Start
Hintergrund / FAQ
Das Gütesiegel
Mitmachen
Anleitungen
Forum
Über uns
Kontakt
Hintergrund / FAQ Drucken E-Mail

Was spricht gegen eine Protokollierung?

Das Bundesverfassungsgericht hat geurteilt: "Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen. Wer damit rechnet, daß etwa die Teilnahme an einer Versammlung oder einer Bürgerinitiative behördlich registriert wird und daß ihm dadurch Risiken entstehen können, wird möglicherweise auf eine Ausübung seiner entsprechenden Grundrechte (Art. 8, 9 GG) verzichten. Dies würde nicht nur die individuellen Entfaltungschancen des Einzelnen beeinträchtigen, sondern auch das Gemeinwohl, weil Selbstbestimmung eine elementare Funktionsbedingung eines auf Handlungsfähigkeit und Mitwirkungsfähigkeit seiner Bürger begründeten freiheitlichen demokratischen Gemeinwesens ist."

Datenschutz ist Freiheitsschutz. Die Informations- und Meinungsfreiheit im Internet ist erst dann wirklich gewährleistet, wenn das Netz frei von einer verdachtslosen, permanenten Aufzeichnung des eigenen Verhaltens genutzt werden kann.

In einem weiteren Urteil des Bundesverfassungsgerichts heißt es: "Auch eine nur kurzfristige Speicherung von Verkehrsdaten berührt das Interesse des Betroffenen an der Wahrung seines Fernmeldegeheimnisses in nicht ganz unerheblichem Ausmaß. Aufgrund der Speicherung kann das Telekommunikationsunternehmen diese Daten zu eigenen Zwecken verwenden. Darüber hinaus besteht die Möglichkeit eines staatlichen Zugriffs, etwa aufgrund des § 100 g StPO. Auch das Risiko eines Missbrauchs der Verkehrsdaten durch das Telekommunikationsunternehmen oder durch Dritte, die sich unbefugt Zugang zu ihnen verschaffen, ist nicht völlig auszuschließen." Das gilt auch für Daten, die bei Anbietern von Webseiten gespeichert werden

Wird das Internet dadurch zum rechtsfreien Raum?

Nein, ebensowenig wie die protokollierungsfreie Briefpost ein "rechtsfreier Raum" ist. Im Verdachtsfall sind gezielte Ermittlungen durchaus möglich, etwa durch Fangschaltungen. Dies funktioniert in der Praxis auch. Beispielsweise konnte die Polizei in einem Internetcafe einen Erpresser festnehmen, der sein Opfer per E-Mail erpresst hatte.

Sicherlich können ohne Protokollierung nicht alle Straftaten aufgeklärt werden. Das ist aber außerhalb des Internet ebensowenig möglich. Die durchschnittliche Aufklärungsquote aller polizeilich registrierten Straftaten liegt bei 55%. Es ist also keine Besonderheit des Internet, dass viele Straftaten nicht aufgeklärt werden können. Professionelle Straftäter können ihre Identifizierung ohnehin leicht verhindern, so dass eine Protokollierung ganz regelmäßig nur harmlose Normalnutzer und Kleinkriminelle trifft.

Es ist nicht nachweisbar, dass eine generelle Protokollierung des Nutzungsverhaltens letztendlich zu weniger Hacking, Spam, Missbrauch oder Betrug führt. Einzelfallerfolge, die insgesamt nicht ins Gewicht fallen, rechtfertigen nicht den schweren Eingriff einer verdachtslosen, generellen Datensammlung. Die wenigsten Straftaten im Netz sind schwere Straftaten, die Leib oder Leben gefährden. Meist ist nur das Vermögen betroffen. Vermögensschäden sind versicherbar (z.B. auf eBay). Vor Hacking, Spam, Missbrauch und Betrug im Internet können sich die Nutzer selbst am effektivsten schützen. 

Anhand einer IP-Adresse können Anbieter den Nutzer doch ohnehin nicht identifizieren?

