Am 27. März 2007 hat das Amtsgericht Berlin Mitte entschieden, dass die IP-Adresse eines Websitebesuchers gelöscht werden muss, sobald dieser die Seite verlassen hat. Doch was genau bedeutet die Entscheidung? Und ist sie überhaupt ernst zu nehmen? Diese Fragen beantwortet der folgende Beitrag. Ich habe versucht ihn möglichst lesbar zu halten. Also bitte um Nachsehen, wenn ich manche Bereiche vereinfacht darstelle oder keine streng juristische Sprache benutze.
Und schon mal eines vorweg. Ich persönlich finde nicht, dass das Urteil so falsch ist, wie es an vielen Stellen behauptet wird. Für ganz zutreffend halte ich es aber auch nicht. Aber dazu mehr am Ende des Beitrags.
Den Beitrag gibt es bei Technikwürze, dem Design- und Webstandards-Podcast, auch zu hören.
Um die Entscheidung des Amtsgerichts zu verstehen, muss man zuerst wissen, was der Datenschutz im Internet überhaupt bezweckt:
Schutz personenbezogener Daten
Der Datenschutz soll bewirken, dass personenbezogene Daten der Seitenbesucher nicht aufgezeichnet werden. Daten an sich hinterlassen Websitebesucher viele. Z.B.:
- Name und Emailadresse
- Beiträge in Foren
- Profildaten (Hobbies, Sexuelle Vorlieben, etc.)
- Eine Spur der Seiten, die ein Nutzer besucht hat (Klickpfad)
- Klicks auf Werbebanner
- Kontoangaben in E-Shops
- Angaben in einem Cookie
Und wenn sich diese Daten einer Person zuordnen lassen, nennt man sie personenbezogene Daten. Dagegen unterfallen anonyme Daten, d.h. solche die man einer Person nicht zuordnen kann, nicht dem Datenschutz.
Ein Name oder eine Kontonummer sind immer personenbezogen. Bei anderen Daten kommt es auf die Art der Speicherung an. Ein Klickpfad ist grundsätzlich anonym. Wenn jedoch z.B. ein Name mit den Klickdaten gespeichert wird, ist der Klickpfad ein personenbezogenes Datum.
Personenbezogene Daten dürfen nicht gespeichert werden!
Um den Besucher zu schützen, müssen spätestens wenn der User die Website verlassen hat, alle seine personenbezogenen Daten gelöscht werden. Dazu gibt es natürlich Ausnahmen:
- Für Abrechnungszwecke darf man die Daten behalten (z.B. Kontodaten)
- Daten, die für die Nutzung des Internetangebot notwendig sind dürfen auch bleiben (Z.B. wäre eine Mailingliste, die Emailadressen löscht sinnleer 😉 )
- Eine ausdrückliche Einwilligung liegt vor
Aber muss der Betreiber wissen, welche Seiten gerade ich besucht habe? Muss er wissen welche Werbung grade ich geklickt habe? Nein, die Informationen darf er daher nur anonym, d.h. ohne meine UserID, Emailadresse oder Namen speichern.
Gehört auch eine IP-Adresse zu personenbezogenen Daten, die man nicht speichern darf?
Genau diese Frage beschäftigte den Richter in diesem Fall. Und er sagte ja. Eine IP-Adresse ist ein personenbezogenes Datum, weil sie einer Person zugeordnet werden kann. Zumindest über den Provider, bei dem man sich ins Internet eingewählt hat. Denn dieser kann die IP-Adresse einer Person zuordnen.
Demnach darf die IP-Adresse grundsätzlich nur für Abrechnungszwecke gespeichert werden. Für die zweite Ausnahme, die weitere Nutzung der Internetseite, ist die IP-Adresse dagegen grundsätzlich nicht erforderlich (Man könnte hier an Ausnahmen bei Abstimmungen o.ä. denken).
Ist das Urteil so richtig?
Diese Frage ist höchst umstritten. Ich persönlich schließe mich der Meinung des Amtsgerichtes an. Vor allem die folgende Argumentation finde ich überzeugend:
Nehmen wir an, ich habe aus Neugier eine Seite mit einer Autobombenbauanleitung besucht. Das hat der Seitenbetreiber aufgezeichnet. Wenn die IP-Adresse nur eine anonyme Information ist, dann darf der Seitenbetreiber die IP der Staatsanwaltschaft geben …. oder?
Genau, spätestens hier hält man die IP-Adresse doch nicht für sooo anonym. Denn wo die Gerichte die IP-Adresse mit einer Person gleichsetzen (z.B. beim Filesharing) oder die Provider die Zugangdaten (ggf. bald) auf Vorrat speichern müssen, muss man die IP-Adresse als persönliche Information schützen!
Also Tür und Tor auf für Spammer, Hacker und Störer?
Wenn man nach dem Urteil geht dann ja. Das Gericht hat sogar sinngemäß gesagt, dass Maßnahmen zur Verhinderung des Datendiebstahls die Speicherung der IP nicht rechtfertigen!
Und an dieser Stelle halte ich das Urteil für unzureichend. Das Gericht hätte feinsinniger entscheiden müssen.
Datenschutz und die „informationelle Selbstbestimmung“ sind zwar wesentliche Bestandteile der Menschenwürde aus Artikeln 1 und 2 des Grundgesetzes. Aber was ist mit den Rechten der Webseitenbetreiber?
