Erste Hilfe in Rechtsfragen seit 2000.
472.814
Registrierte
Nutzer

Logdatein (Server) tlw. illegal ?

8.1.2014 Thema abonnieren
 Von 
Koenig Arthur
Status:
Praktikant
(618 Beiträge, 193x hilfreich)
Logdatein (Server) tlw. illegal ?

Hallo, ich wundere mich gerade ungemein ueber folgenden hier auf den Seiten eroerterten Fall:
==> http://www.frag-einen-anwalt.de/forum_topic.asp?topic_id=251304&;rechtcheck=2

Darin behauptet der Anwalt quasi, dass die Speicherung von IP-Nummern im Log des Servers illegal sein koennte ... .

Ich zitiere mal:

=========
Nachfrage vom Fragesteller 07.01.2014 / 06:03

Vielen Dank!

Jede Aktion wird in einen Log gespeichert, so dass alle IP-Adressen von mir bekannt sind (auch eine statische). Ich entnehme ihrer Antwort, dass eine solche Protokolierung meiner Zustimmung bedarf?

Die NutzerID ist eine lange alphanumerische Sequenz die in einem Tracking-Cookie (ohne löschdatum) gespeichert ist (auch davon ist nirgends die Rede).

Da ich auf diesen Cookie nicht hingewiesen wurde sollte ich dies auch in die Beschwerde mit aufnehmen?

Wünsche Ihnen noch einen schönen Tag!
=========
Antwort auf die Nachfrage vom Anwalt 07.01.2014 / 16:31

Sehr geehrter Ratsuchender,

eine derart langfristige und umfassende Log-Speicherung benötigt auf jeden Fall Ihre ausdrückliche Zustimmung.

Solche Cookies sind ebenfalls rechtswidrig, wenn Sie länger als eine Sitzung genutzt werden.

Sie sollten beides in Ihre Beschwerde aufnehmen.

Mit freundlichen Grüßen,

Robert Weber
Rechtsanwalt
=========

Jeder normale Webserver speichert aber _immer_ solche Daten ... ; sie werden analysiert und zu Statistiken verarbeitet ; falls mal was sein sollte kann man in den "logs" auch nachschauen ...

Allerdings sind die Daten nicht personenbezogen ; der Personenbezug kommt in der Regel erst durch solche Firmen wie die Telekom zu Stande: Diese Firmen kennen zur IP-Nummer auch die Realwelt-Daten der Nutzer.

Hat sich nun der Anwalt geirrt ?

In Ausnahmefaellen laesst sich der Personenbezug allerdings auch ohne Telekom herstellen: Bei statischen IP-Nummern ...
==> Unterliegt die Speicherung in den Logs dann anderen Voraussetzungen ?


Ich wuerde erstmal drauf wetten, dass der Anwalt sich geirrt hat ... ; bin aber gespannt auf die Meinungen ... .


-- Editiert Koenig Arthur am 08.01.2014 09:28

Verstoß melden



9 Antworten
Sortierung:
#1
 Von 
TheCat
Status:
Lehrling
(1032 Beiträge, 692x hilfreich)

quote:
Jeder normale Webserver speichert aber _immer_ solche Daten

Nein, das kann man auch abschalten.

quote:
Allerdings sind die Daten nicht personenbezogen

BDSG spricht von einer "bestimmbaren" Person - auch wenn das "bestimmbar" erst durch weitere Aktionen (Mithilfe des Providers) möglich ist, ist das davon eingeschlossen.

quote:
sie werden analysiert und zu Statistiken verarbeitet

Das erlaubt das BDSG auch - nur die *dauerhafte* Speicherung ist problematisch, und genau das hat der RA doch auch geschrieben.



-----------------
""

1x Hilfreiche Antwort Verstoß melden

#2
 Von 
mepeisen
Status:
Weiser
(16900 Beiträge, 11574x hilfreich)

Die Frage, ob die IP-Adresse als solche in den Dunstkreis der personenbezogenen Daten gemäß BDSG gehört, ist nach wie vor umstritten. So ehrlich muss man sein. Das bezieht sich aber auf IPv4.

Die Vorratsdatenspeicherung bzw. die Diskussion darüber und auch die abschließende Ablehnung des Ganzen basierte auf der Verknüpfung von IP-Adressen zu Personendaten. Damit entzündet sich das alles an den Providern und deren Datenspeicherung.

