![[ Aufmachergrafik: heller, corporate design ]](04-4-065-0.jpg)
Wie viel Logfile ist erlaubt? Nach wie vor Rechtsunsicherheit bei Protokoll-DateienWie viel Logfile ist erlaubt? Nach wie vor Rechtsunsicherheit bei Protokoll-DateienJeder Benutzer hinterlässt bei der Nutzung des Internets deutliche Spuren. Eine Speicherung aller solcher Daten wäre, als ob man jemanden den ganzen Tag verfolgt und aufzeichnet, wann er wo was unternimmt. Der Gesetzgeber hat daher schon im Jahre 1997 mit dem Teledienstedatenschutzgesetz (TDDSG) das Grundprinzip der Datenvermeidung propagiert und eine Speicherung von Nutzungsdaten größtenteils verboten.
Auf der anderen Seite möchten Unternehmen wissen, wer auf ihre Infrastruktur zugreift, Web-Server-Betreiber die Nutzung ihrer Angebote analysieren und Strafverfolger kriminellen Machenschaften nachspüren – all das erfordert jedoch die Speicherung der Nutzungsdaten von Tele- und Mediendiensten im Internet. In diesem Spannungsfeld bleibt bis heute ziemlich unklar, wer – ohne vorheriges Einverständnis des Betroffenen – welche Daten speichern darf oder nicht.
Außer Frage stehen dürfte, dass die bei der Nutzung des Internets anfallenden Daten, die Zuweisung einer IP-Nummer zum Nutzer und letztlich auch IP-Nummern selbst direkt oder indirekt personenbezogen sind. Hierzu hatte der Gesetzgeber 1997 noch ausdrücklich eine Löschpflicht bestimmt (§ 6 Abs. 2 Nr. 1 TDDSG-97): "Zu löschen hat der Diensteanbieter Nutzungsdaten frühestmöglich, spätestens unmittelbar nach Ende der jeweiligen Nutzung, soweit es sich nicht um Abrechnungsdaten handelt".
Nutzungsdaten ermöglichen die Inanspruchnahme von Telediensten; beispielsweise fallen unter diesen Begriff Verbindungsdaten, Einwählknoten oder angeforderte Seiteninhalte. Im jetzigen TDDSG entfiel die klare Löschpflicht zugunsten der Feststellung, wann Abrechnungsdaten (erlaubterweise) verarbeitet werden dürfen (§ 6 Abs. 4 TDDSG). Der Gesetzgeber hat also nicht mehr positiv eine Löschungspflicht aufgestellt, sondern indirekt nur noch diejenigen Fälle erlaubt, in denen Daten auch nach der Nutzung noch verarbeitet und genutzt werden dürfen (bspw. zur Abrechnung). In den Gesetzesmaterialien heißt es hierzu: "Absatz vier greift die bisher in Absatz zwei enthaltene Löschungsverpflichtung in Form eines Erlaubnistatbestands auf." Ob damit wirklich mehr Klarheit geschaffen wurde, ist sehr fraglich. Denn nach wie vor gilt: Nutzungsdaten, die nicht für die Abrechnung erforderlich sind, dürfen nicht gespeichert bleiben.
Einen eindeutigen Schritt hat der Gesetzgeber hingegen mit der neu aufgenommenen Bußgeldvorschrift in § 9 TDDSG gemacht. Der Bußgeldrahmen ist am Bundesdatenschutzgesetz (BDSG) orientiert, jedoch verdoppelt worden, um damit der erhöhten Gefährdung der personenbezogenen Daten Rechnung zu tragen. So handelt ordnungswidrig (§ 9 Abs. 1 Nr. 4 TDDSG), wer ohne Einwilligung eines Nutzers personenbezogene Daten erhebt, verarbeitet, nutzt oder diese nicht oder nicht rechtzeitig löscht, obwohl sie nicht (mehr) erforderlich wären, um die Inanspruchnahme von Telediensten zu ermöglichen und abzurechnen (Nutzungsdaten, gem. § 6 Abs. 1 Satz 1 TDDSG). Diese Ordnungswidrigkeit kann mit einer Geldbuße bis zu 50 000 € geahndet werden. Mehrere (illegitime) Protokollierungen dürften dabei eine rechtliche Handlungseinheit darstellen, sodass Verstöße wohl nur ein Bußgeld nach sich ziehen (unabhängig von der Zahl der Betroffenen).