Dass IP-Adressen für Anbieter von Internet-Portalen wenig aussagekräftig sind, spricht gerade für einen Verzicht auf ihre Speicherung. Staatlichen Behörden wie Polizei und Geheimdiensten ist eine Identifizierung der Nutzer mithilfe von IP-Adressen möglich. Viele Internet-Zugangsanbieter erstellen Aufzeichnungen über die Zuordnung von IP-Adressen. Die EU-Richtlinie zur Vorratsdatenspeicherung schreibt darüber hinaus vor, dass Internet-Zugangsprovider die Zuordnung von IP-Adressen sechs Monate lang zu speichern haben. Auch unbefugten Dritten kann eine Identifizierung gelingen, etwa Hackern oder ausländischen Geheimdiensten. Unter Umständen kann auch dem Anbieter selbst eine Identifizierung des Nutzers möglich sein (z.B. bei statischen IP-Adressen). 

Ist ohne Protokollierung ein sicherer Betrieb meiner Webseite möglich?

Ja. Große Internetportale wie ccc.de, datenschutzzentrum.de, bmj.bund.de, bfdi.bund.de, bundesrechnungshof.de oder bundesfinanzministerium.de kommen seit langem ohne Protokollierung von IP-Adressen aus. Ihre Erreichbarkeit wird dadurch nicht beeinträchtigt.

Ich möchte aber bestimmte Personen von der Benutzung meiner Webseite ausschließen?

Dieses Argument wird von Forenanbietern oft genannt. Benutzer anhand ihrer IP-Adresse auszuschließen, ist aber wenig sinnvoll, weil Internetnutzer meist bei jeder Einwahl eine andere IP-Adresse erhalten. Eine IP-Sperre trifft in diesem Fall nur andere Nutzer, denen später zufällig dieselbe IP-Adresse zugewiesen wird. Effektiver ist es beispielsweise, bei der Anmeldung die Angabe einer gültigen E-Mail-Adresse zu verlangen und Störer anhand ihrer E-Mail-Adresse zu sperren. 

Lässt sich Spam auch ohne Protokollierung verhindern?

Anbieter von Foren, Wikis usw. verwenden mitunter Spamfilter, die versuchen, Spam anhand der IP-Adresse auszufiltern. Dies ist aber kaum effektiv, weil Spammer problemlos die IP-Adresse wechseln können. Ein effektiverer Spamschutz ist beispielsweise dadurch möglich, dass das Eintippen eines grafischen Textes verlangt wird ("Captcha"). Zudem ist es zum Ausfiltern von Spam nicht erforderlich, die IP-Adresse über die Dauer der Filterung hinaus zu speichern. 

Sind Fehlerdiagnose und die Beantwortung von Anfragen auch ohne Protokollierung möglich?

Zur Fehlerdiagnose und zur Beantwortung von Anfragen genügt es regelmäßig, anonyme Protokolle aufzuzeichnen. Zur Behebung von Störungen kann im Einzelfall eine personenbezogene Protokollierung aktiviert werden. 

Ist die Protokollierung nicht für statistische Auswertungen erforderlich?

Für statistische Auswertungen genügt es, anonyme Protokolle aufzuzeichnen. Beispielsweise kann ein anonymer Identifier in die URL oder in ein Sitzungscookie aufgenommen werden, um das Verhalten einzelner Benutzer anonym analysieren zu können. 

Ist die Protokollierung nicht erforderlich, um Betreiber vor der Haftung für illegale Kommentare, Foreneinträge, Uploads usw. von Nutzern zu schützen?

Nein. Die Haftung für illegale nutzergenerierte Inhalte hängt nicht davon ab, ob der Nutzer identifizierbar ist oder nicht. Die Vorratsspeicherung von Nutzungsdaten kann schon deswegen nicht geboten sein, weil das Gesetz sie ausdrücklich verbietet. Von Internetanbietern kann nichts verlangt werden, was illegal ist. Der Bundesgerichtshof hat in keiner Entscheidung die Vorratsspeicherung von Nutzerdaten verlangt. Umgekehrt erkennt er ein "Recht des Internetnutzers auf Anonymität“ ausdrücklich an (Az. VI ZR 196/08). Weitere Informationen

Wie ist die Rechtslage?

