Illusion der Anonymität: Interview zum Thema „Tracking“
Dienstag, 29. Mai 2007, von Anja Assion
Anonymität im Internet gibt es nicht - eine Tatsache, die nicht jedem Internetnutzer klar ist. Denn Überwachung geschieht nicht nur vermehrt im realen Leben, sondern auch in der virtuellen Welt. Meist unbemerkt hinterlässt jeder Surfvorgang Spuren im Netz, welche erfasst und ausgelesen werden können. Wie dies technisch funktioniert, sowie weitere Fragen rund um das Thema „Tracking“, beantwortet Adrian Schneider in folgendem Interview. Adrian ist Programmierer und Technikexperte von Telemedicus.
Anja: Viele werden „Tracking“ nicht kennen, können sich unter dem Namen nichts genaues vorstellen, bzw. wissen nicht einmal, dass es existiert. Kannst du erklären, was der Begriff „Tracking“ ausdrücken soll?
Adrian: „Tracking“ ist die Verfolgung eines Users auf einer Internetseite. Dabei geht es um detaillierte Statistiken, mit denen der Seiteninhaber nachvollziehen kann, welcher Benutzer seiner Internetseite was und wann getan hat.
Das Ganze kann auf zwei Ebenen stattfinden. Die erste Ebene betrifft die eigene Website. Anhand einer Statistik kann man zum Beispiel sehen, dass der gleiche Nutzer einmal um acht und einmal um zehn Uhr die Website abgerufen hat.
„Tracking“ auf der zweiten Ebene funktioniert seitenübergreifend. Interessant ist das etwa im Zusammenhang mit dem Werbeanbieter DoubleClick, der gerade von Google gekauft wurde. Man vermutet, dass auf jeder Internetseite, auf der Werbung von DoubleClick angezeigt wird, DoubleClick seitenübergreifend Nutzerprofile über seine Werbebanner erstellen kann. Die Werbebanner können von Double Click nämlich selbst abgerufen werden.
Man kann also theoretisch (auf der zweiten Ebene), über das halbe Internet nachvollziehen, wie ein User von der einer zur anderen Seite gekommen ist.
Anja: Viele werden „Tracking“ nicht kennen, können sich unter dem Namen nichts genaues vorstellen, bzw. wissen nicht einmal, dass es existiert. Kannst du erklären, was der Begriff „Tracking“ ausdrücken soll?
Adrian: „Tracking“ ist die Verfolgung eines Users auf einer Internetseite. Dabei geht es um detaillierte Statistiken, mit denen der Seiteninhaber nachvollziehen kann, welcher Benutzer seiner Internetseite was und wann getan hat.
Das Ganze kann auf zwei Ebenen stattfinden. Die erste Ebene betrifft die eigene Website. Anhand einer Statistik kann man zum Beispiel sehen, dass der gleiche Nutzer einmal um acht und einmal um zehn Uhr die Website abgerufen hat.
„Tracking“ auf der zweiten Ebene funktioniert seitenübergreifend. Interessant ist das etwa im Zusammenhang mit dem Werbeanbieter DoubleClick, der gerade von Google gekauft wurde. Man vermutet, dass auf jeder Internetseite, auf der Werbung von DoubleClick angezeigt wird, DoubleClick seitenübergreifend Nutzerprofile über seine Werbebanner erstellen kann. Die Werbebanner können von Double Click nämlich selbst abgerufen werden.
Man kann also theoretisch (auf der zweiten Ebene), über das halbe Internet nachvollziehen, wie ein User von der einer zur anderen Seite gekommen ist.
Anja: Welche Daten kann man mithilfe des Trackings erfassen?
Adrian: Wesentliche Daten, die man dadurch erfahren kann sind die IP-Adresse, der Browser, die Bildschirm-Auflösung, die Uhrzeit der Nutzung und der Referer (damit gemeint ist eine Seite, von der aus zur „getrackten“ Seite verwiesen wurde).