Letztendlich lässt für den Moment die IP-Adresse nach Ablauf von wenigen Tagen gerade keinen Rückschluss mehr auf die Person zu. Sowohl wegen der ständigen Neuvergabe (deswegen sprach ich bewusst von IPv4) als auch wegen der nicht vorhandenen Vorratsdatenspeicherung. Insofern kann ich auch die Argumentation des Anwalts nicht nachvollziehen. Er widerspricht sich selbst. Er spricht die Unzulässigkeit der Speicherung an, das würde sich aus dem BDSG ergeben, spricht aber in gleichem Atemzug davon, dass die IP-Adresse als solche sowieso keine eindeutige Identifizierung einer Person zulasse (was ja auch bei dynamischen stimmt). Damit ist aber das BDSG nicht zuständig, denn: Das BDSG kümmert sich nur um Einzeldaten zu einer bestimmten und bestimmbaren Person. Die Person ist nach einigen Wochen nicht mehr bestimmbar. Punkt.

Man tut als Seitenbetreiber aber gut dran, eine Datenschutzerklärung in die Webseite und die AGB einzubinden. Bei der Registrierung dann auch auf die Datenschutzerklärung hinzuweisen und sie bestätigen zu lassen. In der Datenschutzerklärung sollte dann sowohl die Art der Cookies als auch die dauerhafte Speicherung der IP-Adressen hingewiesen werden. Dann ist das alles auf jeden Fall zulässig.

Dass die IP-Adresse beim Login gespeichert wird, hat durchaus Sicherheitsgründe. Stichwort: Session-Hijacking. Insofern ist auch die Argumentation des Anwalts falsch, die Gefahrenabwehr würde als Grund nicht ziehen. Richtig ist meiner Ansicht nach aber die Einschätzung des Anwalts, dass der Betreiber eine Datenschutzerklärung dringend brauchen würde...

-----------------
"Meine Beiträge stellen keine Rechtsberatung dar. Sicherheit gibts nur beim Anwalt."

-- Editiert mepeisen am 08.01.2014 11:32

-- Editiert mepeisen am 08.01.2014 11:32

1x Hilfreiche Antwort Verstoß melden

#3
 Von 
TheCat
Status:
Lehrling
(1032 Beiträge, 692x hilfreich)

quote:
Letztendlich lässt für den Moment die IP-Adresse nach Ablauf von wenigen Tagen gerade keinen Rückschluss mehr auf die Person zu.

Dann müßte man umgekehrt sagen, daß die Speicherung in den ersten Tagen unzulässig ist, wo die Zuordnung noch möglich ist - das Ergebnis wird dem Betreiber sicher noch weniger gefallen, weil es effektiv bedeutet, man darf gar nicht speichern. ;)

quote:
Das BDSG kümmert sich nur um Einzeldaten zu einer bestimmten und bestimmbaren Person. Die Person ist nach einigen Wochen nicht mehr bestimmbar.

Du sagst also, Daten über eine bestimmbare Person dürfen gespeichert werden, solange sie nur irgendwann in der Zukunft mal unbestimmbar werden wird? Nicht wirklich, oder?

quote:
Dass die IP-Adresse beim Login gespeichert wird, hat durchaus Sicherheitsgründe. Stichwort: Session-Hijacking.

Dazu kann man die Adresse auch unumkehrbar hashen:
$hash = sha_256('ICHBINGEHEIM' . $ip)
und muß sie nicht im Klartext speichern.

-- Editiert TheCat am 08.01.2014 15:39

1x Hilfreiche Antwort Verstoß melden

#4
 Von 
mepeisen
Status:
Weiser
(16900 Beiträge, 11574x hilfreich)

quote:
Dann müßte man umgekehrt sagen, daß die Speicherung in den ersten Tagen unzulässig ist, wo die Zuordnung noch möglich ist

Ohne Datenschutzerklärung (123recht.net Tipp: Datenschutzerklärung ) würde ich dir Recht geben, es folgt nur ein aber (siehe unten).... ;-)
Henne und Ei. Deswegen habe ich auch argumentiert, dass die Datenschutzerklärung notwendig ist ;-)

quote:
Du sagst also, Daten über eine bestimmbare Person dürfen gespeichert werden, solange sie nur irgendwann in der Zukunft mal unbestimmbar werden wird? Nicht wirklich, oder?

