Kann ein Webseitenbetreiber mit der IP-Adressen Anonymisierung von Webseitenbesuchern verhindern, dass die DSGVO Anwendung findet?
An die Datenschutzaufsicht gelangen immer wieder ähnliche Fragestellungen im Zusammenhang mit dem Betreiben einer Internetseite. Eine davon lautet, ob beim bloßen Besuch einer Internetseite bereits personenbezogene Daten verarbeitet werden. Um diese Frage beantworten zu können, ist es hilfreich, den technischen Ablauf, der sich beim Besuch einer Internetseite abspielt, näher zu betrachten. Grundsätzlich wird vom Endgerät (Client) des Webseitenbesuchers eine Verbindung zum Webserver aufgebaut und in der Folge werden via «http» bzw. «https» Nachrichten ausgetauscht. Unter anderem wird dem Webserver auch die IP-Adresse des Clients mitgeteilt. Dass eine IP-Adresse in der Regel als personenbezogenes Datum zu qualifizieren ist, wurde bereits von verschiedenen Gerichten bestätigt.
Um dies zu umgehen, wird häufig argumentiert, dass mit der Anonymisierung der IP-Adresse des Clients der Anwendungsbereich der DSGVO ausgeschlossen wird. Diese Annahme ist aus mehreren Gründen kritisch zu hinterfragen. Grundsätzlich gilt es, den exakten Anonymisierungsprozess zu analysieren und auf etwaige Schwachstellen zu überprüfen. Doch selbst wenn die IP-Adresse tatsächlich anonymisiert wird, können seitens Webserver weitere (personenbezogene) Daten vom Client angefragt und verarbeitet werden. Als Beispiel können das Browser- oder auch Canvas-Fingerprinting als Methode zur Informationsgewinnung bzw. konkreter, als Methode zur Identifizierung des Clients genannt werden. Anhand verschiedener Browser-Einstellungsmerkmale, installierter Plug-Ins und gegebenenfalls weiterer Parameter ist mit sehr hoher Wahrscheinlichkeit eine Identifizierung einzelner Besucher möglich. Forschende der Princeton University haben auf diese Methoden bereits 2014 in ihrer Arbeit hingewiesen. Die zu Beginn gestellte Frage kann somit nicht generell beantwortet werden. Es kommt darauf an, welche Daten konkret vom Betreiber der Webseite verarbeitet werden. Des Weiteren ist zu beachten, dass gemäß Art. 32 DSGVO die Verfügbarkeit und Belastbarkeit der Systeme und Dienste sicherzustellen ist. Im Sinne der Anforderung der Datensicherheit sind unter anderem entsprechende Protokolldaten beim Webseitenbesuch für einen beschränkten Zeitraum zu speichern. In diesem Zusammenhang ist die zweckmäßige Speicherung von IP-Adressen aus Datenschutzsicht durchaus als angemessen zu betrachten.
Quelle: Datenschutzstelle Fürstentum Liechtenstein
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks