Was lange währt, wird... dadurch nicht klarer

Bühl, (PresseBox) - EuGH und BGH sind sich einig: Dynamische IP-Adressen sind zwar personenbezogene Daten, dürfen aber unter bestimmten Umständen dennoch gespeichert werden

von Manuel Bohé, Geschäftsführer Concepture

Am 12. Mai 2017 begann die Ransomware WannaCry sich weltweit mit rasender Geschwindigkeit auszubreiten. Einige Experten sahen sich bereits veranlasst etwas martialisch von einem „letzten Weckruf“ zu sprechen. Unternehmen und Benutzer aus mehr als 150 Ländern sind betroffen von Großbritannien, über Spanien, Deutschland, Japan und Pakistan bis Indien. Und längst nicht alle Betroffenen haben ihre Daten wiederherstellen können. Manche setzen auf inzwischen verfügbare Entschlüsselungs-Tools, die unter bestimmten Bedingungen Abhilfe schaffen, andere haben das geforderte Lösegeld gezahlt. Es ist bei aller berechtigten Aufregung aber nicht die erste Attacke dieser Art, und es wird nicht die letzte sein. Neben der zu klärenden „Schuldfrage“, suchen Sicherheitsverantwortliche und Betroffene nach Möglichkeiten derartige Hackerangriffe in Zukunft besser abzuwehren. Ein immer wieder kontroverser Baustein bei der Cyberabwehr ist das Speichern von IP-Adressen.

Ein bisschen personenbezogen? Abwägungssache

Der Europäische Gerichtshof und der Bundesgerichtshof sind sich einig: Dynamische IP-Adressen von Besuchern einer Website sind schützenswerte personenbezogene Daten, dürfen aber unter bestimmten Umständen dennoch von den Betreibern gespeichert werden.

Webseiten speichern nicht selten die IP-Adressen der Besucher. Bisher sieht das Deutsche Telemediengesetz (TMG) dies in einigen Fällen als unzulässige Speicherung der als besonders sensibel eingestuften personenbezogenen Daten an. Nach §15 des Telemediengesetzes dürfen diese Daten nur aus zwei Gründen gespeichert werden: Zu Abrechnungszwecken und um die konkrete, gerade laufende Nutzung des betreffenden Online-Dienstes sicherzustellen.

Oder im Wortlaut: „(1) Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten). Nutzungsdaten sind insbesondere

1. Merkmale zur Identifikation des Nutzers,

2. Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und

3. Angaben über die vom Nutzer in Anspruch genommenen Telemedien.“

IP-Adressen sind so etwas wie der digitale Fußabdruck, den jeder hinterlässt, der eine Website besucht. Unter bestimmten Umständen sind die Betreiber einer Website in der Lage aufgrund dieser IP-Adresse auf den konkreten Nutzer zurückzuschließen. Und genau darauf wollen sie nicht verzichten, um, so das Argument, Cyberangriffe abwehren zu können. Auslöser für jahrelange Rechtsstreitigkeiten. Bereits 2008 hatte der Piraten-Politiker und Datenschutzaktivist Patrick Breyer eine Unterlassungsklage eingereicht, mit der er die 3-monatige Speicherung seiner IP-Adresse in den Log-Dateien von Bundesseiten verhindern wollte. Letztlich geht es darum, IP-Logging (und das dadurch mögliche Tracking) zu verhindern, wenn keine konkrete Einwilligung des Nutzers vorliegt. Als 2013 ein Urteil des Landgerichts Berlin die Speicherung nur dann untersagt, wenn die Betreiber einer Webseite selbst aufgrund der IP-Adresse auf den Nutzer rückschließen können, legen sowohl der Piraten-Politiker als auch die Bundesregierung Revision am BGH ein, der wiederum den Europäischen Gerichtshof um Klärung ersucht. Ergebnis: das oben genannte EuGH-Urteil, dem der BGH nun folgt.

Demnach sind IP-Adressen personenbezogene Daten und dürfen nur im Einklang mit dem Telemediengesetz § 15 gespeichert werden. Allerdings, keine Regel ohne Ausnahme. Denn, so der EuGH, IP-Adressen dürfen eben doch gespeichert werden, "um die generelle Funktionsfähigkeit der Dienste zu gewährleisten". Also zum Beispiel, wenn die betreffende Seite durch einen Hackerangriff oder eine wie auch immer geartete Cyberattacke gefährdet ist. Diese Erlaubnis gilt nicht uneingeschränkt, sondern es bedarf "einer Abwägung mit dem Interesse und den Grundrechten und -freiheiten der Nutzer". Nicht zuletzt bei dieser Abwägung liegt der Hase im Pfeffer. Die lässt sich nämlich, so der BGH, im vorliegenden Fall (Urteil des LG Berlin) nicht hinreichend treffen.

