Management und Wissen

Datenschutz

Verbotene Protokolle

Von Stefan Jaeger, Wiesbaden

Die meisten Logfiles, die heutzutage bei der Nutzung des Internets auf Webservern, Mailsystemen und bei Internet-Providern entstehen, sind illegal. Zahllose Firmen und vermutlich auch Behörden verhalten sich ordnungswidrig und wissen das oft nicht einmal. Denn der Schutz durch das Teledienstedatenschutzgesetz gilt nicht nur für Name und Anschrift von Nutzern, sondern auch für IP-Nummern, DNS-Informationen und E-Mail-Adressen. Gesetzeskonforme Protokolldateien erscheinen indes - mit etwas Aufwand oder Mitwirken der Softwareindustrie - durchaus möglich.

Grob vereinfacht verbietet das Teledienstedatenschutzgesetz (TDDSG) zunächst einmal jegliches Erheben von personenbezogenen Daten im Zusammenhang mit Diensten nach dem Teledienstegesetz (TDG), es sei denn, der Betroffene (Dienste-Nutzer) willigt ein oder einer der wenigen Ausnahmetatbestände des TDDSG greift. Erlaubt wird - ebenfalls auf einen schlichten Nenner gebracht - nur das Nötigste, um überhaupt einen Teledienst anbieten zu können. Analoges gilt für Dienste nach dem Mediendienstestaatsvertrag (MDStV).

Was genau als Tele- oder Mediendienst zählt und was nicht, lässt sich nicht so einfach sagen - die exakte Abgrenzung füllt einen beträchtlichen Teil eines jüngst erschienen Kommentars [3] zum TDG/TDDSG (vgl. Buchkritik auf Seite 92). Unstrittig ist aber, dass E-Commerce-, Telebanking- und Website-Betreiber sowie Internet Access-, Content-, Service- und Presence-Provider (Webhosting) als Diensteanbieter laut TDG oder MDStV auftreten - unerheblich ob ihre Dienstleistungen privat oder geschäftlich, kostenlos oder gegen Entgelt erfolgen. Selbst beim Betrieb im Intranet beziehungsweise dem Verhältnis gegenüber Mitarbeitern treten Organisationen als Diensteanbieter auf, sofern eine private Nutzung der Dienste nicht ausgeschlossen wurde.

Mögliche Zuordnung verschiedener Internetdienste zu den Gesetzen
Art Rundfunk Mediendienst Teledienst
WWW - + +
E-Mail - - +
News-Groups (offen) - + -
News-Groups (geschlossen) - + +
IRC - + -
Teleshopping + + +
Video-on-demand + + +
Pflichten der jeweiligen Anbieter
Pflichten Rundfunk Mediendienst Teledienst
Verpflichtung zum Datenschutz x x x
Verpflichtung zum Jugendschutz x x x
Zulassungspflicht x - -
Spezielle Inhaltsverpflichtungen x - -
Gegendarstellungspflicht x x -
Werbebeschränkungen x x -
Einschränkung der Werbung x - -

Verstöße gegen die Datenschutzbestimmungen im MDStV können mit einer Geldbuße von bis zu 500.000 DM geahndet werden, selbst bei Fahrlässigkeit. Das TDDSG sieht zwar derzeit noch keine Sanktionen vor, ein aktuell verhandelter Änderungsentwurf enthält aber bereits eine zum MDStV gleichlautende Bußgeldvorschrift. Nach Meinung einiger Juristen könnte das Fehlen einer eigenen Strafnorm sogar die Anwendung des § 43 Bundesdatenschutzgesetz (BDSG) erlauben, der (u. a.) die unbefugte Speicherung geschützter Daten "mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bedroht. Handelt der Täter gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, so ist die Strafe Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe."

Aber auch ein konkurrierendes Unternehmen könnte sich an dem allzu sorglosem Umgang mit dem TDDSG stören und eine kostenpflichtige Abmahnung übersenden. Denn unser Rechtssystem geht davon aus, dass Firmen ihren Wettbewerb stets mit lauteren und gesetzeskonformen Mitteln ausüben. Verstößt eine Firma gegen das Gesetz ist das alleine noch kein wettbewerbswidriges Verhalten, welches zu einer Abmahnung berechtigt. Wenn man aber durch diesen Gesetzesverstoß einen Vorteil gegenüber seinem Wettbewerber erlangt, dann schon. Erst die Verbindung zwischen Gesetzesverstoß und Erlangung des Vorteils gegenüber den Mitbewerbern macht die Angelegenheit also abmahnungsfähig. Werden unerlaubterweise Logfiles geführt, dann ist dies zunächst zwar rechts-, aber nicht wettbewerbswidrig. Kann man durch diese Logfiles aber bessere Statistiken anbieten, die etwa für die Werbewirtschaft interessant sind, so erlangt das Unternehmen hierdurch einen Wettbewerbsvorteil, was wettbewerbswidrig ist. Eine darauf aufbauende Abmahnung kann - je nach angesetztem Streitwert - Kosten zwischen 2.000 DM und 10.000 DM verursachen.

