tl;dr: IP-Adressen sind für das Tracking von Nutzern vollkommen uninteressant. Das Geschrei eines Piraten-Politikers ist entweder große Unkenntnis oder Show. Das Speichern von IP-Adressen ist aber für Betreiber von Webseiten und anderen Internet-Diensten wichtig, um Missbrauch und Angriffe zu bekämpfen.
Langfassung: Piraten-Politiker Patrick Breyer möchte mal wieder IP-Adressen aus dem Internet klagen. Oder zumindest möchte er verhindern, dass jemand die speichert.
Heise Online zitiert ihn so (Hervorhebung von mir):
Der EuGH könnte nun beispielsweise klarstellen, dass die IP-Adresse nicht über die Dauer der Nutzung hinaus gespeichert werden dürfe, sagte Kläger Breyer. "Dann wäre ich schon mal sehr zufrieden." Eine solche Entscheidung hätte dann nach seinen Worten auch weitreichende Folgen etwa für Anbieter wie Google oder Amazon: "Sie müssten ihre Nutzungsströme anonymisieren und hätten keine Möglichkeit mehr, das Verhalten ihrer Nutzer so umfassend zu analysieren, wie sie es jetzt tun."
Das ist allerdings schlicht und ergreifend falsch und zeigt, dass die ganze Diskussion an der Unkenntnis vieler Datenschützer krankt.
Die IP-Adresse ist für „Anbieter wie Google oder Amazon“ nahezu uninteressant für die Analyse des Nutzerverhaltens. Sie nutzen Cookies und andere Tracking-Mechanismen (von Cookies über Supercookies bis hin zu Fingerprints von Browser und Rechner), keine IP-Adressen. Warum? IP-Adressen ändern sich regelmäßig. Hinter einer IP-Adresse können mehrere Nutzer stecken. Eine IP-Adresse ist heute einem und morgen einem anderen Anschlussinhaber zugeordnet. Das automatisch einigermaßen sinnvoll zuzuordnen, ist viel zu aufwendig, weil es sehr viel einfacheres gibt. Zum Beispiel Cookies. Darum interessiert sich heutzutage kein Tracking-Dienst und kein Amazon und kein Facebook beim Tracking für die IP-Adresse. Damit kriegt man nur Datenmüll.
Die Aussage von Patrick Breyer, dass Google oder Amazon ohne IP-Adressen „keine Möglichkeit“ mehr hätten, „das Verhalten ihrer Nutzer so umfassend zu analysieren, wie sie es jetzt tun“ ist also schlicht Unsinn. Vollkommener Unsinn, wenn man sich mal anschaut, wie sie das machen. Beispiel Amazon: Wer dort einkauft, hat eine Amazon-Anmeldung. Und alles, was man auf der Amazon-Webseite macht, wird mit dieser Anmeldung verknüpft. Vollkommen ohne IP-Adresse. Beispiel Google (ohne Google-Account): Google setzt beim erstmaligen Aufruf der Webseite einen Cookie. Sechs Monate gültig. Der Browser meldet jedes mal die so gesetzte Identifikationsnummer, und alle Suchen usw. lassen sich miteinander verknüpfen. Vollkommen ohne IP-Adresse.
Mit IP-Adressen erfährt der Betreiber einer Webseite auch nicht die Identität eines Nutzers. Sie ist für ihn nicht personenbeziehbar. Der Webseitenbetreiber mag das vom Nutzer selbst erfahren, wenn dieser sich registriert. Aber er kann dies nicht aus der IP-Adresse herauslesen.
Auf der anderen Seite ist das Speichern von IP-Adressen essentiell wichtig für die Missbrauchsbekämpfung, zum frühzeitigen Erkennen von Angriffen, zum nachträglichen Analysieren von Angriffen und zum Erkennen und Analysieren von Störungen. Je größer die Platform, desto wichtiger. Kommt Patrick Breyer mit seinem Unsinn durch, dürfte beispielsweise bei Elster-Online keine IP-Adressen gespeichert werden. Ob Patrick im Falle eines erfolgreichen Angriffs auf die Steuerdaten der Bürger den Betroffenen dann sagen will: „Sorry, aber da keine IP-Adressen gespeichert werden dürfen, konnten wir den Angriff vorher nicht erkennen und nun haben wir auch keine Ahnung, woher der Angreifer kam“?
