Das ewige Geschrei um IP-Adressen

tl;dr: IP-Adressen sind für das Tracking von Nutzern vollkommen uninteressant. Das Geschrei eines Piraten-Politikers ist entweder große Unkenntnis oder Show. Das Speichern von IP-Adressen ist aber für Betreiber von Webseiten und anderen Internet-Diensten wichtig, um Missbrauch und Angriffe zu bekämpfen.

Langfassung: Piraten-Politiker Patrick Breyer möchte mal wieder IP-Adressen aus dem Internet klagen. Oder zumindest möchte er verhindern, dass jemand die speichert.

Heise Online zitiert ihn so (Hervorhebung von mir):

Der EuGH könnte nun beispielsweise klarstellen, dass die IP-Adresse nicht über die Dauer der Nutzung hinaus gespeichert werden dürfe, sagte Kläger Breyer. "Dann wäre ich schon mal sehr zufrieden." Eine solche Entscheidung hätte dann nach seinen Worten auch weitreichende Folgen etwa für Anbieter wie Google oder Amazon: "Sie müssten ihre Nutzungsströme anonymisieren und hätten keine Möglichkeit mehr, das Verhalten ihrer Nutzer so umfassend zu analysieren, wie sie es jetzt tun."

Das ist allerdings schlicht und ergreifend falsch und zeigt, dass die ganze Diskussion an der Unkenntnis vieler Datenschützer krankt.

Die IP-Adresse ist für „Anbieter wie Google oder Amazon“ nahezu uninteressant für die Analyse des Nutzerverhaltens. Sie nutzen Cookies und andere Tracking-Mechanismen (von Cookies über Supercookies bis hin zu Fingerprints von Browser und Rechner), keine IP-Adressen. Warum? IP-Adressen ändern sich regelmäßig. Hinter einer IP-Adresse können mehrere Nutzer stecken. Eine IP-Adresse ist heute einem und morgen einem anderen Anschlussinhaber zugeordnet. Das automatisch einigermaßen sinnvoll zuzuordnen, ist viel zu aufwendig, weil es sehr viel einfacheres gibt. Zum Beispiel Cookies. Darum interessiert sich heutzutage kein Tracking-Dienst und kein Amazon und kein Facebook beim Tracking für die IP-Adresse. Damit kriegt man nur Datenmüll.

Die Aussage von Patrick Breyer, dass Google oder Amazon ohne IP-Adressen „keine Möglichkeit“ mehr hätten, „das Verhalten ihrer Nutzer so umfassend zu analysieren, wie sie es jetzt tun“ ist also schlicht Unsinn. Vollkommener Unsinn, wenn man sich mal anschaut, wie sie das machen. Beispiel Amazon: Wer dort einkauft, hat eine Amazon-Anmeldung. Und alles, was man auf der Amazon-Webseite macht, wird mit dieser Anmeldung verknüpft. Vollkommen ohne IP-Adresse. Beispiel Google (ohne Google-Account): Google setzt beim erstmaligen Aufruf der Webseite einen Cookie. Sechs Monate gültig. Der Browser meldet jedes mal die so gesetzte Identifikationsnummer, und alle Suchen usw. lassen sich miteinander verknüpfen. Vollkommen ohne IP-Adresse.

Mit IP-Adressen erfährt der Betreiber einer Webseite auch nicht die Identität eines Nutzers. Sie ist für ihn nicht personenbeziehbar. Der Webseitenbetreiber mag das vom Nutzer selbst erfahren, wenn dieser sich registriert. Aber er kann dies nicht aus der IP-Adresse herauslesen.

Auf der anderen Seite ist das Speichern von IP-Adressen essentiell wichtig für die Missbrauchsbekämpfung, zum frühzeitigen Erkennen von Angriffen, zum nachträglichen Analysieren von Angriffen und zum Erkennen und Analysieren von Störungen. Je größer die Platform, desto wichtiger. Kommt Patrick Breyer mit seinem Unsinn durch, dürfte beispielsweise bei Elster-Online keine IP-Adressen gespeichert werden. Ob Patrick im Falle eines erfolgreichen Angriffs auf die Steuerdaten der Bürger den Betroffenen dann sagen will: „Sorry, aber da keine IP-Adressen gespeichert werden dürfen, konnten wir den Angriff vorher nicht erkennen und nun haben wir auch keine Ahnung, woher der Angreifer kam“? 

Natürlich ist die IP-Adresse auch keine Wunderwaffe. Aber bei der Analyse von Fehlern und Angriffen so wichtig, dass kein verantwortungsvoller Sysadmin auf deren Speicherung verzichtet. Und er wird üblicherweise auch nicht darauf verzichten, um ein paar „Sieg Heil“-Rufer vor Strafverfolgung zu schützen.

Übrigens: mit der Speicherung der IP-Adresse lässt sich auch nicht herausfinden, welche Sexualvorlieben oder Krankheiten ein Nutzer hat. Dies kann weder das Innenministerium in obigem Falle als Betreiber der Webseite noch irgendjemand anderes. Dazu und zu einigen weiteren Mythen rund um IP-Adressen habe ich übrigens mal was in einem Gutachten geschrieben.