Was spricht gegen eine Protokollierung?
Das Bundesverfassungsgericht hat geurteilt:
"Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert
und als Information dauerhaft gespeichert, verwendet oder weitergegeben
werden, wird versuchen, nicht durch solche Verhaltensweisen
aufzufallen. Wer damit rechnet, daß etwa die Teilnahme an einer
Versammlung oder einer Bürgerinitiative behördlich registriert wird und
daß ihm dadurch Risiken entstehen können, wird möglicherweise auf eine
Ausübung seiner entsprechenden Grundrechte (Art. 8, 9 GG) verzichten.
Dies würde nicht nur die individuellen Entfaltungschancen des Einzelnen
beeinträchtigen, sondern auch das Gemeinwohl, weil Selbstbestimmung
eine elementare Funktionsbedingung eines auf Handlungsfähigkeit und
Mitwirkungsfähigkeit seiner Bürger begründeten freiheitlichen
demokratischen Gemeinwesens ist." Datenschutz ist Freiheitsschutz. Die Informations- und
Meinungsfreiheit im Internet ist erst dann wirklich gewährleistet, wenn
das Netz frei von einer verdachtslosen, permanenten Aufzeichnung des
eigenen Verhaltens genutzt werden kann.
In einem weiteren Urteil des Bundesverfassungsgerichts heißt
es: "Auch eine nur kurzfristige Speicherung von Verkehrsdaten berührt
das Interesse des Betroffenen an der Wahrung seines
Fernmeldegeheimnisses in nicht ganz unerheblichem Ausmaß. Aufgrund der
Speicherung kann das Telekommunikationsunternehmen diese Daten zu
eigenen Zwecken verwenden. Darüber hinaus besteht die Möglichkeit eines
staatlichen Zugriffs, etwa aufgrund des § 100 g StPO. Auch das Risiko
eines Missbrauchs der Verkehrsdaten durch das
Telekommunikationsunternehmen oder durch Dritte, die sich unbefugt
Zugang zu ihnen verschaffen, ist nicht völlig auszuschließen." Das gilt
auch für Daten, die bei Anbietern von Webseiten gespeichert werden
Wird das Internet dadurch zum rechtsfreien Raum?
Nein, ebensowenig wie die protokollierungsfreie Briefpost ein
"rechtsfreier Raum" ist. Im Verdachtsfall sind gezielte Ermittlungen
durchaus möglich, etwa durch Fangschaltungen. Dies funktioniert in der
Praxis auch. Beispielsweise konnte die Polizei in einem Internetcafe
einen Erpresser festnehmen, der sein Opfer per E-Mail erpresst hatte. Sicherlich können ohne Protokollierung nicht alle Straftaten
aufgeklärt werden. Das ist aber außerhalb des Internet ebensowenig
möglich. Die durchschnittliche Aufklärungsquote aller polizeilich
registrierten Straftaten liegt bei 55%. Es ist also keine Besonderheit
des Internet, dass viele Straftaten nicht aufgeklärt werden können.
Professionelle Straftäter können ihre Identifizierung ohnehin leicht
verhindern, so dass eine Protokollierung ganz regelmäßig nur harmlose
Normalnutzer und Kleinkriminelle trifft.
Es ist nicht nachweisbar, dass eine generelle Protokollierung
des Nutzungsverhaltens letztendlich zu weniger Hacking, Spam,
Missbrauch oder Betrug führt. Einzelfallerfolge, die insgesamt nicht
ins Gewicht fallen, rechtfertigen nicht den schweren Eingriff einer
verdachtslosen, generellen Datensammlung. Die wenigsten Straftaten im
Netz sind schwere Straftaten, die Leib oder Leben gefährden. Meist ist
nur das Vermögen betroffen. Vermögensschäden sind versicherbar (z.B.
auf eBay). Vor Hacking, Spam, Missbrauch und Betrug im Internet können
sich die Nutzer selbst am effektivsten schützen.
Anhand einer IP-Adresse können Anbieter den Nutzer doch ohnehin nicht identifizieren?