Natürlich ist die IP-Adresse auch keine Wunderwaffe. Aber bei der Analyse von Fehlern und Angriffen so wichtig, dass kein verantwortungsvoller Sysadmin auf deren Speicherung verzichtet. Und er wird üblicherweise auch nicht darauf verzichten, um ein paar „Sieg Heil“-Rufer vor Strafverfolgung zu schützen.
Übrigens: mit der Speicherung der IP-Adresse lässt sich auch nicht herausfinden, welche Sexualvorlieben oder Krankheiten ein Nutzer hat. Dies kann weder das Innenministerium in obigem Falle als Betreiber der Webseite noch irgendjemand anderes. Dazu und zu einigen weiteren Mythen rund um IP-Adressen habe ich übrigens mal was in einem Gutachten geschrieben.
Anon
Du gehst davon aus, dass Seitenbetreiber und Provider verschiedene Entitäten sind, das ist aber nicht immer so, z.B. T-Online. Die sind einerseits ein Provider, und speichern dort IP-Adressen und Bestandsdaten und andererseits auch ein Portalbetreiber mit Suchmaschine und Artikeln, wie z.B. Gesundheitsratgeber (http://www.t-online.de/ratgeber/gesundheit/) und speichern dort Seitenaufrufe. Die können die Daten also einfach zusammenführen.
Ein anderes Beispiel ist z.B. direkt hier dein Blog. Ich kann in der Kommentar-Maske meinen Namen eingeben (mach ich aber nicht :) ). Der Kommentar wird vermutlich mit der IP-Adresse zusammen geloggt. Damit hast du eine Zuordnung von IP zu Name, die du bei späteren Seitenaufrufen nutzen kannst. Natürlich kann es sein, dass sie die IP mal ändert oder verschiedene Personen die selbe IP nutzen, aber das hängt vom speziellen Fall ab. Und wenn du einfach alles loggst, dann loggst du die Fälle, wo die IP tatsächlich ein festes personenbezogenes Datum ist, auch mit.
Alvar Freude hat auf den Kommentar von Anon geantwortet
Das Beispiel der Telekom und ihrer zusätzlichen Dienste ist interessant, denn es zeigt etwas ganz anderes: zur Identifizierung des Nutzers ist keine Speicherung von IP-Adressen nötig. Das geht vollkommen in Echtzeit, und das macht die Telekom auch (oder hat es gemacht, genauen Status kann ich im Augenblick nicht prüfen): wer über einen Telekom-DSL-Anschluss deren Video-Portal aufruft, erhält gleich seine Login-Daten vorausgefüllt. Man kann und sollte das doof finden, es zeigt aber: Zur Verknüpfung der Daten ist keine Protokollierung nötig. Wenn sie die Daten verknüpfen wollen, können sie diese verknüpfen.
Wenn Du Deinen Namen angibst, dann habe ich Deinen Namen. Mit der IP-Adresse hat das aber nichts zu tun, und wenn ich Dich tracken will, dann kann ich das ganz anders und viel sinnvoller machen, denn morgen oder in einer Stunde oder in fünf Minuten hast Du vielleicht eine andere IP-Adresse. Abgesehen davon weiß ich immer noch nicht ob der angegebene Name stimmt. Aber auch das hat mit IP-Adressen nichts zu tun.
Anders gesagt: wenn man annimmt, dass durch die Eingabe eines Namens die Speicherung von IP-Adressen rechtswidrig wird, dann wäre auch das Setzen und Abfragen eines Cookies rechtswidrig. Oder die Anmeldung auf dieser Webseite mit einem beliebigen Verfahren -- denn in allen Fällen ist es theoretisch möglich, alle Zugriffe die mit der gleichen IP-Adresse/Cookie/Zugangsdaten kamen, mit der Eingabe des Namens unter dieser IP-Adresse/Cookie/Zugangsdaten zu verknüpfen. Der Unterschied: Cookies und Zugangsdaten sind stabil. Die IP-Adresse nicht, diese Zuordnung ist immer noch nur relativ locker.