Über die IP-Adresse ist es wiederum möglich, genauere Daten über den User herauszufinden: zum Beispiel lässt sich ablesen, aus welchem Staat der User kommt. Spezielle Datenbanken können auch feststellen in welchem Bundesland der Server steht, oder sogar in welcher Stadt.
Anja: Wie kann man anhand einer IP-Adresse genaue Daten ablesen?
Adrian: IP-Adressen bestehen aus 4 Zahlenblöcken, wobei jede Zahl zwischen 0-255 liegt. Bei normalen Internet-Providern erhält man in der Regel bei jedem Einwählen eine neue IP-Adresse – dynamische IP-Adresse genannt. Diese IP-Adressen bewegen sich immer in einem bestimmten Bereich. Zum Beispiel hat die Telekom einen festen IP-Adressen-Block, der nur ihr gehört. War also ein User auf der Seite, der seinen Internetzugang über die Telekom bezieht, so lässt sich dies feststellen.
Anja: Wenn man also über eine IP-Adresse genauere Informationen wissen möchte, wo kann man suchen?
Adrian: Es gibt Datenbanken, die den Internet-Provider und weitere Informationen herausfinden können. Kostenpflichtige Datenbanken enthalten auch etwas genauere Daten, beispielsweise aus welchem Bundesland diese IP-Adresse kommt. Manchmal kann man sogar erfahren aus welcher Stadt eine IP-Adresse stammt, wobei diese Daten eher unzuverlässig sind. Eine solche Datenbank stellt zum Beispiel Maxmind bereit. Das funktioniert im Übrigen so ähnlich wie das „Who-is?“ bei Domains. (Bei der DENIC kann man über eine „Who-Is?-Datenbank“ herausfinden, wer Inhaber einer Domain ist.)
Interessantere Daten erhält man aber bei solchen Nutzern, die über eine statische IP-Adresse verfügen. Die IP-Adresse ist statisch, weil sie sich nicht verändert. Dem User, meist ein Unternehmen, gehört also eine eigene IP-Adresse. Über den Who-is?-Eintrag ist es daher möglich, genau zu sehen, wem die IP-Adresse gehört.
Anja: Eine statische IP-Adresse kann einen User demnach ziemlich genau identifizieren?
Adrian: Ja. Das extremste Beispiel habe ich erlebt, als ich über eine IP-Adresse ganz genau erkennen konnte, dass ein Professor unserer Uni die Homepage besucht hat. Eine IP-Adresse kann nämlich auch einen Host-Namen tragen, welcher einer Domain ähnlich sehen kann. In diesem Fall war der Host-Name mit dem Namen des Professors bezeichnet, auch die Universität und das Institut waren im Namen enthalten.
Anja: Wie werden IP-Adressen denn technisch erfasst?
Adrian: Üblicherweise erfasst der Webserver automatisch selbst eine Statistik. Er legt Logfiles an, anhand derer man überprüfen kann, welche Zugriffe über den Webserver erfolgt sind.
Anja: Kannst du einige Programme nennen, mit denen Tracking möglich ist?
Adrian: Es gibt kostenlose und kostenpflichtige Tracking-Programme: Bekannt sind z.B. die Programme Webalizer oder AWStats, die Logfiles auswerten. Es gibt auch externe Anbieter, wie z.B. Google Analytics, die Daten über eine Website erfassen. Das funktioniert normalerweise über ein eingebundenes Javaskript.
Ein weiterer großer Tracker ist Etracker.
Anja: Du sprichst den Datenschutz an. Kannst du einen Überblick über die datenschutzrechtlichen Probleme geben?
Adrian: Das Kernproblem ist die Frage, ob die IP-Adresse ein personenbezogenes Datum ist und damit das Datenschutzrecht beachtet werden muss. Ein personenbezogenes Datum ist immer dann gegeben, wenn eine Person mithilfe des Datums bestimmbar ist.
