Knapp elf Wochen nach Inkrafttreten stellt sich die Frage: Was ist die DSGVO denn nun? Ein neues Bürokratenmonster aus Brüssel oder eine längst fällige einheitliche Regelung gegen Datenmissbrauch und kommerzielle Vereinnahmung durch die „bösen“ Internet-Giganten? Vermutlich beides.
Gut gemeint ist nicht gut gemacht, heißt es dazu im Volksmund. Noch dazu wurde schlecht gezielt. Sicher, Nutzer und Verbraucher haben mehr Rechte und mehr Möglichkeiten, ihre Daten zu schützen. Das ist gut so. Sicher ist aber auch, dass unzählige kleine und mittlere Unternehmen – von Vereinen, Initiativen, Bloggern ganz zu schweigen - in den letzten Monaten viel Schweiß, Kraft, Arbeitsstunden und (unverhältnismäßig) hohe Kosten investiert haben, um dem neuen Regelwerk gerecht zu werden. Dem BVMW zufolge bringt die DSGVO den Unternehmen bis zu 60 Prozent Mehrbelastung im Bereich Datensicherheit, vor allem durch die anfallende Bürokratie.
Wir sind ja nicht Google, das, wie Heise Online berichtet hat, mal eben 500 Menschenjahre Arbeit in die Umsetzung der DSVGO investiert hat. Das sind in Geld ausgedrückt so um die 190 Millionen Euro. Garniert mit der zynische Bemerkung des zuständigen Datenschutzjustiziars von Google: "Generell sollte die DSGVO nicht überschätzt werden". Das lässt tief blicken.
Dabei muss man sich im Klaren sein, dass Daten – egal ob analog oder digital – die unverzichtbare Grundlage unserer Ökonomie sind. Für fast die Hälfte aller Unternehmen in Deutschland (46 Prozent) ist die Nutzung personenbezogener Daten sogar Grundlage des Geschäftsmodells, hat der Digitalverband BITKOM festgestellt. Neun von zehn Unternehmen (91 Prozent) sagen, dass sie personenbezogene Daten verarbeiten, um Verträge abzuwickeln. Für acht von zehn (80 Prozent) fallen Personendaten bei der Bestandskundenpflege an, drei von vier Unternehmen (76 Prozent) verarbeiten personenbezogene Informationen für IT-Sicherheitszwecke. Fast zwei Drittel (62 Prozent) setzen auf Personendaten, um neue Kunden zu gewinnen. Fazit der Untersuchung: „Praktisch kein Unternehmen kann seine Geschäftstätigkeit ohne personenbezogene Daten durchführen – von der Kundenakquise bis zum Personalmanagement“.
Und hier liegt das Problem: Gerade im Hinblick auf die sogenannten personenbezogenen Daten sind die Anforderungen der DSGVO ein Sicherheitsproblem!
Die DSGVO verlangt, Personen eine Auskunft über die Speicherung von personenbezogenen Daten zu geben, bevor diese erfasst werden. Dieser unscheinbare Passus führt dazu, dass die Datenschutzbestimmungen vieler Webseiten zu einem nicht enden wollenden Wortsalat an Erklärungen werden.
Denn, es reicht es nicht mehr, zu erklären, dass man Informationen wie Name, Vorname, Geburtsdatum und Anrede speichert, dass man erklärt, wie lange und weshalb man die Daten speichert und wann man sie löscht. Jetzt ist man auch gezwungen,
technische Hintergründe zu erklären, die mit diesen Daten in Verbindung stehen.
Erfasst man die Daten auf einer Webseite, dann können diese technischen Parameter schnell überwiegen. Das betrifft nicht nur die Speicherung der IP-Adresse, sondern auch weitere Angaben, die der Browser, der die Webseite anzeigt, mitschickt. Das sind Angaben über das Betriebssystem, den verwendeten Browser, die Uhrzeit der Anfrage und die auf dem Computer eingestellte Sprache.
Damit längst nicht genug. Sind auf der Webseite Module von Drittanbietern integriert, dann müssen diese ebenfalls erwähnt werden, zumindest dann, wenn sie auch eigene Daten erheben. Beispiele dafür sind Analysetools wie Google-Analytics, Werbeplattformen wie Plista, Kartendienste wie Google-Maps, Soziale Netzwerke wie Facebook, eingebundene Schriftarten wie Google Fonts oder fremde Javascript-Bibliotheken wie jQuery. Hier stellt sich die Frage: Welche relevanten Daten werden denn durch diese Drittanbieter erhoben?