Sprich: wenn man verhindern will, dass durch die Eingabe eines Namens bei einer Webseite der Webseitenbetreiber weiß, dass jemand der diesen Namen angegeben hat bestimmte Dinge getan hat, dann muss man die Eingabe des Namens verbieten.
Aljoscha Rittner
IP Adressen ändern sich bei vielen schon eine Weile nicht mehr "ständig" und werden deswegen in Tracking-Profilen wieder mit aufgenommen. Cookies allein werden immer seltener genutzt. Und der schwammige Hinweis auf "andere Tracking Mechanismen" beinhaltet meistens eben die Aufnahme der IP-Adresse mit ins Profil.
Bei Kabel Deutschland halten die IP sechs Monate und mehr. Das gilt dort für IPv4. Andere Anbieter tauschen IPv6 gar nicht aus.
Wenn man nun das IP-Tracking nicht in den Vordergrund stellt und es nur als Bestandteil eines User-Profils betrachtet kann man sich auf ein anderes Problem konzentrieren. Und das ist nämlich auch nicht das Tracken von Login-Usern bei Amazon oder Google, sondern das DriveBy Tracking von Ad-Dienstleistern auf einem Großteil der Seiten. Dafür muss man sich nur mal Ghostery installieren, um zu sehen, was und wer von einem Profile erzeugt. Und die IP-Adresse ist bei den eingesetzten Technologien ein wichtiger Scoring-Faktor, um den User innerhalb kürzerer Zeiträume mit hoher Wahrscheinlichkeit wiederzuerkennen. Denn die "anderen Tracking-Mechanismen" erzeugen einen Hash aus Fingerprints, die durch die IP-Adresse gegen einen kleineres Bucket geprüft werden können, als ohne IP Adresse.
Nebenbei, die Profile sind meistens sehr wohl personenbeziehbar. Ob mit oder ohne IP Adresse (die es ab, wie oben aufgeführt deutlich einfacher macht), denn die großen Ad-Tracker haben eine Menge Kooperationspartner, um die Profile mit Betreiber Accounts zu verquicken. Man muss nur einen Blick auf Disqus werfen, dann weiß man wo von ich spreche...
Somit ist die vorgeworfene "Schreierei" bei IP Adressen vielleicht etwas plakativ, aber keinesfalls falsch. Die IP ist ein erheblicher Faktor zum identifizieren eine Nutzers oder einer Nutzergruppe, die in Kombination mit anderen Faktoren eine nahezu 100% Trefferquote zur Personenidentifizierung bietet. Noch problematischer ist allerdings, dass die Tracker-Firmen Zugang zu Accounts zigtausender WebSite-Betreiber haben, um die Profile mit persönlichen Daten zu verquicken. Single-Sign-On sei Dank.
Michael Schwarz
Ich hatte da auch mal einen "Patrick", ist schon etwas länger her:
http://meingottundmeinewelt.de/2007/10/07/das-siegel/
Der "Patrick" aus meinem Test war nicht sehr schlau, ob dies wohl der gleiche wie deiner ist? ;O)
Michael Schwarz
Sorry, ich habe noch etwas vergessen.
Du fragst ob es "große Unkenntnis oder Show" ist, ich glaube beides. Seit mehreren Jahren versucht er sich am Thema Datenschutz ohne Erfolg. Einerseits möchte er IP-Adressen verbieten und gleichzeitig veröffentlicht er vertrauliche polizeiinterne Dokumente. Da scheint Dummheit mit Geltungsbedürfnis gepaart zu sein.
17
...und dann hat ihre Hardware ne V6 Adresse und der Pirat doch noch Recht.
Verschwurbelt alle ihr seid.
Alvar Freude hat auf den Kommentar von 17 geantwortet
Nein, bzgl. IPv6 haben in der Zwischenzeit so gut wie alle Geräte die Privacy Extensions nach RFC 4941 aktiv. Und die Provider sollten den Präfix verwürfen, das kann man i.d.R. aber auch zur Not selbst machen.