Das oben erwähnte Beispiel mit dem Professor macht deutlich, dass anhand einer IP-Adresse durchaus eine Person individuell identifiziert werden kann. In diesem Fall haben wir tatsächlich ein personenbezogenes Datum, das vor allem auch mit anderen Daten, wie der Zeit der Homepage-Nutzung etc., in Zusammenhang gebracht werden kann.
Ich habe vorhin erzählt, dass es beim Tracking auf der zweiten Ebene möglich ist, seitenübergreifend und internetweit Surfen zu beobachten. Dies ist natürlich eine Spur problematischer, weil ganz andere Daten erhoben und ein wesentlich umfangreicheres Nutzerverhalten erfasst werden kann.
Anja: Erfährt der „Getrackte“ etwas von der Erfassung?
Adrian: Nein, in aller Regel erfährt der User nichts davon. Allerdings gelten die Regeln des Telemediengesetzes, wonach der User zu Beginn der Nutzung über die Art und Weise der Datenerhebung, Verarbeitung und Speicherung zu informieren ist. Problem bei dieser Vorschrift ist die Formulierung „zu Beginn des Nutzungsvorgangs“. Wörtlich genommen bedeutete das, dass vor jede Anzeige einer Internetseite, ein Datenschutzhinweis vorgeschaltet werden müsste. Dies ist in der Praxis umzusetzen ist utopisch.
Anja: Das heißt, eine Datenschutzerklärung auf einer eigens dafür vorgesehenen Seite ist ausreichend?
Adrian: Ich gehe davon aus, dass die Rechtsprechung ähnliche Maßstäbe wie für die Impressumspflicht gelten lassen wird. Danach müsste die Datenschutzerklärung über maximal zwei Mausklicke zu erreichen sein.
Als Tracking-Verwender kann man jedoch im Vorhinein datenschutzrechtlichen Problemen entgehen, indem nur Teile der IP-Adresse gespeichert werden. Wenn man davon ausgeht, dass gewisse IP-Adressen als personenbezogene Daten anzusehen sind, müssen konsequenterweise alle IP-Adressen als personenbezogene Daten behandelt werden und sind damit auch datenschutzrechtlich relevant. Speichert oder erfasst man aber nicht die vollständige IP-Adresse, so ist eine eindeutige Identifizierung des Users nicht möglich und es liegt kein personenbezogenes Datum vor. Datenschutzrechtliche Vorschriften müssen dann nicht beachtet werden.
Anja: Aber bisher gibt es dazu noch keine Rechtsprechung.
Adrian: Nein, bisher nicht.
Anja: Kann eigentlich nur der Inhaber der Homepage seine Seite „tracken“, oder ist das auch für jeden anderen möglich?
Adrian: Grundsätzlich kann man Tracking nur auf der eigenen Homepage durchführen. In der Regel hat nämlich nur der Webmaster Zugriff auf die eigene Webseite.
Anja: Gibt es eine Möglichkeit für den Internet-Nutzer sich anonym zu machen?
Adrian: Eine Möglichkeit besteht darin, einen so genannten Proxyserver zu verwenden.
Der Proxyserver lädt für den User eine von ihm gewünschte Seite runter, weshalb das Trackingprogramm nur die IP-Adresse des Proxyservers anzeigt, nicht aber die IP-Adresse des Users. Bestimmte Proxyserver können auch noch andere Informationen, wie beispielsweise den Referer oder den Browser, verschleiern. Als Student der Uni Münster kann man sich zum Beispiel über das VPN der Uni einwählen. Daraufhin erscheint im Trackingprogramm als User der Proxyserver der Uni Münster.
Anja: Danke für das Interview.
Wer an darüber hinausgehenden Informationen zu diesem Thema interessiert ist, kann sich auf der Homepage von "Sicherheit-Online" umschauen. Dort finden sich speziell zum Verschleiern von IP-Adresse und sonstigen Spuren im Netz weitere Hinweise.
Kommentare
Zuerst einmal ist es m.E. längst geklärt: Eine IP ist personenbezogen, da gibt es nichts mehr zu deuten, da §3 BDSG auch mittelbare Bestimmung (etwa durch den Provider) ausreichen lässt.
