PHPGangsta - Der praktische PHP Blog

PHP Blog von PHPGangsta


Archive for the ‘Personenbezogene Daten’ tag

IP-Adressen: Personenbezogene Daten oder nicht?

with 12 comments

ix112009

In der iX 11/2009 fand ich einen sehr interessanten Artikel zum Thema „Zu sorglose Speicherung und Weitergabe von IP-Adressen?“. Wir als Informatiker machen uns da eher selten Gedanken drüber, und lassen einfach die Standard-Einstellungen der Software so wie sie sind. Dass dies aber ein Problem sein kann (oder werden kann) zeigt der Artikel recht deutlich.

„IP-Adressen sind nicht personenbezogen“ war mein erster Gedanke, denn es gibt für mich keine Möglichkeit, aus einer IP-Adresse den Namen oder Anschrift des Benutzers herauszufinden.
Das stimmt allerdings nur so lange wie wir über dynamische IP-Adressen reden. Wenn Privatpersonen statische IP-Adressen besitzen, sieht es schon etwas anders aus, denn darüber kann man eine spezielle Person längere Zeit beobachten, auch wenn man nicht direkt an seinen Namen herankommt. Auch bei Firmen ist die Situation eine andere, denn diese kaufen häufig ganze IP-Bereiche, und die Besitzer von IP-Bereichen sind z.B. im RIPE-Register einsehbar, also zurückverfolgbar. Zwar nicht auf eine Person, aber auf eine Firma.

Doch wir wissen auch, dass die Provider (zumindestens einige) Auskunft geben, wem eine bestimmte IP-Adresse zugeteilt wurde, Gott sei Dank nicht jedem Anfragenden, aber mindestens die Staatsanwaltschaft sowie die Vertreter der Rechteinhaber können das mittlerweile, je nachdem an welchen Provider man gerät und wie er zu diesem Thema steht. Da wir aber nicht trennen können zwischen dynamischen und statischen IP-Adressen, müssen wir eher davon ausgehen, dass sie personenbezogen sind, konsequenterweise müssen wir alle IPs gleich behandeln.

Warum sind personenbezogene Daten etwas besonderes? Wir als Entwickler und Betreiber müssen dann besondere Schutzmaßnahmen ergreifen, damit die Daten bestmöglich geschützt sind. Für Kreditkarteninformationen wissen wir das und es ist auch einleuchtend, aber IP-Adressen werden aktuell von fast niemandem als besonders schützenswert angesehen. Die Webserver (Apache, IIS und alle anderen) speichern standardmäßig zu jedem Request die IP-Adresse in einer einfachen Log-Datei.

Natürlich brauchen wir genau die IP-Adressen auch hier und da, um den Dienst am Laufen zu halten, beispielsweise um fehlgeschlagene Login-Versuche mitzuloggen. Auch hat nahezu jeder irgendeinen Apache-Log-Parser laufen, der täglich Statisiken generiert über die Besucher, deren Herkunftsland etc. Stichworte sind da Webalizer, AWStats, Piwik usw. Es gibt Meinungen, die besagen, dass man zur Gefahrenabwehr oder im Fehlerfall Logdateien braucht und für eine gewisse Zeit erheben und aufbewahren darf. Doch das geht einigen schon zu weit in Richtung „verdachtsloser Aufzeichnung des Surfverhaltens“.

Etwas komplizierter wird es, wenn wir diese Daten (die IP-Adressen) an andere Dienstleister senden. Hä, tun wir das? Ja, das tun wir, wenn auch meistens unbewußt! Wenn wir beispielsweise Geo-Location-Dienste nutzen, schicken wir die IP-Adresse zu einem solchen Dienst, und bekommen das Land/Stadt zurück. Natürlich gibt es auch Offline-Datenbanken, aber in der Praxis nutzen viele wahrscheinlich den Online-Dienst. Google Analytics gehört natürlich auch zum Problemfeld, wo wir die Informationen über Besucher an einen amerikanischen Dienstleister weitergeben.

Auch gibt es im Apache die Einstellung, ob Reverse-DNS-Abfragen gemacht werden sollen, die dann geloggt werden. Das selbe gilt für SMTPs wie beispielsweise Postfix, die Reverse-DNS- und DNS-Abfragen machen, um die Gültigkeit einer Domain, das Vorhandensein eines MX-Eintrags, den Reverse-DNS-Eintrag etc. zu prüfen. Des weiteren senden wir zwecks einer DNS-Blacklist-Prüfung die IP-Adresse an einen Blacklist-Dienst (DNSBL, z.B. Spamhaus, NixSpam).

Wir gehen also mit den IP-Adressen unserer User nicht sonderlich sparsam um. Und genau das klarzumachen war Ziel des Artikels, mit dem Aufruf, bereits Vorbereitungen für Pseudonymisierung und andere Methoden zu treffen, um dem Datenschutz gerecht zu werden. Der Autor rät sogar, seine Dienste so aufzubauen, dass man auf die Speicherung auch ganz verzichten können sollte. Wie das ganze mit IPv6 weitergeht bleibt auch noch abzuwarten, wenn jede Person einen mehr oder weniger festen IP-Bereich bekommt, mit all den Vor- und Nachteilen.

Written by Michael Kliewe

Dezember 15th, 2009 at 9:38 am