Ich denke, ich muss meine Argumentation noch etwas anders erläutern. Ich sage, dass eine IP-Adresse aus meiner Sicht aktuell derart hinreichend von den personenbezogenen Daten getrennt ist, dass die Person in jedem Fall nicht hinreichend bestimmbar ist.
Um die Person zu bestimmen, bedarf es nach jetzigem Stand einen Richter, dem man per Antrag mit hinreichender Glaubhaftmachung einen Rechtsverstoß unterbreitet, so dass er per Beschluss den jeweiligen Provider auffordert.... Wir kennen das Spiel von Urmelchen und seinen schweizerischen Archivaren.
Wenn man nicht gerade Prozessbetrug begeht und Gerichte in die Irre führt, wie Urmelchens Freunde aus Berlin und der Schweiz, ist die Hürde ausreichend groß.

Das ist im Wesentlichen die Diskussion, an der sich das entzündet, und die immer wieder als Argument zu hören war, warum eine kurzzeitige Speicherung der Verbindung zwischen Person/ IP-Adresse zulässig sei. Ich stelle für mich als Laie fest, dass die Speicherung der IP-Adresse bei einem Login bzw. in Rahmen von Logs, die man per Webalizer Und Co. dann auswertet, zulässig ist. Da ich keine Lust auf Abmahnungen habe, würde ich das in Rahmen von Datenschutzbestimmungen zusammen mit den Cookies in die Webseite und die Registrierung einbinden.

Meine Meinung ist keine eines Rechtsanwalts. Wenn man sich aber mal in das weite Rund begibt und die Datenschutzerklärungen der deutschen Internetwelt durchliest, bekommt man sicherlich ein sehr eindeutiges Bild, wie zumindest ein Großteil der Rechtsanwälte denken.

Das verhindert natürlich nicht, dass Einzelkämpfer nicht doch mal versuchen, ihre andere Meinung durchsetzen zu wollen. Bestes Beispiel ist ja Urmelchen, mit seiner krankhaften Idee, das per gekaufter Werbung provozierte Klicken auf ein Video sei per se ein Urheberrechtsverstoß und eine Straftat des Klickers.

-----------------
"Meine Beiträge stellen keine Rechtsberatung dar. Sicherheit gibts nur beim Anwalt."

-- Editiert mepeisen am 08.01.2014 22:38

1x Hilfreiche Antwort Verstoß melden

#5
 Von 
TheCat
Status:
Lehrling
(1032 Beiträge, 692x hilfreich)

quote:
derart hinreichend von den personenbezogenen Daten getrennt ist, dass die Person in jedem Fall nicht hinreichend bestimmbar ist.
Um die Person zu bestimmen, bedarf es nach jetzigem Stand einen Richter, dem man per Antrag mit hinreichender Glaubhaftmachung einen Rechtsverstoß unterbreitet [...]

Das ist irrelevant; das BDSG sagt "bestimmbar" - nicht "leicht bestimmbar" oder "unbegrenzt bestimmbar" oder "ohne gerichtlichen Beschluß bestimmbar" oder "hinreichend bestimmbar". Daran ist nix zu deuteln, solange es *irgendwie* realistisch (also ohne Hellseherei und Allwissenheit) bestimmbar ist, fällt es darunter.



-----------------
""

1x Hilfreiche Antwort Verstoß melden

#6
 Von 
mepeisen
Status:
Weiser
(16900 Beiträge, 11574x hilfreich)

Nochmal: Es gibt diese Diskussion. Ich habe meine Meinung und die wird von Rechtsanwälten genauso vertreten, wie es deine Meinung gibt und die von Rechtsanwälten hinreichend vertreten wird. Ich kann deine Argumentation nachvollziehen, wie man gewiss auch meine nachvollziehen kann. Wir werden es nicht lösen, dazu bräuchte es den BGH oder vielleicht sogar eher das Bundesverfasungsgericht.

Wir können nur den Status Quo betrachten und der ist aus meiner Sicht zumindest in der täglichen Praxis eindeutig und bei meiner Argumentation. Ob man dagegen vorgehen kann? IMHO hat es bisher nie jemand probiert.


Davon abgesehen wird sich diese Auffassung in den nächsten Monaten praxisbedingt überholen. IPv4 sind seit Ende 2011 oder so aufgebraucht. Die Umstellung auf IPv6 hat begonnen. Damit einher geht, dass wohl jeder zumindest für die Zeitdauer seines Internet-Vertrages eine statische IPv6 bekommen wird. Ich denke, dass das in den nächsten eins zwei Jahren im Privatbereich passieren wird. Allerdings hört man hier auch wieder von Möglichkeiten, dynamische IP-Adressvergabe zu erzwingen (Stichwort Privacy Extensions oder so ähnlich).

