07 Okt 2007

Technikwürze 93 (S01/E93) Das Ende der IP-Adresse?

Viel Aufsehen hat das nun veröffentliche Urteil vom Berliner Amtsgericht aus dem März gemacht, welches die Speicherung von personenenbezogenen Daten verbietet. Thomas Schwenke ist Gast der Sendung und bricht Licht ins Dunkle.

Höre Technikwürze auf SoundCloud: Diese Folge | Alle Folgen

Das Amtsgericht Berlin Mitte hat dem Bundesjustizministerium die Speicherung von personenbezogenen Daten über das Ende des jeweiligen Nutzungsvorgangs hinaus untersagt.
Insbesondere dürfen demnach IP-Adressen nicht archiviert werden. „Die Aufbewahrung von Kommunikationsspuren wie IP-Adressen ermöglicht nach Ansicht des Gerichts, das Surf- und Suchverhalten von Internetnutzern detailliert nachzuvollziehen.”, so eine Meldung auf Heise. Dort steht weiter: “Als Entscheidungsgrundlage führten die Richter vor allem das Telemediengesetz (TMG) an. Laut der seit März geltenden Regelung dürfen Betreiber von Internetdiensten keine personenbezogenen Daten auf Vorrat speichern. Dazu gehört insbesondere die Aufzeichnung des Nutzungsverhaltens mitsamt IP-Adresse oder Login-Namen. Herangezogen werden dürfen die Daten allein für temporäre Abwicklungszwecke wie eine Abrechnung”.

David Maciejewski befragt zum Thema Webdesigner und Rechtsanwalt Thomas Schwenke zum Thema. Thomas war bisher schon zwei Mal mit einem Fachbeitrag in Technikwürze: Technikwürze 78 – Audiomitschnitt vom Webmontag und Technikwürze 92 – Creative Commons. Er ist selbständiger Webdesigner und Rechtsanwalt und betreibt zusammen mit Katja Karp Advisign.

Die Stichwörter zur Sendung

  • WordPress-Kommentare werden mit IP-Adressen dauerhaft gespeichert. Über die Nutzungsdauer hinaus. Was kann man tun?
  • CMS speichern Username, IP und Browser.
  • Was genau ist nun verboten?
  • Was bedeutet das Urteil? Für wen gilt das?
  • Muss das Impressum nun geändert werden?
  • Müssen überall alle IPs entfernt werden?
  • Darf ich GoogleAnalytics nicht mehr einsetzen?
  • Server-Log auch ausschalten?

Die Links zur Sendung

Tags: , , ,

Dieser Beitrag wurde am Sonntag, 7. Oktober 2007 um 00:00 Uhr in der Kategorie Podcast veröffentlicht.
Kommentare sind im Moment nicht erlaubt, du kannst aber einen Trackback von deiner Seite aus senden.

Kommentare

  • 1.
    Zen
    am 7. Oktober 2007, 01:34 Uhr

    Etwas zu früh David ;-)

  • 2.
    Abro
    am 7. Oktober 2007, 02:09 Uhr

    aber mal wieder eine wichtige und interessante sendung

  • 3.
    Juicy
    am 7. Oktober 2007, 04:21 Uhr

    Stimmt. Auch wenn Du wegen Sevenload nicht mehr allzu viel Zeit hast: Lieber ‘ne ¾ Technikwürze als gar keine!

  • 4.
    Thomas/Advisign
    am 7. Oktober 2007, 04:59 Uhr

    Huch, ist heut schon Montag? ;)

    Habe noch etwas nachzureichen:

    Was das Ausland angeht, so dürfen die Daten nur weiter gegeben werden, wenn das ausländische Unternehmen a. in einem Land sitzt, das den EU-Datenschutzbestimmungen genügt oder b. freiwillig dieses Datenschutzniveau zusichert.

    Beispiel Google:

    a. USA genügen den EU-Datenschutzbestimmungen nicht (s.zB: daten-speicherung.de).

    b. aber Google gehört zu den Firmen die die „safe harbor“-Bestimmungen des US-Handelsministeriums erfüllen. Und diese sind geschaffen worden, um dem EU-Datenschutzrecht zu genügen.