Dass IP-Adressen für Anbieter von Internet-Portalen wenig aussagekräftig sind, spricht gerade für einen Verzicht auf ihre Speicherung. Staatlichen Behörden wie Polizei und Geheimdiensten ist eine
Identifizierung der Nutzer mithilfe von IP-Adressen möglich. Viele Internet-Zugangsanbieter erstellen Aufzeichnungen über die Zuordnung von IP-Adressen. Die EU-Richtlinie zur Vorratsdatenspeicherung schreibt darüber hinaus vor, dass
Internet-Zugangsprovider die Zuordnung von IP-Adressen sechs Monate
lang zu speichern haben. Auch unbefugten Dritten kann eine
Identifizierung gelingen, etwa Hackern oder ausländischen
Geheimdiensten. Unter Umständen kann auch dem Anbieter selbst eine
Identifizierung des Nutzers möglich sein (z.B. bei statischen
IP-Adressen).
Ist ohne Protokollierung ein sicherer Betrieb meiner Webseite möglich?
Ja. Große Internetportale wie ccc.de, datenschutzzentrum.de, bmj.bund.de, bfdi.bund.de, bundesrechnungshof.de oder bundesfinanzministerium.de kommen seit langem ohne Protokollierung von IP-Adressen
aus. Ihre Erreichbarkeit wird dadurch nicht beeinträchtigt.
Ich möchte aber bestimmte Personen von der Benutzung meiner Webseite ausschließen?
Dieses Argument wird von Forenanbietern oft genannt. Benutzer anhand
ihrer IP-Adresse auszuschließen, ist aber wenig sinnvoll, weil
Internetnutzer meist bei jeder Einwahl eine andere IP-Adresse erhalten.
Eine IP-Sperre trifft in diesem Fall nur andere Nutzer, denen später
zufällig dieselbe IP-Adresse zugewiesen wird. Effektiver ist es
beispielsweise, bei der Anmeldung die Angabe einer gültigen
E-Mail-Adresse zu verlangen und Störer anhand ihrer E-Mail-Adresse zu
sperren.
Lässt sich Spam auch ohne Protokollierung verhindern?
Anbieter von Foren, Wikis usw. verwenden mitunter Spamfilter, die
versuchen, Spam anhand der IP-Adresse auszufiltern. Dies ist aber kaum
effektiv, weil Spammer problemlos die IP-Adresse wechseln können. Ein
effektiverer Spamschutz ist beispielsweise dadurch möglich, dass das
Eintippen eines grafischen Textes verlangt wird ("Captcha"). Zudem ist
es zum Ausfiltern von Spam nicht erforderlich, die IP-Adresse über die
Dauer der Filterung hinaus zu speichern.
Sind Fehlerdiagnose und die Beantwortung von Anfragen auch ohne Protokollierung möglich?
Zur Fehlerdiagnose und zur Beantwortung von Anfragen genügt es
regelmäßig, anonyme Protokolle aufzuzeichnen. Zur Behebung von
Störungen kann im Einzelfall eine personenbezogene Protokollierung
aktiviert werden.
Ist die Protokollierung nicht für statistische Auswertungen erforderlich?
Für statistische Auswertungen genügt es, anonyme Protokolle
aufzuzeichnen. Beispielsweise kann ein anonymer Identifier in die URL
oder in ein Sitzungscookie aufgenommen werden, um das Verhalten einzelner
Benutzer anonym analysieren zu können. Ist die Protokollierung nicht erforderlich, um Betreiber vor der Haftung für illegale Kommentare, Foreneinträge, Uploads usw. von Nutzern zu schützen?Nein. Die Haftung für illegale nutzergenerierte Inhalte hängt nicht davon ab, ob der Nutzer identifizierbar ist oder nicht. Die Vorratsspeicherung von Nutzungsdaten kann schon deswegen nicht geboten sein, weil das Gesetz sie ausdrücklich verbietet. Von Internetanbietern kann nichts verlangt werden, was illegal ist. Der Bundesgerichtshof hat in keiner Entscheidung die Vorratsspeicherung von Nutzerdaten verlangt. Umgekehrt erkennt er ein "Recht des Internetnutzers auf Anonymität“ ausdrücklich an (Az. VI ZR 196/08). Weitere Informationen
Wie ist die Rechtslage?