- User-Generated-Content: Ich hafte z.B. für rechtswidrige Kommentare in einem Blog o.ä., darf aber die IP-Adresse des Verfassers nicht speichern um ihn zu belangen?
- Spamabwehr: Ich will als Provider die User vor Spam schützen darf aber z.B. kein Greylisting betreiben oder als Seitenbetreiber Plugins wie SPAM-Karma nutzen?
- Addsense-Klickbetrüger können dank IP erfasst werden.
- Contentgrabber, die regelmäßig über eine bestimmte IP (Oder einen IP-Bereich) zugreifen.
Meines Erachtens hätte das Gericht Ausnahmen, die die obigen Fälle erfassen berücksichtigen müssen.
Ok, der Gesetzgeber hat diese Fälle auch nicht bedacht und nur die „Abrechnungszwecke“ als Ausnahme für das Speichern der IP-Adressen aufgenommen. Aber Gerichte sind auch dazu da, um die Schwächen des Gesetzes auszugleichen. Oder sich damit zumindest auseinanderzusetzen.
Ist das Urteil überhaupt von Bedeutung?
Seine Bedeutung wird an vielen Stellen mit dem Hinweis, dass es bloß ein Amtsgericht ist (die niedrigste Gerichtsinstanz) verneint. Andere wiederum sehen eine Abmahnwelle auf uns zukommen.
Ich denke die Wahrheit liegt in der Mitte.
Es ist zwar ein Amtsgericht, aber verurteilt wurde das Bundesjustizministerium. Und wie hat es auf das Urteil reagiert? Es hat es nicht angefochten, sondern akzeptiert. D.h. nicht nur ein Amtsgericht sondern auch das Bundesjustizministerium steht quasi hinter dem Urteil!
Und Abmahnwellen sah man schon am Anfang des Jahres, als das neue Telemediengesetz in Kraft trat. Damals erkannte man, dass die meisten Websites keine Datenschutzhinweise haben. Doch die Abmahnwelle kam trotzdem nicht. Und so wird es auch hier sein, denn
- Nur natürliche Personen können gegen die IP-Speicherung vorgehen
- Es ist eher keine Wettbewerbsverletzung, die ein Mitbewerber abmahnen kann
- Die Rechtslage ist unklar und damit ein Risiko für den Kläger
- Und vor allem: Die niedrigen Streitwerte lohnen sich für die Abmahnanwälte nicht. 😉
Wie soll man sich als Webseitenbetreiber verhalten?
Ich schlage vor:
- Ruhe bewahren und schauen, welche Entscheidungen die Zukunft bringt.
- IP-Adressen nur wenn nötig speichern. Wenn nötig heißt z.B. Klickpfade oder Downloadzahlen anonym speichern.
- IP-Adressen löschen sobald sie nicht benötigt werden. D.h. spätestens dann zu löschen, wenn sie nicht mehr gebraucht werden. Z.B. Bei Blogkommentaren, wenn man diese gelesen hat. Oder bei Shops wenn der Kunde den Kaufvorgang abgebrochen oder den Betrag gezahlt hat.
- (Statistik)Anwendungen wählen, die keine IP-Adressen speichern.
Mein persönliches Fazit
Ich finde das Urteil gut. Ja, ich bin selbst mit meinen Seiten betroffen. Ja, ich habe auch Programme geschrieben, die IP-Adressen „zur Sicherheit“ speicherten. Ja, ich sammelte auch in diesem Blog dauerhaft die IP-Adressen der Kommentatoren.
Aber zugleich bin ich auch gegen das Vorhaben der Bundesregierung Daten auf Vorrat zu speichern. Paradox, oder? Da will man die unsinnige Vorratsdatenspeicherung verhindern, betreibt aber selbst oft eine. Ein klassischer Fall von Doppelmoral.
Daher finde ich, dass dieses Urteil ein guter Warnschuss ist und einen zum Nachdenken bringt. Und wenn die nächsten Entscheidungen sich etwas genauer mit den Belangen der Webseitenbetreiber auseinandersetzen, werden sie wohl nicht nur bei mir auf Akzeptanz stoßen.
Und sie werden endlich dazu führen, dass es Programme, Plugins und Anbieter geben wird, die das Loggen der IP-Adresse zumindest als Option verhindern. Und vielleicht auch alternative Wege zur Abwehr von Spam und Störern entwickelt werden.
Links zum Thema:
- Daten-Speicherung.de – Ausführlicher Beitrag des Klägers mit Zitierung der Urteile
- Don’t track your users: IP-Adressen speichern verboten – Beitrag bei Telemedicus
- Ansicht vom RA Dr. Bahr zu der Entscheidung
- Meldung bei Heise
- http://www.vorratsdatenspeicherung.de/ (Arbeitskreis Vorratsdatenspeicherung – Gegen die totale Protokollierung von Telefon, Handy, E-Mail und Internet)
- Wir speichern nicht – Netzwerk von Webseiten, deren Nutzung nicht personenbezogen nachvollzogen werden kann. Inkl. Erläuterungen und Anleitungen z.B. für Apache, phpBB, Mediawiki, WordPress, u.a.
