Datenschutz: Informationen zur Speicherung von IP-Adressen
Vorneweg
Stöbert man im Web, bekommt man eine Vielzahl interessanter Informationen zum Thema IP und Datenschutz. Fassen wir aber erst mal für Laien zusammen, um was es hier geh. Quelle ist hier einmal Wikipedia und dann datenschutzbeauftragter-info.de
Was ist eine IP, wozu dient diese?
IP-Adressen werden in Computernetzen wie dem Internet verwendet, um den Datenverkehr zu ordnen und den einzelnen Datenpaketen Ziel- und Absenderadresse mit auf den Weg zu geben. Vereinfacht gesagt, erhält der Betreiber mit der IP-Adresse als Absenderadresse alle notwendigen Informationen, um bei dem Aufruf einer Webseite alle für die Darstellung der Webseite erforderlichen Daten an den Nutzer übertragen zu können.
IP-Adressen werden von sogenannten Internet-Service-Providern (ISP) wie beispielsweise der Telekom an einen Anschlussinhaber vergeben. Je nach Geschäftsmodell und Anwendungsfall werden IP-Adressen dabei statisch oder dynamisch vergeben. Statische IP-Adressen bleiben bei jeder Verbindung mit dem Internet gleich und ändern sich in der Regel während der gesamten Nutzungsdauer/Vertragslaufzeit nicht. Dynamische IP-Adressen werden in kurzen Zeitabständen (z.B. täglich) oder bei jedem Einwahlversuch der entsprechenden Nutzerhardware neu vergeben.
Es ist strittig, darf man nun die IP speichern oder nicht?
Bei der Beurteilung eines möglichen Personenbezugs ist entscheidend, ob die dahinter stehende Person bestimmbar ist oder nicht (§3 Abs. 1 BDSG). Im Hinblick auf IP-Adressen werden zwei Meinungen vertreten, die bei dieser Frage zu unterschiedlichen Ergebnissen kommen.
Eine Theorie vertritt den „objektiven“ Begriff der Personenbeziehbarkeit. Hierbei reicht es aus, dass eine theoretische Möglichkeit besteht, einen Personenbezug herzustellen. Es ist dabei nicht unbedingt notwendig, dass z.B. der Webseitenbetreiber selbst diese Möglichkeit nutzen kann. Auch die Möglichkeiten eines Dritten (z.B. ISP) reichen aus, damit die Daten für den Webseitenbetreiber Personenbezug haben.
Die Theorie des „relativen“ Personenbezugs hingegen prüft die Personenbeziehbarkeit anhand der Verhältnisse der jeweiligen verarbeitenden Stelle, z.B. des Webseitenbetreibers. Kenntnisse und Fähigkeiten von Dritten sind hierbei nicht relevant, so dass reine IP-Adressen in diesem Fall für den Webseitenbetreiber keinen Personenbezug aufweisen.
Entscheidung des BGH zur Speicherung von IP-Adressen
Mit Urteil vom 16.05.2017 – Az. VI ZR 135/13 hob der BGH die Vorentscheidungen auf Verwies das Verfahren zurück an die Vorinstanz. Nachdem es sich – laut EuGH – bei der dynamischen IP-Adresse um ein personenbezogenes Datum handele, bedürfe es einer gesetzlichen Erlaubnis. Dabei seien die deutschen Regelungen unter Berücksichtigung der europäischen Regelungen auszulegen, so dass ein Webseitenbetreiber personenbezogene Daten eines Nutzers ohne dessen Einwilligung auch dann über das Ende eines Nutzungsvorgangs hinaus erheben und verwenden darf, wenn die Erhebung und Verwendung erforderlich sind, um die generelle Funktionsfähigkeit der Dienste zu gewährleisten. Hierbei müssten allerdings die betroffenen Grundrechte des Nutzers und die Interessen des Webseitenbetreibers gegeneinander abgewogen werden. Dabei seien Dinge, wie das Gefahrenpotential und der „Angriffsdruck“ für eine Webseite zu berücksichtigen. Da hierzu aber von den Vorinstanzen keine Feststellungen vorlägen, müsste dies nun vorab geklärt werden.