Rechtswidrige Datenerhebung

Insofern kann man vor der Missachtung der einschlägigen Datenschutzvorschriften nur eindringlich warnen. Leider scheinen viele Diensteanbieter die für sie anwendbaren Gesetze nicht zu kennen, misszuverstehen oder schlicht zu ignorieren. Teilweise sehen sie sich auch mit vermeintlichen Protokollierungs- oder Sicherungspflichten für die Strafverfolgung konfrontiert. Vermeintliche Rechtsgrundlagen hierfür bekommt man allerdings nur sehr selten genannt. Bei den Bestimmungen des Telekommunikationsgesetzes (TKG) ist überdies unklar, inwieweit sie auf Tele- und Mediendienstleister überhaupt anwendbar sind. Die aktuelle Gesetzeslage sorgt offenbar für reichlich Verwirrung (vgl. Kasten).

----------Anfang Textkasten----------

Gesetzliche Fehlentwicklung

Den Gesetzeswerken für Tele-, Telekommunikations- und Mediendiensten mangelt es an Transparenz. Die Abgrenzung zwischen den verschiedenen Kategorien ist kaum zu ziehen, sodass viele Diensteanbieter verständlicherweise nur eine sehr verschwommene Vorstellung davon haben, welches Gesetz für sie überhaupt gilt. Vielerorts wird sogar das Telekommunikationsgesetz auf den Internetprovider angewendet, was rechtsdogmatisch nicht korrekt sein dürfte.

Hinzu kommt, dass bei der Vielfalt der verschiedenen Diensteangebote in den verschiedenen Medien (man denke nur an Teleshopping, Video-on-Demand, Telnet, FTP, WWW, E-Mail, IRC und Homebanking) kaum noch klar zu trennen ist, welches Diensteangebot nun unter das eine oder das andere Gesetz fällt. Dies ist zurückzuführen auf eine bedeutende gesetzliche Fehlentwicklung der letzten Jahre: die Schaffung von Einzelgesetzen und Verordnungen zu einzelnen neuen Phänomenen.

Anders als vor hundert Jahren beim Strafgesetzbuch und beim Bürgerlichen Gesetzbuch hat der Gesetzgeber nicht in einem jahrelangen Kraftakt ein einheitliches Gesetz für die neuen Medien geschaffen, das urheberrechtliche und datenschutzrechtliche Fragen ebenso regelt, wie Haftung und Pflichten der Betreiber. Vielmehr zersplittert das anwendbare Recht in schwer zu durchschauende Einzelregelungen. Selbst die Regelung der Teledienste und der zugehörigen Datenschutzbestimmungen hat man in zwei Gesetze aufgeteilt.

Die Telekommunikationsdienstunternehmen-Datenschutzverordnung (TDSV), die Telekommunikation, nicht Teledienste behandelt, gilt als eines der am schnellsten überholten Gesetze überhaupt: Zwei Wochen nach ihr trat am 1.8.1996 das Telekommunikationsgesetz (TKG) in Kraft - beide kollidierten in ganz erheblichem Maße. Der Verordnungs- und der Gesetzgeber haben daher innerhalb weniger Wochen zwei bindende Normwerke geschaffen, die ohne Widersprüche nicht zu erfüllen sind. Trotz dieser Widersprüche dauerte es fast vier Jahre, bis das Bundeskabinett eine novellierte Fassung beschloss.

Dies alles ist umso bedauerlicher als es eine gewisse Fernsicht vermissen lässt. In wenigen Jahren wird sicherlich das Internet zu einem integralen Bestandteil unseres sozialen Umfelds geworden sein. Es wird dann nicht mehr ein spezieller Dienst sein, mit dem man von Zeit zu Zeit Informationen abruft, sondern vielmehr ein Informations- und Datenangebot zusammenfassen, das - ähnlich wie Strom aus der Steckdose - ganz selbstverständlich und überall zugegen sein wird. Spielfilme schaut man im Internet ebenso, wie womöglich Sensoren im Kühlschrank beim Online-Supermarkt neue Waren bestellen oder ein Urlauber per Webcam seine Wohnung überwacht. Es wird keine klar abgrenzbaren Dienste mehr geben, sodass klar abgrenzende Gesetze die falsche Richtung sein dürften.