In der Pressemeldung des Bundesgerichtshofs heißt es dazu: „(...) Diese Abwägung konnte im Streitfall auf der Grundlage der vom Berufungsgericht getroffenen Feststellungen nicht abschließend vorgenommen werden. Das Berufungsgericht hat keine hinreichenden Feststellungen dazu getroffen,

ob die Speicherung der IP-Adressen des Klägers über das Ende eines Nutzungsvorgangs hinaus erforderlich ist, um die (generelle) Funktionsfähigkeit der jeweils in Anspruch genommenen Dienste zu gewährleisten. Die Beklagte verzichtet nach ihren eigenen Angaben bei einer Vielzahl der von ihr betriebenen Portale mangels eines "Angriffsdrucks" darauf, die jeweiligen IP-Adressen der Nutzer zu speichern. Demgegenüber fehlen insbesondere Feststellungen dazu, wie hoch das Gefahrenpotential bei den übrigen Online-Mediendiensten des Bundes ist, welche der Kläger in Anspruch nehmen will.“

Auch wenn die ausführliche Urteilsbegründung noch nicht vorliegt, heißt das auf jeden Fall, dass das damalige Berufsgericht, das Landgericht Berlin, nachbessern muss. Datenschützer Breyer wertet das BGH-Urteil durchaus als einen Erfolg für sich. Nicht ohne sein Unverständnis darüber zu bekunden, dass es wieder nicht zu einer endgültigen Entscheidung gereicht habe.

Und in der Praxis?

Soweit der Stand der Dinge. Wie aber sehen die Konsequenzen in der Praxis aus? Natürlich ist es kein Problem aus der Kombination von Datum, Uhrzeit und IP-Adresse auf einen Anschlussinhaber, wenn auch nicht auf eine konkrete Person zu schließen. Allerdings nur dann, wenn dazu ein richterlicher Beschluss zur Auskunftserteilung vorliegt. Bis dahin, so die Meinung nicht nur einzelner Administratoren, seien die Daten schließlich anonym.

Zudem wird kritisiert, dass es mit einem weitgehenden Verbot der Speicherung nahezu unmöglich werde, Korrelationen zwischen Angriffen aus bestimmten Ländern, Städten oder von bestimmten Servern oder Anschlüssen aus herzustellen. Richtet man beispielsweise einen Honeypot ein, erkennt man meistens, dass die Zugriffsversuche sich auf unterschiedliche Ziele richten und vor allem von zig verschiedenen IP-Adressen aus lanciert werden. Allerdings für ein und denselben Account meistens in einem sehr begrenzten Zeitraum. Erst über einen längeren Zeitraum lassen sich dann, so die Argumentation, Rückschlüsse auf Server, Clients, Provider und Länder erkennen. Das gilt beispielsweise für Spam, aber wohl auch für bestimmte Varianten der WannaCry/WannaCrypt-Malware.

Wieder andere Stimmen unterstellen dem BGH schon eher Naivität, da es bei der Speicherung von IP-Adressen schon lange nicht mehr um Sicherheit gehen könne. Wer sich professionell und mit krimineller Absicht durchs Netz bewege, der finde Mittel und Wege den Ursprung seines Angriffs wirksam zu verschleiern.

Noch ein Mal zu dem, was nach Maßgabe des BGH in Sachen Speichern von dynamischen IP-Adressen erlaubt ist: „Nach der Entscheidung des BGH

·         darf ein Anbieter von Online-Mediendiensten personenbezogene Daten eines Nutzers ohne dessen Einwilligung auch über das Ende eines Nutzungsvorgangs hinaus nur erheben und verwenden,

·         soweit ihre Erhebung und ihre Verwendung erforderlich sind,

·         um die generelle Funktionsfähigkeit der Dienste, unter anderem die Abwehr von Hackerangriffen, zu gewährleisten.“

IP-Adressen als personenbezogene Daten, die Zweite...

Und nicht nur die notwendige Abwägung hat es in sich. Welcher Art der Personenbezug von IP-Adressen ist und inwieweit dieser sich bestimmen lässt, ist bereits Gegenstand vielfältiger Erörterungen.

Nach § 3 Abs. 1 des Bundesdatenschutzgesetzes (BDSG) sind personenbezogene Daten "Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)." Ähnlich regelt das Artikel 2 Buchstabe a der EG-Datenschutzrichtlinie 95/46/EG, auf dessen Auslegung sich der EuGH zu berufen hatte. 

Was wie „bestimmbar“ ist, auch darüber wird gestritten. Die einen sind der Ansicht, dass es bereits ausreicht, wenn ein beliebiger Dritter die Person identifizieren kann (der sogenannte absolute Maßstab). Die anderen meinen, dass es auf die Möglichkeiten und Kenntnisse der datenverarbeitenden Stelle selbst ankommt (der sogenannte relative Maßstab).