- Telemediengesetz, Abschnitt „Datenschutz“
- Bundesdatenschutzgesetz
Update 13. November 2007
Kollege Ulbricht schreibt im web 2.0 & Recht -Blog ebenfalls zu diesem Thema. Auch er kommt zu der Ansicht, dass IP-Adressen so selten wie möglich gespeichert werden sollten und dass man schauen sollte was für Gerichtsurteile zu diesem Thema noch kommen. Ferner verweist er auf zwei Gerichtsurteile zum Thema IP-Speicherung (Landgericht Darmstadt Az. 10 O 562/03, Urteil vom 06.06.2007 und Amtsgericht Bonn Az. 9 C 177/07, Urt. v. 05.07.2007) . Darin haben die Gerichte entschieden, dass Telekommunikationanbieter IP-Adressen zumindest für 7 Tage speichern dürfen. Das ist notwendig, um z.B. Störungen herauszufinden oder gegen Spam vorzugehen.
Insoweit zeigen diese Urteile meines Erachtens, dass von dem Verbot der IP-Speicherung Ausnahmen gemacht werden müssen (z.B. um Spam abzuwehren oder Verfasser von User Generated Content zu ermitteln).
Danke für die schöne Übersicht dieses komplexen Problemfeldes. Insgesamt finde ich sie (wieder mal) sehr gelungen. Dennoch habe ich ein paar Anmerkungen:
Stimmt, wenn eine IP-Adresse an die Staatsanwaltschaft weitergegeben wird, ist sie in der Tat nicht mehr „sooo anonym“. Denn der Staatsanwaltschaft stehen durch ein Auskunftsersuchen beim Provider die rechtlichen Mittel zur Verfügung, tatsächlich einen Bezug zwischen IP-Adresse und Person herzustellen, die einem Website-Betreiber (zum Glück) verwehrt sind. Spätestens bei der Staatsanwaltschaft handelt es sich bei der IP also in jedem Fall um ein persönliches Datum. Für den Webseiten-Betreiber ist das Merkmal der „Bestimmbarkeit“ also in aller Regel nicht erfüllt, weil er nicht mal eben beim Provider die zur IP gehörenden Daten erfragen kann (wobei es Ausnahmen gibt, wo aus der Summe der Informationen, die gesammelt werden können, tatsächlich eine Person bestimmt werden kann). Ich würde es deshalb so zusammenfassen: Die IP-Adresse *kann* ein persönliches Datum darstellen, ist es aber in der Regel nicht. Insofern stimme ich mit dem Urteil nicht überein.
Es ist ja nicht bei dem Urteil des AG Berlin geblieben, sondern es wurde immerhin vom LG bestätigt:
http://www.telemedicus.info/urteile/Allgemeines-Persoenlichkeitsrecht/134-LG-Berlin-Az-23-S-307-Tracking-von-IP-Adressen-auf-Webseiten.html
Ausserdem hat das LG die Revision nicht zugelassen, weil es sich um einen Einzel- bzw. Sonderfall handle. Insofern ist nachvollziehbar, dass das BMJ gegen das Urteil keine Rechtsmittel eingelegt hat.
Danke fürs Kompliment und Deine Ansicht. Dennoch bleibe ich bei meiner:
Ich könnte die Daten aber auch meinem Accessprovider statt der Staatsanwaltschaft geben. Oder wem auch immer! Und hier ist meines Erachtens eine große Gefahr!
Das sieht man leider anhand der IP nicht, ob sie ein personenbezogenes Datum ist oder nicht. Und wenn es nur einige wären, muss ich sie m.E. alle schützen.
Das Bundesjustizministerium hat das Urteil betreffend der IP nicht angefochten. Das Amtsgericht hat nur „zuviel verboten“ als beantragt war ;). Und nur damit hat sich das Landgericht beschäftigt. Also bleibt es bei einem Amtsgerichtsurteil. S.: http://www.daten-speicherung.de/index.php/urteil-vorratsspeicherung-von-kommunikationsspuren-verboten/
unter „Update“.
Man ich muss die Links hier kürzen lassen 😉
Hallo Thomas,
Kannst du das mal näher erläutern, ich verstehe nicht ganz, worauf du hinaus willst. Denn wenn ich die Daten an den Provider gebe (warum auch immer ich das machen oder der Provider das wollen sollte), dann haben wir ja die selbe Situation wie bei der Staatsanwaltschaft: hier wird die IP in jedem Fall zu einem personenbezogenen Datum. Wenn ich die IP aber an jemand anderes herausgebe, dann kann der damit genau so viel anfangen, wie ich selbst.
Stimmt, nach unserem aktuellen Datenschutzrecht muss jede IP *wie* ein personenbezogenes Datum behandelt werden, mit der Konsequenz, das nichts gespeichert werden darf.
Ich widerspreche dem AG/LG ja auch nicht unbedingt im Ergebnis, sondern vielmehr in der Argumentation. Und meine Kritik geht auch eher an den Gesetzgeber, der das Problem einfach verschlafen hat.
Natürlich möchte ich auch nicht unter Generalverdacht gestellt werden, weil ich eine bestimmte Webseite (zB des BKA) aufgerufen habe. Ich möchte auch nicht, dass mein Provider mich und die Inhalte, die ich abrufe kontrolliert.
Auf der anderen Seite sehe ich als alter Techniker aber auch, dass die Meta-Daten einer IP-Adresse aus den öffentlich zugänglichen Quellen nur eine sehr geringe, aber rein statistisch durchaus interessante Aussagekraft hat (zB aus welchen Ländern stammen meine Besucher, welche Unternehmen interessieren sich für mich usw.). Und ich sehe auch die an einigen Stellen technische Notwendigkeit der Speicherung von IP-Adressen, etwa zur Störungsbehebung bei Servern und in Netzwerken.