    Also darf man Google-Analytics einbauen, wenn man den User darauf hinweist… und das im Podcast besprochene Urteil nicht beachtet ;). Denn Google speichert die UserIP (die man laut Urteil als personenbezogenes Datum nicht speichern darf) zu statistischen Zwecken.

    Die Zusammenfassung ist online”

    Hoffe die zulässige Kommentarlänge nicht überschritten zu haben ;o)

  • 5.
    macx
    am 7. Oktober 2007, 13:43 Uhr

    Ja, ich habe mich im Veröffentlichungsdatum geirrt. Aber gut für euch! ;-)

  • 6.
    Simon
    am 7. Oktober 2007, 14:49 Uhr

    Den Zusammenhang zum Usernamen hab ich jetzt noch nicht ganz verstanden. Wenn ein User in meinem Blog einen Kommentar schreibt und einen Namen eingibt, dann sollte der doch natürlich angezeigt werden dürfen? Ebenso, wenn man sich irgendwo mit einem Usernamen registriert. In jedem Forum werden Benutzernamen gespeichert und angezeigt, anders wäre es ja gar nicht möglich – und das ist kein temporärer Abwicklungszweck.
    Es ist aber auch keine Aufzeichnung von Nutzungsverhalten (außer, dass jeder durch die Posts sehen kann, wie man sich in einem Forum verhält ;-) ) und keine statistische Auswertung. Geht es im Prinzip nur darum?

  • 7.
    Thomas/Advisign
    am 7. Oktober 2007, 15:32 Uhr

    @Simon
    Selbstverständlich, das sind die Bereiche wo die Ausnahme “Personenbezogene Daten sind für den Betrieb des Webdienstes notwendig” gilt. Hier darf man den Usernamen anzeigen.

    Aber man darf z.B. (ohne den User vorher um Einwilligung zu fragen) nicht protokollieren wie oft ein bestimmter User eine Werbung im Forum eklickt hat. Und man darf lt. des Urteils auch nicht die IP-Adresse bei der Registrierung oder den Beiträgen speichern.

    Die Ausnahmen zusammen gefasst:
    1. Abrechnungszwecke
    2. Notwendigkeit für die Inanspruchnahme des Webdienstes (bei einer IP eher nie)
    3. Ausdrückliche und protokollierete Einwilligung des Users (Checkbox + Aufklärung was und wofür gespeichert wird + Widerrufsbelehrung)

    M.E. fehlen da noch (zumindest temporäre) Ausnahmen, wie z.B.
    1. Maßnahmen zum Schutz der Daten
    2. User-Generated-Content bis zu dessen Überprüfung

  • 8.
    Michael
    am 7. Oktober 2007, 20:07 Uhr

    Hi,
    kann es mir als Webmaster nicht egal sein, ob Google-Analytics bei mir auf der Seite die IPs mitloggt? Denn da speichert ja “google” und nicht ich…

  • 9.
    Thomas/Advisign
    am 8. Oktober 2007, 02:10 Uhr

    @Michael:
    Leider nicht, denn vielmehr lässt Du Google speichern.
    s. hier Kommentar Nr: 12
    http://www.advisign.de/datenschutz/2007-10/die-vorratsdatenspeicherung-fuer-den-hausgebrauch-oder-darf-man-ip-adressen-der-websitebesucher-speichern

  • 10.
    Thomas Schaaf
    am 8. Oktober 2007, 05:57 Uhr

    ich dachte ich wäre der Erste.. Jetzt höre ich das auf den Weg zur Ideen-Expo, mal hoffen, dass die Züge funktionieren.

    Thomas

  • 11.
    Mona
    am 8. Oktober 2007, 12:48 Uhr

    Vielen Dank für die Aufklärung.
    Würdet ihr denn geschäftlichen Websites tendenziell eher empfehlen kein Google Analytics zu benutzen?
    Und was ist mit Diensten wie eTracker? Da muss man ja auch für bezahlen, dass alles getrackt wird- werden solche Dienste jetzt rechtlich bedenklich? Muss sich bei so einem Angebot nicht der Dienstebetreiber um die IP Speicherung kümmern?
    Fragen über Fragen.