Ärgerlich ist auch, dass der Gesetzgeber selbst von Anfang an eine Überprüfung der Gesetze nach zwei Jahren im Hinblick auf die praktische Anwendung angeordnet und damit das neue Gesetz 1997 quasi zur "Beta-Version" erklärt hat. Diese gesetzgeberische try-and-error-Methode wäre vor hundert Jahren undenkbar gewesen. Ein jahrelanger Streit, ob nun dem Bund oder den Ländern die Regelungskompetenz für die neuen Dienste zustehen soll, erschwert die Gesetzgebung zusätzlich.

Ausblick

Durch das Erste Gesetz zur Änderung des Teledienstedatenschutzgesetzes (1. TDDSGÄndG) hat der Gesetzgeber es sich zum Ziel gesetzt, die Transparenz und die Abstimmung des allgemeinen und bereichspezifischen Datenschutzrechtes zu verbessern und zugleich eine Optimierung der Vorschriften des TDDSG aufgrund der bisherigen Erfahrungen und Entwicklungen vorzunehmen.

Eine der einschneidendsten Änderungen ist die Einführung einer Bußgeldvorschrift in § 9 TDDSG. Bislang sind die Pflichten des Diensteanbieters nach dem TDDSG nicht bußgeld- oder strafbewehrt. Lediglich im Bundesdatenschutzgesetz finden sich entsprechende Bußgeldvorschriften. Der Gesetzgeber hat dieses Manko erkannt und nunmehr auch die Verletzung von Pflichten nach dem TDDSG durch den Dienstanbieter als Ordnungswidrigkeit mit Bußgeld bis zu 500.000 DM belegt.

Auch wird die Regelung der Einwilligung des Nutzers in den Umgang mit seinen Daten im TDDSG durch die vorgesehene Änderung präzisiert. Das TDDSG enthält einige enge gesetzliche Erlaubnistatbestände für den Umgang mit Nutzerdaten, über die der Dienstanbieter mit Einwilligung des Nutzers hinausgehen darf. Das Änderungsgesetz konkretisiert diesen Grundsatz weiter. Außerdem passt es die Vorkehrungen, die der Diensteanbieter im Hinblick auf elektronische Einwilligungen zu treffen hat, an die tatsächliche Entwicklung im elektronischen Geschäftsverkehr an.

Eine Änderung des § 1 soll den Geltungsbereich des TDDSG dahingehend präzisieren, dass das Gesetz in den Bereichen keine Anwendung findet, bei dem zwischen den Beteiligten besondere Interessen bestehen, für die die Grundsätze des TDDSG nicht sachgerecht erscheinen. So entfällt beispielsweise eine Anwendung des TDDSG bei Informations- und Kommunikationssystemen, die ausschließlich zu beruflichen oder dienstlichen Zwecken oder zur ausschließlichen Steuerung von Arbeits- oder Geschäftsprozessen bei Unternehmungen bereitgestellt werden. Das könnten beispielweise Kommunikationssysteme sein, die der unternehmensinternen und unternehmensübergreifenden Verknüpfung von Produktionsprozessen dienen, wie es etwa bei Herstellern und Zulieferern in der Automobilbranche der Fall ist.

Während das bisherige TDDSG zwischen Bestandsdaten, Nutzungsdaten und Abrechnungsdaten unterscheidet, hat sich der Gesetzgeber in dem Änderungsentwurf dazu entschlossen, nur noch den Begriff der Bestands- und Nutzungsdaten zu definieren und die Abrechnungsdaten als Unterfall der Nutzungsdaten zu verstehen. Zudem werden einige Beispiele bei den Nutzungsdaten angeführt, um den Begriff etwas mit Leben zu füllen. Durch die Änderung des Gesetzes dürfte nunmehr klar und unbestreitbar sein, dass beispielsweise IP-Adressen als Nutzungsdaten zu definieren sind.

Protokolleintrag einer Personal Firewall nach der Blockierung einer SubSeven-Trojaner-Anfrage
Erst die vorgesehene Änderung des TDDSG erlaubt die Speicherung von Nutzungsdaten, die auf Missbrauch hinweisen.

