• Weblog
  • Lexikon
  • Tools
  • Suche
  • Kontakt
    •

    Urteil zur Speicherung von IP-Adressen

    In einem nun veröffentlichten Urteil des Landgericht Berlin vom 27. März 2007 ist die generelle Speicherung von IP-Adressen ("IPs") auf deutschen Webseiten untersagt. Nach der Ansicht des Gerichts fallen IP-Adressen unter personenbezogene Daten. Ein Urteil, das weitreichende Konsequenten haben könnte ...

    In einem nun veröffentlichten Urteil des Landgericht Berlin vom 27. März 2007 ist die generelle Speicherung von IP-Adressen (IPs) auf deutschen Webseiten untersagt (siehe auch Bericht bei Heise Online). Nach der Ansicht des Gerichts fallen IP-Adressen unter personenbezogene Daten.

    Das deutsche Recht verbietet Webseiten-Betreibern die Speicherung von personenbezogenen Daten über das Ende des jeweiligen Nutzungsvorgangs hinaus (auf Vorrat). Explizit davon ausgenommen sind Daten, die zur Abrechnung der Anspruchnahme eines Angebots notwendig sind.

    Falls der Anwender explizit der Speicherung der Daten zustimmt, ist diese allerdings rechtmäßig. Hierzu §4 Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung des Datenschutzgesetztes:

    (3) Werden personenbezogene Daten beim Betroffenen erhoben, so ist er, sofern er nicht bereits auf andere Weise Kenntnis erlangt hat, von der verantwortlichen Stelle über
    1. die Identität der verantwortlichen Stelle,
    2. die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung und
    3. die Kategorien von Empfängern nur, soweit der Betroffene nach den Umständen des Einzelfalles nicht mit der Übermittlung an diese rechnen muss,
    zu unterrichten. Werden personenbezogene Daten beim Betroffenen aufgrund einer Rechtsvorschrift erhoben, die zur Auskunft verpflichtet, oder ist die Erteilung der Auskunft Voraussetzung für die Gewährung von Rechtsvorteilen, so ist der Betroffene hierauf, sonst auf die Freiwilligkeit seiner Angaben hinzuweisen. Soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, ist er über die Rechtsvorschrift und über die Folgen der Verweigerung von Angaben aufzuklären.

    Neu ist an diesem Urteil nur, dass IP-Adressen unter personenbezogene Daten fallen. Diese Ansicht ist unter Juristen nach wie vor umstritten. In der Begründung des Urteils argumentiert das Landgericht Berlin jedenfalls so:

    Nach zutreffender Ansicht des Hessischen Datenschutzbeauftragten [...] ist es durch die Zusammenführung der personenbezogenen Daten mit Hilfe Dritter bereits jetzt ohne großen Aufwand in den meisten Fällen möglich, Internetnutzer aufgrund ihrer IP-Adresse zu identifizieren.

    Eine Verneinung des Personenbezuges von dynamischen IP-Adressen [...] hätte zur Folge, dass diese Daten ohne Restriktionen an Dritte z.B. den Access-Provider übermittelt werden könnten, die ihrerseits die Möglichkeit haben, den Nutzer aufgrund der IP-Adresse zu identifizieren, was mit dem Grundgedanken des Datenschutzrechts nicht vereinbar ist.

    Nach Ansicht des Rechtsanwalts Dr. Martin Bahr kann man hierbei noch von keiner Grundsatz-Entscheidung sprechen. Er erläutert das so:

    Zum einen ist es das erste und einzige Urteil, das in diesem Umfang die IP-Speicherung verbietet. Alle bislang ergangenen sonstigen Entscheidungen haben hier eine weitaus differenziertere Ansicht vertreten. Zum anderen ist die Meinung, es handle sich um personenbezogene Daten in der juristischen Fachwelt außerordentlich umstritten und keineswegs [...] durch den BGH geklärt.

    Panikartige Reaktionen sind also noch nicht angebracht. Derzeit betrifft das Urteil gerade einmal den Beklagten (es war ja nur ein Fall vor einem Amtsgericht). Eine Neubewertung der Datenspeicherung im Lichte des Urteils sollte aber auf jeden Fall durchgeführt werden.

