Personenbezogene Daten hinter einem NAT

Hallo zusammen,
ich hatte letztens eine Diskussion, die wir nicht abschließend klären konnten und hoffe hier eine Antwort zu erhalten.
Die Ausgangsfrage behandelte das Thema dynamische Einbindung von Google Fonts im Intranet. Dort stößt man schnell auf den Fall, dass die Arbeitsplatzrechner hinter einem NAT sitzen und an Google nur die öffentliche IP-Adresse des Unternehmens übermittelt wird, die nicht zur Identifizierung des Mitarbeiters ausreichen sollte (Annahme meinerseits).

Dann kam der Einwurf, dass die technischen Browserdaten ebenfalls personenbezogene Daten seien (Fingerprinting). Mit der Begründung des EuGH sehe ich das nicht, da ich mit den Browserdaten nicht zum ISP gehen kann und dort die Person identifizieren kann. Ich habe die OH der DSK durchgeschaut und konnte keine Begründung finden. Nur die Aussage, dass die Daten personenbezogene Daten seien. Das kann aber auch daran liegen, dass im Normalfall die Browserdaten mit der IP Adresse übertragen werden und das somit für eine Qualifizierung als personenbezogene Daten ausreicht.
Beim NAT wird dieses Paket der IP Adresse aber beraubt.
Wie seht ihr das? Habe ich vllt ein Urteil, eine OH oder was andere übersehen?
Sind Browserdaten ohne IP Adresse ein personenbezogenes Datum?

VG

Worauf beruht diese Annahme?

Es gibt keine Browserdaten ohne IP-Adresse. Das ist eine technisch notwendige Voraussetzung, damit das Internet/Netzwerk funktioniert.

Das war schlecht von mir ausgedrückt. Ich meine natürlich die interne (private) IP Adresse.
Die öffentliche IP Adresse lässt sich lediglich dem Unternehmen zuordnen.

Je nachdem, wie die Frage gemeint war, s.o. oder auf Aussagen von Arbeitskollegen, dass von der öffentlichen IP Adresse nicht auf die private IP Adresse geschlossen werden kann.

Edit: mir ist noch ein vereinfachtes Beispiel eingefallen.
Gäbe es im Falle von Google Fonts eine „anonymize_ip“ Funktion wie bei Google Analytics, wäre die dynamische Einbindung immer noch ein Datenschutzverstoß, weil die Browserdaten personenbezogene Daten sind?

Das ist eine dogmatische Frage. Dass die lokale Einbindung vorzuziehen ist, steht außer Frage.

Edit2:
Ich glaube, ich konnte es mir mittlerweile selbst beantworten und bin von einer falschen Grundlage ausgegangen. Ich dachte zunächst, dass dyn. IP-Adressen immer personenbezogene Daten sind.
Dagegen sprechen aber die EuGH Urteile

EuGH C-70/10

Zum einen steht nämlich fest, dass die Anordnung, das streitige Filtersystem einzurichten, eine systematische Prüfung aller Inhalte sowie die Sammlung und Identifizierung der IP-Adressen der Nutzer bedeuten würde, die die Sendung unzulässiger Inhalte in diesem Netz veranlasst haben, wobei es sich bei diesen Adressen um personenbezogene Daten handelt, da sie die genaue Identifizierung der Nutzer ermöglichen.

EuGH C-582/14

dass eine dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Website, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, für den Anbieter ein personenbezogenes Datum im Sinne der genannten Bestimmung darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen.

Nach der Begründung klingt es aber nach einem „kann“, wenn die Person identifizierbar ist.

Jetzt stellt sich die Frage, ob eine Person in einem firmeninternen Netzwerk mit Internetzugang identifizierbar ist. Da vertrau ich dann der Fachabteilung in meinem Unternehmen, dass dies (zumindest bei uns) nicht möglich ist, da man die öffentliche IP-Adresse des Arbeitsplatzrechners nicht mit der internen im Firmennetzwerk verknüpfen kann, weil dazwischen ein NAT sitzt.
So auch Yinzhi Cao in „(Cross-)Browser Fingerprinting via OS and Hardware Level Features“

Wenn man seinen privaten PC für die Arbeit nutzen würde, würde ich mitgehen, dass die Browserdaten personenbezogene Daten darstellen. Bei der Nutzung eines Arbeitsrechners würde ich es in aller Regel verneinen. Aber es kann sein. Einzelfall.