Motiviert durch Missbrauchsfälle fügt das TDDSGÄndG einen neuen § 6 Abs. 8 ein, der es dem Telediensteanbieter erlaubt, personenbezogene Daten desjenigen Nutzers zu speichern, der seine Teledienste missbraucht. Die Anhaltspunkte, die zu der Annahme eines solchen Missbrauchs geführt haben, sind vor der Speicherung genau zu dokumentieren. Zu Zwecken der Rechtsverfolgung darf der Diensteanbieter diese personenbezogenen Daten auch über die Speicherfristen hinaus verarbeiten und nutzen. Da das bisherige Gesetz dem Telediensteanbieter generell verbietet, Daten zu erheben und zu speichern, wenn nicht einer der wenigen Erlaubnistatbestände vorlag, wäre es dem Telediensteanbieter heute nicht möglich, den Verursacher des Missbrauchs durch Recherche in seinen Log-Dateien festzustellen.

----------Ende Textkasten----------

Vielen Diensteanbietern ist zudem nicht bewusst, warum eine IP-Nummer personenbezogen sein soll. Selbst wenn man davon ausgehen kann, dass ein Großteil der IP-Nummern lediglich einer Nutzergruppe, beispielsweise einer Firma oder den Teilnehmern eines Online-Dienstes, zugeordnet ist, so kann man doch häufig aus den näheren Umständen (Kontakte zu bestimmten Mitarbeitern, Zeitpunkt der Nutzung, teilweise ortsspezifische DNS-Namen bei Einwahldiensten usw.) auf eine bestimmte Person schließen. Das BDSG definiert aber bereits "Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person" als personenbezogen.

Außerdem gibt es auch feste Zuordnungen von IP-Nummern und DNS-Namen zu natürlichen Personen (z. B. computer.VornameNachname.de). Da eine solche Zuordnung nicht immer ersichtlich ist, muss ein Diensteanbieter wohl oder übel alle IP- und DNS-Daten als personenbezogen behandeln, um den Datenschutz zu gewährleisten.

Webserver-Protokolleinträge mit Zugriffsdaten: z. B. 

pluto.waff.wuff.fan 
14 Jul -- 12:49:56 -- 00:22 -- Code 401 Unauthorized 
14 Jul -- 12:50:18 -- 00:11 -- /try/ 
14 Jul -- 12:50:29 -- 00:00 -- /try/doggie.htm 

unresolved (192.168.25.112) 
14 Jul -- 10:16:14 -- 00:00 -- Code 301 Moved Permanently 
14 Jul -- 10:16:14 -- 00:00 -- /test/ 
14 Jul -- 10:16:14 -- 00:00 -- /test/main.htm
Detaillierte Logfiles, wie sie viele Web-Anbieter zur Analyse des Besucherverhaltens führen, sind rechtswidrig, wenn sie IP-Nummern oder DNS-Namen von Internetnutzern enthalten.

Überträgt man die Datensammlungen im WWW in die reale Welt, dann wäre das so, als würde man beim Betreten einer Bank oder eines Geschäfts zunächst seinen Personalausweis durch ein Lesegerät ziehen, das dann die Ausweisnummer registriert. Als Vergleich zu einer dynamischen IP-Nummer, die ein Internet-Provider seinem Kunden bei der Einwahl für die Dauer der Sitzung zuweist, hätte man zwar wechselnde Ausweisnummern - mithilfe der "ausstellenden Behörde" (Internet-Access-Provider) ließe sich aber der Nutzer über eine dort geführte Liste ebenfalls ermitteln. Da IP-Nummern lediglich wenige Zeichen umfassen, bleiben derartige Protokolldateien auch bei großem Kundenstamm handhabbar.

Es ist nachvollziehbar und verständlich, dass der Gesetzgeber sich seinerzeit dazu entschlossen hat, durch das TDDSG solche Datensammlungen zu verbieten. Umso erstaunlicher ist es immer wieder, dass in den Medien Berichte auftauchen, nach denen Online-Straftaten durch Zurückverfolgung der Zugriffswege auch im Nachhinein aufgeklärt werden konnten. Eine solche Aufklärung müsste bei konsequenter Anwendung des TDDSG eigentlich ausgeschlossen sein.