Klare Aussagen zum (un-)erlaubten Maß der Protokollierung in Unternehmen waren bislang leider Mangelware: Vor Gericht war offenbar noch kein Fall gelandet und die Aufsichtsbehörden hielten sich meist bedeckt. Anfang 2003 gab es allerdings einen "Lichtblick": Nachdem sich eine größere Zahl von Internet-Nutzern über die gängige Provider-Praxis beschwert hatte, vergebene IP-Adressen zu protokollieren, veröffentliche das Regierungspräsidium Darmstadt (www.rpda.de) am 14. Januar 2003 als zuständige Datenschutz-Aufsichtsbehörde für das Land Hessen eine Entscheidung: Demzufolge darf ein Zugangsanbieter speichern, welchem Kunden in einem bestimmten Zeitraum welche IP-Adresse zugewiesen wurde, obwohl dies bei Nutzung einer Flatrate für die Abrechnung gegenüber dem Kunden überflüssig ist.
Ein Teil der Darmstädter Argumentation behandelt die Notwendigkeit dieser Daten für die Abrechnung. Diese (überdies fragliche und umstrittene) Rechtfertigung nutzt jedoch keinem Unternehmen, das lediglich (kostenlos) informative Webseiten und Firewalls zum Schutz der eigenen Infrastruktur betreibt. Ein weiterer Aspekt behandelt aber eben diese Sicherung: "Die IP-Nummer dient dazu, die Fehlersicherheit der Datenverarbeitung sowie die Nachweisbarkeit und die Durchsetzbarkeit von Forderungen zu gewährleisten," heißt es in der Entscheidung der Hessen.
Das Regierungspräsidium Darmstadt hat argumentiert, dass die Speicherung durch den Provider gemäß der technischen Anforderungen des Bundesdatenschutzgesetzes (§ 9 BDSG nebst Anlage) zur Gewährleistung der Datensicherheit sogar erforderlich sei: Nur durch die Speicherung der IP-Adresse könne man im Nachhinein die Aktivitäten von Angreifern auf Datenverarbeitungssysteme nachvollziehen. Die Begründung führt hierzu aus: "Es muss in diesem Zusammenhang auch darauf aufmerksam gemacht werden, dass es geradezu paradox wäre, wenn in dem an technischen, rechtlichen und tatsächlichen Unsicherheiten kaum noch zu überbietenden Regelungsgegenstand 'Internet' mit den vielfältigen Sicherheitsdefiziten des aktuellen IPv4-Standards auf die Anwendung von Kontroll-, Sicherungs- und Sicherheitsvorschriften verzichtet würde, die aber bei anderen Datenverarbeitungsprozessen sehr wohl gelten und dort eingehalten werden müssen".
Diese Argumentation verkehrt jedoch die Intention der Datenschutzgesetze in ihr Gegenteil: § 9 BDSG und § 4 TDDSG verpflichten zu technischen und organisatorischen Maßnahmen, die erforderlich sind, um die gesetzlichen Vorschriften zu Datenschutz und -sicherheit zu gewährleisten. Beides sind Gesetze zum Schutz der Persönlichkeitsrechte; sie nunmehr dafür heranzuziehen, den Persönlichkeitsschutz einzuschränken, wäre paradox. Darüber hinaus regelt das TDDSG ausdrücklich Fälle, in denen der Dienstleister um seine rechtmäßigen Gebühren geprellt werden soll (§ 6 Abs. 8 TDDSG). Da der Gesetzgeber Missbrauchsfälle explizit geregelt hat (als ausdrückliche Einschränkung des Datenschutzes), ist für eine weitere, darüber hinaus gehende Auslegung kein Raum mehr (leider wurde eine Formulierung, die auch für "Netz-Attacken" eine Ausnahmeregelung im TDDSG geschaffen hätte, noch im Entwurfsstadium wieder gestrichen).