Seht ihr das ähnlich?

Prinzipiell würde ich Dir Recht geben, wenn den Mitarbeiter/inne/n die private Nutzung der PCs verboten ist und ihre Internetaktivitäten immer unter Firmenaccounts stattfinden. Probleme können entstehen, wenn die Mitarbeiter/innen den Dienst-PC auch privat nutzen dürfen oder wenn Mitarbeiter/innen sich mit personalisierten Accounts ausserhalb des Firmennetzwerks einloggen müssen (z.B. unter ihrem eigenen Namen Social Media betreiben). Dann besteht nämlich die Möglichkeit, dass der namentliche Login mit Fingerprinting verknüpft wird.

Präziser: dem Internet-Anschluss. Das kann eine Abteilung, ein Gebäude, ein Büro oder sogar ein bestimmter Arbeitsplatz sein. Kennst Du die Netzwerkstruktur?

Soweit sich diese Aussage technisch auf die NAT (ugs. den „Router“) bezieht, wird das stimmen.
Für jede andere Auslegung kann sich das als Irrtum herausstellen.

Beispielsweise einem Gerichtsbeschluss.

Der DHCP wird Logs darüber führen, wann er welchem Netzwerkanschluss welche interne IP zugeordnet hat.

Es wird vom WAN nicht die LAN-Adresse sichtbar sein. Da musst Du nicht der Fachabteilung vertrauen, sondern dem Hersteller des Gerätes: die NAT ist hartverlötet.

Aber wenn die Ermittlungsbehörde per Gerichtsbeschluss ermächtigt ist, die IP zu ermitteln, ist es das Geringste, mittels Durchsuchungsbeschluss in der selben Sache, im LAN zu ermitteln, also auch das DHCP-Log auszulesen.

Den Arbeitsplatzrechner bekommt sie also genau auf dem gleichen Wege heraus, wie einen direkten Privatanschluss.
Etwas schwieriger wird es bei einem privaten Gerät im Firmennetzwerk: dann muss eventuell auch noch die MAC und womöglich der Umweg über den Hersteller und Handelsweg ermittelt werden.

Das Einzige, was sicher zur Verschleierung helfen kann, ist, wenn sich nicht nachweisen lässt, wer zum fraglichen Zeitpunkt das Gerät bedient hat.
Wenn sich das nicht ermitteln lässt, bleibt jedoch der Anschluss-Inhaber als Störer haftbar.
In diesem Stand der Ermittlung ist die IP des Gerätes dann auch ein personenbezogenes Datum.

Siehe dazu auch diese Diskussion: Ist die IP-Adresse ein personenbezogenes Datum? hier in der gleichen Kategorie.

Im den Fragen von Voxan ging es um (betrieblichen) Datenschutz und nicht um Störerhaftung oder gar Straftaten. Wie Bit da gedanklich zu richterlich angeordneten Ermittlungsmaßnahmen und Verschleierung gekommen ist, ist mir ein Rätsel.

Weil das der einzige Zusammenhang ist, in dem das relevant ist.
Der Arbeitgeber bekommt sowieso keine rechtliche Ermittlungsberechtigung.
Auch wenn sie sich aus verschiedenen technischen und organisatorischen Gründen im Arbeitsablauf ergeben mag: Siehe Arbeitsverträge, Betriebsvereinbarungen und deren Anhänge, also Zivilrecht.

Das stimmt so nicht. Es fing zwar so an, änderte sich aber später.

Die Annahme ist insofern berechtigt, daß Google die interne IP des Mitarbeiter-Gerätes nicht übermittelt bekommt. Google müsste ein Gericht oder zumindest einen Staatsanwalt zu einem Ermittlungsbeschluss bewegen, und dazu eine Straftat anzeigen.
Selbst kann Google das nicht ermitteln, deshalb vergibt es an alle kontaktierten Rechner eine 16-stellige eigene ID per Cookie. Das ist viel besser: praktischer, technisch einfacher und rechtssicherer, als die IP.

Dennoch ist der Vorwurf an den Mitarbeiter falsch adressiert, denn Firmenwebseiten werden nicht auf Arbeitsplatzrechnern liegen, sondern auf Webservern u.ä. und somit sowieso nicht im Verantwortungsbereich des Mitarbeiters, außer er sei der Entwickler, der die Google Fonts im Intranet eingebunden hat. Und den schützt dann die Arbeitgeberhaftung.
Für Google würde also die externe IP reichen und ihre Wahrnehmungen via Google-ID bestenfalls argumentativ als Beweis dienen.