So hat das auch der Bundesbeauftragte für den Datenschutz, Dr. Joachim Jacob, gegenüber der Zeitschrift c't bestätigt: "Ein Provider [darf] in keinem Fall mit Blick auf eine eventuell mögliche Strafverfolgung vorsorglich speichern, wer wann welche IP-Nummer hatte." Nur wenn bereits während der Nutzung "vorauszusehen ist, dass gerade diese Daten für die Strafverfolgung erforderlich sind", käme die Ausnahme in § 6 (3) TDDSG zum Zuge, dass "die Befugnisse der Strafverfolgungsbehörden unberührt bleiben" [1].

Wenn man sich daran erinnert, welchen politischen Aufschrei es anlässlich der Einführung der Rasterfahnung (§ 98a StPO) als neues Instrument der Strafverfolgungsbehörden zum Abgleich personenbezogener Daten gegeben hat, so muss man sich wundern, dass Datenschützer und Anwender die Online-Protokolle einfach hinnehmen. Weder Verbraucher- und Datenschützer noch die so genannte Anwendergemeinde haben sich bislang derart mit diesem Thema beschäftigt, dass es in den Blickpunkt der Öffentlichkeit oder auch nur der Massenmedien gerückt wäre.

Illegale Datensammlungen existieren praktisch bei jedem Provider, Webanbieter oder Firewall-Verwender: Webserver-Logfiles protokollieren exakt, welcher Surfer (IP-Nummer/DNS-Name) zu welcher Zeit welche Seiten besucht hat; Internet-Provider erfassen, welcher Kunde wann welche IP-Nummer genutzt hat usw. In einem Verfahren gegen einen Internetnutzer, der mittels eines Denial-of-Service-Angriffs einen Provider über Tage hinweg handlungsunfähig gemacht haben soll, gelang den ermittelnden Behörden die Feststellung des vermeintlichen Täters nur, weil alle beteiligten Internetanbieter umfangreiche Protokolldateien zur Verfügung stellen konnten, die nach und nach den Weg zu dem Beschuldigten wiesen.

Was ist erlaubt?

Das TDDSG verbietet es grundsätzlich, personenbezogene Daten zu erheben, zu verarbeiten oder zu nutzen. In § 4 (2) Nr. 2 TDDSG formuliert der Gesetzgeber sogar die positive Pflicht des Diensteanbieters, angefallene personenbezogene Daten unmittelbar zu löschen, soweit die längerfristige Speicherung nicht zulässig ist. § 3 (4) TDDSG verpflichtet ausdrücklich zur Datensparsamkeit: "Die Gestaltung und Auswahl technischer Einrichtungen für Teledienste hat sich an dem Ziel auszurichten, keine oder so wenige personenbezogene Daten wie möglich zu erheben, zu verarbeiten und zu nutzen."

Das TDDSG erlaubt die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten - ohne die vorherige Einwilligung des Betroffenen - nur dann, wenn es sich um Bestands-, Nutzungs- oder Abrechnungsdaten handelt; und in den beiden letzten Fällen auch nur für eine bestimmte Zeit.

Bestandsdaten definiert § 5 TDDSG als die Daten, die "für die Begründung, die inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses ... notwendig sind". Es handelt sich also regelmäßig um die Vertragsdaten, die mit der Nutzung des Dienstes selbst nicht zusammenhängen. Die Verarbeitung dieser Daten unterliegt keiner zeitlichen Beschränkung.

Nutzungsdaten darf der Diensteanbieter nach § 6 (1) Nr. 1 TDDSG zwar erheben, verarbeiten und nutzen, aber nur soweit dies zur Inanspruchnahme des Teledienstes notwendig ist und nur solange die Nutzung andauert; danach sind die Daten sofort zu löschen (§ 6 (2) Nr. 1 TDDSG). Zu den Nutzungsdaten zählen diejenigen, die beschreiben, welcher Nutzer gerade welche Internetseite abruft, welche IP-Nummer er verwendet und die IP-Nummer des Ziels.

Der Begriff der Nutzung ist zum Schutze des Anwenders sehr eng auszulegen: Befindet sich ein Internetsurfer auf der Seite www.domain1.de und springt sodann auf www.domain2.de, so müssen Diensteanbieter Nutzungsdaten zu "domain1" unmittelbar löschen. Diese Sicht ist zwingend, da man sonst bei Anwendern, die nonstop das Internet nutzen, ein Nutzungsprofil dauerhaft vorhalten könnte, was den Sinn und Zweck der Regelung unterlaufen würde. Es reicht also für einen Access-Provider nicht aus, alle Nutzungsdaten erst dann zu löschen, wenn der Nutzer sich aus dem Dienst abmeldet.