Die Frage "Ich gehe davon aus, dass die Rechtsprechung ähnliche Maßstäbe wie für die Impressumspflicht gelten lassen wird." ist für mich nicht nachvollziehbar, da das TMG vorgibt, dass der Benutzer bewusst in die verarbeitung personenbezogener Daten einwilligen muss. Eine einfache Datenschutzerklärung ist bei der Verarbeitung personenbezogener Daten daher nicht ausreichend, vielmehr muss der User vorher bewusst einwilligen, wobei er diese Einwilligung widerrufen können muss und die Einwilligung zu protokollieren ist. (§13 II TMG)
Zu beidem habe ich längere Aufsätze geschrieben, die sich im Internet abrufen lassen, einfach bei Google nach "ip personen bezogen" suchen.
Nur nebenbei stelle ich mir die Frage, ob es terminologisch richtig ist, das tracking mit der Logfile Analyse gleichzusetzen: Logfiles werden vom Web-Server erzeugt und unterliegen m.E. dem Privileg des §11 III TMG. Das "echte" Tracking, etwa mittels Cookies, bei dem User durch Maßnahmen - auch über mehrere Server hinweig- verfolgt werden unterliegt dagegen völlig dem Datenschutzrecht des TMG und BDDSG.
Die Frage "Ich gehe davon aus, dass die Rechtsprechung ähnliche Maßstäbe wie für die Impressumspflicht gelten lassen wird." ist für mich nicht nachvollziehbar, da das TMG vorgibt, dass der Benutzer bewusst in die verarbeitung personenbezogener Daten einwilligen muss. Eine einfache Datenschutzerklärung ist bei der Verarbeitung personenbezogener Daten daher nicht ausreichend, vielmehr muss der User vorher bewusst einwilligen, wobei er diese Einwilligung widerrufen können muss und die Einwilligung zu protokollieren ist. (§13 II TMG)
Zu beidem habe ich längere Aufsätze geschrieben, die sich im Internet abrufen lassen, einfach bei Google nach "ip personen bezogen" suchen.
Nur nebenbei stelle ich mir die Frage, ob es terminologisch richtig ist, das tracking mit der Logfile Analyse gleichzusetzen: Logfiles werden vom Web-Server erzeugt und unterliegen m.E. dem Privileg des §11 III TMG. Das "echte" Tracking, etwa mittels Cookies, bei dem User durch Maßnahmen - auch über mehrere Server hinweig- verfolgt werden unterliegt dagegen völlig dem Datenschutzrecht des TMG und BDDSG.
"Zuerst einmal ist es m.E. längst geklärt: Eine IP ist personenbezogen, da gibt es nichts mehr zu deuten, da §3 BDSG auch mittelbare Bestimmung (etwa durch den Provider) ausreichen lässt."
Naja, nicht jede IP ist personenbezogen. Auch nicht jede Statische (denn die Individualisierung des Unternehmens reicht nicht aus). Dass in Sonderfällen jedoch die IP auch personenbezogen sein kann und deshalb jede IP wie ein personenbezogenes Datum zu behandeln ist, habe ich ja erklärt.
"Die Frage "Ich gehe davon aus, [...]" ist für mich nicht nachvollziehbar, da das TMG vorgibt, dass der Benutzer bewusst in die verarbeitung personenbezogener Daten einwilligen muss."
Mit dem Hinweis auf die Informationspflichten im TMG meinte ich den Fall, wo zwar nicht personenbezogen, aber pseudonymisiert getrackt wird. Also § 15 Abs. 3 TMG. Ansonsten ist in der Tat eine Einwilligung notwendig. Wobei mir eine solche Einwilligungserklärung im Zusammenhang mit Tracking in der Praxis noch nicht untergekommen ist.
