Schlagwort-Archive: absolut

(Dynamische) IP-Adresse als personenbezogenes Datum – Von der Fehlinterpretation der Meldung des hessischen Datenschutzbeauftragten

Vor wenigen Tagen hat der Hessische Landesdatenschutzbeauftragte, Prof. Ronellenfitsch, seinen Tätigkeitsbericht für das Jahr 2014 vorgestellt. Auf Twitter ist (in meiner Timeline) insbesondere Punkt 5.4.1 „Personenortung für die Fraport App durch die Fraport AG“ aufgetaucht und zwar unter Headlines wie „Hessischer #Datenschutzbeauftragter: Dynamische IP-Adresse ist nicht per se ein personenbezogenes Datum“ (Telemedicus).

Berichtet hat hierüber auch Dr. Piltz in seinem Blog „De lege data“ und schreibt dort insbesondere:

„Die Erfassung der dynamischen IP-Adresse stellt nach Auffassung des hessischen Datenschutzbeauftragten

“kein datenschutzrechtliches Problem dar.“

Dr. Piltz erläutert anschließend wie folgt:

„Diese Ansicht dürfte einige Beobachter zumindest überraschen. Denn eigentlich gehen die deutschen Datenschutzbehörden schon lange und beständig davon aus, dass IP-Adressen grundsätzlich einen Personenbezug aufweisen … Die Auffassung des hessischen Landesdatenschützers scheint (erfreulicherweise) nun zumindest aber von einer pauschalen „Vorverurteilung“ einer IP-Adresse als personenbezogenes oder personenbeziehbares Datum abzurücken.“

Er weist anschließend auch auf das Fazit des Hessischen Landesdatenschutzbeauftragten hin:

„Eine Identifikation ist nur möglich, wenn die Nutzer während einer Sitzung selbst personenbezogene oder personenbeziehbare Daten hinterlassen. Dies ist nach den vorliegenden Dokumenten nicht der Fall. Deshalb sind dynamische IP-Adressen in diesem Szenario keine personenbeziehbaren Daten.“

Die Einschätzung auf Twitter und im genannten Blog halte ich jedoch für problematisch – nicht ohne Grund könnte die Formulierung von Dr. Piltz auch bewusst vorsichtig gewählt worden sein.

Zum Hintergrund muss man sich vergewärtigen, dass seit Jahren ein Streit um die Personenbeziehbarkeit dynamischer IP-Adressen herrscht (dazu Mantz, ZD 2013, 625 sowie hier  und hier mit weiteren Nachweisen; zu IP-Adressen bei WLANs konkret Sassenberg/Mantz, WLAN und Recht, 2014, Rn. 125, 200). Der BGH hat diese Frage nun auch dem EuGH zur Entscheidung vorgelegt.

Der Streit dreht sich um ein grundsätzliches Problem im Datenschutzrecht, insofern ist die IP-Adresse nur ein einziges Datum, um das sich der Streit quasi als Stellvertreterkrieg dreht: Es geht um die Frage, ob der Begriff der Personenbeziehbarkeit „absolut“ oder „relativ“ zu sehen ist, also ob Daten schon dann als personenbeziehbar anzusehen sind, wenn irgendjemand einen Personenbezug herstellen kann (absoluter Personenbezug) oder nur dann, wenn die konkrete verantwortliche Stelle diesen Personenbezug herstellen kann (relativer Personenbezug).

Wer nun diese beiden Theorien auf den vom Hessischen Landesdatenschutzbeauftragten analysierten Fall anwendet, wird feststellen, dass im konkreten Fall nach beiden Theorien kein Personenbezug vorlag. Denn nach dem beschriebenen Szenario teilt Fraport dem Nutzer eine (wohlgemerkt lokale) dynamische IP-Adresse zu, ohne jemals Daten wie Name und Anschrift zu erhalten. Die dort zugeteilte lokale dynamische IP-Adresse ist also weder für Fraport (relativ) noch für sonst jemanden (absolut) auf eine Person beziehbar.