    Die Folgen

    Sollten Webmaster in Zukunft auf die generelle Speicherung von IP-Adressen verzichten müssen, hätte das aber weitreichende Folgen:

    • Statistiken: Die meisten bekannten Statistiken bauen auf der Speicherung von IP-Adressen auf. Zur Unterscheidung verschiedener Benutzer bliebe dann nur noch ein Cookie mit eindeutiger, aber zufälliger Kennung. Derzeit ist mir nur von eTracker bekannt, dass sie die den deutschen Bestimmungen entsprechen - Google Analytics hingegen speichert IPs (beides laut Eigenangabe).
    • Logfiles: In den Logfiles von Webservern wie Apache und lighttpd werden IPs standardmäßig gespeichert. Serverbetreiber müssten all diese Server umstellen - und Logfiles-auswertende Statistiken (AWStats, Webalizer) würden nicht mehr korrekt funktionieren.
    • Affiliate-Programme: Die ganzen Affiliate-Programmen hätten mit der Umsetzung auf jeden Fall massive Probleme. Ihre Anti-Manipulationsmechanismen beruhen zu einem großen Teil auf der Speicherung von IP-Adressen. One Cookie per User ist da wohl nicht ausreichend, weil Cookies löschen noch einfacher ist als ein paar Proxys zusammensuchen.
    • Blog-, Shop- und Foren-Software: Zahlreiche Webanwendungen müssten so umprogrammiert werden, dass sie der deutschen Gesetzgebung entsprechen. Viele Betreiber, die es nicht schaffen, einfache Updates oder Modifikationen einzuspielen, ständen plötzlich mit einem Fuß in der Kriminalität (und ihr könnt mir glauben, dass würde viele Hobby-Webmaster treffen).
    • DoS-Attacken werden normalerweise durch den Abgleich von IPs abgefedert. Ohne IP-Speicherung wären solche Angriffe wesentlich effektiver. Auch eine Sperre für Spam-Bots anhand geloggter IPs ist dann ausgeschlossen.

    Wenn man die Kosten für die Umstellung sowie den Schaden aus aus dem letzten Punkt berechnet, kann man eigentlich nur sagen, dass die Kosten den Nutzen für den Datenschutz bei weitem übertreffen. Hoffen wir also darauf, dass diesbezüglich noch eine praktikable Lösung von den Gesetzgebern kommt.

    Natürlich könnte man beim ersten Besuch einer Webseite vom Besucher das Einverständnis zur IP-Speicherung einholen. Jedoch dürfte selbst da beim Erstaufruf der Seite nichts gespeichert werden. Bliebe also kompliziert ...

    Weitere Klagen

    Weitere Klagen könnten schon bald kommen, solange diesem Urteil unwidersprochen bleibt. So fordert der deutsche Blog Daten-Speicherung.de - minimum data, maximum privacy regelrecht dazu auf und stellt sogar eine Musterklage bereit. Eine weitere Abmahnwelle könnte ebenso ins Haus stehen ...

    Praktikable Lösungen für besseren Datenschutz

    Auch wenn dieses Urteil nicht viel Freude auslösen wird - grundsätzlich sollte der Datenschutz bei Webmastern schon mehr Stellenwert einnehmen als bisher. Deswegen hier ein paar Lösungen, die ich für praktikabel halte (vielleicht aber nicht 100%ig den rechtlichen Bestimmungen entsprechen - wer weiß das schon, wie die Gerichte eines Tages die Gesetze auslegen?):

    • Für eigene Statistiken kann man eine eindeutige User-ID in einem Cookie speichern. Alternativ einen Hash der IP anstelle der IP verwenden.
    • Wenn du persönliche Daten wie zum Beispiel eMail-Adressen erhebst, informiere den Besucher gemäß Datenschutzgesetz §4 und verlange explizit sein Einverständnis.
    • Verzichte auf alle personenbezogenen Daten, welche du nicht unbedingt benötigst. Wer zu viele Daten verlangt schreckt sowieso Besucher wie mich ab ...
    • Zu Suchanfragen bei einer internen Suche muss man wirklich nicht benutzerbezogene Daten wie die IP speichern! Referer und zeitliche Abfolge genügen vollkommen, um zu sehen, ob eine Suchanfrage unabhänigig oder als Folge von unzufriedenstellenden vorhergehenden Suchergebnissen erfolgen!
    • Du musst nicht unbedingt Google Analytics verwenden und damit die Datenkrake Google weiter füttern. Alternative Statistik-Anbieter halte ich in Bezug auf Datenschutz für verantwortungsvoller (ich weiß, diesbezüglich bin ich kein Vorbild, weil ich Analytics selbst einsetze ...)

    Artikel veröffentlicht von am 01. Oktober 2007 |

    Mathias
    30. März 2011 [#]     		Guter Beitrag, wir haben eben unsere Infos angepasst und prüfen, welche Alternativen kurzfristig umsetzbar sind

    Kommentar verfassen

    Name (*)
    Homepage
    E-Mail
    Twitter-Name
    Sicherheitscode (*)
    Tippe den Stadtnamen Madrid ab.