Nacktschnecke

Image | CC0 pixabay

Nacktschnecken, IP-Adressen und die DSGVO

Ich kann mich momentan sehr schnell unbeliebt machen. Einfach nur dadurch, dass ich das Offensichtliche ausspreche. Es gibt Dinge, die will eigentlich niemand hören. Beispielsweise, dass es bei der DSGVO um Transparenz und Kontrolle für Betroffene geht, was deren persönliche Daten betrifft. Oder, dass die IP-Adresse eindeutig vom BGH als persönliches Datum bestätigt ist, sogar wenn dynamisch. Und auch, dass beim Laden externer Inhalte auf einer Webseite, IP-Adresse und Referrer des Betroffenen an Dritte übermittelt wird, eventuell ohne Einwilligung oder gar Kenntnis des Betroffenen. Das darf eigentlich nicht passieren. Es sei denn, die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich. Und ob es erforderlicher ist, einen Google Font von extern zu laden als die persönlichen Daten des Besuchers zu schützen, müssen Gerichte entscheiden. Bis das passiert gibt es zu dem Thema nur mehr oder weniger fundierte Meinungen.

Sogar Juristen fehlt manchmal der technische Zugang, das Datenverständnis, hierbei. Tech-Nerds verstehen häufig die Rechtsgrundlagen nicht. Am lautesten Diskutiert im Internet aber der Uwe, der von wirklich gar nichts Ahnung hat, weder von Recht noch von Datenverarbeitung. Das hilft niemandem weiter, Uwe! Alle haben schlaflose Nächte, löschen ihre Blogs und verlieren ihre Existenzgrundlage. Nur weil du, Uwe, im Brustton der Überzeugung wackelige Sachverhalte als die Wahrheit darstellst, und alle damit irre machst.

Juristische Fiktion und rechtliche Realität

Die DSGVO ist vorerst der Traum international agierender Anwälte, die Daten schützen, damit Geld verdienen wollen, und EU-Parlamentarierer von ihren Visionen überzeugen konnten. 

Das damit entstandene Regelwerk wird erst dadurch Realität, dass es mit der Praxis kollidiert. Mitbewerber werden Anwälte anhand des Wettbewerbsrecht beauftragen um Praktiken abzumahnen, die sie für Wettbewerbswidrig halten, weil nicht DSGVO-konform. Gerichte der Bundesländer werden entscheiden, ob und wie schwer (€) der Verstoss ist. Realität und Rechtsicherheit ensteht durch diesen Prozess. Eine langsame und qualvolle Geburt, bei der die Mutter, die digitale Wirtschaft, hoffentlich nicht im Kindbett das Zeitliche segnet. Bis jetzt ist das alles noch nicht festgeschrieben und wird kontrovers Diskutiert, auch von Fachanwälten unter sich. Niemand kennt bisher die Wahrheit, da diese erst durch Rechtsprechung entsteht, die berühmten Präzedenzfälle.

Derweil bemühen sich die Datenschutzbeauftragten der Bundesländer, konkrete Referenzmaßnahmen für die Umsetzung zu erarbeiten. Dabei ist der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern weit vorne mit seinem Massnahmenkatalog zur Umsetzung des Standard Datenschutzmodells (SDM). Das erste Drittel der geplanten Bausteine ist zur Diskussion freigegeben, und die Autoren bitten Anwender darum, ihre Erfahrungen in der Umsetzung mitzuteilen.

Aber wieso Cookies?

Vermutlich wird sich deswegen so an den armen Cookies festgekrallt, weil Google seine AdSense-Benutzer zu einem Cookie-Hinweis verpflichtet hatte. Das war 2015. Die ePrivacy Verordnung, die sich mit der Neuregelung des Umgangs mit Cookies beschäftigen wird, soll frühestens Anfang 2019 kommen. Die ePVO hat es leider nicht mehr in die DSGVO geschafft. Schade. Wir sehen häufig, dass sich ein DSGVO-Consent-Management ausschliesslich auf die Erlaubnis Cookies zu setzen konzentriert. Cookies sind lediglich Text-Schnipsel die im Browser des Benutzers leben, ein Retargeting-Convenience-Mittel. Ich als Benutzer kann sie kontrollieren, unterbinden und auch löschen. Mein Gerät, meine Regeln. Das Laden von Fremdinhalten, also beispielsweise Google Fonts oder JavaScript-Dateien von Dritten, bewerte ich als viel gravierender. Und diese Fremdinhalte, im Browser des Benutzers ausgeführt, setzen unter Umständen Cookies. Das können sie aber nur dann, wenn sie überhaupt geladen werden.

Ausserdem sind Cookies auf Request-Ebene domain-beschränkt. Soll heissen, auf google.com-Cookies kann nur google.com zugreifen. Third-Party-Cookies jedoch sind von z.B. wedbevtrust.com für google.com gesetzte Cookies, auf die dann google.com Zugriff hat. Aber was dabei erlaubt und verboten ist, wird erste erst mit der ePVO geregelt werden.

Und warum nicht IPs?

