IP-Speicherung auf Webseiten illegal?

system · 6. November 2006 um 22:13

Disclaimer: Dieser Thread wurde aus dem alten Forum importiert. Daher werden eventuell nicht alle Formatierungen richtig angezeigt. Der ursprüngliche Thread beginnt im zweiten Post dieses Threads.

leonidas · 6. November 2006 um 22:13

IP-Speicherung auf Webseiten illegal?
Hi,
Ihr werdet sicher schon die Meldung auf heise gelesen haben dass Online-Provider (zumindest wenn man sie verklagt) IP-Adressen ihrer Nutzer nicht speichern dürfen. Auf
http://www.daten-speicherung.de/index.php/speicherung-von-ip-adressen-ist-unzulaessig-auch-auf-websites/
wird als Konsequenz daraus behauptet dass auch Webseiten (wie z.B. dieses Forum hier) keine IP-Adressen speichern dürfen. Die Argumentation erscheint mir juristisch gesehen logisch, andererseits speichern doch so ziemlich alle Webserver die IP-Adressen ihrer Nutzer, zumindest um ein ordentliches Log-File zu erstellen, oder? Und in der Meldung wird ja auch gleich darauf hingewiesen dass man eventuell ziemliche Klimmzüge unternehmen muss um die Speicherung der IP-Adressen zu verhindern.
Ist die Rechtslage wirklich so? Was ist mit der Verhältnismäßigkeit?

Anteru · 7. November 2006 um 07:00

das ist ne gute Frage, v.a. wie gegen Forumspam ankämpfen wenn man keine IPs bannen kann … ?

hehejo · 7. November 2006 um 07:14

Ich finde es ist das gute Recht eines Seitenbetreibers die IPs der Besucher zu speichern.
Ein Hotel nimmt doch auch die Daten auf - und wenn ich mich dort nicht als Herr Müller eintragen kann, dann geh ich eben in ein anders Hotel.

_MC · 7. November 2006 um 07:52

Wie schaut es jetzt konkret mit anderen ISP aus? In Speziellen Arcor
Wär interessant zu wissen ob und wie lange Sie meine Verbindungsdaten speichern.

Claudius · 7. November 2006 um 09:03

Das steht normalerweise in deinem Vertrag (wenn du einen hast - sonst ist diese Information eher schwer, bzw. gar nicht, zu finden (vor allem auf den Bunti-Blinki-Werbung-Seiten von Arcor)).

Aber soweit ich weiß gibt es da so eine Passage wo man der Speicherung der Verbindungsdaten (ob die damit nur Anruflisten oder auch IP-Nummern meinen weiß ich allerdings nicht) widersprechen kann - dafür gibt man damit das Recht auf eine Rechnungsüberprüfung auf (logisch - wenn die nichts speichern dürfen, dann könne sie ja auch nix prüfen)

_MC · 7. November 2006 um 10:20

Thx werd mich gleich mal dahinter klemmen

martin · 7. November 2006 um 10:32

AGB von Arcor:

3 Verkehrsdaten
Verkehrsdaten sind personenbezogene Daten, die zur Erbringung eines Telekommunikationsdienstes
benötigt werden, wie z. B. Beginn und Ende der jeweiligen Verbindung, die Rufnummer
des rufenden und angerufenen Anschlusses, soweit die Preise davon abhängen, die übermittelte
Datenmenge und die in Anspruch genommenen Telekommunikationsdienstleistungen. Arcor speichert
keine Nachrichteninhalte.
Wie lange speichern wir Ihre Verkehrsdaten?
Die Verkehrsdaten, die wir für die Berechnung und den Nachweis der Rechnung benötigen, speichern
wir im Regelfall höchstens sechs Monate nach Rechnungsversand, es sei denn, Sie haben
uns angewiesen, die Daten unmittelbar nach Rechnungsversand zu löschen. Die Speicherung der
Zielrufnummern zum Zwecke des Nachweises erfolgt vollständig, sofern Sie nicht die verkürzte
Speicherung beauftragt haben. Nach Ablauf der Speicherfrist werden die Daten gelöscht. Nur in
Ausnahmefällen wie z.B. zur Behebung von Störungen, zur Klärung von Einwendungen gegen die
Rechnung oder zur Aufklärung oder Verhinderung von Missbrauchshandlungen verarbeiten und
speichern wir Ihre Daten über einen längeren Zeitraum.Wenn die Verkehrsdaten auf Wunsch des
Kunden oder nach Ablauf der gesetzlichen Frist gelöscht wurden, ist Arcor von der Nachweispflicht
für die Richtigkeit der Entgeltberechnung befreit.Verkehrsdaten, die weder für den Aufbau
weiterer Verbindungen noch für andere zulässige Zwecke benötigt werden, löscht Arcor unverzüglich
nach Beendigung der Verbindung.