    Mona

  • 12.
    Thomas/Advisign
    am 9. Oktober 2007, 15:10 Uhr

    @Mona:
    Ja, Dein Anbieter muss sich kümmern.
    Derzeit ist es noch hoch umstritten. Aber spätestens wenn sich eine ständige Rechtsprechung abzeichnet (d.h. weitere Urteile dieser Art folgen) wird das Logen von IPs ein rechtlicher Mangel des Trackingdienstes sein. Und das berechtigt zur Mhnung+Kündigung. Bzw. die Anbieter werden m.E. selbst ihre Software anpassen, weil das ein Wettbewerbsargument sein wird.

  • 13.
    Lutz Horn
    am 10. Oktober 2007, 09:10 Uhr

    Ich wundere mich über euren lockeren Umgang mit Google Analytics. Insbesondere kann ich nicht verstehen, warum David der Meinung ist, beim Einsatz von Google Analytics würden keine Daten weitergegeben. Selbstverständlich geschieht dies und zwar nicht zu knapp! Wie wäre Google Analytics wohl sonst in der Lage, all seine Analysen anzubieten?

    Ich halte die Verwendung von Google Analytics für noch wesentlich schlimmer als z. B. die IP-Adresse selbst in Logdateien zu speichern. In diesem Fall weiß nur der Betreiber, was der Benutzer auf einer Website gemacht hat. Beim Einsatz von Google Analytics jedoch wird die gesamte Interaktion des Benutzers mit der Website Google zum Fraß vorgeworfen.

  • 14.
    macx
    am 10. Oktober 2007, 10:26 Uhr

    Ich weiß, was Google an Daten weitergibt, ich bin also nicht der Meinung gewesen, dass dem nicht so ist. Mehr dazu im Impressum.
    Wie Google mit den Daten im Speziellen umgeht, wird noch zu beobachten sein, derzeit gibt es für die Statistik aber kein besseres Tool, was dazu noch kostenlos ist. Bis sich das ändert, bleibt Analytics.

  • 15.
    Markus
    am 10. Oktober 2007, 20:41 Uhr

    In meinem Blog habe ich nun Nägel mit Köpfen gemacht und speichere keine IP-Adressen mehr. Entweder konnte ich in den Optionen der Statistik das Speichern der IP-Adressen deaktivieren (Semmelstatz, WebReflow), oder ich lasse alle User dafür sorgen, dass die IPs gelöscht werden: Im Header habe ich ein PHP-Script integriert, welches bei jedem Aufruf die gespeicherten IP-Adressen durch “n/a” ersetzt.

    Einzig bei den Kommentaren bleiben die IPs gespeichert, solange diese auf Moderation warten oder als Spam klassifiziert sind. Genehmige ich einen Kommentar, wird auch hier die zugehörige IP gelöscht. Ich denke, damit bin ich auf der sicheren Seite.

    In meinem Forum bin ich mir nicht sicher, ob ich die IP-Adressen löschen soll. Bei der Registrierung wird zwar die Mail-Adresse verifiziert, so dass man darüber Autoren rechtswidriger Inhalte erreichen könnte. Aber: 1. könnten das so genannte Wegwerf-Adressen gewesen sein, um die Registrierung zu erhalten, oder 2. Die Mail-Adresse wird aus anderen Gründen nicht mehr genutzt. Und bei einer Freemail-Adresse kann man den Nutzer oft nur schwer ermitteln.

    Wenn ich also im Forum personenbezogene Daten speichern darf, ist das auch richtig so. Aber meiner bescheidenen Meinung nach müsste ich IP-Adressen zu den Postings zumindest für einen begrenzten Zeitraum speichern dürfen.