Die IP-Adresse ist die Grundlage jeglichen Datenaustauschs im Internet. Der Inkognito-Modus des Browsers ändert daran nichts, sondern verhindert lediglich eine Speicherung in Verlauf und Browser-Cache. Die IP-Adresse wird nachwievor nach aussen kommuniziert, damit Daten ankommen können. Man kann die IP zwar per VPN und Proxy verschleiern, aber irgendwer weiss immer, welche IP, und damit welches Gerät, tatsächlich kommuniziert. Im Zweifelsfall der Verschleierungsservice.

Stellen wir uns vor, ich wäre ein grosser Nacktschnecken-Liebhaber. Meine Passion ist zugegebenermaßen ziemlich schrullig und mir daher unangenehm. Ich möchte nicht, dass jemand davon weiss. Wenn ich also Bilder auf nacktschnecken.de betrachte, wäre mir meine Anonymität sehr wichtig. Cookies setzt nacktschnecken.de zwar keine, lädt aber Fremdinhalte von

  • https://bilder.buecher.de
  • https://s3.eu-central-1.amazonaws.com
  • https://logos.affili.net/
  • http://files.rakuten.de/

Durch diesen Vorgang wird ein sogenannter Header dorthin übertragen, um die Resource anzufordern. Darin befindet sich ein Referer falls nicht unterdrückt, also woher der Request kommt, und der User Agent, also Art und Version meines Browsers. Dann wird die angeforderte Resource an meine IP-Adresse ausgeliefert und von meinem Browser geladen. Jeder, der Google Analytics kennt, kann nachvollziehen, wieviel meine IP-Adresse über mich verrät. Daher ist die IP-Adresse eindeutig von der Rechtsprechung mehrfach als persönliches Datum bestätigt, und darf somit nicht ohne meine Einwilligung an Dritte weitergegeben werden.

Zu spät. buecher.de, amazon.com, affili.net und rakuten.de wissen nun anhand meiner IP-Adresse, dass ich auf nacktschnecken.de war. Sogar wie lange, und welche Seiten ich mir angeschaut habe. Vielleicht setzen die Scripte, die von dort geladen wurden, jetzt auch noch Cookies. Wären sie nicht geladen worden, wäre meine IP-Adresse nicht an Dritte übermittelt worden, und Cookies hätten sowieso nicht gesetzt werden können.

Auch wenn es niemend hören möchte, Inhalte von Dritten mit der eigenen Webseite zu laden ist kritisch weil

  • Am 16.05.2017 hat der BGH bestätigt hat, dass sogar dynamische IP-Adressen persönliche Daten sind
  • Durch das Laden externer Inhalte auf meiner Webseite,die IP-Adresse meines Besuchers, ihm unkenntlich, an Dritte übermittelt wird
  • Persönliche Daten verarbeiten und an Dritte übermitteln nur erlaubt ist wenn
    1. die Einwilligung der Person vorliegt
    2. die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist

Falls wir nicht schon vor dem Laden eine Einwilligung vorliegen hatten, wenn wir Google Fonts vom Google CDN einbinden, wird ein Gericht entscheiden müssen, ob dabei ein berechtigtes Interesse vorlag, das schwerer wog als der Schutz des persönlichen Datums meines Webseitenbesuchers.

Wir werden alle sterben!

Das ist faktisch natürlich völlig korrekt, aber bis dahin können wir immerhin strategisch gute Entscheidungen treffen. Wir sollten vielleicht nicht unbedingt auf Uwe hören, der uns versichert es wäre völlig ok Fremdinhalte ohne Einwilligung zu laden, weil Uwe im Fall unserer Abmahnung wohl nicht grosszügig unsere Kosten übernehmen wird, da er uns zu diesem Vorgehen geraten hatte.

Die kugelsichere Variante ist, nur Inhalte vom eigenen Webspace zu laden. Dann müssen wir uns überhaupt keine Gedanken um Cookies und IP-Adressen machen. Das ist mit dem google-webfonts-helper auch ziemlich unproblematisch. Dann kann uns auch egal sein, in welchem Verhältnis wir zu demjenigen stehen, an den die IP-Adresse unserer Besucher nicht übermittelt wird.

Alternativ könnte man sich die Einwilligung des Besuchers einholen, bevor man externe Inhalte lädt. Das ist technisch aufwändiger, und irgendwie uncool, wenn die ganze Seite im generischen Sans Serif dargestellt wird, bevor oder wenn keine Einwilligung erfolgt. Und da hierbei das persönliche Datum IP-Adresse übermittelt wird, ist auch relevant ob das Ziel Auftragsverarbeiter (Processor) mit oder ohne Auftragsverarbeitungsvertrag, Controller oder Joint-Controller ist.

Die mutigste Variante ist mit Abstand, externe Inhalte ohne Einwilligung zu laden, die dann vielleicht sogar Cookies setzen.

Letztendlich werden lediglich Menschen darüber entscheiden, was im Rahmen der DSGVO erlaubt ist und was nicht. Es wird versucht werden, den Geist der DSGVO sinnvoll umzusetzen: Transparenz und Kontrolle für Betroffene. Wir halten die DSGVO für vom Grundsatz her richtig, und den Schutz persönlicher Daten für unbedingt erforderlich. Niemand wird verhungern müssen, wenn pesönliche Daten nicht mehr nach Belieben verscherbeln werden können.