Fazit
Das Urteil des BGH dürfte eine Abwägung im Einzelfall erforderlich machen, deren Ausgang für die meisten Webseitenbetreiber nicht vorhersehbar ist. Denn was ist schon ein ausreichendes Gefahrenpotential oder ein „Angriffsdruck“? Letztlich ist jede Webseite ja solchen Gefahren ausgesetzt, gleichwohl wird man mit der Argumentation des BGH gerade nicht für jede Webseite eine solche Ausnahme beanspruchen können. Denn sonst wäre die Abwägung ja überflüssig. Webseitenbetreiber werden sich wohl darauf einstellen müssen, auch dynamische IP-Adressen nach Beendigung der Nutzung zu löschen oder anonymisieren, es sei denn, sie sind noch zu Abrechnungszwecken erforderlich.
Was machen wir nun daraus
Nun ganz ehrlich - wir machen es bei sicherheitsrelevanten Teilen der Webseite ohne Kürzung - dafür aber streng zeitlich limitiert. Alle anderen bisherigen IP-Mitschriebe mit einem Zeitdelta von mehr als 24 Stunden werden durch ein spezielles Programm um Miiternacht entweder entfernt oder es wird eine Kürzung der IP vorgenommen. Sehen wir uns das in den Details an, dann wird das sicher etwas klarer:
Abwehr von Hacker-Attacken, DoS Attacken
Im Vergleich zum ersten Beispiel (Protokollierung von Editor Aktivitäten) liegt hier die Situation anders. Hier handelt es sich um nicht angemeldete Nutzer, deren Aufrufe zur Sicherheit gespeichert werden.
Was wird nun eigentlich gespeichert - und warum?
-- Datum Uhrzeit des Zugriffs (unix Zeitstempel)
-- IP Adresse (ungekürzt)
Ziel des Abwehrs von Attacken ist nun, festzustellen ob von einer bestimmten IP über das normale verhalten eines 'echten' Nutzers auffällig viele Zugriffe innerhalb eines kleinen Zeitraums stattfinden. Was erwarten wir nun als 'kritischen' Wert?
Ein Nutzer klickt sich durch unsere Webseiten - mehr als 5 Klicks in der Sekunde schafft er sicher nicht - das ist unser kritischer Wert. Stellen wir also fest, dass die Aufrufe zum Anzeigen einer unserer Webseiten (egal welcher) diesen Wert überschreiten, reagieren wir mit einer Sonderseite: Anzeige verweigert, Hackerversuch.
Zur Information: Es gibt automatische Tools, die Webseiten Scannen und deren Sinn es ist, Schwachstellen zu entdecken, dazu ist es nötig, alle Seiten der Domäne zu analysieren. Diese Tools sind nur effizient, wenn Sie eine bestimmte Webseite so schnell wie möglich 'abarbeiten'. Genau darauf zielt diese Erkennung.
Die Speicherung der ungekürzten IP Adressen wird nur 24 Stunden vorgehalten, danach werden die IPs anonymisiert (gekürzt). Dateninformationen älter als 7 Tage werden automatisch gelöscht.
Ein spezieller Fall: Kontakt- und Nachrichtenformulare
Ein besonderer Fall ist einmal das Kontaktformular und die Nutzung von Nachrichtenfunktionen. Bei einer Nutzung diser Formulare als Gast wird ein Sicherheitscode verwendet (sog. Captcha) und dazu die IP Adresse kurzfristig festgehalten. Wird der Sicherheitscode richtig eingegeben, wird die Mitteilung versendet und die IP-Adresse zum Captcha gelöscht.
Wenn mehrfach kurz hintereinander versucht, ohne Eingabe des Sicherheitscodes oder bei falscher Eingabe das Formular abzuschicken, wird das Kontaktformular für den Zeiraum von 30 Minuten für diese IP gesperrt, danach wird die IP gelöscht und ein neuer Versuch ist möglich.