"Nur nebenbei stelle ich mir die Frage, ob es terminologisch richtig ist, das tracking mit der Logfile Analyse gleichzusetzen"
Im Hinblick auf die Definition von Tracking als "Verfolgung eines Nutzers auf einer Internetseite" können Logfiles/Logfileanalyse durchaus als Tracking bezeichnet werden. Natürlich muss bei Tracking aber nach Art und Umfang differenziert werden.
Eine Privilegierung nach § 11 Abs. 3 TMG sehe ich dem Wortlaut nach bei Logfiles aber nicht. Aber da muss ich gestehen, dass ich mich mit dieser Vorschrift noch nie ernsthaft befasst habe.
Naja, nicht jede IP ist personenbezogen. Auch nicht jede Statische (denn die Individualisierung des Unternehmens reicht nicht aus). Dass in Sonderfällen jedoch die IP auch personenbezogen sein kann und deshalb jede IP wie ein personenbezogenes Datum zu behandeln ist, habe ich ja erklärt.
"Die Frage "Ich gehe davon aus, [...]" ist für mich nicht nachvollziehbar, da das TMG vorgibt, dass der Benutzer bewusst in die verarbeitung personenbezogener Daten einwilligen muss."
Mit dem Hinweis auf die Informationspflichten im TMG meinte ich den Fall, wo zwar nicht personenbezogen, aber pseudonymisiert getrackt wird. Also § 15 Abs. 3 TMG. Ansonsten ist in der Tat eine Einwilligung notwendig. Wobei mir eine solche Einwilligungserklärung im Zusammenhang mit Tracking in der Praxis noch nicht untergekommen ist.
"Nur nebenbei stelle ich mir die Frage, ob es terminologisch richtig ist, das tracking mit der Logfile Analyse gleichzusetzen"
Im Hinblick auf die Definition von Tracking als "Verfolgung eines Nutzers auf einer Internetseite" können Logfiles/Logfileanalyse durchaus als Tracking bezeichnet werden. Natürlich muss bei Tracking aber nach Art und Umfang differenziert werden.
Eine Privilegierung nach § 11 Abs. 3 TMG sehe ich dem Wortlaut nach bei Logfiles aber nicht. Aber da muss ich gestehen, dass ich mich mit dieser Vorschrift noch nie ernsthaft befasst habe.
Hallo Jens! 
Ich würde § 11 Abs. 3 TMG, ohne jetzt näher in die Bücher zu schauen, bei den "Telekommunikationsgestützten Diensten" (§ 3 Nr. 25 TKG) verorten. Insofern wäre die Bestimmung für Logfiles nicht einschlägig.
Ich würde schon sagen, dass es da was zu deuten gibt. Zu der Frage gibt es m.W. keine Rechtsprechung, und die Literatur geht m.E. eher in die andere Richtung: Die dynamische IP ist kein personenbezogenes Datum. Kernfrage ist dabei, ob sich - für den konkreten Normadressaten - ohne weiteres ein Personenbezug feststellen lässt. Der normale Webseitenbetreiber dürfte alleine von einer IP aber noch nicht auf konkrete Personen zurückschließen können; schon deshalb, weil der Provider aus datenschutzrechtlichen Gründen den Personenbezug nicht herstellen wird. Anders wäre das z.B. bei Staatsanwaltschaften etc.
Ich würde § 11 Abs. 3 TMG, ohne jetzt näher in die Bücher zu schauen, bei den "Telekommunikationsgestützten Diensten" (§ 3 Nr. 25 TKG) verorten. Insofern wäre die Bestimmung für Logfiles nicht einschlägig.
> "Eine IP ist personenbezogen, da gibt es nichts mehr zu deuten, da §3 BDSG auch mittelbare Bestimmung (etwa durch den Provider) ausreichen lässt."
Ich würde schon sagen, dass es da was zu deuten gibt. Zu der Frage gibt es m.W. keine Rechtsprechung, und die Literatur geht m.E. eher in die andere Richtung: Die dynamische IP ist kein personenbezogenes Datum. Kernfrage ist dabei, ob sich - für den konkreten Normadressaten - ohne weiteres ein Personenbezug feststellen lässt. Der normale Webseitenbetreiber dürfte alleine von einer IP aber noch nicht auf konkrete Personen zurückschließen können; schon deshalb, weil der Provider aus datenschutzrechtlichen Gründen den Personenbezug nicht herstellen wird. Anders wäre das z.B. bei Staatsanwaltschaften etc.