Wenn jemand Nutzer Tracken will, verlässt er sich nicht darauf, sondern auf die für diesen Zweck viel besseren Methoden.
Alvar Freude hat auf den Kommentar von Aljoscha Rittner geantwortet
Es gibt viele Methoden für das Tracking, Cookies sind immer noch mit das wichtigste Instrument – zumal man weniger die Leute die sich dem Tracking entziehen wollen haben will, sondern vor allem die anderen und die Masse. Cookies kann man löschen – die IP-Adresse kann man aber auch wechseln: Verbindung kappen.
Nichtsdestotrotz: die IP-Adresse ist nicht eindeutig genug, denn hinter einer IP-Adresse können beliebig viele Rechner und beliebig viele Menschen stecken. Viel zu schlecht zum Tracking. Aber eben ein Mittel bei der Missbrauchsbekämpfung.
Für IPv6 gilt das gleiche.
Die Kritik an Tracking-Unternehmen und Tracking-Diensten unterstütze ich und sie ist weitgehend korrekt. Die Speicherung der IP-Adresse ist dabei aber kein relevantes Element.
IP-Adressen sind aber ein relevantes Instrument zur Missbrauchsbekämpfung.
Patrick hat das BMI verklagt. Das BMI ist nun kein Tracking-Unternehmen und das BMI hat auch keine Möglichkeit festzustellen, wer hinter einer IP-Adresse steckt. Bei der Webseite vom BMI ist das auch vollkommen irrelevant. Was meint ihr denn, warum das BMI IP-Adressen in ihren Server-Logs speichert, außer zur Missbrauchsbekämpfung? Die (und die anderen Ministerien) bräuchten sich den Stress von Gerichtsverfahren bis zum BGH doch gar nicht geben, wenn das dafür nicht relevant wäre (und alle anderen Anwendungszwecke außer der Missbrauchsbekämpfung) kommen beim BMI eh nicht in Frage.
Linux Nerd
Dann können wir ja auf TOR und VPN verziechten und müssen uns niemals mehr sorge vorm Abmahnanwalt machen. Denn IPs sind zur Identifizierung von Personen ja soooo ungeeignet....
Morrigaan
Wenn es um IP Speichern geht, habe ich den eindruck das dort immer über Unterschiedliche Sachen geredet wird.
1. IPs in Serverlogs, kurzzeitig sicher notwendig aber ob die für >12h gebraucht werden, sicher nicht.
2. Tracking auf der Seite, geht auch gut mit den Serverlogs und da ist die IP recht brauchbar, selbst bei TOR ändert die sich nicht dauern und mit zusätzlichen informationen kann genau nachvolzogen werden was die Person gemacht hat.
3. Bundesbehörden, sie haben schon mal getrackt und mußten es zugeben und hatten sich die Namen hinter den IPs besorgt, benachrichtigt wurde wie fast immer (fast) keiner (https://netzpolitik.org/2007/bka-speichert-ip-adressen-seit-2001/).
Die Schnittstellen hierfür wurden immer weiter automatisiert, die Anzahl der Anfragen wir auch immer höher. Für Bundesbehörden kann daher gesagt werden, sie können es zuordnen.
4. ISP Solange die Verbindung bestehen bleibt haben sie irgentwo eine Verbindung Anschluß/IP. Hiernach brauchen sie sie nicht, was für Missbrauch möchte man da bekämpfen, Spam geht in Echtzeit, da hat der Admin die Daten, aber im nach hinnein? Vor drei Tagen haben sie eine Spamwelle gemacht? Macht keiner, ist daher unnötig. Wer so etwas über Tage machen möchte kann in den alten Daten die IP gehen einen Hash austauschen.
Was wird aber gemacht? Automatisch wird eine Verknüpfung von IP zur Person zur Verfügung gestellt wodurch die IP Personen bezogen wird (vieleicht nicht genau einer aber im normalfall nicht so viele). Das so etwas aber vorgehalten wird und es nicht aus den logs extra herraus gesucht wird zeigt schon wie viele anfragen in welcher zeit sie beantworten.