Unabhängig davon ging es dann um personenbezogene Daten im Intranet. Das hat mit der NAT gar nichts mehr zu tun, denn es ist innerhalb, im LAN.
Die pbD können innerhalb des Arbeitsverhältnisses erhoben werden, wie es der Arbeitsvertrag und die Betriebsvereinbarung regeln, die der Mitarbeiter eingegangen ist.

Darüber hinaus wären sie rechtlich nicht erzwingbar, aber es ließe sich technisch auch nicht vermeiden. Jedoch wären sie umgekehrt an Ermittlungsbehörden herauszugeben, wenn die es in eigener Sache verlangten. Dazu braucht sie den Gerichtsbeschluss, den ich erwähnte.

Wer sich auf ein Netzwerk einlässt (egal ob mittels Bedienung eines Arbeitsplatzrechners oder eines eingebundenen eigenen Gerätes) akzeptiert zwangsläufig, daß das Netzwerk (hier im Besitz des Arbeitgebers) sein Gerät über diesen Anschluss auch verwaltet – mit allen Daten, die es dazu erlangen kann.

Darauf zielten auch die zitierten EuGH-Urteilsauszüge ab, auf die ich eingestiegen bin (siehe mein Zitat).

Auch der weitere Text behält Gültigkeit. Rätsel gelöst?

Nein. Arbeitgeber haben eine Fürsorgepflicht für ihre Arbeitnehmer/innen und dazu gehört auch die Verpflichtung, deren persönlichen Daten nicht (international) zu exponieren, es sei denn, das ist aufgrund der Natur der Tätigkeit unvermeidbar (etwa Pressestelle, Vertrieb). Das ist betrieblicher Datenschutz und dem entspricht, dass Voxans die Frage mit „Datenschutzrecht“ getaggt hat.

Edit: Als ich antwortete, stand in Bits Text nur der erste Absatz. Und den ergänzten Rest verstehe ich nicht. Muss ich aber auch nicht, Hauptsache, Voxan versteht es.

Da hast du Recht. In der ursprünglichen Diskussion habe ich auch gesagt, dass es auf die Netzwerkstruktur ankommt. Das kam hier leider von mir nicht rüber.

Das muss man unterscheiden zwischen der technischen und der rechtlichen Möglichkeit. Ohne technische Möglichkeit der Identifizierung, hilft dir die rechtliche Möglichkeit in Form eines Gerichtsbeschlusses auch nichts.

Dazu kann ich nichts sagen. Obwohl auch dieser Fall in der oben erwähnten wiss. Arbeit also nicht verknüpfbar aufgeführt wird.
Vermutlich wird das aber auch von Unternehmen zu Unternehmen unterschiedlich sein. Ohne DHCP Logs gibt es auch keine Verknüpfung.

Wo bist du der Meinung, dass sich das änderte?

Gut, daran habe ich überhaupt nicht gedacht. Aber dennoch muss sich ein Arbeitsvertrag/BV der DSGVO und den darin enthaltenen Grundsätzen unterwerfen.
Das wäre dann allerdings ein anderes Thema.

Auch das ist ein Punkt, an den ich nicht gedacht bzw. nicht gefunden habe.

Danke euch.

Nein, das wurde nicht erwähnt und es beantwortet auch meine Frage nicht, ob Du sie kennst.
Es kann ja durchaus unterschiedlich verschachtelte Netze im Intranet geben und dementsprechend kaskadierende Router, vielleicht sogar mit NATs.
Wie auch immer, ging ich nun davon aus, daß Du sie nicht kennst, denn ich kenne sie ja auch nicht.

Der Gerichtsbeschluss verlangt, daß der Ermittlungsbehörde die technischen Möglichkeiten verfügbar gemacht werden.

Daß sie vorhanden sein müssen, ergibt sich aus der Verwaltbarkeit des Netzes.
Es muss IPs geben und der DHCP muss sie kennen, denn er vergibt sie.
Die Pakete müssen damit adressiert werden, sonst funktioniert der Netzwerkverkehr nicht und das hat er ja vermutlich. Also: technisch ist gegeben.

