© WEKA Business Solutions GmbH
A-1200 Wien, Dresdner Straße 45
E-Mail: kundenservice@weka.at
Der Kampf um IP-Adressen: Datenschutz und mehr
Erfahren Sie in diesem Beitrag, was es datenschutzrechtlich bezüglich IP-Adressen zu beachten gilt. Wie steht es um die Vorratsdatenspeicherung?
Was sind IP-Adressen?
Eine IP-Adresse – diese Bezeichnung ist an das dahinterstehende Protokoll TCP/IP angelehnt – ist die Adresse, die ein Gerät in einem Netzwerk genau identifiziert. Ihr Zweck liegt darin, Datenpakete so versenden zu können, dass diese den richtigen Empfänger erreichen. Alle mit einem Netzwerk verbundenen Geräte brauchen eine IP-Adresse, damit eine Kommunikation ermöglicht wird. IP-Adressen werden in verschiedene Bereiche aufgeteilt. Diese unterscheiden sich, abhängig von der geographischen Region und nach dem jeweiligen Provider, dem der Nutzer unterstellt ist. Anhand einer IP-Adresse lässt sich also feststellen, von wo und über welchen Anbieter ein Nutzer Zugang zum Internet erhält. Im Gegensatz zur dynamischen IP-Adresse, die nach bestimmten Kriterien häufig neu vergeben wird, bleibt eine feste IP-Adresse immer gleich.
Eine IP-Adresse hat folgendes Format: „192.168.217.178“
Es wird unterschieden, zwischen IPv4-Adressen und IPv6-Adressen. Erstgenannte bestehen aus 12 Ziffern, während IPv6 sogar 32 Stellen aufweist und aus einer Zahlen-Buchstaben-Kombination erstellt wird. Der Grund für die Einführung von IPv6-Adressen lag insbesondere darin, dass im IPv4-Modell zu wenige mögliche Kombinationen möglich waren, um im digitalen Zeitalter die Einmaligkeit zu gewährleisten, diese sind zudem sicherer als IPv4-Adressen.
Datenschutz für IP-Adressen: Wozu eigentlich?
In der Regel gilt, dass bloß statistische Daten, Daten über eine bestimmte Maschinenleistung oder Ähnliches grundsätzlich keine personenbezogenen Daten darstellen, da diese Informationen keine Aussagekraft hinsichtlich einer bestimmten oder bestimmbaren Person besitzen. Auf den ersten Blick könnte man meinen, es handle sich hier lediglich um Daten, die keine Relevanz hinsichtlich des Datenschutzes aufweisen. Dies ist jedoch ein Irrtum.
Daten, die keinen Personenbezug besitzen, können sich dennoch über Umwege als personenbezogene Daten entpuppen. Dies ist etwa dann der Fall, wenn der Verantwortliche im Sinne der Datenschutzgrundverordnung (DSGVO) rechtliche Möglichkeiten hat, um mit Hilfe Dritter die betroffene Person durch eine dynamische IP-Adresse identifizieren zu lassen.
Identifizieren mittels IP-Adressen
Damit geklärt werden kann, ob eine natürliche Person ausfindig machbar ist, müssen alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren. Hierbei können auch objektive Kriterien, wie etwa die Kosten der Identifizierung oder der Zeitaufwand in die Berücksichtigung einbezogen werden.
Ein ursprünglich nicht bestehender Personenbezug kann auch im Nachhinein neu entstehen. Es ist zu beachten, dass auch die bei der Erhebung absehbaren künftigen technologischen Entwicklungen zu berücksichtigen sind. Es ist daher zu überlegen, ob aufgrund technologischer Entwicklungen in absehbarer Zukunft ein Personenbezug herstellbar sein wird.
Im Ergebnis lässt sich festhalten, IP-Adressen sind nach der Auffassung des EuGH als personenbezogene Daten zu qualifizieren. Aus diesem Grund fällt sie unter den Anwendungsbereich der DSGVO. Deshalb dürfen Webseitenbetreiber etwa IP-Adressen nur dann speichern, wenn dies unerlässlich für die Bereitstellung eines Angebots ist bzw eine Einwilligung vorliegt.
