Day: Mittwoch, 3. Oktober 2007

Webserver-Logs in Deutschland illegal

Posted on by LD

Einem Urteil des Landgerichtes Berlin vom 6. September 2007 gegen das Bundesjustizministerium zufolge dürfen zu einer Website keine personenbezogenen Nutzungsdaten zusammen mit der IP-Adresse über das Ende des jeweiligen Nutzungsvorgangs hinaus gespeichert werden. Der klagende Jurist Patrick Breyer vom Arbeitskreis Vorratsdatenspeicherung hat die mittlerweile rechtskräftige Entscheidung erwirkt. Die Revision wird nicht zugelassen. Das Landgericht bestätigt damit im Wesentlichen das Urteil des Amtsgerichtes Berlin Mitte vom 27. März 2007.

Über die IP-Adresse seien Aufzeichnungen und Auswertungen des individuellen Nutzungsverhaltens möglich. Dies ist prinzipiell richtig. Richtig ist aber auch, dass dies auch ohne Speicherung der IP-Adresse möglich ist – zum Beispiel über Cookies. Aus datenschutzrechtlicher Sicht richtig problematisch wird es erst, wenn Website-übergreifende Nutzerprofile erstellt werden. Auch dies ist grundsätzlich ohne die IP-Adresse möglich. Bei dynamisch vergebenen IP-Adressen macht ihre Speicherung zu diesem Zweck ohnehin keinen Sinn, weil sie ständig ändert.

Bei all meiner Sorge um den Datenschutz erachte ich dieses Gerichtsurteil als unklug, kurzsichtig und vorschnell, denn es zeigt, dass bei dieser Angelegenheit einige relevante Gesichtspunkte völlig ausser Acht gelassen wurden. Jeder Webserver speichert in seinen Logdaten auch die IP-Adresse jedes Zugriffs defaultmässig mit, womit nun in Deutschland über eine Million Websites illegale Aufzeichnungen über ihre Nutzer führen. Eine Welle von Abmahnungen ist vorprogrammiert und auch der Münchner Rechtsanwalt Günter Freiherr von Gravenreuth wird sicher wieder mit von der Partie sein, wenn er nicht gerade seine Freiheitsstrafe absitzt.

Die Speicherung der IP-Adresse ist jedoch durchaus sinnvoll aus den folgenden Gründen:

  • Zur rechtzeitigen Erkennung von DOS-Attacken und deren Abwehr ist die Speicherung und Auswertung der IP-Adressen unerlässlich. Auch für die Erkennung von Spam-Attacken kann die IP-Adresse nützlich sein.
  • Die Verhinderung und vor allem der Nachweis von Missbräuchen einer Website ist ohne die IP-Adresse praktisch nicht möglich. Betreiber von Foren, Wikis und Blogs müssen sich schadlos halten können. In einem allfälligen Gerichtsprozess dient die IP-Adresse als Beweismittel.
  • Für die Aussperrung von unerwünschten Benutzern kann die IP-Adresse ebenfalls genutzt werden. Dies ist aber nur bedingt wirkungsvoll.
  • Besonders internationale Anbieter von Inhalten wollen ihr Angebot optimieren und wollen dazu wissen, aus welchem Einzugsgebiet ihre Nutzer kommen. Auch die Schweizer Bundesbahnen erheben zum Beispiel regelmässig Daten zu Reisestart und -ziel ihrer Reisegäste, um ihre Kapazitäten bedarfsgerechter planen und optimaler auslasten zu können.
  • Die Speicherung der IP-Adresse ist auch wichtig als Nutzungsnachweis bei kostenpflichtigen Dienstleistungen für allfällige Rechtsstreitigkeiten. Besonders beim Online-Banking ist dies unerlässlich.

Nach der (meist statistischen) Auswertung der Logdaten des Webservers auf (hoffentlich) anonymer Basis werden die Rohdaten normalerweise schon kurz darauf gelöscht. Eine längerfristige Speicherung bringt ohnehin nichts und generiert nur Kosten für den Speicherplatz. Ausser die Daten werden für die Erstellung von Nutzerprofilen verwendet. Auch wenn diese Profile „nur“ für die zielgenaue Platzierung von Werbebotschaften dienen, stellt diese Art der Verwendung klar einen Missbrauch und eine Verletzung der Privatsphäre dar. Solche Zweckentfremdung gilt es weiter zu bekämpfen.