Deshalb plädiere ich: die IP-Adresse an sich ist nicht böse. Aber der Gesetzgeber muss hier sinnvolle rechtliche Grenzen zu ihrer Verwendung schaffen. Denn das vollständige Verbot der Speicherung halte ich weder für notwendig, noch für sinnvoll – auch wenn es, da gebe ich dir recht, das derzeitige Datenschutzrecht im Prinzip vorschreibt.
Ich denke, da sind wir im Ergebnis einer Meinung (Wo es doch sonst 2 Juristen=3 Meinungen heißt 😉 ).
Auch ich denke, dass ein vollständiges Verbot falsch ist. Und dass sich die Richter hier nicht starr an den Wortlaut des Gesetzes hätten halten dürfen.
Ob man nun die IP als personenbezogen betrachtet und Ausnahmen zulässt oder nicht als personenbezogen, aber Einschränkungen für das Speichern macht, ist dann ja herzlichst egal. Wann kommt das Gesetzes-Update? 😉
Wer schuetzt den Unternehmer, der einen Web-Shop betreibt, vor Eingehungsbetrug? Das TKG „bombt“ uns in die Steinzeit. Es ist vollkommen sinnleer, dass der Access-Provider zu Abrechnungszwecken speichern darf, der Content-Provider, der ein gleiches schuetzenswertes Interesse hat, jedoch nicht. Im Prinzip ist das TKG es ein Ausdruck der Hilflosigkeit des Staates gegenueber dem E-Business und das kann nur funktionieren, wenn man Schuldner auch ermitteln kann. Im Prinzip spielt der Staat mit den Unternehmen, die bereit sein muessen, Forderungen abzuschreiben. Ich frage mich nur, wie die naechste TKG-Novelle ausfallen wuerden, wenn dt. Internet-Unternehmen von die Erlaubnis zur IP-Speicherung schlicht keinen Online-Handel mehr anbieten wuerden. Dann waere wohl der herbeigesehnte Aufschwung vollends futsch …
Herzlichen Dank für diese Übersicht und Klarstellung.
Ich bin kein Jurist, aber habe dennoch ein paar Anmerkungen und Fragen 🙂
– Die IP-Adresse allein ist meist nie personenbezogen. In Verbindung mit einem Zeitstempel kann sie personenbezogen sein.
– In einem Netzwerk mit Router und einem Internetzugang surfen mehrere Internetnutzer unter einer IP-Adresse (Firmennetzwerk, privates W-LAN, Internetcafé). Wie sieht es hier aus?
– Darf man überhaupt noch Statistik-Dienste wie z.B. Google Analytics einsetzen? Google ist mit seinen vielen Diensten (Adsense, FeedBurner etc.) theoretisch in der Lage, Nutzerprofile zu erstellen.
Ich finde es wichtig, dass unsere Daten geschützt werden. Aber ich vermute, dass „die Justiz“ nicht auf der Höhe der Zeit ist.
Eine IP-Adresse wird einem Anschluss vergeben, nicht einem Menschen. Daher wird regelmäßig vorgebracht "Ich war es nicht, ein anderer hat meinen Anschluss genutzt". Hier sagen die Gerichte, dass das stimmen mag, aber derjenige auf dessen Namen der Anschluss läuft, für diesen als so genannter "Mitstörer" haftet.
Ein Mitstörer ist kurz gesagt jemand, der hätte aufpassen müssen. D.h. wenn z.B. in der WG der A den Anschluss anmeldet und sein Mitbewohner B heimlich Unfug macht, wird A zur Verantwortung gezogen (Es sei denn, er kann nachweisen, dass es B war).
Nutzerprofile darf Google nicht erstellen. Sein Heimatland USA genügt zwar den EU-Datenschutzbestimmungen nicht, aber Google hat sich freiwillig den "safe harbor"-Bestimmungen unterworfen. Das sind freiwillige Bestimmungen des US-Handelsministeriums, die dem EU-Datenschutz genügen. Wer sie freiwillig annimmt, darf auf dem deutschen Markt legal Daten sammeln. Und zu unseren Datenschutzbestimmungen gehört eben auch, dass man keine Nutzerprofile erstellen kann (Außer es sind anonyme Profile oder Pseudonyme, wenn der User ausdrücklich eingewilligt hat, was bei einem Statistiktool selten der Fall ist).
Die eigentliche Frage ist, ob Nutzerprofile, die nur die IP-Adresse als Identifizierungsmerkmal enthalten personenbezogen und damit nicht anonym und somit nicht erlaubt sind. Und wenn wir nach dem Urteil gehen ist das der Fall. D.h. lt. obigen Urteil darf man z.B. Google-Analytics nicht einsetzen. Es sei denn dei IP-Adresse wird nicht geloggt.
Ich denke, wenn dieses Urteil durch andere Entscheidungen bestätigt wird, wird Google zumindest eine Option zum Abschalten des IP-Loggings anbieten. Biss dahin heißt es entweder solche Statistiktools abschalten oder erst einmal abwarten und mit der – m.E. geringen – Abmahnungsgefahr leben.
Auf die Speicherung der IP-Adresse habe ich z.B. als Webseitenbetreiber keinen Einfluß. Die Provider speichern die IP-Adresse und bieten es den Kunden manchmal an in im Verzeichnis "Logs" darauf zuzugreifen.