Ich kann mir nicht vorstellen, daß es DHCPs gibt, die keine Logs führen, es gibt jedoch bestimmt etliche Dinge, die ich mir nicht vorstellen kann.
Zumindest die aktuell vergebenen Adressen muss er immer parat haben, sonst funktioniert das nicht.

Die Fragestellung änderte sich zwischen zwei Sätzen:

bislang also Intranet. Aber dann:

Da Google ja nicht im Intranet wohnt, sondern im Internet, ist ab hier die Fragestellung unter der Internet-Perspektive zu betrachten und da hat Google eben keine Rechte, IPs zu ermitteln, sondern muss sich einen Gerichtsbeschluss, dem eine vermeintliche Straftat zugrunde liegen muss, besorgen und durch Ermittlungsbehörden (nicht etwa selbst) ausführen lassen.
Unbenommen davon bleibt natürlich, was der anfragende Computer Google als Server ganz freiwillig an Merkmalen sendet.
Nur, wie gesagt, ist Google gerade ein spezielles Beispiel, weil es sich darauf eh’ nicht verlässt, sondern mit der 16-stelligen ID arbeitet.

Später hast Du auch EuGH-Zitate eingeführt, die sich auf diese Sicht bezogen, nämlich über die „Identifizierung mittels IP-Adressen“ und über den „Internetzugangsanbieter“.

Genau. Das bezieht sich eben auch wieder auf Betriebsinterna (Intranet) und nicht aufs Internet und somit auch nicht auf die NAT.

Diese Diskussion.

Das ist die zur Diskussion stehende Netzwerkstruktur. Möglich, dass das zu abstrakt ist.
Nein, ich kenne die Netzwerkstruktur nicht. Deshalb habe ich auch gesagt, dass es drauf an kommt. Hast du einen Einzelkaufmann mit einem PC ist das Thema auch nicht diskussionswürdig.

Das ist klar. Es ging im Logs.

Wie lange werden die Logs aufbewahrt? Bei uns sind es im Extremfall 7 Tage, danach gibt es keine Logs mehr. Zu der Aufbewahrungszeit existiert im Regelfall keine gesetzliche Grundlage.

Nein, da du ja selbst schon erwähnt hast, dass Google nicht im Intranet wohnt, war die Fragestellung von Anfang an die Gleiche. Zumal auch beide Zitate aus dem selben Post sind.

Ich versteh nicht, wie das mit der Fragestellung zusammenhängt. Ob Google Rechte hat oder nicht. Die rechtliche Möglichkeit besteht und das genügt für eine Qualifizierung als personenbezogene Daten.

Ja, zum Aufzeigen meines Denkfehlers, dass IP-Adressen immer personenbezogene Daten seien.

Vllt noch ein kleines Schema
Google Server ↔ öffentliche IP ↔ NAT ↔ interne IP

Wenn du nun keine Logs (mehr) hast, mit den sich die öffentliche IP mit der internen IP Adresse verknüpfen lassen, dann helfen dir die rechtlichen Möglichkeiten auch nicht und meiner Meinung nach liegen dann keine personenbezogenen Daten vor, weder die IP, noch der Fingerprint (vorbehaltlich etwaiger rechtmäßiger Verträge/Betriebsvereinbarungen)

Korrekt. So hatte ich das auch verstanden.
Ich hatte dagegen vor allem ilu geantwortet:

Ja, das müsste man mal einen Forensiker fragen. Wäre bestimmt interessant.
In einer komplexen AD-Struktur gibt es sicher vielfältige Verflechtungen zwischen einem Arbeitsplatz und der ganzen Server-Landschaft.
Das lässt sich nun hypothetisch schlecht aufdröseln. Mit unbekannter Netzwerkstruktur schon gar nicht.
Die DHCP-Logs sind da ja nur ein (wenn auch das naheliegendste) Element.

Ich würde Eurer Diskussion wirklich als wichtigsten Aspekt die Thematik der Google-ID statt der grundlegenden Fingerabdruck-Erhebung beilegen, wenn das so verlangt wird.

Ansonsten möchte ich Dir das hiesige Thema nochmal ans Herz legen:
Ist die IP-Adresse ein personenbezogenes Datum?

Ich kann da nur für meinen Arbeitgeber sprechen und wir werden regelrecht ausgebremst durch fehlende Logs.

Schau ich mir bei Gelegenheit mal an. Danke dir.