, das tun wir, wenn auch meistens unbewußt! Wenn wir beispielsweise Geo-Location-Dienste nutzen, schicken wir die IP-Adresse zu einem solchen Dienst, und bekommen das Land/Stadt zurück. Natürlich gibt es auch Offline-Datenbanken, aber in der Praxis nutzen viele wahrscheinlich den Online-Dienst. Google Analytics gehört natürlich auch zum Problemfeld, wo wir die Informationen über Besucher an einen amerikanischen Dienstleister weitergeben.

Auch gibt es im Apache die Einstellung, ob Reverse-DNS-Abfragen gemacht werden sollen, die dann geloggt werden. Das selbe gilt für SMTPs wie beispielsweise Postfix, die Reverse-DNS- und DNS-Abfragen machen, um die Gültigkeit einer Domain, das Vorhandensein eines MX-Eintrags, den Reverse-DNS-Eintrag etc. zu prüfen. Des weiteren senden wir zwecks einer DNS-Blacklist-Prüfung die IP-Adresse an einen Blacklist-Dienst (DNSBL, z.B. Spamhaus, NixSpam).

Wir gehen also mit den IP-Adressen unserer User nicht sonderlich sparsam um. Und genau das klarzumachen war Ziel des Artikels, mit dem Aufruf, bereits Vorbereitungen für Pseudonymisierung und andere Methoden zu treffen, um dem Datenschutz gerecht zu werden. Der Autor rät sogar, seine Dienste so aufzubauen, dass man auf die Speicherung auch ganz verzichten können sollte. Wie das ganze mit IPv6 weitergeht bleibt auch noch abzuwarten, wenn jede Person einen mehr oder weniger festen IP-Bereich bekommt, mit all den Vor- und Nachteilen.

Written by Michael Kliewe

Dezember 15th, 2009 at 9:38 am

12 Responses to 'IP-Adressen: Personenbezogene Daten oder nicht?'

Subscribe to comments with RSS or TrackBack to 'IP-Adressen: Personenbezogene Daten oder nicht?'.

  1. IP-Adressen zu speichern, macht nur dann Sinn, wenn der Benutzer auch wirklich zugewiesen werden muss. Ich meine damit nicht ein Logfile sondern eher eine Bestellung oder auch Kontaktaufnahme.

    MrBoolean

    15 Dez 09 at 10:25

  2. Wofür braucht man bei einer Bestellung oder Kontaktaufnahme die IP-Adresse? Die wird dir wahrscheinlich auch nicht helfen, falls jemand falsche Angaben in den Formularen gemacht hat, wegen einer falschen Kontaktaufnahme kann man ja schliesslich nicht zum Staatsanwalt laufen, bei einer Bestellung müßte auch schon ein großer Schaden entstanden sein, damit sich der Weg zum Anwalt lohnt, um mit der IP-Adresse etwas anfangen zu können.

    Das einzige, was ich evtl. zählen lassen würde wäre eine Begrenzung von Bestellungen oder Kontaktaufnahmen pro IP-Adresse, ähnlich wie man es bei einem Login macht, um Brute-Force zu unterbinden. Dazu würde aber wahrscheinlich auch eine verfälschte/pseudonymisierte IP-Adressen-Speicherung ausreichen. Man könnte dazu auch einfach einen Hash der IP-Adresse (MD5, SHA1) speichern, das würde auch funktionieren, um wiederkehrende Adressen zu erkennen und zu blocken.

    Michael Kliewe

    15 Dez 09 at 10:57

  3. Gibt es denn Rechtsurteile in wie weit IP-Adressen personenbezogene Daten sind? Wird hierbei in dem Artikel eingegangen?

    Ulf

    15 Dez 09 at 11:36

  4. @Michael Kliewe:
    Es gibt die Möglichkeit über Gericht zu bewirken, dass bei einer verbindlichen Bestellung die IP Adresse geprüft wird, wenn bspw. der Käufer behauptet er hat es nicht gekauft.

