Daher ist die Industrie gefragt Standards einzuführen und sie in die Software zu implementieren. Weil das natürlich kostet ist Druck erforderlich. Dieser kann zum einen von den Kunden kommen, was im Falle des Datenschutzes oft am mangelnden Bewusstsein scheitert, oder von Gerichten. Denn durch Urteile können sie im Namen der Nutzer Druck auf die Industrie ausüben.

Geht man von dem Fall aus, dass man keine IP-Adressen verarbeiten dürfte, passiert folgendes:

1.) Alle Suchergebnisse in den hiesigen Suchmaschinen werden verfälscht, weil mehrere Klicks eines Besuchers nicht mehr von mehreren Besuchern unterschieden werden können und die Suchmaschinen die Anzahl der Klicks auf die Ergebnisse in die Wertung einbeziehen (müssen).

2.) Alle klickbasierten Programme können keine Auswertung durchführen. Für Werbeprogramme hieße dies, dass selbst ein versehentlicher Doppelklick auf eine Werbung zur doppelten Zahlung führt. Für Statistiken hieße dies, dass man nicht mehr die Anzahl der unterschiedlichen Besucher ermitteln könnte. Unter dem Strich würde das bedeuten, dass wir keine Statistiken mehr führen könnten und alle klickbasierten Werbeprogramme würden vom Markt verschwinden. Aber ohne statistische Auswertung kann auch keine andere Form der Vermarktung greifen, denn niemand weiß wie viele Besucher eine Seite hat und damit weiß auch niemand, wie viel eine Werbefläche kosten kann.

3.) Alle Webseiten könnten problemlos attackiert werden, weil DNS-Attacken nicht mehr aufgehalten werden können. Es ist zwingend notwendig die IPs über einen gewissen Zeitraum zu ermitteln, um wiederholte Zugriffe im Härtefall zu blockieren. Google beispielsweise verlangt bereits nach wenigen “Attacken” eine Benutzereingabe (Captcha), um ihre Server zu schützen.

4.) Der Service auf Webseiten würde eingeschränkt, weil man nicht mehr über die IP-Lokalisierung zielgerichtete Inhalte auswerfen kann. Beispielsweise kann eine Tipp-Seite keine Tipps mehr aus der Gegend des Besuchers anzeigen, ohne das der Nutzer eine Eingabe tätigt. Die IP-Lokalisierung funktioniert ausschließlich über die Langzeitspeicherung von IP-Adressen.

5.) Sofern die IP-Adressen nur in Deutschland personenbezogen sein würden, würde jeder große Webseitenbetreiber auswandern, denn ohne die IPs, kann man die Seite nicht vermarkten und ohne die Vermarktung fällt auch die Finanzierung flach.

6.) Betrügern, Hackern und anderen Übeltätern stände Tür und Tor offen. Sie könnten Seiten ausspähen, attackieren, hacken usw. ohne, dass eine rechtliche Verfolgung möglich wäre.

Was dagegen möglich wäre:
Es wäre möglich die IP-Adressen verschlüsselt zu speichern. Beispielsweise könnte man mit dem SHA- oder MD5-Verfahren die IP-Adressen einseitig verschlüsseln. Einseitig bedeutet, dass man die eigentliche IP-Adresse nicht mehr wiederherstellen kann. Demnach wäre es möglich die unterschiedlichen Zugriffe zu erkennen. Wer aber genau zugegriffen hat, könnte man nicht erkennen.

Würde man dazu die IP-Adressen bei der Verschlüsselung zusätzlich mit einer Zeichenkette ausstatten, die jeder Webseiten-Betreiber individuell hinterlegt, so könnten unterschiedliche Betreiber keine Daten mehr untereinander austauschen.

Ein Beispiel:

192.168.0.1 wird per MD5 zu:
f0fdb4c3f58e3e3f8e77162d893d3055

192.168.0.1_WEBSEITE1 wird per MD5 zu:
2c2d14cfb3ef81afb9d2578bff91dec5

Der Inhaber von WEBSEITE1 ist nun in der Lage die Besucher seiner Seite statistisch auszuwerten. Er erkennt die unterschiedlichen Zugriffe, kann aber keinen Zugriff einer bestimmten IP zuordnen (außer zum Zeitpunkt der Datenübertragung, dass ist denke ich jedem klar).

Würde man also gesetzlich festlegen, dass jeder Webseitenbetreiber gezwungen ist, IP-Adressen verschlüsselt zu speichern und er gezwungen wird, diesen Schlüssel alle X Tage zu erneuern, so sollte das Verfahren sicher genug sein.

In dem Fall wäre die Weitergabe der Daten nicht möglich, genauso wenig wäre bei Datendiebstahl eine Auswertung möglich, noch kann der Webseitenbetreiber Bewegungsdaten über einen längeren Zeitraum auswerten.

Das ändert sich aber, sobald man diesen einseitigen Schlüssel mit Browser-Kennung, Cookies und/oder Nutzer-Authentifizierungen (Logins) kombiniert. Aber in dem Fall kann man ja die Einwilligung des Nutzers einholen.

Zuletzt haben alle Verschlüsselungen das Problem, dass sie eine nicht unwesentliche Rechnerzeit kosten, besonders wenn man sie bei jedem Zugriff anwenden muss.

Ein privates Fazit:
Die Gesetzgebung sollte die Speicherung von IPs nur mit einseitiger Verschlüsselung erlauben, sofern keine Erlaubnis des IP-Inhabers vorliegt. Dem ISP sollte die Speicherung von Bewegungsdaten, die nicht für die Einwahl relevant sind verboten werden. D.h. er darf auch keinen Website- oder Email-Verkehr speichern, sofern er solche Dienste anbietet.

A) kann ich persönlich mit der IP sowieso nicht viel anfangen, wenn ich diese beispielsweise in einem Statisiktool erfasse. Region, möglicherweise die Firma, das wars.
B) Im Falle einer Straftat, wo liegt das Problem. Als Autofahrer muss ich auch ein Kennzeichen haben. Wenn ich jemanden totfahre oder ein Kind in meinen Wagen ziehe, kann sich jemand das Kennzeichen aufschreiben. Natürlich kann man ein falsches Kennzeichen benutzen oder ein Auto stehlen. Aber das kann der Profi auch mit einer IP machen. Von daher kann ich den ganzen Wirbel um die IP-Speicherung nicht verstehen.

Trotzdem finde ich es falsch, wenn an zentraler Stelle durch einen Staat Daten gesammelt werden. Das ist nicht paradox, sondern etwas grundsätzlich verschiedenes.