Das Telemediengesetz verbietet die personenbeziehbare Protokollierung des Nutzungsverhaltens, es sei denn, sie ist zur Abrechnung oder im Einzelfall zur Unterbindung von Missbrauch erforderlich. Bei Verstößen drohen Bußgelder und Klagen, bei gewerblichen Angeboten auch Abmahnungen. 

Aus § 15 Telemediengesetz:

"(1) Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten). Nutzungsdaten sind insbesondere

1. Merkmale zur Identifikation des Nutzers,
2. Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und
3. Angaben über die vom Nutzer in Anspruch genommenen Telemedien. ...

(8) Liegen dem Diensteanbieter zu dokumentierende tatsächliche Anhaltspunkte vor, dass seine Dienste von bestimmten Nutzern in der Absicht in Anspruch genommen werden, das Entgelt nicht oder nicht vollständig zu entrichten, darf er die personenbezogenen Daten dieser Nutzer über das Ende des Nutzungsvorgangs sowie die in Absatz 7 genannte Speicherfrist hinaus nur verwenden, soweit dies für Zwecke der Rechtsverfolgung erforderlich ist. 2Der Diensteanbieter hat die Daten unverzüglich zu löschen, wenn die Voraussetzungen nach Satz 1 nicht mehr vorliegen oder die Daten für die Rechtsverfolgung nicht mehr benötigt werden. 3Der betroffene Nutzer ist zu unterrichten, sobald dies ohne Gefährdung des mit der Maßnahme verfolgten Zweckes möglich ist." 

§ 100 Telekommunikationsgesetz (für Hosting-Anbieter):

"(1) Soweit erforderlich, darf der Diensteanbieter zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern an Telekommunikationsanlagen die Bestandsdaten und Verkehrsdaten der Teilnehmer und Nutzer erheben und verwenden. ...

(3) Soweit erforderlich, darf der Diensteanbieter bei Vorliegen zu dokumentierender tatsächlicher Anhaltspunkte die Bestandsdaten und Verkehrsdaten erheben und verwenden, die zum Aufdecken sowie Unterbinden von Leistungserschleichungen und sonstigen rechtswidrigen Inanspruchnahmen der Telekommunikationsnetze und -dienste erforderlich sind. Zu dem in Satz 1 genannten Zweck darf der Diensteanbieter die erhobenen Verkehrsdaten in der Weise verwenden, dass aus dem Gesamtbestand aller Verkehrsdaten, die nicht älter als sechs Monate sind, die Daten derjenigen Verbindungen des Netzes ermittelt werden, für die tatsächliche Anhaltspunkte den Verdacht der rechtswidrigen Inanspruchnahme von Telekommunikationsnetzen und -diensten begründen. Insbesondere darf der Diensteanbieter aus den nach Satz 1 erhobenen Verkehrsdaten und den Bestandsdaten einen pseudonymisierten Gesamtdatenbestand bilden, der Aufschluss über die von den einzelnen Teilnehmern erzielten Umsätze gibt und unter Zugrundelegung geeigneter Missbrauchskriterien das Auffinden solcher Verbindungen des Netzes ermöglicht, bei denen der Verdacht einer Leistungserschleichung besteht. Die Daten der anderen Verbindungen sind unverzüglich zu löschen. Die Regulierungsbehörde und der oder die Bundesbeauftragte für den Datenschutz sind über Einführung und Änderung eines Verfahrens nach Satz 1 unverzüglich in Kenntnis zu setzen."