Anders wäre dies, wenn Fraport bei der Zuteilung der lokalen dynamischen IP-Adresse Name und Anschrift erheben würde (wie es die meisten klassischen Access Provider u.a. zum Zwecke der Abrechnung tun): Dann wäre für den Access Provider die dynamische IP-Adresse personenbeziehbar (relativ), für alle anderen jedoch nicht ohne weiteres (absolut).

Der Tätigkeitsbericht 2014 des Hessischen Landesdatenschutzbeauftragten ergreift daher gerade nicht Stellung in die eine oder andere Richtung, sondern geht vollkommen zu Recht hier von einem fehlenden Personenbezug aus.

Meine Bitte daher an alle: Nicht den Tätigkeitsbericht 2014 als Stimme für die Theorie des relativen Personenbezugs und Abweichung von der Meinung der Landesdatenschutzbeauftragten nennen!

 

Erwähnenswert ist übrigens noch, dass der Hessischen Landesdatenschutzbeauftragte und die Firma Fraport von einem Personenbezug von MAC-Adressen ausgehen. Denn diese werden vor der weiteren Verwendung gekürzt und verändert:

„5.4.1.3

Lösung

Deshalb wurde von mir der Fraport AG ein Konzept vorgeschlagen, mit dem das System nach wie vor noch seine Funktionen erfüllen kann, jedoch die Personenbeziehbarkeit entfällt. Die Personenbeziehbarkeit soll durch die Anwendung eines Algorithmus umgangen werden. Zuerst wird die MAC-Adresse gekürzt, dann ein SALT-Wert angehängt, darauf eine Hashfunktion angewendet und das Ergebnis wieder so gekürzt, dass es wie eine reguläre MAC-Adresse aufgebaut ist. Das Ergebnis ist ein Identifikator.

Der SALT-Wert wird in bestimmten Intervallen, mindestens täglich, neu generiert. Dadurch wird gewährleistet, dass die aus den MAC-Adressen gebildeten Identifikatoren nach Ablauf des Intervalls unterschiedlich sind. Eine Wiedererkennung über den Wechsel ist nahezu unmöglich. Der Identifikator soll gebildet werden, bevor eine Verarbeitung zur Standortbestimmung erfolgt und der SALT-Wert muss eine Zufallszahl sein, die nicht   persistent, das heißt nur im Hauptspeicher, gespeichert wird.

Die serverbasierte Ortung wurde daraufhin von der Fraport AG wie folgt umgesetzt:

Die MAC-Adressen werden von den Access-Points erfasst und über die sogenannte Mobility Solution Engine (MSE) an einen Server übertragen, wo sie durch „Salzen“, „Hashen“ und „Kürzen“ zu einem anonymen Identifikator transformiert werden. Dabei werden die MAC-Adressen nur im Arbeitsspeicher zum Bilden des Identifikators vorgehalten, danach werden sie sofort gelöscht. Der SALT-Wert erfüllt die oben genannten Anforderungen. Der Identifikator und die Access-Point-Daten werden an den Lokalisierungsserver übertragen, der den Standort errechnet. Die MAC-Adresse befindet sich nur kurzzeitig im Arbeitsspeicher, so dass sie für keinen anderen Anwendungsfall genutzt werden kann. Smartphones können nun per FraApp mit ihrer MAC-Adresse am Lokalisierungsserver ihre Position anfragen. Dazu wird die MAC-Adresse des Smartphones von dem vorgeschalteten Server ebenfalls in den Identifikator umgewandelt, dieser dann an den Lokalisierungsserver übertragen und anschließend die MAC-Adresse gelöscht.

Zum Lokalisierungsserver gehört eine Datenbank mit den Datensätzen „letzter erfasster Standort“ und „Identifikator“. Findet der Lokalisierungsserver einen Datensatz mit dem Identifikator des anfragenden Smartphones, kann er dem Smartphone den Standort zusenden, so dass die App dem Nutzer diesen visualisieren kann. Die Standortdaten werden vom Lokalisierungsserver zum Analyseserver übertragen, damit entsprechende Untersuchungen möglich sind.

Mit den dargestellten Anpassungen habe ich keine Vorbehalte mehr gegen die implementierte Ortungsfunktion der Fraport App.“