+49 228 2861 140 60 info@sicoda.de
EuGH: Speicherung von IP-Adressen

EuGH: Speicherung von IP-Adressen

Die Speicherung von IP-Adressen stellt einen schweren Eingriff in die Grundrechte der Nutzer dar. Internetnutzer dürfen immer erwarten, dass der Schutz ihrer Identität gewahrt und grundsätzlich nicht preisgegeben wird.

Für Unternehmen bedeutet dieses Urteil, dass die Speicherung der vollständigen IP-Adresse in Serverlogs unzulässig ist. Ein berechtigtes Interesse an der Speicherung dieser Daten wird man nach diesem Urteil nicht mehr annehmen können.

Die allgemeine Vorratsdatenspeicherung ist in Europa bereits seit Jahren umstritten. Der Europäische Gerichtshof (EUGH) hat die bisherige Rechtsprechung in Bezug auf Vorratsspeicherung mit dem Urteil von 5. April 2022 (Rechtssache C-140/20) bestätigt.

Der Irische Supreme Court hat im Zuge der Vorabentscheidung das EuGH um Auslegung der (Cookie Richtlinie) gebeten. Das irische Urteil betrifft die, im Fall des wegen Mordes verurteilten Graham Dwyer, angewandten Praktiken zur Abfrage der, im Rahmen der Vorratsspeicherung erhobenen, mobilen Daten des Verdächtigen.

Zum Schutz der nationalen Sicherheit, insbesondere vor terroristischen Aktivitäten, dürfen Verkehrs- und Standortdaten allgemein und unterschiedslos auf Vorrat gespeichert werden. Verkehrsdaten sind alle Informationen, die  bei der Nutzung eines Telekommunikationsdienstes gespeichert werden, wie z.B. die Dauer, der Zeitpunkt oder die Datenmenge einer Nachricht.

Unzulässig sind nationale Rechtsvorschriften, die eine allgemeine und unterschiedslose Vorratsspeicherung von Verkehrs- und Standortdaten für die Bekämpfung schwerer Kriminalität und zur Verhütung ernster Bedrohungen der öffentlichen Sicherheit vorsehen.

IP-Adressen, die der Quelle einer Verbindung zugewiesen sind, können für einen, auf das absolut Notwendige begrenzten, Zeitraum auf eine allgemeine und unterschiedslose Weise gespeichert werden. Die allgemeine Speicherung von IP-Adressen stellt einen schweren Eingriff in die Grundrechte dar. Internetnutzer dürfen nach Art. 8 der Charta erwarten, dass der Schutz ihrer personenbezogenen Daten gewährleistet und ihre Identität grundsätzlich nicht preisgegeben wird. Jedoch ist die IP-Adresse häufig der einzige Anhaltspunkt im Fall einer im Internet begangenen Straftat,  der es ermöglicht, die Identität der Person zu ermitteln, insbesondere in Bezug auf Kinderpornografie. Daher ist die allgemeine und unterschiedslose Vorratsspeicherung der IP-Adressen nur erlaubt, sofern sie von der strikten Einhaltung der materiellen und prozeduralen Voraussetzungen abhängig gemacht wird.

Eine allgemeine Vorratsspeicherung der Daten, welche die Identität der Nutzer elektronischer Kommunikationsmittel betrifft, ist ebenfalls erlaubt.

Betreiber elektronischer Kommunikationsdienste können mittels einer Entscheidung der zuständigen Behörde, die einer wirksamen gerichtlichen Kontrolle unterliegt, verpflichtet werden, während eines festgelegten Zeitraums Verkehrs- und Standortdaten umgehend zu sichern (quick freeze).

Was dies für die Zulässigkeit von Beweismitteln, die im Rahmen des Strafverfahrens gegen Graham Dwyer geltend gemacht werden, bedeutet, obliegt dem irischen Gerichtshof, da dies im Einklang mit dem Grundsatz der Verfahrensautonomie der Mitgliedstaaten, Gegenstand des irischen Rechts bleibt.

 

 

EuGH zur WLAN Haftung

EuGH zur WLAN Haftung

Der EuGH hat zur WLAN Haftung eines geschäftlichen Betreibers entschieden, dass dieser für Urheberrechtsverletzungen über sein Netz nicht haften soll. Er kann jedoch von dem Urheberrechteinhaber dazu verpflichtet werden ausreichende Schutzmaßnahmen zu ergreifen, um die weitere Rechtsverletzung zu unterbinden. Das kann in der Praxis dazu führen, dass freie WLANs mit Passwörtern geschützt werden müssen.