Wer und wie will man denn kontrollieren ob die IP-Adresse und andere Daten meiner Besucher gespeichert werden?
Google Analytics stellt keine IP-Adressen-Logs zur Verfügung! Wenn ja wo kann ich die einsehen? Wenn Google die speichert ist das nicht mein Problem?
Demnach ist die Datenschutzerklärung, die seit März 2007 auch Pflicht ist, sinnlos?
Andreas
PS. ich hoffe mein IP-Adresse wird hier nicht gespeichert? 🙂
@Andreas:
Tja, das ist eben ein Problem. Du kannst bei Deinem Provider anfragen, ob er das lässt. Bisher hat sich da kaum einer drum gekümmert. Ich denke erst mit weiteren Urteilen wird eine Umstellung/ ein Umdenken statt finden.
S. Kommentar Nr.9. Soweit ich weiß kann man das IP-Logging weder einsehen noch abschalten. Dein Problem ist es trotzdem, weil Du Google-Analytics freiwillig einsetzst.
Nein, sie bleibt weiterhin (zumindest nach den meisten Ansichten) Pflicht. Sie erfüllt noch weitere Anforderungen, wie z.B. Aufklärung über Auskunftsrechte oder darüber welche Daten gespeichert werden. Nur sie ist halt keine Rechtfertigung die IP-Adresse zu speichern. Zumindest lt. des Urteils.
Oh doch 😉 Aber nur bis ich die Kommentare gelesen habe. Dann wird sie gelöscht.
Ich werde nirgends von Google darauf hingewiesen das sie u.a. IP-Adressen speichern, sie aber nicht wie alle anderen Daten aufbereitet zur Verfügung stellen.
Dies wäre spätestens nach diesem Urteil doch Pflicht für Google?
hm, quote funktioniert nicht, sorry.
Welchen HTML Tag verwendest du für Zitate?
Webmaster: <blockquote></blockquote>, ich habe es oben geändert und das Kommentarfeld ergänzt.
@Andreas:
Also zumindest eine Stelle gibt es: Du musst in der Datenschutzerklärung darauf hinweisen, dass Besucherdaten außerhalb der EU verarbeitet werden. Und Google gibt dafür einen Mustertext vor, in diesem folgendes steht: „… Informationen über Deine Benutzung diese Website (einschließlich Deiner IP-Adresse) werden an einen Server der Google in den USA übertragen und dort gespeichert.„. Die IP speichern darf G-Analytics auch mit diesem Hinweis lt. Urteil nicht.
also soll ich jetzt meine Datenschutzerklärung ändern? Ich wußte garnicht das Google die Daten in USA speichert.
Außerdem habe ich keinen Einfluss darauf was Google speichern will und was nicht. Entweder ich nutze diesen Dienst oder lasse es sein.
Wo steht denn dieser Mustertext?
@andreas
Wow, ich finde den Hinweis dort nicht (mehr?). Dabei bin ich mir ziemlich sicher, dass er mal dort war. S. z.B.: http://www.abakus-internet-marketing.de/foren/viewtopic.php?p=271472&highlight=#271472
Da kannst ihn z.B. hier rauskopieren:
http://www.sheepworld.de/shop/oxid.php/cl/info/tpl/security_info.tpl
(Link zur Seite eines Kunden von mir)
danke für den Link Thomas!
Nach meinem Verständnis sehe ich einen Widerspruch, nämlich:
„Damit Sie sich bei Ihrem Einkauf beim sheepworld – eShop sicher sein können, haben wir alles unternommen, um Ihre Daten vor den Zugriffen Dritter zu schützen.“
Google Analytics
Ich glaube ich spare mir diesen GA Hinweis. Der erzeugt nur ein Unbehagen beim Besucher. Google die alles speichernde Kraake.
@Andreas:
😉 Google != Datenschutz? Na, da werde ich mal keine Widerworte geben. Aber nach Alternativen schauen.
Hallo,
wie Peter Claus L. bereits sagte kann das nicht stimmen:
IP = Peter Müller
Es ist korrekt:
IP + Zeitstempel = Anschluss Musterstr. 12, Wohnung DG oben rechts
Mit der alleinigen IP-Adresse kann keine Staatsanwaltschaft oder viel mehr der Provider eine Person identifizieren.
Ein Geburtsdatum alleine ist genauso wenig personenbezogen. Eine IP-Adresse stelle ich daher auf die gleiche Stufe.
Gruß
Marc
@Marc:
Stimmt, im Normalfall ist das so. Was aber, wenn sich eine IP auf den Hostnamen „prof-x.uni-y.de“ auflösen lässt? Oder wenn ich unter meinem Namen einen Kommentar veröffentliche und gleichzeitig die IP-Adresse veröffentlicht wird? Oder ich in Verbindung mit der aufgerufenen Seite eine IP eindeutig einem Besucher zuweisen kann? Es werden sich noch weitere exotische Beispiele finden lassen, in denen die IP-Adresse ausnahmsweise doch personenbezogen ist.
Klar kommen diese Fälle selten vor, aber bei der Erhebung einer IP-Adresse weiss man nie, ob sie jetzt ein solcher exotischer Einzelfall ist oder nicht. Man muss also jede IP-Adresse wie ein personenbezogenes Datum behandeln. Denn wenn man die IP erstmal gespeichert hat, ist das Kind schon in den Brunnen gefallen und man hat rechtswidrig personenbezogene Daten erhoben.