Das Telemediengesetz verbietet
die personenbeziehbare Protokollierung des Nutzungsverhaltens, es sei denn, sie ist zur
Abrechnung oder im Einzelfall zur Unterbindung von Missbrauch erforderlich. Bei Verstößen drohen Bußgelder und Klagen, bei
gewerblichen Angeboten auch Abmahnungen. Aus § 15 Telemediengesetz:
"(1) Der Diensteanbieter darf
personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit
dies erforderlich ist, um die Inanspruchnahme von Telemedien zu
ermöglichen und abzurechnen (Nutzungsdaten). Nutzungsdaten sind insbesondere - 1. Merkmale zur Identifikation des Nutzers,
- 2. Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und
- 3. Angaben über die vom Nutzer in Anspruch genommenen Telemedien. ...
(8) Liegen dem Diensteanbieter zu dokumentierende tatsächliche
Anhaltspunkte vor, dass seine Dienste von bestimmten Nutzern in der
Absicht in Anspruch genommen werden, das Entgelt nicht oder nicht
vollständig zu entrichten, darf er die personenbezogenen Daten dieser
Nutzer über das Ende des Nutzungsvorgangs sowie die in Absatz 7
genannte Speicherfrist hinaus nur verwenden, soweit dies für Zwecke der
Rechtsverfolgung erforderlich ist. 2Der Diensteanbieter hat die Daten
unverzüglich zu löschen, wenn die Voraussetzungen nach Satz 1 nicht
mehr vorliegen oder die Daten für die Rechtsverfolgung nicht mehr
benötigt werden. 3Der betroffene Nutzer ist zu unterrichten, sobald
dies ohne Gefährdung des mit der Maßnahme verfolgten Zweckes möglich
ist." § 100 Telekommunikationsgesetz (für Hosting-Anbieter): "(1) Soweit erforderlich, darf der Diensteanbieter zum
Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern an
Telekommunikationsanlagen die Bestandsdaten und Verkehrsdaten der
Teilnehmer und Nutzer erheben und verwenden. ...
(3) Soweit erforderlich, darf der Diensteanbieter bei
Vorliegen zu dokumentierender tatsächlicher Anhaltspunkte die
Bestandsdaten und Verkehrsdaten erheben und verwenden, die zum
Aufdecken sowie Unterbinden von Leistungserschleichungen und sonstigen
rechtswidrigen Inanspruchnahmen der Telekommunikationsnetze und
-dienste erforderlich sind. Zu dem in Satz 1 genannten Zweck darf der
Diensteanbieter die erhobenen Verkehrsdaten in der Weise verwenden,
dass aus dem Gesamtbestand aller Verkehrsdaten, die nicht älter als
sechs Monate sind, die Daten derjenigen Verbindungen des Netzes
ermittelt werden, für die tatsächliche Anhaltspunkte den Verdacht der
rechtswidrigen Inanspruchnahme von Telekommunikationsnetzen und
-diensten begründen. Insbesondere darf der Diensteanbieter aus den nach
Satz 1 erhobenen Verkehrsdaten und den Bestandsdaten einen
pseudonymisierten Gesamtdatenbestand bilden, der Aufschluss über die
von den einzelnen Teilnehmern erzielten Umsätze gibt und unter
Zugrundelegung geeigneter Missbrauchskriterien das Auffinden solcher
Verbindungen des Netzes ermöglicht, bei denen der Verdacht einer
Leistungserschleichung besteht. Die Daten der anderen Verbindungen sind
unverzüglich zu löschen. Die Regulierungsbehörde und der oder die
Bundesbeauftragte für den Datenschutz sind über Einführung und Änderung
eines Verfahrens nach Satz 1 unverzüglich in Kenntnis zu setzen." Zum Verständnis des § 100 TKG das Urteil des Landgerichts Darmstadt: "Auch die von der Beklagten angeführten Regelungen in § 100
Abs. 1 und Abs. 3 TKG bieten keine rechtliche Grundlage für die von ihr
durchgeführte generelle Speicherung der IP-Adresse. Nach § 100 Abs. 1
TKG darf der Diensteanbieter, soweit erforderlich, zum Erkennen,
