AG München: IP-Adressen in Log Files sind keine personenbezogenen Daten
von , veröffentlicht am 09.10.2008Das AG München mit Urteil vom 30.09.2008 (Az. 133 C 5677/08, nicht rechtskräftig) festgestellt, dass bei IP-Adressen, die in den Log-Files eines Servers gespeichert werden, keine personenbezogene Daten handelt, sodass die Speicherung in den Log-Files zulässig ist. Die auf Unterlassung der weiteren Speicherung gerichtete Klage wurde deshalb abgewiesen. Geklagt hatte der Besucher einer Web-Seite gegen den Betreiber eines Internetportals. Beim Aufruf wurden die IP-Adressen der Nutzer in den Log-Dateien des Webservers gespeichert.
Der Kläger verlangte Unterlassung, da es sich bei den IP-Adressen um personenbezogene Daten handele, deren Speicherung ohne Einwilligung des Betroffenen rechtswidrig sei. Diese Auffassung lehne das AG München ab: "Nach diesseitiger Auffassung stellen die IP-Adressen deswegen keine personenbezogenen Daten dar, weil ihnen die notwendige Bestimmbarkeit fehlt. Bestimmbarkeit ist dann gegeben, wenn die datenspeichernde Stelle die hinter der Einzelangabe stehende Person mit den ihr normalerweise zur Verfügung stehenden Kenntnissen und Hilfsmitteln und ohne unverhältnismäßigen Aufwand bestimmen kann."
Anderer Ansicht sind anscheinend das LG und AG Berlin (AZ: 5 C 314/06
verkündet am: 27.03.2007), die in einem vergleichbaren Streit vor einiger Zeit das Gegenteil entschieden hatten: Beklagter war das Bundesjustizministerium (BMJ). Das BMJ hatte die Daten von Besuchern der Seite „www.bmj.bund.de" für 14 Tage gespeichert. Der Kläger sah sich dadurch in seinen Rechten verletzt und verlangte vom BMJ Unterlassung der Speicherungen.
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
9 Kommentare
Kommentare als Feed abonnierenVolltext und weitere Kommentare zu dem Urteil unter:
* http://www.kremer-legal.com/2008/10/07/ag-munchen-ip-adressen-durfen-von...
* http://www.datenschutzbeauftragter-online.de/ag-munchen-sieht-ip-als-nic...
* http://www.retosphere.de/offenenetze/2008/10/08/ag-munchen-ip-adresse-ni...
"Anderer Ansicht sind anscheinend das LG und AG Berlin"
Und der BGH (III ZR 40/06, Bestätigung der Entscheidung des LG Darmstadt), ebenso die Artikel 29 Gruppe und die LDSB sowie der Bundes-DSB. Dazu eine Fülle von Fundstelen in der Literatur, zu finden u.a. hier am Anfang:
http://www.retosphere.de/offenenetze/2008/10/08/ag-munchen-ip-adresse-ni...
Angesichts dieser Masse anderer Meinungen wäre es zumindest angemessen gewesen, wenn das AG sich die Zeit genommen hätte, um sich argumentativ damit auseinander zu setzen.
@ Jens Ferner:
Korrigieren Sie mich, falls ich falsch liege - aber soweit ich mich erinnere hat der BGH in der Darmstädter Sache damals lediglich eine Kostenentscheidung bzw. eine rein revisionsrechtliche Entscheidung getroffen und sich nicht inhaltlich mit der Sache befasst. Dann könnte man den BGH aber nicht als "Vertreter" dieser Ansicht zitieren, oder?
Aus Sicherheitsgründen ist es wichtig, die IP-Adressen der Nutzer speichern zu können. Nur so können fehl laufende Robots oder Denial of Service Attacken lokalisiert werden. Ggf. können dann bestimmte IP-Adressen oder Adressbereiche gesperrt werden. Auch wenn der eigene Server gehackt worden sein sollte und dann von diesem Server weitere Attacken auf Dritte durchgeführt würden, wären die IP-Adressen wichtige Daten um den Hacker zu identifizieren oder zumindest sich selbst für den Angriff der von den eigenen Systemen ausging zumindest teilweise zu exculpieren. Daher sehen auch die Sicherheitsempfehlungen vom BSI eine umfassende Protokollierung vor. Daher bedeuteten die Urteile von AG und LG Berlin eine Zwickmühle für alle Anbieter im Internet: Lieber die eigenen Sorgfaltspflichten vernachlässigen oder gegen den Datenschutz verstoßen? Ein Lösungsansatz ist hierbei von den IP-Adressen die letzten 8 Bit zu maskieren. Hiermit wird die Identifizierung des einzelnen Nutzers zusammen mit den Providerdaten zwar nicht unmöglich gemacht - aber deutlich erschwert. Gleichzeitig können Angriffe und problematische Robots noch ausreichend gut lokalisiert und ggf. blockiert werden.