Was sagen IPs aus, auf dem ersten blick nicht all zu viel, den ISP als auch die Stadt bekommt man schon raus. Mit zusätzlichen Informationen wie Keckse, Client, besuchte Seiten wird es immer genauer, bzw man kann immer mehr Personen ausschließen. Vermutlich wird 100% nicht erreichen, aber das geht selbst mit einem Foto nicht.
Alles was unnötig gespeichert wird, wird missbraucht, Kontrolle gibt es nur auf dem Papier. Serverlogs für Admins ja, alles andere Nein.
Alvar Freude hat auf den Kommentar von Linux Nerd geantwortet
TOR und VPN haben ganz andere Anwendungsfälle. Ein VPN sollte man in öffentlichen WLAN-Netzen nutzen, um zu verhindern, dass der Netzbetreiber oder ein anderer lokaler Nutzer alles mitlauscht. Es wird auch von Firmen, Behörden und Organisationen genutzt, um Mitarbeitern Zugang zu Systemen zu bieten, die nicht öffentlich erreichbar sind – sondern nur über ein „virtuell privates Netzwerk“. VPNs haben also primär für Sicherheit und Vertraulichkeit der übertragenen Daten zuständig.
Man kann VPNs auch nutzen, um sich beispielsweise eine IP-Adresse aus einem anderen Land zu geben und so regionale Beschränkungen einzelner Webseiten (z.B, der Unterhaltungsindustrie) zu umgehen.
Zu Abmahnungen und der Abmahnindustrie habe ich an anderer Stelle (Seite 24) schon einiges geschrieben, mit IP-Adressen in Server-Logs hat das rein gar nichts zu tun.
Alvar Freude hat auf den Kommentar von Morrigaan geantwortet
In diesem Punkt hast Du Recht.
Das ist schlicht falsch, aber was führt Dich zu dieser Behauptung?
Auf kleinen privaten Webseiten mag man durchaus interessante Erkenntnisse ziehen, wie „irgendein Nutzer hat gerade die Startseite aufgerufen, danach die Unterseite mit den Hobbys und dann das Gästebuch und dann war er weg“. Das geht sogar mit größeren Seiten. Es gibt aber für den Webseitenbetreiber a) keine Möglichkeit, die Identität des Nutzers herauszufinden (mit Tor schon gar nicht) und b) ist bei Profilbildung etwas ganz anderes gemeint.
Du verwechselst „Bundesbehörden“ mit „Strafverfolgungsbehörden im Zuge eines Strafverfahrens“. Du schreibst selbst, dass sich so etwas automatisieren lässt. Und genau daher braucht eine Strafverfolgungsbehörde im Zuge eines Strafverfahrens wie in dem dargestellten Fall keine Protokollierung sondern kann die gezielte Sammlung direkt durchführen und direkt abfragen.
Dass das in dem von Dir verlinkten Fall gänzlich dämlich und aus vielen Gründen zu verurteilen war und ist ändert nichts daran, dass es sich dabei um etwas ganz anderes handelt.
Verzeihung, aber bei so viel zur Schau getragener Unkenntnis frage ich mich schon …
Spam-Bekämpfung geht nicht in Echtzeit, Du kannst ja mal die Abuse-Abteilungen verschiedener Provider befragen. Und es geht nicht nur um Spam sondern (aus Sicht von Access-Providern) auch viele weitere Formen von Angriffen und Missbrauch. Beim Access-Provider kommen entsprechende Meldungen i.d.R. Tage später an. Aber um diesen Bereich geht es hier eigentlich gar nicht. Es geht hier nicht um die Diskussion über die Speicherung von IP-Adressen beim Access-Provider (dazu findet sich an anderer Stele vieles), sondern darum, ob durch eine Speicherung bei Webseitenbetreibern (u.ä.) in die Privatsphäre der Nutzer eingegriffen wird und diese getrackt werden.
Ähm, erstens kann man auch mit dem Hash Tracken, und zweitens rechne ich Dir den Hash schneller zurück als Du gucken kannst, zumindest bei IPv4. Sprich: das ist nichts weiter als Augenwischerei.