Also nochmal zusammenfassend meine Meinung: Datenschutzklausel ist zielführend und notwendig. Es gibt entgegen der Auffassung des Anwalts gute Gründe für die Speicherung der IP-Adresse (Sicherheit). Entgegen der Auffassung des Anwalts ist eine langdauernde Speicherung der IP gerade nicht kritisch, weil der Wert bzw. die Bestimmbarkeit der Person an enge zeitliche Grenzen genüpft ist. Die Streitfrage ist, ob die grundsätzliche Möglichkeit, IP-Adressen zu Personennamen die ein oder andere Woche lang aufzulösen, trotz der Hürden, kritisch zu bewerten ist. Zusammen mit einer Datenschutzerklärung, die bei Registrierung akzeptiert wird, ist es das definitiv nicht mehr.

-----------------
"Meine Beiträge stellen keine Rechtsberatung dar. Sicherheit gibts nur beim Anwalt."

1x Hilfreiche Antwort Verstoß melden

#7
 Von 
TheCat
Status:
Lehrling
(1032 Beiträge, 692x hilfreich)

quote:
dass wohl jeder zumindest für die Zeitdauer seines Internet-Vertrages eine statische IPv6 bekommen wird

Ich hoffe nicht. Das würde es Adserver-Netzwerken erst recht ermöglichen, einen Nutzer überall wiederzuerkennen.

Provider werden das schon deswegen nicht tun wollen, weil man dann noch bequemer von zuhause aus einen Webserver betreiben könnte (genau um das zu verhindern hat die Teledumm doch z.B. die Zwangstrennung nach 24 Std., damit man bei Neueinwahl eine neue IP bekommt).

quote:
Es gibt entgegen der Auffassung des Anwalts gute Gründe für die Speicherung der IP-Adresse (Sicherheit).

Gut, lassen wir die Frage der Personenbezogenheit mal ruhen, aber zumindest das ist falsch, wie ich an meinem Hashing-Beispiel gezeigt habe. Die ungehashte IP muß dafür nicht gespeichert werden, s.o.

quote:
Entgegen der Auffassung des Anwalts ist eine langdauernde Speicherung der IP gerade nicht kritisch, weil der Wert bzw. die Bestimmbarkeit der Person an enge zeitliche Grenzen genüpft ist.

Auch da muß ich widersprechen. In 3 Monaten ist die IP zwar nicht mehr der Person zugeordnet, die sie bei Besuch der Seite hatte, dafür aber einer anderen. Damit verschiebt sich das Problem nur (d.h. wenn die IP personenbezogen ist, dann ist sie das auch in 3 Monaten, nur halt bzgl. einer anderen Person).

-- Editiert TheCat am 09.01.2014 16:10

1x Hilfreiche Antwort Verstoß melden

#8
 Von 
mepeisen
Status:
Weiser
(16900 Beiträge, 11574x hilfreich)

quote:
Auch da muß ich widersprechen. In 3 Monaten ist die IP zwar nicht mehr der Person zugeordnet, die sie bei Besuch der Seite hatte, dafür aber einer anderen. Damit verschiebt sich das Problem nur (d.h. wenn die IP personenbezogen ist, dann ist sie das auch in 3 Monaten, nur halt bzgl. einer anderen Person).

Tatsächlich geht es hier denke ich um die Kombination "IP-Adresse/Zeitstempel", denn nur die Kombination ist irgendwie sinnvoll und nur die Kombination ist auch einer Person zuzuordnen. Ohne Zeitstempel ist die IP per se wertlos im Sinne von personenbezogenen Daten :-)

-----------------
"Meine Beiträge stellen keine Rechtsberatung dar. Sicherheit gibts nur beim Anwalt."

1x Hilfreiche Antwort Verstoß melden

#9
 Von 
TheCat
Status:
Lehrling
(1032 Beiträge, 692x hilfreich)

Auch wieder ein Argument, da gebe ich dir recht. :)

-----------------
""

1x Hilfreiche Antwort Verstoß melden

Jetzt Anwalt dazuholen.

Für 20€ beurteilt einer unserer Partneranwälte diese Sache.

Jannis Geike Denise Gutzeit Nicolas Reiser Felix Hoffmeyer Richard Claas
Ja, jetzt Anwalt dazuholen