Die Pressemeldung zum Urteil finden Sie unter:

http://curia.europa.eu/jcms/upload/docs/application/pdf/2016-09/cp160099de.pdf

Web-Server Log File

Was protokolliert ein Apache – Webserver bein einem normalen Aufruf?

Eine Protokollzeile eines normalen Aufrufs kann wie folgt aussehen:

Log-Eintrag Beschreibung
109.91.123.123* IP Adresse des aufrufenden Systems.
test_user** Kennung eines angemeldeten Nutzers.
[15/Apr/2014:11:29:26 +0200] Genaues Datum und Uhrzeit des Aufrufs sowie Zeitzone des Server (+0200)
GET /index.php/ HTTP/1.1″ Technische Information zu den angeforderten Daten, hier der Aufruf der Datei index.php und der Spezifikation HTTP 1.1 des W3C Konsoritums
Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.116 Safari/537.36 Aufrufender Browser Chorme 34 mit genauer Information zum Update Stand
Windows NT 6.1; WOW64 Windows Version (Windows 7 64bit)
www.sicoda.de Sogenannter Referrer, also Webseite von der der Aufruf ursprünglich kommt.
200 HTTP Statuscode des Aufrufs (200 OK) WIKIPEDIA – HTTP Statuscodes
394 Größe der übertragenen Datei
*IP wurde verfremdet** Username wurde exemplarisch aufgenommen, liegt in unseren Log-Files nicht vor.

 

Eine genaue Beschreibung des Log-Files eines Apache Servers findet sich unter:

http://httpd.apache.org/docs/current/logs.html

Wie sich aus dieser Dokumentation ergibt, kann die Protokollierungstiefe entsprechend der jeweiligen Einstellung variieren.

Personenbezug von IP Adressen

Der Personenbezug von IP Adressen wird von Aufsichtsbehörden generell angenommen. Dieser Auffassung ist auch das Amtsgericht Berlin gefolgt.

Das Oberlandesgericht Hamburg stellt diese seit langem geltende Prämisse jetzt in Frage. In der Entscheidung 5W126/10 äußern sich die Richter bezüglich des generellen Personenbezugs von IP Adressen sehr kritisch.

„Dass das Ermitteln der IP-Adressen nach deutschem Datenschutzrecht rechtswidrig sein könnte, ist nicht ersichtlich, da bei den ermittelten IP-Adressen ein Personenbezug mit normalen Mitteln ohne weitere Zusatzinformationen nicht hergestellt werden kann. Der Personenbezug wird erst durch die seitens der Staatsanwaltschaft nach §§ 161 Abs. 1 S. 1 und 163 StPO angeforderte oder gem. § 101 Abs. 9 UrhG gerichtlich angeordnete Auskunft des Providers ermöglicht. Das Erteilen derartiger Auskünfte hat der BGH in der vorerwähnten Entscheidung „Sommer unseres Lebens“ (dort. Tz. 29) ausdrücklich als rechtmäßig angesehen.“

Mit dieser Oberlandesgerichtsrechtsprechung kann nicht uneingeschränkt an der bisherigen Prämisse festgehalten werden.

Der Gesetzgeber ist hier gefragt, in der anstehenden Änderung des TMG eine endgültige Entscheidung in der Frage des Personenbezugs von IP Adressen zu treffen.

Smartphone Standort über WLAN Access Points

Immer wieder gerät das Verhalten von verschiedenen Smartphone OS in die Kritik, die zur Bestimmung des Standortes die erreichbaren WLAN Access Points analysiert. So können auch Geräten ohne oder mit deaktiviertem GPS verhältnismäßig genau lokalisiert werden. Zuletzt ist Microsoft in die Kritik geraten, solche Informationen zu erheben und zu verwenden. Die Webseite CNET behauptet, dass Microsoft, anders als andere Anbieter solcher Informationen, diese ungeschützt im Internet zur Verfügung stellt.

Es stellt sich nach deutschem Recht bereits die Frage, inwieweit solche Informationen durch WLAN Access Points überhaupt erhoben werden können.

Insgesamt ist allen WLAN Accesspoint Betreibern dringend zu raten, die Sichtbarkeit Ihres Routers zu deaktivieren. Wenn die Sichtbarkeit des Routers deaktiviert ist, sind die Statusinformationen des Routers nicht mehr ohne Weiteres abfragbar.