Auch von "offizieller Seite" bekam die Darmstädter Entscheidung Kontra: Entgegen der Meinung der hessischen Datenschutz-Wächter erklärte das Unabhängige Landeszentrum für Datenschutz als zuständige Aufsichtsbehörde in Schleswig-Holstein die umfassende Speicherung von IP-Nummern durch Internet-Provider für unzulässig (![[externer Link]](../../../../images/link.gif)
www.datenschutzzentrum.de/material/themen/presse/ipspeich.htm). Danach wurde es eher wieder ruhig um die Sache – die Ergebnisse einer jetzigen Nachfrage der <kes> bei den Datenschutzbehörden finden Sie auf den folgenden Seiten.
Es steht außer Zweifel, dass Nutzungsdaten für Strafverfolgungsbehörden und die Sicherheit im Unternehmen von höchstem Interesse sind. Umso unangenehmer ist dort aufgefallen, dass der Gesetzgeber die Erhebung und Verarbeitung solcher Daten stark einschränkte und mehr oder weniger verbot, um dem Vorwurf zu begegnen, man würde durch eines der weltweit ersten "Internetgesetze" das "freie Netz" staatlich reglementieren. Diese starken Einschränkungen zum Schutz der Verbraucher waren damals ein Politikum.
Die Strafverfolgungsbehörden haben aber keinen Grund zu klagen: Sie bekommen praktisch von allen deutschen Providern die notwendigen Daten für ihre Arbeit geliefert – Daten, die in vielen Fällen gesetzeswidrig erhoben und gespeichert worden sind. Warum die Provider dies tun, kann man nur vermuten. Wahrscheinlich fürchten sie bei einer nicht-freiwilligen Speicherung ein Gesetz, dass noch höhere Anforderungen stellen würde, sodass sie lieber in vorauseilendem Gehorsam "freiwillig" speichern. Eine unglaubliche Vorgehensweise, die offenbar niemanden berührt. Den Strafverfolgungsbehörden sollte man aber keine Instrumente an die Hand geben, die den Malus "gesetzeswidrig" haben. Der Gesetzgeber muss endlich den Mut haben, mit offenen Karten zu spielen und die Lücke gesetzlich eindeutig zu regeln.
Das rechtliche Hin und Her um diese bedeutsame Frage ist für alle Beteiligten mehr als ärgerlich. Die Strafverfolgungsbehörden befürchten, dass Internet-Provider die dringend benötigten Daten längst gelöscht oder nie erhoben haben; Internet-Provider und Unternehmen, die nur sich selbst schützen wollen, sehen sich auf der Kippe zwischen rechtmäßigem Handeln und rechtswidriger Speicherung, die mit einem Bußgeld bedroht ist. Und datenschutzbewusste Internet-Nutzer ärgern sich Tag für Tag, dass die eigentlich unzulässige Speicherung ihrer personenbezogenen Daten für zulässig erachtet wird oder zumindest keine Sanktionen nach sich zieht. Es bleibt abzuwarten, wann in dieser bedeutsamen Frage endlich eine verständliche Rechtssicherheit für alle Beteiligten herrscht.
Stefan Jaeger (jaeger@edv-rechtsberatung.de) ist Rechtsanwalt und Partner der Kanzlei Käller-Leben Jaeger Hecht, Wiesbaden. Er referiert zu Fragen des Onlinerechts unter anderem an der Deutschen Richterakademie und der Polizeiführungsakademie.
Die Resonanz auf unsere Anfrage war gemischt: Einerseits erhielten wir auf über 30 E-Mails nicht einmal 20 Antworten, andererseits war der Großteil dieser Antworten aber überaus deutlich. Zudem hatten sich – was nicht unbedingt zu erwarten war – mehrere "Meinungs-Cluster" gebildet. Farbe bekannt haben somit zwar längst nicht alle Aufsichtsbehörden, aber angesichts der vorherigen, äußerst mageren Informationslage mit seltenen und punktuellen Verlautbarungen, darf man hier wohl getrost von einem erfreulichen Ergebnis sprechen.