Für den Betreiber von "www.domain1.de" ist allerdings nicht erkennbar, wann der Nutzer seine Seiten verlässt. Andererseits stellt sich die Frage, ob die Verpflichtung auf die Datensparsamkeit eine Speicherung in Protokolldateien nicht von vornherein deplatziert erscheinen lässt und der Erlaubnistatbestand lediglich die Speicherung und Verarbeitung in Arbeitsspeicher, Auslagerungsdatei usw. des Webservers erfasst.

Abrechnungsdaten (§ 6 (1) Nr. 2 und (2) Nr. 2 TDDSG) sind diejenigen Daten, die der Diensteanbieter zur Abrechnung seiner Leistungen benötigt. Keinesfalls benötigt beispielsweise ein Internet-Access-Provider hierfür die Daten, auf welche IP-Nummern sein Nutzer zugegriffen hat oder wann er welche IP-Nummer genutzt hatte. Bei einer Flatrate dürften überhaupt keine Daten für die Abrechnung erhoben werden; bei einer Abrechnung nach Online-Minuten lediglich die Anzahl der Minuten, zu denen der Nutzer online war. Die genaue Uhrzeit zu protokollieren wäre bereits nur bei der Anforderung eines Einzelnachweises gestattet. Wird nach Transfervolumen und Zeit abgerechnet, dürfen zusätzlich die übertragenen Byte-Mengen gespeichert werden, aber nicht die zugehörigen Dienste-Aufrufe.

Die Abrechnungsdaten hat der Diensteanbieter dann zu löschen, wenn sie für die Abrechnung nicht mehr erforderlich sind. Bei Einzelnachweisen spätestens nach 80 Tagen, wenn es nicht zum Streit über die Richtigkeit der Rechnung gekommen ist. Hierbei sehen Gola/Müthlein in ihrem TDDSG-Kommentar [3] diese Speicherfrist unter Verweis auf die Gesetzesbegründung als abschließende Regelung an, "sodass steuer- oder handelsrechtliche Aufbewahrungregelungen verdrängt werden." Dies schließe "auch die weitere Speicherung der Nutzerdaten im Rahmen der Erfüllung von Datensicherungsverpflichtungen aus."

Mehr mit Einwilligung

Aus den klaren Regelungen der §§ 5f TDDSG folgt, dass jedwede Protokollierung der Nutzungsdaten über die einzelne Nutzung hinaus gegen das TDDSG verstößt und damit rechtswidrig ist. Lediglich, wenn der Benutzer in die Datensammlung ausdrücklich eingewilligt hat, darf eine solche Protokollierung erfolgen (§ 3 (1) TDDSG). Der Nutzer (Betroffene) muss aber vorher detailliert "über Art, Umfang, Ort und Zwecke der Erhebung, Verarbeitung und Nutzung" aufgeklärt werden (§ 3 (5) TDDSG).

Eine solche Einwilligung kann nur dann konkludent erfolgen, wenn der Nutzer exakt weiß, worin er gerade einwilligt. Die Einwilligung darf also nicht in den Klauseln der Allgemeinen Geschäftsbedingungen versteckt sein. Auch wäre es falsch zu argumentieren, durch die Nutzung des Internets habe der Nutzer bereits konkludent in die Verarbeitung seiner Daten eingewilligt.

Um dem Benutzer wirklich eine freie Entscheidung zu belassen, dürfen Diensteanbieter, die eine Monopolstellung unterhalten, die Erbringung von Telediensten nicht von einer Einwilligung des Nutzers abhängig machen (§ 3 (3) TDDSG). Wer ein "einmaliges" Angebot unterhält, darf dieses Angebot nicht nur demjenigen anbieten, der in die Erfassung und Verarbeitung seiner personenbezogenen Daten einwilligt. Ein solcher monopolistischer Anbieter müsste eventuell einen zweiten Zugang anbieten, über den man auf diese Daten auch ohne Sammlung personenbezogner Daten zugreifen kann.

Da streng betrachtet jedes Diensteangebot einmalig sein dürfte (wenn man gespiegelte Inhalte einmal außer Acht lässt), ist es in der juristischen Literatur umstritten, wie weit die Geltung des § 3 Abs. 3 TDDSG in der Praxis gehen soll. Das Angebot eines Online-Kaufhauses im Netz ist für sich genommen einmalig und der Benutzer kann auf dieses Angebot nicht anderweitig zugreifen. Richtiger Ansicht nach muss die Vorschrift jedoch so verstanden werden, dass nicht das konkrete Angebot im engeren Sinne zu sehen ist, sondern eine wirkliche Monopolstellung vorliegen muss.