Eingrenzen oder Beseitigen von Störungen oder Fehlern an
Telekommunikationsanlagen die Bestandsdaten und Verkehrsdaten der
Teilnehmer und Nutzer erheben und verwenden. Nach Abs. 3 kann der
Diensteanbieter bei Vorliegen zu dokumentierender tatsächlicher
Anhaltspunkte die Bestandsdaten und Verkehrsdaten erheben und
verwenden, die zum Aufdecken sowie Unterbinden von
Leistungserschleichungen und sonstigen rechtswidrigen Inanspruchnahmen
der Telekommunikationsnetze und -dienste erforderlich sind. Es handelt
sich bereits nach dem Wortlaut der Regelungen um vorfallsbezogene
Maßnahmen, die die von der Beklagten durchgeführte generelle
Speicherung aller Verkehrsdaten aller Kunden nicht erlaubt." Dass die Anbieter von Internetportalen sicherzustellen haben, dass "die
anfallenden personenbezogenen Daten über den Ablauf des Zugriffs oder
der sonstigen Nutzung unmittelbar nach deren Beendigung gelöscht“
werden (§ 13 TMG) und dass damit die Aufbewahrung von Nutzer-IP-Adressen oder sonstiger Nutzerkennungen in "Logfiles“ unzulässig ist, steht im Gesetz und ist weitgehender Konsens (ebenso Amtsgericht Berlin, Verwaltungsgericht Wiesbaden, Bundesjustizministerium, Bundesdatenschutzbeauftragter). Der Bundesgerichtshof hat inzwischen ein "Recht des Internetnutzers auf Anonymität“ anerkannt (Az. VI ZR 196/08). Die Datenschutz-Aufsichtsbehörden für den nicht-öffentlichen Bereich haben am 26./27.11.2009 entschieden, dass etwa zu speichernde IP-Adresse so zu kürzen sind, dass eine Personenbeziehbarkeit ausgeschlossen ist. Was ändert sich mit Inkrafttreten der Vorratsdatenspeicherung? Das Gesetz zur Vorratsdatenspeicherung
änderte nichts an dem Verbot einer personenbezogenen Protokollierung der Nutzung von Telemedien. Die Regelung zur Vorratsdatenspeicherung (§ 113a TKG) forderte nur die Protokollierung von
Einwahlen in das Internet, von E-Mails, von Internet-Telefonie und von
Anonymisierungsdiensten. Alle sonstigen Internetdienste (z.B Webseiten,
Foren, Chat-Räume) waren weiterhin zur Protokollierung weder
verpflichtet noch berechtigt. Inzwischen hat das Bundesverfassungsgericht die Pflicht zur Vorratsdatenspeicherung für verfassungswidrig und nichtig erklärt. Ich lasse aber alle Nutzer in die Protokollierung einwilligen?
Es ist ein wesentlicher Grundgedanke des Telemediengesetzes,
den Nutzer vor einer verdachtslosen Protokollierung seines
Nutzungsverhaltens zu schützen. Abweichende Einwilligungsklauseln sind
deswegen unwirksam nach § 307 Absatz 2 BGB.
Was habe ich als Anbieter davon, wenn ich die Protokollierung deaktiviere?Wer die personenbezogene Protokollierung des Nutzerverhaltens
deaktiviert, bietet nicht nur den Benutzern seiner Webseite einen
attraktiven Service. Er schützt sich auch vor rechtlichen Risiken. Das
Telemediengesetz verbietet
die personenbeziehbare Protokollierung des Nutzungsverhaltens, es sei denn, sie ist zur
Abrechnung erforderlich. Bei Verstößen drohen Bußgelder und Klagen, bei
gewerblichen Angeboten auch Abmahnungen. Wer keine personenbezogenen
Daten speichert, braucht keine Datenschutzerklärung. Schließlich
schützt die Deaktivierung der Protokollierung vor Datenanfragen von
Behörden, Inhabern von Urheberrechten usw. Wer glaubhaft versichern
kann, keine IP-Adressen zu speichern, hat gute Chancen, dass die Polizei von einer Beschlagnahme der Server mit der Folge einer Betriebsunterbrechung absieht. Auch Auskunftersuchen lassen sich auf diese Weise sehr einfach beantworten.
|