Quelle: http://www.arcor.de/pdf/arcor/privat/preise_und_leistungen/arcor_isdn_dsl_preise_leistungen.pdf

ist find’ ich trotz Bunti-Blinki sehr leicht zu finden (einfach auf der Startseite auf AGB klicken…)

Wobei meiner Meinung die Speicherung der Verbindungsdaten beim ISP (zu Abrechnungszwecken) etwas voellig anderes ist als die Speicherung der IP auf Webseiten (zur „Ueberwachung“).

Ford_Prefect · 7. November 2006 um 10:57

Hallo,

es ist prinzipiell nicht richtig, ISPs mit Website-Betreibern in einen Topf zu werfen, vor allem wenn letztere nicht gewerbsmäßig handeln.

Was die IP-Speicherung auf Websites angeht:
Die gängige Praxis ist auf jeden Fall, diese zu speichern und zu archivieren und man kann davon ausgehen, dass 99% der Webserver da draußen das machen. In jedem nicht speziell angepassten Apache-Log sind die IPs zu finden.

Nun hat die gängige Praxis ja nicht immer viel mit den geltenden rechtlichen Bestimmungen zu tun. An sich ist es so, dass die Grundmaxime des Datenschutzes ist (und damit auch in den in Deutschland geltenden Datenschutzbestimmungen verankert), dass man als (gewerbsmäßiger?) Anbieter von Diensten dafür Sorge zu tragen hat, dass nicht mehr Daten der Nutzer gespeichert werden, als für den Betrieb des Angebot selbst absolut notwendig. Alleine deshalb würde ich sagen, dass ein generelles Logging der IP-Adressen zusammen mit den Seitenbesuchen nicht rechtens ist. Eine Blacklist von IPs dagegen, die dazu erstellt wird, den ordnungsgemäßen Betrieb des Angebots zu gewährleisten, wäre damit allerdings sicher noch ok.

Desweiteren ist es so, dass der Nutzer eines Angebots alle Daten, die für den Betrieb des Angebots selbst nicht erfasst werden müssen, auf rein freiwilliger Basis anzugeben hat. Man darf also rein theoretisch bei einem Gewinnspiel nicht einfach so abfragen, ob der Nutzer männlich oder weiblich ist, und wenn man das tut, dann muss diese Angabe klar freiwillig sein. Man darf aber die Adresse abfragen, für den Fall eines Gewinns. Diese darf man dann ohne freiwillige Einwilligung des Nutzers nicht länger als X Tage aufbewahren (siehe Gesetzestexte) oder weiterverkaufen, was trotzdem “alle” Anbieter von Gewinnspielen durch die Bank machen… Übrigens: Die “freiwillige Einwilligung” des Nutzers muss tatsächlich freiwillig sein, d.h. er muss das Angebot auch ohne diese Einwilligung nutzen dürfen.
Desweiteren hat man als Nutzer eines Angebots immer das Recht, der Speicherung seiner Daten zu widerrufen, bzw. eine sofortige Löschung zu verlangen, die dann natürlich auch durchgeführt werden muss.

Was nun diese Website und das Forum als Beispielszenario angeht:
Alle Angaben, bis auf ein anonym wählbares Pseudonym und eine gültige Emailadresse sind freiwillig. Ob die Emailadresse nötig ist, ist zumindest streitbar. In diesem Punkte denke ich, ist alles in Ordnung.

Nun werden auch hier IP-Adressen gespeichert. Durch das Wiki beim Editieren einer Seite, durch das Forum, bei was auch immer (die Forensoftware ist Datenschützers Alptraum) und durch den Webserver. Die IP-Adressen im Wiki sind wichtig, um anonymen Missbrauch zu erkennen und IP-Adressen evtl. zu bannen. Hier sollte z.B. jeden Tag ein Anonymisierer Log-Einträge anonymisieren, die länger als einen Monat alt sind. Die IP-Adressen werden beim Webserver in Verbindung mit dem Browser-Agent verwendet, um halbwegs brauchbare Statistiken zu erzeugen (wieviele “echte” Nutzer). Auch hier könnte/sollte man die IP-Adressen jeden Monat, nachdem die Monatsstatistik fertig ist, anonymisieren. Im Forum kann man wohl sagen, gilt es ähnlich dem Wiki.

