Die IP-Adresse ist ein personenbezogenes Datum und bedarf der Einwilligung

Für viele Marketeers sind die Regelungen der DSGVO immer noch ein Buch mit sieben Siegeln. Manche verkriechen sich in ein Schneckenhaus in der Hoffnung, dass dieses Thema sie nicht direkt betreffen wird. Dabei sind viele Vorschriften der DSGVO nur Konkretisierungen von Regeln, die bereits vorher galten. So war der Versand eines Newsletters ohne Zustimmung des Empfängers schon immer verboten – das galt schon zu Zeiten des guten alten Fax-Geräts.

Wer sich vor der Einführung der DSGVO mit dem Thema Datenschutz und Erfassung von Informationen auseinandergesetzt hat, der hat gute Voraussetzungen. Wer aber bislang eher sorglos mit Kundendaten umgegangen ist, dessen Probleme sind größer geworden.

Wenn man selber an persönliche Daten denkt, dann sind klassischen Angaben wie vollständiger Name, Wohnanschrift, Kreditkarten-Nummer, Ausweis-Nummer, Arbeitsplatz oder Geburtsdatum naheliegend. Im digitalen Zeitalter gibt es allerdings noch weitaus mehr persönliche Informationen. Dazu gehören unter anderem die E-Mail-Adresse, Social-Media-Profile, im Internet geteilte Inhalte und die IP-Adresse. Erfahren Sie hier mehr darüber, was personenbezogene Daten sind.

Beim täglichen Surfen im Internet spielt sich im Prinzip immer der gleiche Vorgang ab. Wer eine Website aufruft – nennen wir sie www.musterseite.de – der startet einen Suchauftrag nach einer bestimmten IP-Adresse. Jedes Gerät im Internet hat eine solche individuelle IP-Adresse – man kann sie auch als Hausnummer bezeichnen. Wenn die IP-Adresse dieser Seite gefunden ist, dann nimmt der eigene Browser direkt Kontakt mit der gewünschten Website auf. Bei dieser Kontaktaufnahme fließen bereits zahlreiche Information vom eigenen Computer: die eigene IP-Adresse, die Art des Gerätes, das Betriebssystem und der Browser. Diese Informationen sind für den Aufruf einer anderen Website technisch erforderlich, denn sonst können die Informationen nicht passend angezeigt werden.

Über die IP-Adresse lässt sich ermitteln, welcher Internet-Provider genutzt wird und aus welcher Region der Nutzer stammt. Weitere Daten sind unter anderem Zeitzone, Systemschriftarten, installierte Plug-Ins oder die Bildschirmauflösung. Die kumulierten Daten sind so individuell, dass sie oftmals auch als sog. digitaler “Fingerprint” bezeichnet werden.

Mit einem gewissen technischen Aufwand kann schlussendlich auch aus der IP-Adresse der individuelle Nutzer – oder zumindest der genutzte Computer ermittelt werden. Die verschiedenen Urteile wegen Verbreitung von Raubkopien in den vergangenen Jahren sind ein deutlicher Beweis für diese technischen Möglichkeiten – auch ohne eine Vorratsdatenspeicherung. Personenbezogene Daten sind Angaben jeglicher Art, die sich auf eine zumindest theoretisch identifizierbare Person beziehen (Art. 4 Nr. 1 DSGVO). Es reicht also, dass die Person mit Hilfe der zur Verfügung stehenden Daten identifiziert werden könnte.

So ist es nicht weiter erstaunlich, dass bereits im Jahr 2017 der Europäische Gerichtshof und der Bundesgerichtshof entschieden haben, dass es sich bei der IP-Adresse um personenbezogene Daten handelt. Für die Betreiber von Websites wird daher die Umsetzung der Regelungen der DSGVO deutlich anspruchsvoller. Wie oben beschrieben, fließen bereits beim Aufrufen der Website Informationen an den Betreiber, die personenbezogen sind. Der Betreiber ist daher nach den DSGVO-Regelungen unter anderem dazu verpflichtet, die Einwilligung des Nutzers einzuholen, die Speicherung von Informationen zu dokumentieren und auch einen Widerspruch der Speicherung zu ermöglichen.

Vielen Marketeers war sicher schon bewusst, dass Werbe-Cookies personenbezogene Daten sind – selbst wenn diese anonymisiert sind. Der Nutzer kann durch eine größere Menge von Cookies und Verhaltensmerkmalen wieder identifiziert werden. Diese Meta-Daten oder Nutzerprofile sind für das Online-Business extrem wertvoll. Sie sind aber praktisch wertlos, wenn die Erhebung dieser Daten nicht DSGVO-konform erfolgte.

Für eine DSGVO-konforme Einwilligung gelten sieben Kriterien:

1. Die Zustimmung muss freiwillig erfolgen.
2. Der User muss informiert sein.
3. Eine explizite Zustimmung ist notwendig.
4. Eine Cookie-spezifische bzw. granulare Zustimmung muss möglich sein.
5. Die Zustimmung muss vorab erfolgen.
6. Es gibt eine umfangreiche Dokumentationspflicht.
7. Der User muss die Möglichkeit zum Widerruf haben.

Wichtig ist dabei, dass alle Kriterien durch den Website-Betreiber zu erfüllen sind. Eine ausführliche Beschreibung in unserm Artikel „7 Kriterien einer DSGVO-konformen Einwilligung„.

Eine Consent Management Platform (CMP) wie Usercentrics erfüllt diese DSGVO-Anforderungen und bietet dem Websiten-Betreiber damit größtmögliche Rechtssicherheit. Ein zusätzlicher Vorteil liegt darin, dass die innovative Lösung von Usercentrics das sogenannte IAB Consent Framework unterstützt. Dieser europäische Standard bietet die Möglichkeit, dass Websiten-Betreiber und Online-Anzeigen-Anbieter problemlos Daten über Nutzereinwilligungen austauschen können.

Die Software von Usercentrics lässt sich leicht in die jeweilige Website einbinden – auch im Design des jeweiligen Anbieters. Für jeden individuellen Bedarf lässt sich die Konfiguration anpassen. Zudem übernimmt die Software auch die lästige Dokumentationspflicht.