Letztendlich geht es um die IP-Adresse des Webseitenbesuchers. Nach einem Urteil des BGH aus dem Jahre 2017 sind IP-Adressen personenbezogene Daten. Alles was im Internet an Nachrichten transportiert wird, bewegt sich von einer IP-Adresse zur nächsten. Damit am Ende eine Antwort auch wieder ihren Empfänger erreicht, braucht es ebenfalls dessen IP-Adresse. Wenn ein Browser an den Webserver eines Portals eine Nachricht schickt, wie zum Beispiel „Zeige mir eine Webseite an“, dann lässt es sich nicht vermeiden, dass dieser Webserver die IP-Adresse erfährt. Auf diesem Weg erfahren auch die Webserver aller eingebunden Services die IP-Adresse.
Im Prinzip ist das Speichern der IP-Adresse für die Zeit, bis eine Antwort erzeugt wird, unproblematisch, denn eigentlich lockert die DSGVO hier die Anforderungen mit der Begründung, dass es technisch schlicht notwendig ist. Aber die Sache hat einen Haken. - Um Sicherheit und Stabilität eines Webservice im Internet zu gewährleisten, ist es unumgänglich, diese IP-Adressen über den Zeitraum der Kommunikation hinaus zu speichern. Nur so ist es beispielsweise möglich, zu erkennen, ob man von einem Hacker angegriffen wird. Beliebt ist zum Beispiel der Sport, einen Service lahmzulegen, in dem man eine Nachricht einfach extrem oft schickt. Hier ist es üblich, dass man solche IP-Adressen für einen gewissen Zeitraum sperrt, damit der eigene Service erreichbar bleibt.
Wie gesagt, im Prinzip hat die DSGVO auch nichts gegen diese Verfahrensweise, sie ist ja technisch notwendig. Leider funkt an dieser Stelle die Entscheidung des BGH dazwischen, die feststellt, dass IP-Adressen personenbezogene Daten sind, also unmittelbar nach der Kommunikation zu löschen sind.
Aus meiner Sicht als Betreiber von Webseiten sind IP-Adressen keine personenbezogenen Daten. Die IP-Adresse erhält der Webseitenbesucher von seinem Internetprovider, nur der könnte einen Bezug von IP-Adresse und Person herstellen. In vielen Fällen geht selbst das nicht, denn ist der Nutzer z.B in einem W-LAN-Netz, kann man nur den Anbieter des W-LAN ausfindig machen, aber nicht die Person, die mit dem Internet-Angebot kommuniziert.
Nichtsdestotrotz wird jedoch damit argumentiert, dass mit Hilfe einer staatlichen Behörde die Herausgabe der Personendaten vom Provider verlangt werden kann. Somit ist der Anbieter sehr wohl in der Lage, auch die Verbindung zwischen Person und IP-Adresse herzustellen, wenn ihm die staatliche Behörde dabei hilft.
Anbieter von Internet-Dienstleistungen stecken deshalb beim Thema IP-Adressen in einem echten Dilemma. Denn sie müssen bei der Speicherung von personenbezogenen Daten dokumentieren, wozu man diese speichert. Hacker könnten so erfahren, welche Sicherheitsmechanismen auf der Prüfung der IP-Adresse aufbauen, und welche nicht.
Kern des Problems sind die gegensätzlichen Ziele, die man mit der DSGVO verfolgt. Zum einen soll ein Missbrauch der Daten der Bürger durch private Firmen verhindert werden, gleichzeitig erteilt die DSGVO staatlichen Behörden einen Freibrief, zukünftig auf alle gespeicherten Daten zuzugreifen. Das regelt die DSGVO ganz geschickt, in dem sie jeden verpflichtet, der personenbezogene Daten auf einem System speichert, mit dem Betreiber des Systems einen Vertrag zur Auftragsdatenverarbeitung abzuschließen. Ein wichtiger Passus ist dort, dass der Betreiber des Systems sich verpflichten muss, bei Aufforderung durch staatliche Behörden die Daten herauszugeben.
Gäbe es die Pflicht zur Herausgabe der Daten an staatliche Behörden nicht, müssten die Anbieter von Internetzugängen die gespeicherten IP-Adressen auch nicht herausgeben, und dann würde die Argumentation des BGH dazu führen, dass IP-Adressen keine personenbezogenen Daten sind. Vieles wäre einfacher…