Liegen nun bei dynamischen IP-Adressen unter diesem Betrachtungswinkel personenbezogene Daten vor oder nicht? Der Website-Betreiber selbst, der ja in die Pflicht genommen werden soll, kann den Rückschluss nicht unmittelbar selbst leisten. Der zuständige Provider hingegen schon. Er kann den betreffenden Nutzer beziehungsweise Anschlussinhaber ermitteln, darf die Daten aber nur in Ausnahmefällen weitergeben. Ist damit aus gesetzgeberischer Hinsicht der Personenbezug gegeben?

Aus Sicht des EuGH, zumindest unter bestimmten Umständen, ja.

Denn der Webseiten-Betreiber hat die rechtlichen Mittel, um an die hinter der IP-Adresse liegenden Nutzerdaten, gleich personenbezogen, zu gelangen. Es geht also hier wie auch beim aktuellen Urteil des BHG nur darum ob einem Betreiber die rechtlichen Mittel zur Verfügung stehen oder nicht.

Und: "Der Betreiber einer Website kann ein berechtigtes Interesse daran haben, bestimmte personenbezogene Daten der Nutzer zu speichern, um sich gegen Cyberattacken zu verteidigen". Betreiber eines Servers können ein Lied davon singen, wie viele gescheiterte Login-Versuche allein in wenigen Wochen zusammenkommen. Darunter versehentliche, zufällige oder systematisch gegen eine bestimmte Seite gerichtete Angriffe. Um eine Strafverfolgung nach 202a StGB zu ermöglichen, das sieht auch der EuGH so, wäre die Speicherung wiederum erlaubt.

Was müssen Unternehmen jetzt beachten?

Für die Praxis hätten viele sich endlich mehr Klarheit gewünscht. Auf jeden Fall müssen Unternehmen und Behörden sich die technischen Möglichkeiten ihre Webseite genauer ansehen. Nicht selten wissen die Seiteninhaber nicht ein Mal, ob und wie der zuständige Provider IP-Adressen speichert. Nicht zuletzt im Licht der im Mai kommenden Jahres in Kraft tretenden EU-Datenschutz-Grundverordnung betrachtet sind datenschutzrechtlich die Betreiber der jeweiligen Seite verantwortlich. Zumindest sollte man entsprechend klären, dass IP-Adressen nicht anlasslos und unbegrenzt in den Log-Dateien gespeichert werden. Was das Auswerten und Nutzen von IP-Adressen für Werbe- und Marketingzwecke anbelangt, so bedarf es dazu ohnehin einer datenschutzrechtlichen Erlaubnis des Nutzers. Die oftmals nicht vorliegt.

Die Empfehlung der Autoren des Datenschutzbeauftragter Blogs vom Juni 2014 klingen jedenfalls noch ziemlich aktuell: „Webseitenbetreiber sollten sich gut überlegen, ob sie für den Mehrwert einer vertieften Auswertung von IP-Adressen einen Rechtsstreit mit einer Aufsichtsbehörde führen wollen. Die personellen und finanziellen Ressourcen, die ein Unternehmen dafür aufbringen muss, und der ungewisse Ausgang werden in aller Regel dagegen sprechen. Die Empfehlung kann daher nur lauten, IP-Adressen generell als personenbezogene Daten zu behandeln und die entsprechenden Vorgaben des Datenschutzes umzusetzen.“

Diese Pressemitteilungen könnten Sie auch interessieren

Weitere Informationen zum Thema "Sicherheit":

Business-Security-Lösungen im unabhängigen Testlabor

Auf An­ti-Mal­wa­re-Tools und End­po­int-Schutz kann kein Un­ter­neh­men ver­zich­ten, aber wie wählt man das rich­ti­ge Pro­dukt aus? Kaum ei­ne IT-Ab­tei­lung hat aus­rei­chend Res­sour­cen um ein Dut­zend oder mehr Lö­sun­gen selbst zu prü­fen. Das ist aber auch nicht nö­t­ig, denn un­ab­hän­gi­ge Test­la­bo­re wie AV-Com­pa­ra­ti­ves neh­men Un­ter­neh­men die­se Ar­beit ab und lie­fern de­tail­lier­te Tes­t­er­geb­nis­se.

Weiterlesen

News abonnieren

Mit dem Aboservice der PresseBox, erhalten Sie tagesaktuell und zu einer gewünschten Zeit, relevante Presseinformationen aus Themengebieten, die für Sie interessant sind. Für die Zusendung der gewünschten Pressemeldungen, geben Sie bitte Ihre E-Mail-Adresse ein.

Es ist ein Fehler aufgetreten!

Vielen Dank! Sie erhalten in Kürze eine Bestätigungsemail.


Ich möchte die kostenlose Pressemail abonnieren und habe die Bedingungen hierzu gelesen und akzeptiert.