Die Unsicherheit bleibt jedoch. So können über IP-Adressen ohne Providerinformationen sowieso keine Personen identifiziert werden. Umgekehrt können mit Hilfe der Providerinformationen in vielen Fällen auch bei maskierten IP-Adressen einzelne Personen identifiziert werden. Aus meiner Sicht sollte eine inhaltlich umfassende aber zeitlich und von der Nutzung her stark eingeschränkte Protokollierung gesetzlich zugelassen werden. Was spricht dagegen, die Speicherung der vollständigen IP-Adressen für einen Zeitraum von 7 Tagen zuzulassen, die Verwendung jedoch nur zur Lokalisierung und Behebung von technischen Sicherheitsproblemen zuzulassen. Nach 7 Tagen müssen die Daten gelöscht werden und eine Auswertung für andere Zwecke - insbesondere die Zusammenführung mit anderen personenbezogenen Daten zu verbieten. Eine Ausnahme von der Löschung darf nur für die Datensätze gelten, die im Zusammenhang mit konkreten Sicherheitsproblemen stehen.
@ Jörn Erbguth: Eine Ausweitung der Regelung aus § 100 TKG wie von Ihnen vorgeschlagen auch auf Website-Betreiber und andere im TMG, aber nicht im TKG erfasste Anbieter könnte durchaus eine äußerst praktible Lösung darstellen. Noch steht aber wohl die Mehrheit in Literatur und Rechtsprechung - trotz der beiden Urteile aus Berlin, von dem sich wiederum nur das untere inhaltlich geäußert hat - auf dem Standpunkt, dass der Personenbezug relativ zu betrachten ist. Weil Website-Betreiber keinen Zugriff auf die Daten des jeweiligen Providers zur Herstellung des Personenbezugs haben und letzterem eine entsprechende "Hilfe" zudem gesetzlich verboten ist, verstößt das Speichern von IP-Adressen im Rahmen einer Webpräsenz nach dieser Auffassung nicht gegen das Bundesdatenschutzgesetz. Die Gegenmeinung sammelt allerdings derzeit stetig Anhänger. Man darf gespannt sein, ob (!) und vor allem wie die Bundesregierung diese Frage bei der geplanten Novellierung des BDSG berücksichtigt.
Ich stimme Ihnen im Übrigen zu - bei aller Liebe zum Datenschutz und der Datensparsamkeit darf man es nicht dergestalt übertreiben, dass eine vernünftige Schutzpolitik bezüglich der eigenen Infrastruktur und der angebotenen Dienste nicht mehr möglich ist. Denn gerade letzteres dient schließlich auch dem Nutzer.
@Jörn Erbguth und Jan Spoenle: § 100 TKG gilt nur für TK-Dienste. Selbst wenn ihn der Gesetzgeber auf Telemedien für anwendbar erklärte, bliebe es dabei, dass er nur eine gezielte Protokollierung im Einzelfall erlaubt (LG Darmstadt, Urteil vom 07.12.2005, 25 S 118/2005).
Sie werden daher - trotz des ohne Auseinandersetzung ergangenen obiter dictums des AG München - akzeptieren müssen, dass die generelle Erfassung sämtlicher IP-Adressen gegen § 15 TMG verstößt und ordnungswidrig ist.
Um Ihre Frage umzukehren: Was spricht dagegen, ohne Totalspeicherung aller IP-Adressen zu arbeiten? Es geht auch ohne Ihre Sicherheitsmaßnahmen, wie eine Vielzahl von Portalen zeigt, die ohne IP-Adressen erfolgreich und störungsfrei operieren (z.B. bmj.bund.de, datenschutzzentrum.de, wirspeichernnicht.de).