    Es ist durchaus Sinnvoll!

    MrBoolean

    15 Dez 09 at 11:46

  5. @Ulf: Ja, da gibt es Rechtsurteile, leider keine eindeutigen.
    Kannst ja mal ein wenig googlen oder hier schauen:
    http://www.ip-adressen-recht.de/personenbezogen/
    http://www.datenschutzbeauftragter-online.de/ist-die-ip-adresse-personenbezogen/
    http://www.heise.de/newsticker/meldung/Gericht-IP-Adressen-sind-keine-personenbezogenen-Daten-210449.html
    http://www.linksandlaw.de/ip-adresse-personenbezogen.htm

    Fazit: Es ist umstritten und es gibt kein aussagekräftiges Urteil.

    @MrBoolean: Ab welchem Warenwert wird das wirklich so gemacht? Und wenn man die IPs speichert, muss man die Daten nach der Abwicklung der Bestellung auch zeitnah löschen. Das tun auch die wenigsten.

    Michael Kliewe

    15 Dez 09 at 12:01

  6. Im Grunde macht es dann doch nur Sinn die IP Adresse zu speichern, wenn man diese brauchen könnte, um Rechtsansprüche geltend zu machen. Mir fällt auf die Schnelle gerade nichts ein, wo dies im Internet der Fall ist. Die hier genannte Bestellung halte ich für ziemlich unsinnig, da der „Kunde“ gar nicht behaupten braucht, die Bestellung nicht aufgegeben zu haben, sondern aufgrund des Widerrufrechts diese einfach grundlos zurückgehen lassen kann. Für alle anderen Fälle reicht die Speicherung eines Hash ja locker aus!? Was gibt es für Szenarien, wo man die IP wirklich brauchen könnte?

    Udo

    15 Dez 09 at 14:17

  7. Danke für die Links! Die umstrittene Rechtssprechung, vor allem die widersprüchlichen Urteile aus Münschen und Berlin, waren mir bekannt.

    Interessant finde ich es, dass auch jeder Google verteufelt und IP-Adressen Logging verurteilt, aber es dann selber einsetzt. Ich meine damit im übrigen nicht explizit diesen Blog sondern es fällt mir generell in der Blogossphäre auf.

    Ulf

    15 Dez 09 at 15:04

  8. @Udo: ich denke mal beispielsweise in Foren oder auch bei Kommentaren in Blogs, Gästebüchern etc.? Ich denke da an Beleidigungen, diffamierende Äusserungen bis hin zu verfassungsfeindlichen Äusserungen.

    Daniel

    16 Dez 09 at 07:47

  9. Es ist klar, dass nicht jede Firma so auf Datensicherheit achtet. Ich nehme an die meisten werden die IP-Adressen speichern.

    Einfach aus Gründen die den eigenen Schutz betreffen.

    MrBoolean

    16 Dez 09 at 14:11

  10. Ich möchte nur mal Augenzwinkernd darauf hinweisen, das Du die Email Adresse Deiner Besucher dauernd an Gravatar sendest. Es steht natürlich jedem frei eine falsche Email Adresse zu verwenden, aber das ändert ja nichts an der Tatsache das es passiert.

    Zumal sich ja dann auch noch mein Browser die Bilder bei Gravatar holt (bei jedem Blogseiten Aufruf) und die somit mein Surfverhalten auch prima protokollieren können.
    Das zu deaktivieren ist für Otto-Normal Surfer noch deutlich schwerer als Google Analytics via NoScript zu „deaktivieren“.

    Kevin

    18 Dez 09 at 23:01

  11. Ein sehr schönes Beispiel!

    Michael Kliewe

    19 Dez 09 at 11:56

  12. […] verknüpft. Außerdem werden die IP-Adressen unserer Besucher bei Google preisgegeben, was evtl. ein Problem sein kann oder werden kann. Sobald wir über das freie Kontigent kommen, müssen wir Geld bezahlen. Das ist aber häufig […]

Leave a Reply

You can add images to your comment by clicking here.