Interessenkonflikt zwischen Website und Besuchenden
Ich möchte mein Angebot im Internet präsentieren, ohne dabei Deine Datenschutz-Interessen zu verletzen. Andererseits möchte ich auch nicht, dass meine Daten, wie der Zugang zu meiner Website, ausgespäht werden, um mir zu schaden. Wie bekomme ich das unter einen Hut?
Deine Daten gehören Dir
Die Datenschutz-Grundverordnung schützt die Daten von Menschen. Das finde ich unterstützenswert. Mit der Nutzung meiner Website stimmst Du aber zu, dass ich Deine IP-Adresse auslese.
Vorweg: Ich habe weder auf dieser Webseite noch sonst wie Interesse daran, Deine persönlichen Daten zu sammeln, geschweige denn, solche Daten missbräuchlich zu nutzen.
Es gibt jedoch technische Daten, die meine Website sammelt, ohne dass Du es merkst. Manche davon benötigt die Technik, um zu funktionieren: Welcher Browser ruft diese Seite auf? Wie groß ist das Display, mit dem die Seite angeschaut wird? Diese Daten tauschen unsere Systeme im Hintergrund miteinander aus, damit sie funktionieren können.
Dann gibt es persönliche Daten, die Du mir freiwillig mitteilst, damit ich Dir zum Beispiel eine E-Mail-Anfrage beantworten kann: Deine E-Mail-Adresse. So weit, so verständlich.
Dann gibt es noch die IP-Adresse:
Eine IP-Adresse ist eine Adresse in Computernetzen, die – wie das Internet – auf dem Internetprotokoll (IP) basieren. Sie wird Geräten zugewiesen, die an das Netz angebunden sind, macht die Geräte so adressierbar und damit erreichbar. Die IP-Adresse kann einen einzelnen Empfänger oder eine Gruppe von Empfängern bezeichnen (Quelle: Wikipedia)
Die IP-Adresse wird aus juristischer Sicht den persönlichen Daten zugeordnet. Daher ist sie durch die DSGVO geschützt.
Meine Website gehört mir: Ich muss mich wehren dürfen
Auf der anderen Seite finden täglich Hunderte (manchmal sogar Tausende) Angriffe auf meine Website statt. Sogenannte Bots, menschliche Hacker und was-weiß-ich-noch-wer versuchen, sich Zugriff auf meine Website zu verschaffen.
Sie versuchen, sich einzuloggen und irgendwas auf meiner Webseite zu veröffentlichen, zu löschen oder sonst etwas anzustellen. Sie feuern innerhalb kurzer Zeit in großer Zahl mit sogenannten Brute-Force-Angriffen auf meine Website, mit dem Zweck, durch die so entstehende hohen Datenmenge meine Seite lahmzulegen. Oder sie versuchen, mir massenhaft E-Mails zu senden und mein Postfach damit zu verstopfen. Abgesehen von der Verletzung meiner Rechte und der Verschwendung meiner Zeit entsteht durch den künstlichen und völlig überflüssigen Datenverkehr sogar noch unnötig CO2.
Wie wehre ich mich, ohne Datenschutz-Interessen zu verletzen?
Ich muss also abwägen, mit welchen Maßnahmen ich meine Webseite und damit mein Geschäft schütze und wie weit ich dabei gehe. Ich habe zu entscheiden, ob ich die oben erwähnten IP-Adressen meiner Besuchenden mit Tools auslese, speichere und mit Datenbanken abgleichen lasse, die bekannte schädliche IP-Adressen sammeln. Damit kann ich solche Angreifer erkennen und ausschließen. Ich kann mit derselben Technik auch Böslinge erkennen und ihnen den Zugang zum Kontaktformular oder das Absenden von ‚Nachrichten‘ verwehren.
Das Zauberwort lautet ‚Interessenabwägung nach Artikel 6 I f DSGVO‘
Die DSGVO gibt mir ausdrücklich die Möglichkeit der Interessenabwägung. In Artikel 6 Absatz 1 Satz 6 der Verordnung ist es mir erlaubt, Daten zu speichern, wenn ich ein berechtigtes Interesse daran habe. Mein berechtigtes Interesse ist es, Schaden von meiner Webseite abzuwenden und Fremde davon abzuhalten, bösartigen Code auf meine Website einzuschleusen, sie zu blockieren oder den Server lahmzulegen.
Meine Lösung lautet also: Ich speichere die IP-Adressen im Rahmen einer Interessenabwägung nach Artikel 6 I f) DSGVO und nutze sie zur Gefahrenabwehr.
Denn: Deine Daten gehören Dir – und meine Website gehört mir
- Was ist eine IP-Adresse? Wikipedia erklärt’s
- IP und DSGVO: lesenswerter Artikel auf activemind.de zur Frage „Sind (dynamische) IP-Adressen personenbezogene Daten?“
- Link zum Gesetz: Artikel 6 DSGVO
Wir könnten das Thema noch endlos vertiefen: So gehört eine IP-Adresse zwar zu persönlichen Daten, die Identifizierung einer konkreten Person gelingt jedoch nur in Kombination mit weiteren Merkmalen, die ich auf meiner Website nicht erfasse und zu denen ich auch keinen Zugang habe. Oder kennst Du die IP Deiner Nachbarin? Ich weiß auch nicht, wer genau vor dem Rechner sitzt, der über diese eindeutige IP identifiziert werden kann. Also bleib cool, ich mach’ nix Schlimmes mit Deinen Daten.