@pab
mich würde interessieren, wie Sie zur Protokollierung der um die letzten 8 Bit maskierten IP-Adresse stehen. Ist dies aus Ihrer Sicht zulässig?
Natürlich lässt sich eine Protokollierung technisch jederzeit abschalten. Die Problematik besteht jedoch darin, dass dadurch das System unsicher wird. Wäre es aus Ihrer Sicht denn wenigstens zulässig im unmittelbaren zeitlichen Zusammenhang zu einem Angriff zu protokollieren? Falls auch dies nicht zulässig wäre, sähe ich zumindest darin einen Eingriff in Art 14 GG. Schließlich muss ein Website-Betreiber sein Angebot schützen dürfen, in dem er angreifende Requests gezielt protokolliert und ggf. zurückverfolgt. Ohne IP-Adressprotokollierung ist dies nicht möglich.
Als Analogie fällt mir folgendes ein: Angenommen Firewalls würden verboten um dem Bundestrojaner einen einfachen Zugriff auf die Systeme zu ermöglichen. Technisch möglich wäre dies. Der Betrieb ohne Firewall wäre jedoch unsicher und nach heutigen Maßstäben grob fahrlässig.
Beim Urteil des LG Darmstadt (25 S 118/2005) geht es nicht um die Protokollierung von IP-Adressen auf Seiten des Website Providers, sondern um die Protokollierung der Zuordnung IP-Adresse zu Kunde auf Seiten des Zugangsproviders - also genau den Daten, die benötigt werden um die nicht personenbezogenen IP-Adressen einer Person zuzuordnen.
Wenn man der Argumentation "IP-Adressen seien personenbezogene Daten, da sie mit Hilfe des Providers Personen zugeordnet werden können" folgen würde, würde dies bedeuten, dass es auch keine "pseudonyme Nutzung" mehr gibt. Jedes Pseudonym lässt sich mit Hilfe von IP-Adressen oder E-Mail Accounts einer natürlichen Person zuordnen. Auch wenn diese Auflösung schwierig und dem Anbieter der pseudonymen Nutzung nicht ohne weiteres möglich ist, so ist sie doch ähnlich wie bei den IP-Adressen durch den Abgleich mit anderen Daten generell machbar. Damit wären auch Pseudonyme personenbezogen. Als Konsequenz müssten alle Regeln, die Pseudonyme beim Datenschutz privilegieren (oder schlechter stellen - je nach Sichtweise), hinterfragt werden.
Umgekehrt würde ich IP-Adressen analog zu Pseudonymen sehen. Die Protokollierung der Requests zusammen mit den IP-Adressen aus Sicherheitsgründen würde ich daher direkt unter die in § 15 Abs. 3 TMG aufgeführten Zwecke subsumieren (Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien) oder zumindest als ein Minus gegenüber diesen Zwecken als mindestens erlaubt ansehen.
@Jörn Erbgut: "Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren." Nach der gesetzlichen Definition kann ein Pseudonym durchaus Personenbezug haben. Außerdem gibt es keine gesetzlichen Sonderregeln für pseudonymisierte Daten, nur den Hinweis auf die Pseudonymisierung im Zusammenhang mit Datensparsamkeit.
@Simone
Ich bezog mich auf § 15 Abs. 3 TMG. Dieses sieht eine Erlaubnis für das Anlegen von Nutzerprofilen für Pseudonyme vor. Hierin sehe ich eine Sonderregelung, die es erlaubt Daten zu Pseudnoymen zu sammeln. Mein Argument geht dabei in die Richtung, dass der Personenbezug von IP-Adressen nicht größer als der von Pseudonymen ist. Auch rechtfertigt die Sicherung des Betriebs der Website sicherlich einen mindestens genauso tiefen Eingriff in den Datenschutz wie die in § 15 Abs. 3 TMG aufgeführten Zwecke. Es wäre daher unverhältnismäßig etwas was zum Schutz des Betriebs der Website (Art 14 GG) erforderlich ist aus Gründen des Datenschutzes zu verbieten, welches in größerem Umfang für weniger schützenswerte Zwecke zulässig ist. Daher muss eine verfassungskonforme Auslegung des TMG eine begrenzte Protokollierung der IP-Adressen zu Sicherheitszwecken erlauben.