  • 16.
    Tom
    am 12. Oktober 2007, 11:02 Uhr

    Eigentlich ein wenig paradox. Die Provider werden gegen ihren Willen verdonnert, Terabyte an Logdaten über Monate zu speichern, um gegen Kriminalität vorzugehen und die Website-Betreiber werden gegen ihren Willen gezwungen, die Daten eben nicht zu speichern. Eigentlich ist das ein ohne das andere doch nutzlos, oder?

    Wie ist es eigentlich mit den P2P-Abmahnern. Wenn die die IPs speichern, um die User anzuzeigen, ist das doch auch Vorratsspeicherung, oder? :-)

  • 17.
    Thomas/Advisign
    am 13. Oktober 2007, 23:46 Uhr

    @Tom:
    Gerade weil es versucht wird den Providern umfangreiche Speicherungspflichten aufzuerlegen, muss der Datenschutz mehr beachtet werden. Wenn man schon weiß wann ich ins Netz gehe, sollte ich dort möglichst wenig Spuren hinterlassen. Paradox ist es trotzdem. Bisschen wie von einem Sandhaufen auf den anderen zu schippen ;o)

  • 18.
    Heinz
    am 16. Oktober 2007, 07:01 Uhr

    Ich, ähm, habe gehört, dass die Bundesregierung gerne Dinge EU-weit durchsetzt und dann „leider“ auch selbst von diesen EU-Vorgaben betroffen ist.

  • 19.
    Michael
    am 16. Oktober 2007, 19:45 Uhr

    Hmm, schon ein bisschen spät, aber ich frag einfach trotzdem. Und zwar schreibe ich ein eigenes CMS und möchte darin auch eigens erstellte Statistiken integrieren. Nun stellt sich die Frage, ob ich die einzelnen Besucher bei der Statistikermittlung mittels der IP auseinanderhalten darf. Hier in den Kommentaren wurde ja immer wieder darauf hingewiesen, dass eine IP-Speicherung eigentlich nicht notwendig ist. In meinem Fall wäre Sie zwar für den Betrieb der Seite an sich nicht nötig, auf der anderen Seite für die Statistiken doch (gut, eine andere Möglichkeit wäre mittels Sessions die Besucher zu identifizieren). Da die Statistiken ja nach einiger Zeit auch ausgewertet werden, wäre es dann möglich, die IPs wieder zu löschen (automatisch). Bedeutet: die IPs wären rein zu statistischen Zwecken genutzt und würden auch nie irgendwo angezeigt oder archiviert werden, sondern dienen lediglich dazu, gerade aktuelle Besucher zu identifizieren.

    Meine Frage ist nun, ob das zulässig ist bzw. wie die Sache in Zukunft aussieht, d.h. lässt sich etwas darüber sagen, ob es evtl. bald nicht mehr erlaubt ist, wenn es momentan noch erlaubt ist?

    Danke schonmal,
    Michael

  • 20.
    Tetrapus
    am 10. November 2007, 18:25 Uhr

    Ein sehr interessanter Podcast. Mir ist jetzt nur folgendes nicht klar:

    Kann ich die IP speichern, wenn man dem über anhaken der AGB akzeptiert, wenn in diesen darüber informiert wird?

  • 21.
    max
    am 18. November 2007, 06:01 Uhr

    heißt das jetzt, dass der gesetzestext zur vorratsdatenspeicherung zu 2008 garnicht umgesetzt werden darf oder wie? das wäre ja dann neben den GG-artikeln zum Fernmeldegeheimnis, dem Recht auf informationelle Selbstbestimmung, der Meinungsfreiheit, der Informationsfreiheit und der Rundfunkfreiheit ein weiterer punkt, der diesem kack widersprechen würde. oder versteh ich das falsch?

  • 22.
    Stev
    am 3. März 2008, 11:05 Uhr

    Danke für den Tipp mit wirspeichernnicht.de !

    Es gibt übrigens eine Alternative zu Google Analytics: www.phpmyvisites.us
    Bei diesem Tracking-Tool werden keine IP-Adressen gespeichert.
    Und ganz nebenbei bietet man dem Monopol Google mit dieser Open-Source-Lösung paroli.

Dein eigener Kommentar

Die Kommentarfunktion für diesen Beitrag wurde deaktiviert.