So ist nunmal das deutsche Datenschutzrecht. Ich finde das auch nicht gut und daher muss die Kritik an den Gesetzgeber gehen, der das Problem schlicht ignoriert hat. Den Gerichten kann man aber keinen Vorwurf machen. Eigentlich sogar im Gegenteil, denn durch die Verurteilung des BMJ kann man darauf hoffen, dass der Gesetzgeber jetzt mal reagiert.
Hallo,
gibt es Angaben in welchem Zeitrahmen eine IP gelöscht werden muss wenn sie für den Ablauf notwendig ist, z.B. Sessionhash oder Floodcheck ?
Der Server weiss ja nicht sofort wenn der user den Browser schliesst das der User nicht mehr da ist. Gibt es da Regeln für den Timeout ?
Wie ist das mit der Ausnahme für Anwälte die im Auftrag der Musikindustrie IPs im P2P loggen. Ist das nur eine Ausnahmen für die Musik oder geht das mit allem wo man sicher sein kann es sich um einen Straftat handelt ?
Gruss
Bastian Werner
@Marc Gutt, Adrian
– Ja, ich habe es vereinfacht, eigentlich heißt es tatsächlich „Der Anschluss von Peter Müller“. Jedoch muss man bei dem Schutz, wie Adrian es sagt, auf die „Schwächsten“, z.B. die statische IP-Adressen, abstellen.
@Bastian
Leider sind mir keine ausdrücklichen Regeln bekannt. Und wenn man die nicht kennt gilt: „solange die Daten technisch erforderlich sind„. Das hier sind Bereiche des Rechts, die von „Sachverständigen“ gefüllt werden müssen. Man muss die praktischen Anforderungen mit dem Datenschutz abwägen.
Beim Timeout würde ich z.B. schauen, ab wann man davon ausgehen kann, dass (c.a.) 75% der User disconnected sind. Sind z.B. bei 10 min – Timeouts 75 % der User nicht mehr verbunden, würde ich diese Zeit nehmen, um die personenbezogenen Daten zu löschen.
Was das Speichern der IP-Adressen z.B. in Filesharing-Programmen angeht, so ist das erlaubt. Aber nur, wenn der Teilnhemer die urheberrechtlich geschützte Datei anbietet (= mit überwiegender Wahrscheinlichkeit Straftat begeht).
@ Adrian
>>Was aber, wenn sich eine IP auf den Hostnamen “prof-x.uni-y.de” auflösen lässt?
Das ist so, als würdest Du mit einem T-Shirt durch die Gegend laufen mit „Adrian Nachname“ und Dich dann nachher darüber beschweren, dass man Dich erkennt. Oder wenn Du „Nummer senden“ beim Handy einschaltest und Dich dann wunderst, dass Du zurückgerufen wirst (jedes Handy protokolliert genauso eingehende Anrufe, wie jede Internetseite die Besucher 😉 ). Es ist genauso, als wenn Du eine Internetseite erstellst und Dich dann danach darüber beschwerst, dass sie in Google auftaucht.
Es gibt genug Urteile, die im Sinne von Google entschieden wurden. Wie z.B., dass ein Seitenbetreiber dafür Sorge zu tragen hat, dass eine robots.txt vorhanden ist, wenn er dort nicht erscheinen will etc.
Ich könnte jedes Argument mit einem Gegenargument aushebeln. Ich habe Statistiken entwickelt und ich weiß wie schwer es ist herauszufinden, wer da auf der anderen Seite sitzt. Bei Providern, wie AOL z.B. ist es noch viel schwerer, weil die ständig ihre IPs ändern. Und Fakt ist, dass man erst herausbekommt wer hinter der IP steckt, wenn der Nutzer selbst zusätzlich privatbezogene Daten angibt. Und selbst das reicht nicht aus. Denn woher weiß man, ob nicht andere an dem Computer zu der Zeit gesessen haben. Ich habe in meinem Netzwerk ja auch schon drei Rechner. Ich betreibe mehrere große Internetforen und auf Grund von Betrugsfällen unterstütze ich regelmäßig die Polizei. Daher kann ich alleine durch die Erfahrung sagen, wie verzweifelt die Polizei schon ist.
Effektiv sollte man auch dem Nutzer gewisse Voraussetzungen mitgeben. Dem Nutzer muss einfach klar sein, dass man nicht mit einer fixen IP durchs Internet reisen kann, ohne erkannt zu werden. Wer bei seinem Handy die „Nummer senden“ ausschalten kann, der kann auch einen Proxydienst zum Surfen nutzen.
>> Oder wenn ich unter meinem Namen einen Kommentar veröffentliche und gleichzeitig die IP-Adresse veröffentlicht wird?
Das ist in meinen Augen eine klare Verletzung der Privatsphäre ABER solche Seiten weisen Dich VORHER daraufhin, dass dies passieren wird. Bestes Beispiel ist hier Wikipedia, die ganz deutlich darstellen, dass die IP-Adresse öffentlich einzusehen ist, sobald eine Editierung erfolgt.
Vielleicht eine interessante Randinfo zu der Thematik bei Wikipedia. Ein unabhängiger Dritter hat die IP-Adressen dort mal analysiert und ist darauf gekommen, dass Behörden gezielt Inhalte bei Wikipedia modifiziert haben. Aber wer genau, konnte auch er nicht sagen. Denn wer da am Computer sitzt sagt eine IP nicht aus.