Zum Verständnis des § 100 TKG das Urteil des Landgerichts Darmstadt:

"Auch die von der Beklagten angeführten Regelungen in § 100 Abs. 1 und Abs. 3 TKG bieten keine rechtliche Grundlage für die von ihr durchgeführte generelle Speicherung der IP-Adresse. Nach § 100 Abs. 1 TKG darf der Diensteanbieter, soweit erforderlich, zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern an Telekommunikationsanlagen die Bestandsdaten und Verkehrsdaten der Teilnehmer und Nutzer erheben und verwenden. Nach Abs. 3 kann der Diensteanbieter bei Vorliegen zu dokumentierender tatsächlicher Anhaltspunkte die Bestandsdaten und Verkehrsdaten erheben und verwenden, die zum Aufdecken sowie Unterbinden von Leistungserschleichungen und sonstigen rechtswidrigen Inanspruchnahmen der Telekommunikationsnetze und -dienste erforderlich sind. Es handelt sich bereits nach dem Wortlaut der Regelungen um vorfallsbezogene Maßnahmen, die die von der Beklagten durchgeführte generelle Speicherung aller Verkehrsdaten aller Kunden nicht erlaubt."

Dass die Anbieter von Internetportalen sicherzustellen haben, dass "die anfallenden personenbezogenen Daten über den Ablauf des Zugriffs oder der sonstigen Nutzung unmittelbar nach deren Beendigung gelöscht“ werden (§ 13 TMG) und dass damit die Aufbewahrung von Nutzer-IP-Adressen oder sonstiger Nutzerkennungen in "Logfiles“ unzulässig ist, steht im Gesetz und ist weitgehender Konsens (ebenso Amtsgericht Berlin, Verwaltungsgericht Wiesbaden, Bundesjustizministerium, Bundesdatenschutzbeauftragter). Der Bundesgerichtshof hat inzwischen ein "Recht des Internetnutzers auf Anonymität“ anerkannt (Az. VI ZR 196/08). Die Datenschutz-Aufsichtsbehörden für den nicht-öffentlichen Bereich haben am 26./27.11.2009 entschieden, dass etwa zu speichernde IP-Adresse so zu kürzen sind, dass eine Personenbeziehbarkeit ausgeschlossen ist.

Was ändert sich mit Inkrafttreten der Vorratsdatenspeicherung? 

Das Gesetz zur Vorratsdatenspeicherung änderte nichts an dem Verbot einer personenbezogenen Protokollierung der Nutzung von Telemedien. Die Regelung zur Vorratsdatenspeicherung (§ 113a TKG) forderte nur die Protokollierung von Einwahlen in das Internet, von E-Mails, von Internet-Telefonie und von Anonymisierungsdiensten. Alle sonstigen Internetdienste (z.B Webseiten, Foren, Chat-Räume) waren weiterhin zur Protokollierung weder verpflichtet noch berechtigt. Inzwischen hat das Bundesverfassungsgericht die Pflicht zur Vorratsdatenspeicherung für verfassungswidrig und nichtig erklärt.

Ich lasse aber alle Nutzer in die Protokollierung einwilligen?

Es ist ein wesentlicher Grundgedanke des Telemediengesetzes, den Nutzer vor einer verdachtslosen Protokollierung seines Nutzungsverhaltens zu schützen. Abweichende Einwilligungsklauseln sind deswegen unwirksam nach § 307 Absatz 2 BGB

Was habe ich als Anbieter davon, wenn ich die Protokollierung deaktiviere?

Wer die personenbezogene Protokollierung des Nutzerverhaltens deaktiviert, bietet nicht nur den Benutzern seiner Webseite einen attraktiven Service. Er schützt sich auch vor rechtlichen Risiken. Das Telemediengesetz verbietet die personenbeziehbare Protokollierung des Nutzungsverhaltens, es sei denn, sie ist zur Abrechnung erforderlich. Bei Verstößen drohen Bußgelder und Klagen, bei gewerblichen Angeboten auch Abmahnungen. Wer keine personenbezogenen Daten speichert, braucht keine Datenschutzerklärung. Schließlich schützt die Deaktivierung der Protokollierung vor Datenanfragen von Behörden, Inhabern von Urheberrechten usw. Wer glaubhaft versichern kann, keine IP-Adressen zu speichern, hat gute Chancen, dass die Polizei von einer Beschlagnahme der Server mit der Folge einer Betriebsunterbrechung absieht. Auch Auskunftersuchen lassen sich auf diese Weise sehr einfach beantworten.