Vorneweg eine Warnung: Bei derart komplexen und teilweise immer noch strittigen Sachverhalten ist es nicht möglich, für alle Fälle eine pauschale Antwort zu geben; darauf haben etliche Behörden zu Recht hingewiesen. Besondere Randbedingungen können auch deutlich abweichende Beurteilungen nach sich ziehen. Außerdem haben sich – trotz zugenommener Ähnlichkeiten und gemeinsamer Aussagen – weiterhin auch unterschiedliche Auffassungen manifestiert. In den meisten Bundesländern sind überdies für den öffentlichen und privatwirtschaftlichen Sektor verschiedene Behörden zuständig – eine Aufstellung der jeweiligen Instanzen mit Kontaktadressen finden Sie im Web-Angebot des Bundesbeauftragten für den Datenschutz (BfD) unter www.bfd.bund.de/anschriften/.
Die größte "Konsensgruppe" bilden der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht (LDA) Brandenburg zusammen mit dem BfD, sowie den LfD Hamburg, Mecklenburg-Vorpommern, Sachsen-Anhalt und Thüringen, die eine gemeinsame Antwort eingesandt haben. Zudem haben vier weitere LfD ihre Nähe zu dieser Stellungnahme bekundet: Hessen (mit einer Ausnahme), Niedersachsen ("in weiten Teilen deckungsgleich"), Nordrhein-Westfalen ("im Wesentlichen ...") sowie Rheinland-Pfalz (Antwort "in Anlehnung"). Diese Behörden sind zwar großteils für die Datenverarbeitung öffentlicher Stellen zuständig, haben aber in Hamburg, Niedersachsen und Nordrhein-Westfalen gleichzeitig auch Autorität über den privatwirtschaftlichen Bereich; der BfD ist zudem für privatwirtschaftliche Angebote von Telekommunikationsdiensten zuständig.
Wo die Aufsicht über die Privatwirtschaft den Innenministerien untersteht, wurde mehrfach auf die "Hinweise zum Datenschutz für private Unternehmen und Organisationen (HIM) Nr. 41" des Innenministeriums Baden Württemberg ( www.baden-wuerttemberg.de/sixcms/media.php/851/Hinweis%2041.pdf) sowie die Entscheidung des Regierungspräsidiums Darmstadt (s. o.) verwiesen.
Weitere substanzielle Aussagen erreichten uns vom Unabhängigen Landeszentrum für Datenschutz (ULD) Schleswig-Holstein sowie den LfD Bayern und Baden-Württemberg.
Klar bejaht haben die Befragten, dass IP-Adressen im Grundsatz wie personenbezogene Daten zu behandeln sind. Ohnehin einsichtig ist das für statische IP-Adressen, die unmittelbar mit einer Person oder engen Personengruppe verknüpft sind.
Dasselbe gilt aber auch für dynamische IP-Nummern, die wechselnden Nutzern zugewiesen werden. Als exemplarisch kann hier die Äußerung des LDA Brandenburg gelten: "Selbstverständlich ist eine Reihe von Konstellationen denkbar, bei denen es nicht möglich ist, aus der IP-Adresse ohne unverhältnismäßig großen Aufwand auf die dahinterstehende natürliche Person zu schließen. Umgekehrt kann aber in vielen Fällen auch bei dynamischen IP-Adressen nicht ausgeschlossen werden, dass mithilfe des Access Providers ein Personenbezug hergestellt werden kann. Da eine Trennung zwischen personenbeziehbaren IP-Adressen und solchen ohne Personenbezug bei der Protokollierung nicht vernünftig durchführbar ist, muss man in der Konsequenz alle IP-Adressen so behandeln, als wären sie personenbezogene Daten."
Die Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI) Nordrhein-Westfalen sieht zudem die Speicherung bei demjenigen als legal an, der "nachweist, dass er keinen Personenbezug herstellen kann, zum Beispiel indem er die IP-Nummer kürzt und nur zu statistischen Zwecken auswertet".