Dies bedeutet, dass beispielsweise ein Online-Buchhändler den Zugriff auf seine Seiten und das Online-Shopping auf seinen Seiten von einer Einwilligung des Nutzers in die Verarbeitung und Nutzung seiner Daten auch für andere Zwecke abhängig machen darf.

----------Anfang Textkasten----------

Gratwanderung

Screenshot der Homepage des Bayerischen Landesbeauftragten für den Datenschutz

Eine Gratwanderung in Sachen TDDSG/MDStV unternimmt der Landesbeauftragte für den Datenschutz in Bayern auf seiner externer Link Homepage. Dort wird der Benutzer auf folgendes hingewiesen:

"Mit Ihrem Zugriff auf diese Web-Site werden mögliche Identifizierungsdaten (IP-Adresse) und weitere Angaben (Datum, Uhrzeit, betrachtete Seite) auf diesem Server, der durch das Landtagsamt des Bayerischen Landtags betrieben wird, für Zwecke der Datensicherheit für zwei Monate gespeichert. Eine andere Auswertung der Daten, mit Ausnahme für statistische Zwecke und dann in anonymisierter Form, erfolgt nicht."

Erst durch Anklicken von "weiter" gelangt der Besucher auf die eigentliche Homepage. Man wird dies wohl zunächst als ausreichenden Hinweis ansehen können, der durch den Mausklick auf den "weiter"-Link als Einwilligung zu bewerten ist. Da es sich um eine elektronische Einwilligung handelt, muss aber nach § 12 (8) MDStV (analog zu § 3 (7) TDDSG) nicht nur sichergestellt sein, dass es sich um eine eindeutige und bewusste Handlung des Nutzers handelt, sondern auch dass der Urheber eindeutig erkannt werden kann und die Einwilligung nach Tag, Uhrzeit und Inhalt protokolliert wird. Der Inhalt der Einwilligung muss für den Nutzer jederzeit abrufbar sein und der Nutzer ist "vor einer Einwilligung auf sein Recht auf jederzeitigen Widerruf mit Wirkung für die Zukunft hinzuweisen" (§ 12 (7) Satz 1 MDStV).

Außerdem muss ausgeschlossen sein, dass bereits beim Anwählen der Startseite protokolliert wird, denn in diesem Moment liegt ja noch kein Einverständnis vor. Verlässt also ein Nutzer diese Startseite, weil er mit dieser Regelung nicht einverstanden ist, so dürfen keine personenbezogenen Daten von ihm verbleiben.

Überdies verweisen die nachfolgenden Seiten nicht auf diesen Text. Wie sieht es aber aus, wenn man auf dem Server des Landesbeauftragten landet, indem man von einer anderen Webseite einem Link folgt? Dann trifft man direkt auf die Webseiten, ohne dass man das "Eingangsportal" durchlaufen hat - dementsprechend mangelt es auch an einer Einwilligung in eine Datenerhebung.

----------Ende Textkasten----------

Essenzielle Informationen

Die sehr strenge und restriktive Handhabung der Verarbeitung personenbezogener Daten durch den Diensteanbieter bringt in der Praxis erhebliche Probleme mit sich. Viele Firewalls und Softwarelösungen für Diensteanbieter enthalten eine Vielzahl von automatisierten Logging-Funktionen, deren Daten lediglich nach einer Weile nach dem FIFO-Prinzip (first-in-first-out) gelöscht werden. Will der Diensteanbieter nicht mit dem Gesetz in Konflikt geraten, so muss er diese Funktionen entweder ausschalten oder die Daten "ins Leere" schreiben (/dev/null).

Viele Content-Provider und Homepageanbieter sind aber darauf angewiesen, Nutzungsdaten auszuwerten: für die Werbung oder auch für umfangreiche, aussagekräftige und nachprüfbare Statistiken zur Auskunft gegenüber seinen Kunden. Dies lässt sich aber auch bewerkstelligen ohne dafür die eigentlichen (personenbezogenen) Nutzungsdaten zu speichern. Die Auswertung dieser Daten für statistische oder sonstige Zwecke muss lediglich entpersonalisiert ablaufen. Ist dies nicht gewährleistet, so ist jedoch bereits die Erhebung unzulässig.