Ich dachte, Du wolltest gar keine Speichern?
Natürlich sind Serverlogs nur was für Admins.
KojiroAK hat auf den Kommentar von Linux Nerd geantwortet
@Linux Nerd
"und müssen uns niemals mehr sorge vorm Abmahnanwalt machen. Denn IPs sind zur Identifizierung von Personen ja soooo ungeeignet...."
Muss man tatsächlich nicht, solange man glaubhaft machen kann, dass es auch jemand anders gewesen sein kann.
Wozu es auch schon Richtersprüche gibt.
"Im Zweifel für den Beklagten" gilt auch im Privatrecht.
Und zwar exakt, weil eine IP keine Verbindung zu einer Person zulässt.
Vor allem reicht es in aller Regel den Abmahnern schnell einen Widerspruch zu schicken, wirklich auf einen Prozess wollen es die meisten gar nicht ankommen lassen, gibt ja genug Idioten die zahlen.
Jan Exner
Ich dachte immer, der macht das, weil er die Ansicht (z.B.) des Bayrischen Landesamtes für Datenschutz, eine IP Adresse sei PII ad absurdum führen möchte, bzw. ein offizielles Gerichtsurteil herbeiführen, ob sie das nun ist oder nicht.
Denn lt. BLfD ist sie es, aber für die Website um die es geht dann wohl nicht.
Aber vielleicht liege ich da auch falsch.
struppi hat auf den Kommentar von Linux Nerd geantwortet
Der Abmahnanwalt bekommt die IP i.d.r nicht aus den log Files, sondern aus Verrbindungsdaten. Die zweite potentielle Quelle, one click hoster werden die IP immer speichern (müssen), aber geben sie, soweit ich weiß nicht raus.
Und paß auf! Auch mit Tor und VPN kannst du getrackt werden.
Dominik
Was mir an der ganzen Diskusion immer fehlt, ist die Betrachtung der tatsächlichen Gefahren. Es werden immer nur abstrakte, nebulöse und irgendwie unscharfe Bedrohungen geraunt, ohne wirklich Beispiele für "Echtwelt-Probleme" zu iefern.
Was ist so schlimm daran, das Werbedienstleister passende Werbung einblenden?
Speziell im Fall Google sage ich mir immer: "Die betreiben keine Gefängnisse". Sprich, ein Datenfehler bei behördlicher Datenerfassung hat ein echtes Gefahrenpotential (=falsch Verdächtigung möglich), die Datenverarbeitung bei Dienstleistern führt dagegen nicht zu echten Gefahren.
Ich glaube auch nicht, dass Google & Co Profile an zum Beispiel Versicherungen verkauft und damit ein wie auch immer geartetes Rating ermöglicht. Das krasseste wäre in diesem Zusammenhang eine "Risikoklasse" bei der Werbebuchung. Sprich, wer krank ist, sieht die Anzeige nicht. Die Seite aufrufen und bestellen bei der Versicherung geht aber trotzdem.
Henning Hucke hat auf den Kommentar von Aljoscha Rittner geantwortet
Es hat niemand geschrieben, dass IP-Adressen wertlos sind. Es hat auch niemand geschrieben, dass unsere Justiz vorhandene "IP-Protokolle" sinnvoll und zutreffend verwenden würde - Vorsicht! Denksatz!
Ausgeführt wurde, dass aus den IP-Adressen alleine kein Rückschluss auf Personen möglich ist. Heute noch weniger als früher. Heute hat man einen Zugang für einen Haushalt, in dem tendenziell alle Mitglieder diesen Zugang auch tatsächlich nutzen. Und man hat in aller Regel noch WLan, sodass im Strafverfolgungsfall noch nachgewiesen werden muss, dass niemand fremder über WLAN gekommen sein kann.
Was ich immer sage: Den gläsernen Kunden/Menschen gibt es (noch lange) nicht; nur den Anschein eines solchen...
thorstenv hat auf den Kommentar von Alvar Freude geantwortet
"Und die Provider sollten den Präfix verwürfen, das kann man i.d.R. aber auch zur Not selbst machen."