Lediglich die baden-württembergischen HIM 41 konstatieren, dass auch vollständige IP-Adressen dort nicht als personenbezogen anzusehen sind, wo ein Anbieter keinerlei zusätzliche personenbezogenen Daten erhebt oder kennt (auch keine E-Mail-Adresse). Eine Zusammenführung mit den Daten eines Nutzers, wie sie beim Zugangsanbieter vorhanden sind, sei "rechtlich und praktisch ausgeschlossen".
Bei Firewalls stellt sich zunächst die Frage, ob überhaupt das Teledienstedatenschutzgesetz (TDDSG) einschlägig ist – wo genau die Grenze zwischen Telekommunikation (TKG) und Teledienst (TDG) liegt, ist nach wie vor umstritten. Die Gruppe um den LDA Brandenburg findet hier deutliche Worte: "Die gesetzlichen Grundlagen geben darauf keine eindeutige Antwort. Klarheit ist vermutlich erst zu erwarten, wenn der für die elektronische Kommunikation bestehende Rechtsrahmen im Allgemeinen und im Datenschutzbereich im Besonderen in einem einheitlichen Gesetz harmonisiert wird." Die Datenschutzbeauftragten von Bund und Ländern fordern das seit Jahren.
Aus keiner der beiden denkbaren Grundlagen lasse sich aber eine Befugnis zur generellen Speicherung von IP-Adressen ableiten. Vielmehr seien diese nach Verbindungsende "unverzüglich zu löschen," so der LDA Brandenburg. Aber: "Eine Speicherung auch von IP-Adressen kann jedoch aus Gründen der Datensicherheit für eine gewisse Zeit erforderlich und damit zulässig sein" (Rechtsgrundlage sind die Vorschriften zum technischen und organisatorischen Datenschutz und z. T. § 109 TKG). Dabei legen die Datenschützer äußerst strenge Kriterien an: IP-Adresse und Ziel-Port dürfe man für eine begrenzte Zeit speichern, "wenn dies die einzige Möglichkeit ist, um die Methoden eines potenziellen Angreifers zu analysieren. ... Die Speicherung personenbezogener Daten, das heißt der IP-Adressen, muss aber ultima ratio sein, da die Vorschriften zum technischen und organisatorischen Datenschutz in erster Linie die Betroffenen schützen sollen und nicht den Anbieter."
Eine klare Zuordnung von Firewalls zum Bereich des Telekommunikationsgesetzes sieht hingegen das ULD, da diese "eine Sicherheitsfunktion im Rahmen der technischen Übermittlung (= Telekommunikation)" übernehmen. Damit dürfe der Betreiber der Firewall "zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern an TK-Anlagen ... Verkehrsdaten der Teilnehmer und Nutzer erheben und verarbeiten – allerdings nur 'soweit erforderlich' (§ 100 Abs. 1 TKG)". Auch hier gelten strengste Kriterien: "Eine Protokollierung von IP-Adressen ist nur erlaubt, wenn sie zwingend erforderlich ist, um Missbrauchs- bzw. Angriffssituationen zu erkennen und zeitnah zu reagieren. Es dürfen also nicht sämtliche IP-Pakete mitgeschnitten werden, sondern lediglich solche, die verdächtig erscheinen, und solche, die mit diesen in einem erkennbaren Zusammenhang stehen oder die zur Auswertung der Verdachtsmomente nötig sind." Nicht erforderliche Daten sind unverzüglich nach Beendigung der Verbindung zu löschen (§ 96 Abs. 2 Satz 2 TKG). Besonderen Wert legt man in Kiel auf die Zeitbeschränkung: "Das ULD akzeptiert eine Speicherung von abgewiesenen IP-Adressen an Firewalls bis zu 24 Stunden. Eine längere Speicherung ist regelmäßig nicht erforderlich, weil ältere Daten aus der Firewall keine zeitnahen Reaktionen zur Erhöhung der Sicherheit erlauben."