Datenschutzerklärung: „DSGVO-konform“
Aus den genannten Gründen ist auch hinsichtlich des Umganges mit IP-Adressen diesbezüglich eine Erklärung hinsichtlich der Speicherung auf Webseiten erforderlich. Hier ein Vorschlag für die Ausgestaltung:
„Die IP-Adresse wird in den Logfiles unseres Systems abgespeichert. Eine Ablage dieser Daten zusammen mit anderen personenbezogenen Daten des Nutzers erfolgt nicht. Die vorübergehende Speicherung der IP-Adresse ist zwingend erforderlich, um die Darstellung der Webseite am Endgerät des Nutzers zu ermöglichen. Aus diesem Grund muss die IP-Adresse des Nutzers für die Dauer der Nutzung gespeichert werden. Dies ist unumgänglich, um die Funktionsfähigkeit der Website zu ermöglichen. Weiters wird die IP-Adresse zur Optimierung der Website und zur Sicherstellung der Sicherheit unserer informationstechnischen Systeme eingesetzt. Die Nutzung der IP-Adresse zu Marketingzwecken erfolgt ausnahmslos nicht. Sämtliche IP-Adressen werden automatisch gelöscht, sobald diese für die Erreichung des Zweckes nicht mehr erforderlich sind. Im Falle der Erfassung der IP-Adresse zur Bereitstellung der Website ist dies jener Zeitpunkt, in dem die laufende Sitzung beendet wird. Im Falle der Speicherung einer IP-Adresse in Logfiles erfolgt dies nach spätestens sieben Tagen Speicherdauer automatisch. Falls es zu einer darüberhinausgehenden Speicherung kommt, werden die IP-Adressen der Nutzer anonymisiert, sodass ein Personenbezug nicht mehr herstellbar ist.“
IP-Adressen im strafrechtlichen Kontext
Sicherheitsbehörden haben das Recht, von Betreibern von Kommunikationsdiensten nach § 53 Abs 3a SPG folgende Daten zu erheben:
- Name, Anschrift und Teilnehmernummer eines bestimmten Anschlusses
- IP-Adresse zu einer bestimmten Nachricht und den Zeitpunkt ihrer Übermittlung
- Name und Anschrift eines Benutzers, dem eine IP-Adresse zu einem bestimmten Zeitpunkt zugewiesen war
Erforderlich ist hierbei jedoch, dass bestimmte Tatsachen die Annahme einer konkreten Gefahrensituation rechtfertigen und dass die abgefragten Daten für die Sicherheitsbehörden eine wesentliche Voraussetzung für deren Aufgabenerfüllung darstellen.
Eine konkrete Gefahrensituation liegt insbesondere vor, wenn seit dem relevanten Zeitpunkt nicht mehr als 48 Stunden vergangen sind. Jede Anfrage, die weiter zurück reicht, erfordert eine ausführliche Begründung.
Das zuständige Bundesministerium hat zur Konkretisierung der Regelung einen Erlass veröffentlicht, der hinsichtlich der konkreten Gefahrensituation festhält, dass diese dabei nicht mit einer „gegenwärtigen Gefahr“ im Sinne des § 53 Abs 3b SPG zu verwechseln sei, sondern Tatsachen bestehen müssen, die den Verdacht einer sicherheitspolizeilich zu begegnenden Gefahr begründen oder verfestigen. Die soeben genannten Tatsachen können eingelangte Anzeigen oder Hinweise sein, aufgrund derer zulässigerweise auf die Erforderlichkeit einer sicherheitspolizeilichen Handlung geschlossen werden kann, wie etwa zum Zwecke der Gefahrenabwehr.
Außerdem sieht das Gesetz vor, dass Betreiber von Kommunikationsdiensten verpflichtet sind, Verwaltungsbehörden auf deren schriftliches und begründetes Verlangen Auskunft über Stammdaten zu geben, die den Verdacht nahelegen, dass durch eine über ein öffentliches Telekommunikationsnetz gesetzte Handlung eine Verwaltungsübertretung begangen wurde (siehe hierzu § 90 Abs 6 TKG).
Eine weitere Herausgabepflicht der Netzbetreiber enthält die Regelung des § 18 Abs 2 ECG. Diese müssen aufgrund der Anordnung eines dazu gesetzlich befugten inländischen Gerichtes diesem alle Informationen übermitteln, anhand derer die Nutzer ihres Dienstes zur Verhütung, Ermittlung, Aufklärung oder Verfolgung gerichtlich strafbarer Handlungen ermittelt werden können.
Gemäß der Bestimmung des § 138 Abs 2 StPO müssen Anbieter „Auskunft über Daten einer Nachrichtenübermittlung“ (§ 134 Z 2 StPO) erteilen und an einer Überwachung von Nachrichten (§ 134 Z 3 StPO) mitwirken. Diese Herausgabe- bzw Mitwirkungspflicht, der Umfang, sowie die allfällige Verpflichtung, mit der Anordnung und Bewilligung verbundene Tatsachen und Vorgänge gegenüber Dritten geheim zu halten, hat die Staatsanwaltschaft dem Anbieter mittels einer separaten Anordnung aufzutragen. Solche Anordnungen müssen die darauf basierende gerichtliche Bewilligung enthalten.
Wie steht es um die Vorratsdatenspeicherung?
Die IP-Adresse ist auch im Rahmen der Vorratsdatenspeicherung relevant. Der Europäische Gerichtshof (EuGH) hat 2016 die anlasslose Vorratsdatenspeicherung als zulässig erklärt und die dahinterstehende EU-Richtlinie zur Vorratsdatenspeicherung vollständig behoben. Nach Ansicht des EuGH sei die Gefahr zu groß, dass ein datenschutzrechtlicher „Supergau“ droht. Es wurde jedoch klar darauf hingewiesen, dass Ausnahmen möglich sind, sofern es sich um Angelegenheiten der Bekämpfung schwerer Kriminalität oder einer Bedrohung der nationalen Sicherheit handle.
In Österreich hat der Verfassungsgerichtshof im Jahr 2014 die Bestimmungen zur flächendeckenden Vorratsdatenspeicherung ersatzlos aufgehoben. Im Jahr 2017 wurde die Anlassdatenspeicherung als Nachfolgeregelung festgelegt. Verbindungsdaten dürfen demnach für bis zu zwölf Monate eingefroren werden, vorausgesetzt, es liegt eine staatsanwaltschaftliche Anordnung vor.