Wer mit seinem Computer, Tablet oder Smartphone online geht und Webseiten abruft, der hinterlässt Datenspuren – das ist wohl mittlerweile allgemein bekannt. Jedes Gerät hat eine eindeutige IP-Adresse, über die der Benutzer ermittelt werden kann. Doch dürfen diese IP-Daten von Webseitenbetreibern gespeichert werden – oder geht das zu weit? Der Bundesgerichtshof (BGH) hat bereits vor Jahren über genau diese Frage entschieden, und die Rechtslage wird durch die DSGVO noch verschärft.
Jeder Rechner, jedes Gerät hat eine IP-Adresse, wenn es ins Internet geht. Eine lange Zahlenkombination, die auf den ersten Blick nicht viel sagt über Herkunft und Nutzer.
Die meisten Geräte, die wir benutzen, haben so genannte dynamische IP-Adressen. Das bedeutet: Jedes Mal, wenn wir online gehen, bekommen wir automatisch und blitzschnell eine neue Adresse zugewiesen – wir bemerken davon nichts. Manchmal behalten wir die Adresse nur wenige Minuten, manchmal ist sie aber auch mehrere Tage identisch.
Die IP-Adresse selbst verrät nicht direkt, welcher Benutzer dahinter steckt. Man kann es aber rausfinden. Allerdings nur, wenn der jeweilige Provider befragt wird, denn nur der jeweilige Provider kann sagen, welcher Benutzer konkret zu einem bestimmten Zeitpunkt eine dynamische IP-Adresse zugewiesen bekommen hat.
Aber: Es ist grundsätzlich möglich. Deshalb sind IP-Adressen laut Ansicht des Bundesgerichtshofs (BGH) personenbezogene Daten – und die unterliegen besonderem Datenschutz. Webseitenbetreiber dürfen die IP-Adressen von Benutzern nur unter bestimmten Bedingungen speichern.
DSGVO verschärft die Rechtslage
Seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 ist die Rechtslage noch klarer geworden. IP-Adressen gelten eindeutig als personenbezogene Daten, und ihre Verarbeitung muss einer der sechs Rechtsgrundlagen aus Artikel 6 DSGVO entsprechen. Das bedeutet: Webseitenbetreiber brauchen entweder eine Einwilligung oder einen anderen triftigen Grund, um IP-Adressen zu speichern.
Viele Unternehmen stützen sich auf das „berechtigte Interesse“ nach Artikel 6 Abs. 1 lit. f DSGVO. Das funktioniert aber nur, wenn das Interesse des Webseitenbetreibers die Grundrechte der Nutzer überwiegt – eine Abwägung, die oft zugunsten der Nutzer ausgeht.
Warum speichern?
Viele Webseitenbetreiber speichern IP-Adressen, um nachverfolgen (tracken) zu können, woher die Besucher kommen, ob sie regelmäßig wiederkommen und vieles andere mehr. Mit den Daten lassen sich Analysen durchführen oder Benutzer identifizieren. Die Daten werden aber auch genutzt, um Hackangriffe erkennen und abwehren zu können – oder nach einem Hackangriff den Verursacher ausfindig machen zu können.
Der BGH verbietet das Speichern von IP-Adressen nicht generell, sondern erlaubt sie unter bestimmten Umständen auch, vor allem dann, wenn sie zur konkreten Abwehr von Gefahren genutzt werden, insbesondere zur Abwehr von Hackattacken. In diesem Fall hat der Anspruch auf Privatsphäre der einzelnen Benutzer einen geringeren Stellenwert als das allgemeine Interesse an Betriebssicherheit und Gefahrenabwehr.
Allerdings soll das nur in ganz konkreten und akuten Fällen erlaubt sein, nicht generell. Die dauerhafte, teilweise vollumfängliche Speicherung von IP-Adressen, die oft wochenlang gespeichert werden, dürfte damit eine unerlaubte Praxis sein.
Cookie-Banner und IP-Adressen
Seit der verschärften Rechtsprechung zu Cookies müssen viele Webseitenbetreiber umdenken. Auch wenn IP-Adressen technisch notwendig sind, um eine Webseite auszuliefern, dürfen sie nicht länger als nötig gespeichert werden. Viele Datenschutzbehörden fordern mittlerweile eine automatische Löschung oder Anonymisierung nach spätestens 24 Stunden.
Für Analytics-Tools wie Google Analytics, Matomo oder andere Tracking-Dienste bedeutet das: Ohne explizite Einwilligung des Nutzers dürfen IP-Adressen nicht für statistische Auswertungen verwendet werden. Viele Webseitenbetreiber nutzen deshalb IP-Anonymisierung oder verzichten ganz auf detailliertes Tracking.
VPN: Tarnkappe wird zum Mainstream
Wer verhindern möchte, beim Surfen im Netz identifiziert zu werden, kann verschiedene Tricks anwenden. Die einfachste Methode ist, ein so genanntes Virtual Private Network (VPN) zu nutzen. Das ist ein Datentunnel, eine private Verbindung ins Internet, bei der die eigene IP-Adresse komplett und effektiv verschleiert wird.
VPN-Nutzung ist in den letzten Jahren explodiert. Was früher nur Technik-Nerds nutzten, ist heute Mainstream geworden. Allein in Deutschland nutzen mittlerweile über 20 Prozent der Internetnutzer regelmäßig ein VPN – Tendenz stark steigend.
Für den Betreiber einer Webseite lässt sich so nicht erkennen, wo die Person, die gerade Kontakt zum Server herstellt, eigentlich sitzt. Wer ein VPN nutzt, kann so tun, als wäre er in Berlin, Los Angeles oder Sydney. Da man als Benutzer in einem VPN jedes Mal eine andere IP-Adresse bekommt und VPN-Dienste Anonymität in der Regel groß schreiben, ist es nahezu unmöglich einen Benutzer ausfindig zu machen.
Es gibt kostenlose Dienste wie den Tor-Browser. Allerdings ist Vorsicht geboten: Viele kostenlose VPN-Anbieter finanzieren sich durch den Verkauf von Nutzerdaten – ein Widerspruch in sich. Seriöse Anbieter wie ProtonVPN oder Mullvad haben auch kostenlose Tarife, aber mit Einschränkungen beim Datenvolumen oder der Geschwindigkeit.
Kostenpflichtige VPN-Dienste sind mittlerweile sehr ausgereift. Moderne Anbieter wie NordVPN, Surfshark oder ExpressVPN bieten Apps für alle Geräte, sind kinderleicht zu bedienen und oft schneller als die normale Internetverbindung. Viele haben sogar spezielle Server für Streaming oder Gaming optimiert.
Neue Tracking-Methoden im Fokus
Während IP-Adressen stärker geschützt werden, entwickeln Tracking-Unternehmen neue Methoden. Browser-Fingerprinting, bei dem hunderte Eigenschaften des Browsers und Systems ausgelesen werden, ist bereits weit verbreitet. Auch hier greifen aber Datenschutzgesetze – und moderne Browser blocken viele dieser Techniken standardmäßig.
Die Zukunft gehört datenschutzfreundlichen Analytics-Lösungen, die ohne personenbezogene Daten auskommen. Dienste wie Plausible oder Fathom Analytics zeigen, dass aussagekräftige Statistiken auch ohne Tracking möglich sind.
Zuletzt aktualisiert am 03.04.2026