Abgesehen davon, dass die statische IP einem Rechner, nicht einer Person zugeordnet ist, und der Rechner nicht unbedingt ein Rechner, sondern ein Router sein kann, an dem auch Nachbarn und jedermann auf der Strasse haengen kann, finde ich die Eroerterung nuetzlich und erfrischend.
Ueber die Fehlschluesse statische IP = Person gibt es genug beweisrechtliche Gutachten. Man sollte die Gericht mit der lockeren Gleichstellung von IP und Person nicht verwirren.
Datenschutzrechtlich sollte im allgemeinen dem Gesetzeszweck entsprechend eine Indizwirkung IP(stat)=Person akzeptabel sein, doch auch nicht bei einer strafrechtlichen Datenschutzfrage, also nicht Prof=IP.
Ueber die Fehlschluesse statische IP = Person gibt es genug beweisrechtliche Gutachten. Man sollte die Gericht mit der lockeren Gleichstellung von IP und Person nicht verwirren.
Datenschutzrechtlich sollte im allgemeinen dem Gesetzeszweck entsprechend eine Indizwirkung IP(stat)=Person akzeptabel sein, doch auch nicht bei einer strafrechtlichen Datenschutzfrage, also nicht Prof=IP.
Völlig richtig. Das hatte ich versucht mit dieser Formulierung klarzustellen:
"[...] dass anhand einer IP-Adresse durchaus eine Person individuell identifiziert werden *kann*"
An dieser Stelle ist das Interview auch gekürzt, weil wir ja nur eine Einführung in das Thema geben und uns vor allem auf die technischen Details konzentrieren wollten. Wenn man das Ganze rechtlich ausarbeiten will, kann man ja ganze Bücher damit füllen.
"[...] dass anhand einer IP-Adresse durchaus eine Person individuell identifiziert werden *kann*"
An dieser Stelle ist das Interview auch gekürzt, weil wir ja nur eine Einführung in das Thema geben und uns vor allem auf die technischen Details konzentrieren wollten. Wenn man das Ganze rechtlich ausarbeiten will, kann man ja ganze Bücher damit füllen.
Als Nachtrag zu "IP=Personenbezogenes Datum?":
Der Ansicht, dass dynamische IPs *für Webseiten-Betreiber" keine personenbezogenen Daten darstellen, sind zumindest Herr Robra, Landesdatenschutzbeauftragter Niedersachsen:
http://www.lfd.niedersachsen.de/master/C1568938_N1567942_L20_D0_I560.html
...und RA Dr. Bahr:
http://www.pc-special.net/index.php?option=com_content&task=view&id=622&Itemid=26173
Der Ansicht, dass dynamische IPs *für Webseiten-Betreiber" keine personenbezogenen Daten darstellen, sind zumindest Herr Robra, Landesdatenschutzbeauftragter Niedersachsen:
http://www.lfd.niedersachsen.de/master/C1568938_N1567942_L20_D0_I560.html
...und RA Dr. Bahr:
http://www.pc-special.net/index.php?option=com_content&task=view&id=622&Itemid=26173
Mittlerweile gibt es auch Rechtsprechung zu dem Thema. Siehe:
http://www.telemedicus.info/urteile/Internetrecht/Tracking-von-IP-Adressen/
http://www.telemedicus.info/urteile/Internetrecht/Tracking-von-IP-Adressen/
„Tracking“ ist die Verfolgung eines Users auf einer Internetseite. Dabei geht es um detaillierte Statistiken, mit denen der Seiteninhaber nachvollziehen kann, welcher Benutzer seiner Internetseite was und wann getan hat. Das Ganze kann auf zwei Ebenen st
Aufgenommen: 29.05.2007, 11:11h