Wie? Ich kenne nur Methoden ähnlich Tor, bei denen einem jemand anderer seine IP schenkt. Also wirklich nur eine äußerste Notlösung.
"Wenn jemand Nutzer Tracken will, verlässt er sich nicht darauf, sondern auf die für diesen Zweck viel besseren Methoden."
Besser als die IP allein, aber das ändert nichts daran, dass die IP ein mächtiges Werkzeug innerhalb des Identifizierungswerkzeugskasten ist. Dinge wie Evercookie leben davon, dass, wenn bestimmte Anhaltspunkte wegfallen, die den Nutzer identifizieren, dies über andere überbrückt werden kann. Wenn ich jetzt meine Cookies lösche, aber mit derselben IP weitersurfe, kann derjenige, der das beobachtet dennoch die Verknüpfung mit den Daten der Cookies herstellen, wenn er diese noch gespeichert hat und er kann mir diese auch wieder auf den Rechner senden. Die meisten Leute laßen sich eben nicht alle paar Minuten eine neue IP geben, sondern diese bleibt gewöhnlich einen Tag lang konstant. Das ist viel Zeit zum Verfolgen - rein anhand der IP. Nur wenn der Rechner über Nacht aus ist und die Zwangstrennung zuschlägt, muss man anhand der anderen Methoden ermitteln, was er denn heute für eine IP hat. Und weiter geht's.
Struppi
Ich kann hier einigen Kommentatoren nur Empfehlen den Artikel noch mal zu lesen.
Es geht hier um das Tracking von Nutzerverhalten und dafür ist die IP heutzutage unerheblich. Ein Cookie und deren modernen Varianten sind dauerhafter und lassen sich je nach Umgebung auch von anderen Diensten auslesen.
Das es dafür Möglichkeiten gibt das zu verhindern, ist unerheblich, da die grosse Mehrheit das nicht tut und genau deshalb werden diese Techniken auch massenhaft angewandt.
Die Daten die damit gesammelt werden sind das Problem, nicht die IP die mit der Verbindung gespeichert wird, diese ist für die Identifizierung von Straftätern wichtig, aber für das Tracking nahezu unbrauchbar.
Insofern erhöht die Klage - wenn sie denn Erfolg hat - die Gefahr vor Verbrechen im Internet, da es den Erfolg verringert eine IP im Schadenfall zu ermitteln.
Es gibt auch viele Dienste die genau damit arbeiten, um z.b. Mailspam und Kommentarspam (Honeypots und Blacklists) zu verringern, wir profitieren also alle davon, dass IPs gespeichert werden.
Und es lenkt von dem Problem des Trackings ab, das wesentlich umfangreicher und meines erachtens auch gefährlicher ist.
Jan E.
Och Leute, manches was ich hier in den Kommentaren lesen muss, treibt mir die Tränen in die Augen: Wenn Ihr schon keine Ahnung habt, dann schreit doch nicht so laut, als ob ihr die Weisheit mit Löffeln gefressen hättet.
Anonym hat auf den Kommentar von Alvar Freude geantwortet
"wer über einen Telekom-DSL-Anschluss deren Video-Portal aufruft, erhält gleich seine Login-Daten vorausgefüllt."
Bis dieses Jahr hat die Telekom bei Mail-Abruf und -Versand über ihre POP3/IMAP/SMTP-Server Benutzer anhand ihrer IP-Adresse authentifiziert. Die Server haben dazu auf den RADIUS-Server zugegriffen, der die Benutzer bei der Einwahl authentifiziert hat. Dieser hat zur IP-Adresse die Login-Daten geliefert.
Auf dem Video-Portal dürfte es genauso gemacht werden!
chefin hat auf den Kommentar von Alvar Freude geantwortet
Was genau ist den verwürfeln? Was ändert sich dabei? Welcher Unterschied ist dann zum heutigen dynamischen IP Verfahren?