Das Innenministerium Baden-Württemberg hält "die Protokollierung der zugelassenen Verbindungen [auf der Firewall] für zulässig, wenn es zur Gewährleistung der Datensicherheit objektiv erforderlich ist. Hierfür ist es allerdings notwendig, dass die verantwortliche Stelle auf der Grundlage einer Bedrohungsanalyse ein konkretes Konzept entwickelt." In den HIM 41 erteilt das Ministerium eine klare Absage an die allzu übliche systematische IP-Speicherung "für einen längeren Zeitraum, ohne zuvor festgelegt zu haben, auf welche Weise und ob überhaupt ... eine Auswertung der Protokolldateien vorgenommen werden sollte. Offenbar hatten [die überprüften Inhaltsanbieter] die Voreinstellungen des eingesetzten Programms übernommen. Eine derartige Vorratsspeicherung ist nicht zulässig." Nur anhand eines konkreten Konzepts könne bestimmt werden, in welchem Umfang und für welche Dauer eine Speicherung erforderlich ist: "In diesem Konzept ist auch vorzusehen, dass die Wirksamkeit der getroffenen Schutzmaßnahmen überprüft wird und welche Methoden und Verfahren der Ursachenanalyse zur Anwendung kommen." Die Speicherdauer ist zudem zu möglichst kurz zu halten, als Maximalwert nennt das Ministerium vier Wochen.
Sofern möglich – etwa beim Besuch von Web-Angeboten – müsse der Anbieter zudem den Nutzer "über die Verarbeitung seiner personenbezogenen Daten bereits zu Beginn des Nutzungsvorgangs umfassend unterrichten. Daher muss der Nutzer auch auf die Tatsache der Speicherung der IP-Adresse zur Gewährleistung der Datensicherheit und auf die vorgesehene Dauer der Speicherung hingewiesen werden." Ein Verstoß hiergegen könne als Ordnungswidrigkeit geahndet werden.
Darüber hinaus weisen die Aufsichtsbehörden durchgängig auf eine strikte Zweckbindung hin (§ 31 BDSG). Ein überraschender Dissens zeigte sich hingegen bei der Frage nach der Protokollierung abgewiesener Verbindungen: Während die meisten Behörden die Frage der Logfiles unabhängig davon sehen, ob die Firewall die Verbindung zulässt oder abweist, äußerte die LDI Nordrhein-Westfalen (NRW), dass bei abgewiesenen Paketen Sicherheitszwecke nicht infrage kommen: "Ein Speichern ist nicht notwendig, weil der Zugang zum System gar nicht erst zugelassen wurde, also die Systemsicherheit nicht beeinträchtigt wird."
Mit der Aufsichts- und Dienstleistungsdirektion (ADD) Trier sowie der Regierung von Mittelfranken haben sich die zuständigen Kontrollinstanzen für den Datenschutz im nicht-öffentlichen Bereich von Rheinland-Pfalz und Bayern der Auffassung des Regierungspräsidiums Darmstadt angeschlossen, derzufolge Zugangsanbieter (Internet Access Provider) die zeitbezogene Zuordnung von IP-Adressen zu Nutzern speichern dürfen. Alle anderen Behörden, die sich zu dieser Frage geäußert haben, verneinen jedoch mehr oder weniger ausnahmslos die Legalität einer solchen Speicherung, sofern keine "informierte Einwilligungserklärung" der Nutzer vorliegt.
Vergleichsweise viele Möglichkeiten sieht hier noch der LfD Rheinland-Pfalz, der aufgrund seines Zuständigkeitsbereichs aber nur öffentliche Stellen betrachtet, die beispielsweise zum Zugangsprovider werden, soweit sie Bediensteten eine private Internet-Nutzung gestatten: "Entschließt sich der Dienstherr dazu, muss es ihm grundsätzlich möglich sein, diese Erlaubnis an einschränkende Voraussetzungen, insbesondere eine angemessene Art der Kontrolle auf der Basis einer informierten Einwilligungserklärung, zu knüpfen." Eine Dienstvereinbarung wird hier dringend empfohlen – darüber hinaus: "Eine Protokollierung darf ohne Einwilligung erfolgen, wenn sie zu Zwecken der Datenschutzkontrolle, der Datensicherung, zur Sicherung des ordnungsgemäßen Betriebs der Verfahren oder zu Abrechnungszwecken erforderlich ist."
