youhavedownloaded und der Personenbezug von IP-Adressen

Die Tage ging You have down­loa­ded durch die Pres­se. Die Seite tut das, was die Hand­lan­ger der Rech­te­ver­wer­ter schon seit lan­gem tun: Sie über­wa­chen den Ver­kehr auf Tor­rent­tra­ckern und spei­chern, wel­che IP-Adres­se sich an wel­cher Datei be­dient - nur daß sie mit die­sen Daten keine Aus­kunfts­er­su­chen an die Be­hör­den stel­len, son­dern das ganze als durch­such­ba­re Da­ten­bank im Web prä­sen­tie­ren. Eine an­de­re Nach­richt, die die letz­ten Tage für Auf­se­hen ge­sorgt hat, war ein Ur­teil des eu­ro­päi­schen Ge­richts­hofs, laut dem IP-Adres­sen per­so­nen­be­zo­ge­ne Daten seien. Ge­ra­de letz­te­res ist Ge­gen­stand vie­ler Dis­kus­sio­nen. Warum ich bei­des zu­sam­men in ein Blog­post packe? Wei­ter­le­sen :-)

Be­züg­lich Yo­u­ha­ve­down­loa­ded war ich an­fangs skep­tisch. Die Ma­cher be­haup­ten auf der Seite, sie wür­den ca. 20% der Tor­rents be­ob­ach­ten und die Daten in ihre Da­ten­bank auf­neh­men. Wieso ma­chen die das? Sind die Daten, die man auf der Web­sei­te ab­ru­fen kann, echt? Ist das eine groß an­ge­leg­te FUD-Kam­pa­gne der Rech­te­ver­wer­ter? Oder er­laubt sich da je­mand einen Scherz und trollt mal im Hand­streich das ganze In­ter­net? Ei­ni­ge Be­kann­te haben nach ihrer (sta­ti­schen) IP-Adres­se ge­sucht, und einer fand tat­säch­lich einen Tor­rent, den er tat­säch­lich ge­la­den hatte; fal­sche An­ga­ben fan­den sich nicht. Des­halb gehe ich im Mo­ment davon aus, daß die Be­haup­tun­gen der Web­sei­te kor­rekt sind.

Eine na­he­lie­gen­de Spiel­va­ri­an­te war es na­tür­lich, ein­mal nach­zu­se­hen, was die "Vor­be­sit­zer" der hei­mi­schen (dy­na­mi­schen) IP-Adres­se so ge­trie­ben hat­ten - da fan­den sich unter an­de­rem so de­li­ka­te Dinge wie "My Sexy Kit­tens #62"... wegen der dy­na­mi­schen Adress­ver­ga­be und dem gro­ßen Adres­spool der dy­na­mi­schen Adres­sen konn­te daran na­tür­lich keine Per­son (und noch nicht ein­mal eine grobe Re­gi­on) fest­ge­macht wer­den; al­ler­dings waren wir vom Spiel­trieb be­flü­gelt und sahen uns die nächst­lie­gen­den "Kan­di­da­ten" an - die IP-Adres­sen der Stu­den­ten­wohn­hei­me waren ein na­he­lie­gen­des Ziel, ins­be­son­de­re da ein Wohn­heim in dem (Ver)Ruf stand, ihre An­bin­dung na­he­zu kon­stant mit P2P-Traf­fic zu sät­ti­gen. Und in der Tat fand sich auch hier der eine oder an­de­re Tref­fer - im Ge­gen­satz zum vo­ri­gen Fall kann der Orts­kun­di­ge aber nun eine Per­son ein­deu­tig zu­ord­nen.

Das macht deut­lich, wie sen­si­bel die In­for­ma­ti­on der IP-Adres­se sein kann. Ge­gen­über dem alten Zu­stand, in dem nur die Rech­te­ver­tre­ter die Tra­cker über­wacht haben, hat sich zwar tech­nisch nichts ge­än­dert, den­noch ge­winnt das ganze durch die Öf­fent­lich­keit der Such­mög­lich­keit eine neue Qua­li­tät.
Bei sta­ti­schen IP-Adres­sen ist eine fixe Zu­ord­nung zu einem Rech­ner vor­han­den - wenn es sich hier­bei um einen durch­schnitt­li­chen Ar­beits­platz­rech­ner han­delt, damit auch zu einer Per­son. Im Falle von "Haus­halts­an­schlüs­sen" (mit NAT) wird re­gel­mä­ßig ar­gu­men­tiert, daß nicht ein­deu­tig auf eine Per­son ge­schlos­sen wer­den kann - das ist zwar theo­re­tisch rich­tig, doch läßt das un­ter­schied­li­che Nut­zungs­ver­hal­ten der Nut­zer eine sehr gute Ab­schät­zung zu; es ver­hält sich hier ana­log zum KFZ-Kenn­zei­chen: Zwar läßt die­ses nur auf den Hal­ter, nicht aber den Fah­rer schlie­ßen, aber da in Deutsch­land ein Auto im Schnitt von 1,1 Fah­rern ge­nutzt wird, ist die An­nah­me in den meis­ten Fäl­len rich­tig.

In so­fern kann man nach­voll­zie­hen, wes­halb das EU-Ge­richt die IP-Adres­sen als per­so­nen­be­zo­ge­ne und damit schüt­zens­wer­te Daten be­zeich­ne­te. Man darf ge­spannt sein, wie sich die Dis­kus­si­on in Bezug auf IPv6 wei­ter­ent­wi­ckelt - da gibt es gute Ar­gu­men­te Pro (jedes Gerät welt­weit ein­deu­tig?) und Con­tra (Schutz durch die Pri­va­cy Ex­ten­si­ons nach RFC 4941).