Gruß
Marc
IP Personenbezogen?
a) Man weiß nicht, ob der Anschlußinhaber der Surfer ist.
Das steht auch gar nicht zur Debatte.
Wenn die IP gespeichert wird, speichert man das personenbezogene Datum des Anschlußinhabers – dessen Datenschutzrechte werden also verletzt, nicht die des Surfers (es sei denn, da besteht eine Identität).
b) Ich kann anhand IP und Zeitstempel doch gar nicht sagen, wem der Anschluß gehört.
Das steht auch nicht zur Debatte.
Wären die Daten deshalb nicht personenbezogen, dann unterlägen sie nicht dem Datenschutz. Man dürfte sie ohne Begründung an jeden weitergeben – auch an den ISP, der die Zuordnung aber vornehmen kann.
Das Verbot sie an den ISP und an Hinz und Kunz weiterzugeben ergibt sich erst aus der Bewertung als „personenbezogene Daten“.
Aus meinem Namen und meiner aktuellen Anschrift können mehr als 99,99% aller Internetnutzer auch nciht schließen, daß ich das bin. Sie müßten erst hier hinfahren, und klingeln.
„Aber sie könnten doch Anzeige gegen Dich erstatten.“
Das steht ja auch nicht zur Diskussion.
Und wenn, dann ist die Frage: Bin ich hier überhaupt gemeldet?
Wenn nicht, und ich nehme keine Schreiben des Gerichts an, dann wird die Polizei kommen müssen, um zu sehen, ob ich es bin.
Also: Verwechselt Euch nicht mit Euren Daten.
Es ist ja witzig zb: ein webchat oder auch allgemeine chats benutzen zum benutzen des dienstes IP´s. Diese ips brauchen die betreiber um sich vor spams oder viren zu schützen. sollte man wirklich als dieser betreiber dazu entschliessen dieses auszuschalten wird es noch mehr klagen geben wegen illegaler verbreitung von warez oder auch trackings codes oder auch verbreitung von gefälschten inhalten einer webseite. Oder sogar noch schlimmer belästigung im Bereich des Privaten raums (query p2p).
Daher bin ich der meinung es ist nicht möglich das die speicherung einer ip zuverhindern ist. Auch wenn man den Server drauf einstellt.
Sollte ich falsch liegen Höre ich gerne zu. Den alles muss man nicht speichern 🙂
@Hans,
diese Probleme kenne ich als Webmaster einer Jugendcommunity auch. Daher bin ich ebenso der Meinung, dass der Staat die Überwachnung nicht verbieten kann, wo er sie zugleich fordert (Jugend und Persönlichkeitsschutz z.B.). Ich bin mir auch sicher, dass die Gerichte es künftig auch so sehen werden.
Ich finde das Urteil falsch, denn
A) kann ich persönlich mit der IP sowieso nicht viel anfangen, wenn ich diese beispielsweise in einem Statisiktool erfasse. Region, möglicherweise die Firma, das wars.
B) Im Falle einer Straftat, wo liegt das Problem. Als Autofahrer muss ich auch ein Kennzeichen haben. Wenn ich jemanden totfahre oder ein Kind in meinen Wagen ziehe, kann sich jemand das Kennzeichen aufschreiben. Natürlich kann man ein falsches Kennzeichen benutzen oder ein Auto stehlen. Aber das kann der Profi auch mit einer IP machen. Von daher kann ich den ganzen Wirbel um die IP-Speicherung nicht verstehen.
Trotzdem finde ich es falsch, wenn an zentraler Stelle durch einen Staat Daten gesammelt werden. Das ist nicht paradox, sondern etwas grundsätzlich verschiedenes.
@ Stefan W.
>>Wären die Daten deshalb nicht personenbezogen,
>>dann unterlägen sie nicht dem Datenschutz.
>>Man dürfte sie ohne Begründung an jeden
>>weitergeben – auch an den ISP, der die
>>Zuordnung aber vornehmen kann.
Der ISP stellt hier die Weiche für den Datenmissbrauch, also müsste man es rechtlich festlegen, dass der ISP keine Bewegungsdaten, außer die die für die Einwahl nötig sind, verarbeiten darf. So ein Urteil wurde bereits in Bonn gegenüber der Telekom und bei DSL-Flatrates gefällt (wenn man jetzt von der neuen Vorratsdatenspeicherung absieht), die auch nur 7 Tage lange Daten speichern durften.
Geht man von dem Fall aus, dass man keine IP-Adressen verarbeiten dürfte, passiert folgendes:
1.) Alle Suchergebnisse in den hiesigen Suchmaschinen werden verfälscht, weil mehrere Klicks eines Besuchers nicht mehr von mehreren Besuchern unterschieden werden können und die Suchmaschinen die Anzahl der Klicks auf die Ergebnisse in die Wertung einbeziehen (müssen).
2.) Alle klickbasierten Programme können keine Auswertung durchführen. Für Werbeprogramme hieße dies, dass selbst ein versehentlicher Doppelklick auf eine Werbung zur doppelten Zahlung führt. Für Statistiken hieße dies, dass man nicht mehr die Anzahl der unterschiedlichen Besucher ermitteln könnte. Unter dem Strich würde das bedeuten, dass wir keine Statistiken mehr führen könnten und alle klickbasierten Werbeprogramme würden vom Markt verschwinden. Aber ohne statistische Auswertung kann auch keine andere Form der Vermarktung greifen, denn niemand weiß wie viele Besucher eine Seite hat und damit weiß auch niemand, wie viel eine Werbefläche kosten kann.