Manche Systembetreiber bemängeln, dass beispielsweise Firewall-Systeme automatisch Log-Dateien einrichten und sich diese Funktion nur schwer oder auch gar nicht abschalten lässt. Aus Sicherheitsgründen ist das verständlich, da auch Angreifer ansonsten unter Umständen die Protokolle manipulieren könnten. Ein vollständiger Verzicht auf die Firewall-Protokolle wäre aber ohnehin eine unbefriedigender Ausweg, da hiermit auch wertvolle Informationen über etwaige Angriffsversuche verloren gingen.

Ausweg?

Ein denkbarer Ansatz könnte das Ersetzen der IP-Nummern oder DNS-Namen durch Zeichenfolgen sein, die zwar eine Wiedererkennung des Besuchers ermöglichen, aber nicht personenbezogen sind. Beispielsweise führt die Berechnung eines kryptographischen Hash-Wertes (z. B. MD5 oder SHA) zwar von einer IP-Nummer immer zu derselben Ausgabe. Daraus kann man aber nicht auf die Eingabe "zurückrechnen". Die Speicherung eines solchen Wertes anstatt der personenbezogenen Daten dürfte daher zulässig sein.

Ergibt sich während einer späteren Nutzung ein konkreter Missbrauchsverdacht gegen eine IP-Nummer, so kann man deren Hashwert errechnen und in den Log-Dateien prüfen, ob bereits zuvor Zugriffe von dort erfolgt sind, da mit hoher Wahrscheinlichkeit alle diese Hashwerte aus der fraglichen IP-Nummer resultieren. Daten unschuldiger Dritter werden durch dieses Vorgehen aber nicht erfasst. Außerdem würden solche Protokolleinträge innerhalb von Webserver-Logs praktisch dieselben statistischen Auswertungen erlauben wie die Speicherung der IP-Nummern selbst.

In "ungeschützten" Logdateien, beispielsweise von Webservern könnte man eine derartige Entpersonalisierung vermutlich mit überschaubarem Aufwand durch Skripte implementieren, die regelmäßig und vor allem zeitnah zur Nutzung die personenbezogenen Einträge ersetzen. Streng genommen bleibt das Erfassen und Verarbeiten der personenbezogenen Daten allerdings nach wie vor unzulässig. Systemadministratoren, die gesetzestreu handeln möchten, stecken also in einem Dilemma und können vorerst unvermeidbare Verstöße lediglich auf ein Minimum beschränken.

Für eine Speicherung solcher entpersonalisierten Daten in manipulationssicheren Firewall-Protokollen dürften jedoch regelmäßig die Implementierung in der Sicherheitssoftware und damit ein entsprechendes Einsehen und die Mithilfe des Herstellers erforderlich sein. Besonders bei außereuropäischen Produkten ist hiermit wohl kaum kurzfristig zu rechnen.

Eine klare Anleitung, wie man nun vorgehen kann, um überhaupt nicht mit dem Gesetz in Konflikt zu geraten, lässt sich zurzeit nicht geben (es sei denn, man verzichtet nahezu vollständig auf die üblichen Protokolle). Die gängige Praxis verletzt jedoch die Rechte der Internetnutzer weit mehr als es erforderlich wäre, um die verständlichen Interessen sowohl der Werbung als auch der Sicherheit von Diensteanbietern zu wahren. Nur scheint das zurzeit niemanden zu kümmern.

Literatur

[1]
Stefan Jaeger, Gesetze und Lücken, Rechtliche Schritte gegen Angriffe im Netz, c't 4/2000, S. 232
[2]
Teledienstedatenschutzgesetz, externer Link Artikel 2 des Informations- und Kommunikationsdienste-Gesetzes (IuKDG)
[3]
Peter Gola, Thomas Müthlein, TDG/TDDSG, Kommentierung für die Praxis, Datakontext, 2000, ISBN 3-89577-134-1

Stefan Jaeger ist Rechtsanwalt in der Kanzlei Dr. Helmig Huschke in Wiesbaden. Er referiert zu Fragen des Onlinerechts u. a. an der Deutschen Richterakademie und der Polizeiführungsakademie. Den Schwerpunkt seiner Tätigkeit bildet die Rechtsberatung von Unternehmen im Bereich der Multimediadienste, des E-Commerce und der IT-Sicherheit.

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 5/2000, Seite 6