Auch die LDI NRW gibt sich noch relativ offen: "[Die zeitbezogene Zuordnung vergebener IP-Nummern zu Kunden ist] grundsätzlich nicht zulässig. Ausnahmsweise kann die IP-Nummer aus Gründen der Datensicherheit unter der strengen Zweckbindung des § 31 BDSG kurzfristig gespeichert werden. Eine Speicherung zu Abrechnungszwecken ist nur dann möglich, wenn die IP-Nummer für die Abrechnung erforderlich ist. Dies konnten die Provider in der Praxis aber noch nicht darlegen."
Das ULD wiederholte hingegen seine ablehnende Haltung gegenüber der Darmstädter Entscheidung, die sich unter anderem auf Sicherungspflichten nach dem BDSG stützte: Ohne Einwilligung sei jede Speicherung "unzulässig, weil die IP-Adresse weder für die Verbindung noch für die Abrechnung erforderlich ist. Eine Anwendung der Regelungen zur Datensicherheit nach der Anlage zu § 9 BDSG ist unzulässig, weil das TDDSG beziehungsweise der Mediendienstestaatsvertrag (MD-StV) abschließende Regelung über Löschung bzw. Sperrung der IP-Adresse enthalten."
Die gemeinsame Antwort des LDA Brandenburg und der weiteren genannten Aufsichtsbehörden vertritt schließlich die vielleicht schärfste ablehnende Haltung: "Die Speicherung der Zuordnung der IP-Nummer zu den Kundeninformationen (Nutzerkennung) ist aus unserer Sicht nach Beendigung der Nutzung unzulässig. ... Die IP-Adresse ist ... zum Nachweis der Leistungserbringung weder geeignet noch erforderlich. Die generelle Speicherung kann auch nicht auf die Vorschriften zur Missbrauchserkennung und -abwehr (§ 100 TKG, § 6 Abs. 8 TDDSG) gestützt werden. Die Regelungen zielen auf eine Erforderlichkeit im Einzelfall (unter den jeweils zusätzlich in den Vorschriften genannten Voraussetzungen) ab und führen nicht zur Befugnis einer flächendeckenden Speicherung von Verkehrs- bzw. Nutzungsdaten. Die Speicherung kann nach unserer Ansicht schließlich auch nicht auf die Vorschrift zur Durchführung technischer und organisatorischer Maßnahmen gestützt werden. Diese Vorschriften sollen dazu dienen, die Datensicherheit zu gewährleisten. Diese wird hier nicht dadurch erhöht, dass der Anbieter weiß, wer der Angreifer ist. Vielmehr muss er geeignete Abwehrmaßnahmen für solche Angriffe treffen..."
Der LDA Brandenburg weist aber auch explizit darauf hin, dass diese Aussage unter den Datenschutzaufsichtsbehörden umstritten ist und zum Teil eine Befugnis zur Speicherung von IP-Adressen bejaht wird. Beispielsweise vom LfD Hessen, der hier seine einzige Ausnahme von der Meinung der "großen Koalition" geltend macht und "der Ansicht [ist], dass Internet-Zugangsanbieter unter bestimmten Rahmenbedingungen zu Datensicherheits- und Abrechnungszwecken IP-Adressen speichern dürfen."
Auch auf Web- und Mail-Servern erachten die befragten Behörden eine Speicherung von IP-Adressen weitgehend für unzulässig, sobald die Daten nicht (mehr) unmittelbar zur Dienste-Erbringung notwendig sind. Die <kes> plant eine Zusammenstellung der entsprechenden Aussagen im Materialien-Archiv auf <kes> online – wir werden zu gegebener Zeit in einem "Thema der Woche" im Web auf die Bereitstellung hinweisen. (luck)
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2004#4, Seite 65
| 