Ja..genau, der Präfix ändert sich, egal wie neudeutsch man das auch nun ausdrückt. Es ist das was wir jetzt haben. Nur...es ist nicht in Beton gegossen. Ja es ist noch nichtmal ausdrücklich bestätigt. Den hier ist auch ein Streit zwischen statischen IP Liebhabern und dynamischen. Die Statischen haben DynDNS satt, sie wollen ihre Dienste zuhause aufbauen statt sich mit viel Geld mtl was zu mieten. Direkt und am besten noch weg vom 50/5 Down/Up hin zu 25/25 oder sogar 10/50. Die andere Seite will aber dynamische IP wegen des besseren Schutzes.
Und dann muss man noch den Fall betrachten, wenn man spooft. Also einfach eine IP einträgt im Router und darüber online geht. Diese IP gehört einem nicht, nichtmal dem eigenen Provider. So wäre meine Session nicht auf mich rückverfolgbar. Ich müsste nichtmal einen proxy haben. Aber...das geht nicht, weil nur die mir zugewiesene IP auch am DSL-Port ankommen darf und transportiert wird. Spoofingschutz. Und so wird das bei IPv6 auch sein. Man wird nicht zulassen, das man den Präfix verändert nach eigenem Gutdünken. Wenn es nicht Providerseitig unterstützt wird, stehen wir machtlos da.
Bzgl Tracking, natürlich gibt es inzwischen Methoden es IP-los zu machen. Aber man hat generell das Problem, das es keine 100% saubere Erkennung gibt. Statistik redet von Wahrscheinlichkeiten. Wir erreichen eine 90% Genauigkeit(zb), also 90% der User denen wir die Werbung anzeigen gehört zur Zielgruppe. 10% sind leider schlecht erfassbar, weil sie aktiv dagegen arbeiten, sich Geräte in zu großen Gruppen teilen(Schul-PCs zb) oder sonst nicht sauber erfasst werden können. Mit eindeutigen IP-Präfix könnte man aber weitere 2-3% Genauigkeit erreichen.
Die Kunden dieses Trackings rechnen aber auch. Wenn Adidas(zb) 100 Millionen ausgibt für ne Werbekampagne die zu 90% die Zielgruppe erreicht sind 10 Millionen unnötig weggegangen. Und der, welcher nun einige der browserprivacytricks über die IP aushebelt und damit 93% erreicht kann mehr Geld verlangen vom Kunden. Und er wird seine Genauigkeit erhöhen, wenn es feste Präfix gibt. Es geht beim tracking natürlich nicht drum irgendwen persönlich immer wieder zu finden. Man muss sich das eher so vorstellen, als wenn man 10 Jahre morgens im Bus zur Arbeit fährt. Man kennt die Gesichter, jedenfalls die meisten. Aber man kennt nicht wer wer ist, was er tut, wie er heist, wo er wohnt...etc. Aber man erkennt ihn immer wieder. Auch wenn man ihn dann beim Abschliessen einer Haustüre antrifft oder beim betreten des örtlichen Sexshops. Und ohne von ihm mehr zu kennen, ist er im Kopf nun schon der kleine Perversling.
So funktioniert das was nach dem tracking kommt. Es geht also drum, wieder zu erkennen. Und da wäre eine feste IP bei IPv6 fatal. Man könnte zumindest jeden Anschluss 100% erkennen, bevor man das erste Byte zum Browser schickt.
Deswegen sollte auch weiterhin die IP zu den persönlichen Daten gehören und das speichern untersagt werden. Ich denke das 90% Genauigkeit völlig ausreichend sind. Strafrechtlich sind wir so oder so 100% erfassbar, weil Vorratsdatenspeicherung etc...
ebenfalls_Anon hat auf den Kommentar von Anon geantwortet
Da siehst Du es, die IP-Adresse ist kein personenbezogenes Datum, erst in der Verknüpfung weiterer Daten, die Du hier im übrigen freiwillig angeben kannst, wird ein personenbezug herstellbar.
Bei T-Online sind es im übrigen ähnlich aus. Du darfst das Trennungsgebot hier nicht ausser acht lassen.
Die IP-Adresse ist nur für den Netzbetreiber in seiner Funktion als Netzbetreiber ein personenbezogenes Datum, und auch nur dann, wenn er die Verknüpfung herstellt. Für Andere gibt es effektivere Methoden um einen personenbezug herzustellen...