Zu unserer Schande machen wir das - wie “alle” anderen - bisher noch nicht.

cu
Ford Prefect

leonidas · 7. November 2006 um 18:35

Ein Hotel ist aber kein Teledienstleister…

@martin: in den AGB steht dass Arcor die Daten nur für die Rechnungserstellung speichert. Wenn man eine Flatrate hat sind natürlicherweise die Zeiten wann man online war völlig egal (und die IP-Adresse die man zu diesne Zeitpunkten bekommen hat erst recht), und dürfen deswegen auch nicht gespeichert werden. Auf www.daten-speicherung.de steht irgendwo dass Arcor die IP-Adressen zwei Wochen oder so speichert. Dort sind auch die Datenschutz-Verantwortlichen verschiedener Firmen aufgelistet, und die sind gesetzlich verpflichtet Auskunft über gespeicherte Daten zu geben.

Also, das bedeutet dass vermutlich so ziemlich alle deutschen Webseiten, zumindest die die deutschem Recht unterstehen und gewerblich sind nicht dem Datenschutz entsprechen.
Befindet sich ein Jurist unter uns, der weiß ob man dafür abgemahnt werden kann? Oder, noch besser, kann man deswegen den Provider abmahnen?
Wenn man allerdings den Provider nicht abmahnen kann (vermutlich ist es so, sonst würden es die üblichen Verdächtigen schon tun), dann kann man wohl die Webseiten-Betreiber auch nicht abmahnen, höchstens verklagen. Das wiederum würde niemand machen, da es im Gegensatz zum Abmahnen ja nicht profitabel ist.
Fazit: Der deutsche Datenschutz ist sehr streng, eventuell sogar ein bisschen überzogen (IP-Adressen-Speicherung auf Webseiten), das macht aber nichts weil es faktisch unmöglich ist alle Webseiten-Betreiber zur Einhaltung zu zwingen und den meisten Leuten ist es sowiso egal. Schönes Deutschland…

cody · 7. November 2006 um 18:42

Quo vadis Deutschland?

Ford_Prefect · 8. November 2006 um 11:02

Hallo,

du kannst einen gewerbsmaessigem Anbieter von Telekommunikationsdienstleistungen oder irgendwie sowas (darunter fallen auch, aber evtl. nicht immer Websitebetreiber, auf jeden Fall aber die Provider) immer dazu auffordern, deine persoenlichen Daten inkl. IP zu loeschen o.ae.

Fuer eine Abmahnung allerdings muss schon eine Verletzung vorliegen, d.h., du musst wissen, dass deine Daten unrechtmaessig vorraetig gehalten wurden. Dann geht auch das. Weigert sich der Abgemahnte, die Abmahnung anzunehmen, musst du aber den Weg uebers Gericht suchen.

Du kannst wohl tatsaechlich in der Praxis davon ausgehen, dass du gegen das IP-Logging einzelner Websites nichts grosses ausrichten kannst, zumindest nicht mit einem verhaeltnismaessigem Aufwand.

IPv6 im Uebrigen bietet neben der unglaublich grossen Menge an Adressen und der damit verbundenen und auch technisch verankerten moeglichen Zuweisung einer festen IP-Adresse fuer jeden Netzteilnehmer, z.B. fest kalkuliert aus der MAC-Adresse, auch die ebenso technisch verankerte Moeglichkeit der automatischen Automatisierung, bei der im Prinzip ohne Verbindungsverlusst regelmaessig in relativ kurzen (minuetlichen) Zeitintervallen die Adresse gewechselt wird, und hinterher auch nicht mehr nachvollziehbar sein soll.

Im heutigen (angeblichen Antiterror-)Ueberwachungswahn wirst du das aber wohl in der Realisierung in DE vergessen koennen. Selbst wenn du das haettest, koennten viele Seiten, bei denen man sich anmelden muss, immer noch ganz gemuetlich tracken - wobei das dann noch eindeutiger klar nicht mit den deutschen Gesetzen vereinbar ist.

cu
Ford Prefect

miniwahr · 9. November 2006 um 16:31

Quem vincis, Deutschland

kabel · 9. November 2006 um 17:00

Sachen gibts

arw · 3. Dezember 2006 um 13:13

Hotel ist ein ziemlich doofes Beispiel, weil ein Hotel aufgrund geltender Gesetze (naemlich das gute Meldegesetz http://by.juris.de/by/gesamt/MELDEG_BY_1995.htm#MELDEG_BY_1995_rahmen, aufgrund dessen man sich auch nach einem Umzug bei der Gemeinde zu melden hat) die Daten einsammeln muss. Besseres Beispiel ist der Aldi nebenan. Es wuerde jedem glaube ich sehr auf die Eier gehen, da vor der Tuer den Ausweis zeigen zu muessen, und das obwohl die mit Ladendiebstahl garantiert mehr Verlust machen als irgendeine komische Webseite mit ein paar Dummtrollen.