3.) Alle Webseiten könnten problemlos attackiert werden, weil DNS-Attacken nicht mehr aufgehalten werden können. Es ist zwingend notwendig die IPs über einen gewissen Zeitraum zu ermitteln, um wiederholte Zugriffe im Härtefall zu blockieren. Google beispielsweise verlangt bereits nach wenigen „Attacken“ eine Benutzereingabe (Captcha), um ihre Server zu schützen.
4.) Der Service auf Webseiten würde eingeschränkt, weil man nicht mehr über die IP-Lokalisierung zielgerichtete Inhalte auswerfen kann. Beispielsweise kann eine Tipp-Seite keine Tipps mehr aus der Gegend des Besuchers anzeigen, ohne das der Nutzer eine Eingabe tätigt. Die IP-Lokalisierung funktioniert ausschließlich über die Langzeitspeicherung von IP-Adressen.
5.) Sofern die IP-Adressen nur in Deutschland personenbezogen sein würden, würde jeder große Webseitenbetreiber auswandern, denn ohne die IPs, kann man die Seite nicht vermarkten und ohne die Vermarktung fällt auch die Finanzierung flach.
6.) Betrügern, Hackern und anderen Übeltätern stände Tür und Tor offen. Sie könnten Seiten ausspähen, attackieren, hacken usw. ohne, dass eine rechtliche Verfolgung möglich wäre.
Was dagegen möglich wäre:
Es wäre möglich die IP-Adressen verschlüsselt zu speichern. Beispielsweise könnte man mit dem SHA- oder MD5-Verfahren die IP-Adressen einseitig verschlüsseln. Einseitig bedeutet, dass man die eigentliche IP-Adresse nicht mehr wiederherstellen kann. Demnach wäre es möglich die unterschiedlichen Zugriffe zu erkennen. Wer aber genau zugegriffen hat, könnte man nicht erkennen.
Würde man dazu die IP-Adressen bei der Verschlüsselung zusätzlich mit einer Zeichenkette ausstatten, die jeder Webseiten-Betreiber individuell hinterlegt, so könnten unterschiedliche Betreiber keine Daten mehr untereinander austauschen.
Ein Beispiel:
192.168.0.1 wird per MD5 zu:
f0fdb4c3f58e3e3f8e77162d893d3055
192.168.0.1_WEBSEITE1 wird per MD5 zu:
2c2d14cfb3ef81afb9d2578bff91dec5
Der Inhaber von WEBSEITE1 ist nun in der Lage die Besucher seiner Seite statistisch auszuwerten. Er erkennt die unterschiedlichen Zugriffe, kann aber keinen Zugriff einer bestimmten IP zuordnen (außer zum Zeitpunkt der Datenübertragung, dass ist denke ich jedem klar).
Würde man also gesetzlich festlegen, dass jeder Webseitenbetreiber gezwungen ist, IP-Adressen verschlüsselt zu speichern und er gezwungen wird, diesen Schlüssel alle X Tage zu erneuern, so sollte das Verfahren sicher genug sein.
In dem Fall wäre die Weitergabe der Daten nicht möglich, genauso wenig wäre bei Datendiebstahl eine Auswertung möglich, noch kann der Webseitenbetreiber Bewegungsdaten über einen längeren Zeitraum auswerten.
Das ändert sich aber, sobald man diesen einseitigen Schlüssel mit Browser-Kennung, Cookies und/oder Nutzer-Authentifizierungen (Logins) kombiniert. Aber in dem Fall kann man ja die Einwilligung des Nutzers einholen.
Zuletzt haben alle Verschlüsselungen das Problem, dass sie eine nicht unwesentliche Rechnerzeit kosten, besonders wenn man sie bei jedem Zugriff anwenden muss.
Ein privates Fazit:
Die Gesetzgebung sollte die Speicherung von IPs nur mit einseitiger Verschlüsselung erlauben, sofern keine Erlaubnis des IP-Inhabers vorliegt. Dem ISP sollte die Speicherung von Bewegungsdaten, die nicht für die Einwahl relevant sind verboten werden. D.h. er darf auch keinen Website- oder Email-Verkehr speichern, sofern er solche Dienste anbietet.
@Marc Gutt:
Danke für Deinen ausführlichen Kommentar. Das sehe ich genauso, die IP ist sehr sinnvoll und ein Mittelweg zwischen Nutzen und Schutz muss gefunden werden. Das erinnert mich an die Probleme bei digitalen Identitäten. Auch dort gibt es rein technisch die Möglichkeit seine Daten durch Programme wie z.B. CardSpace von Microsoft zu schützen, nur machen das noch wenige. Vor allem werden viele Seiten durch kleine Unternehmen und vor allem Privatpersonen betrieben, die solche technischen Umsetzungen entweder nicht bewerkstelligen oder sich nicht leisten können.
Daher ist die Industrie gefragt Standards einzuführen und sie in die Software zu implementieren. Weil das natürlich kostet ist Druck erforderlich. Dieser kann zum einen von den Kunden kommen, was im Falle des Datenschutzes oft am mangelnden Bewusstsein scheitert, oder von Gerichten. Denn durch Urteile können sie im Namen der Nutzer Druck auf die Industrie ausüben.