Dienstag, 2. Oktober 2007

Urteil: Speicherung von IP-Adressen in Deutschland gänzlich verboten?

Daten-Speicherung.de stellt ein hochinteressantes Urteil vor, das gerade rechtskräftig geworden ist: Vorratsspeicherung von Kommunikationsspuren verboten.

Das Urteil wurde genau zur richtigen Zeit rechtskräftig.

Gestern und vorgestern hatte ich noch geschrieben über die unglaubliche Verletzung der Privatsphäre, die das BKA den Besuchern seiner BKA-Website antat. Es erschien mir als eindeutig illegal, dass das BKA sich bei Internetzugangsprovidern wie beispielsweise der Telekom die Namen und Adressdaten besorgte von allen BKA-Website-Besuchern eines gewissen Zeitraumes.

Nicht illegal erschien es mir, dass das BKA, wie so viele andere Websites im Internet auch, zunächst nur die IP-Nummern der Website-Besucher (also ohne Name und Anschrift der Nutzer) speicherte. Da lag ich falsch! Selbst diese IP-Adressen-Speicherung ist laut des oben erwähnten Gerichtsurteils sogar illegal!

Das Urteil bezieht sich auf eine Klage eines Internetnutzers gegen das Bundesjustizministerium. Das Gericht untersagte dem Bundesjustizministerium Nutzerdaten über das Ende des jeweiligen Nutzungsvorgangs hinaus dauerhaft zu speichern. Insbesondere IP-Adressen dürfen laut Urteil nicht gespeichert werden, selbst wenn sie an sich noch keine eindeutige Identifizierung der Nutzer ermöglichen. Es reicht als Grund für das Verbot der Speicherung von IP-Adressen aus, dass Dritte (beispielsweise die Internetzugangsprovider) mit diesen Daten die Identität des Nutzers feststellen können. Weil also die IP-Daten unter Mithilfe von Dritten dazu führen, dass Personen als solche identifiziert werden, sind die IP-Daten auch an sich schon Personendaten.

Wow. So eng hatte ich das bisher noch gar nicht gesehen. Aber es stimmt natürlich! Ich sah das Hauptproblem bislang eher darin, dass die Internetzugangsprovider diese Daten speichern. Aber die Darlegung des Gerichts ist glasklar und logisch.

Wenn ich das richtig verstehe, dann könnte das Urteil Ungemach für deutsche Website-Betreiber bedeuten, die irgendwo IP-Adressen ihrer Besucher länger speichern als dies für den Aufruf der Webseite an sich nötig ist. Das heißt, dass IP-Adressen auch nicht mehr zu statistischen Zwecken gespeichert werden dürfen. Der Einsatz so mancher Analyse-Software (Google-Analytics beispielsweise?) dürfte damit illegal werden für deutsche Website-Anbieter. Auch die Speicherung von IP-Adressen durch Auslieferer von Werbebannern, die so versuchen das Nutzerverhalten über mehrere Webseiten hinweg zu erfassen und die Auslieferung der Werbebanner abzustimmen auf den jeweiligen Nutzer (und sei es nur, dass verhindert werden soll, dass dem Nutzer immer das gleiche Banner gezeigt wird), dürfte damit als eindeutig illegal gekennzeichnet worden sein.

Oder?

Ich habe daraufhin den Teil des Weblogs, der IP-Adressen kurzfristig speicherte und der als einziger hier unter meiner direkten Kontrolle steht, nämlich der kostenlose Counter von StatCounter.com, aus dem Weblog entfernt. StatCounter legte zwar nur eine 100kb große Log-Datei an, die durch neue Besucher immer wieder neu gefüllt und überschrieben wurde, aber selbst dies ist nach oben erwähntem Urteil illegal. Ich weiß zwar nicht, ob ich als privater Blogger tatsächlich von dieser gesetzlichen Regelung betroffen bin, aber ich befolge die Regelung alleine schon deshalb, weil ich sie sinnvoll finde. Die IP-Adressen haben mich eh nie interessiert, nur woher Besucher kamen, fand ich interessant. Aber auch darauf kann ich verzichten. Leute, die mich verlinken, können ja kurz einen Kommentar unter dem Weblog-Eintrag hinterlassen, den sie verlinken, wenn sie möchten, dass ich erfahre, dass sie mich verlinken.

Bleibt nur das Problem, dass mein Weblog bei Blogspot.com gehostet ist. Und Blogspot.com gehört zur Datenkrake namens Google. Ich bin mir leider ziemlich sicher, dass Blogspot.com die IP-Adressen aller Weblog-Leser speichert. Diese Speicherung unterliegt aber nur insofern meiner Kontrolle, dass ich das Bloggen hier bei Blogspot.com dann halt gänzlich beenden könnte. Ich habe auch keine Informationen darüber, was Blogspot.com/Google tatsächlich speichert.

Keine befriedigende Situation also.

Was wäre also nötig? Es wäre ein deutscher Bloghoster nötig, der glaubwürdig versichert, keinerlei IP-Adressen von Weblog-Besuchern zu speichern und es den Bloggern selbst ermöglicht, unter Pseudonym zu bloggen. Kennt jemand so einen Weblog-Hoster, der glaubhaft keine IP-Adressen speichert? Außerdem wären natürlich einfache Statistiktools schön, die ohne IP-Adressen zu speichern funktionieren. Die Umrechnung einer IP-Adresse in einen Hash-Wert und die weitere Verwendung dieses nicht wieder reversiv in eine IP-Adresse umwandelbaren Zahlenwertes wäre vielleicht eine mögliche Lösung. Auf bereits existierende Softwarelösungen beispielsweise für Foren oder selbstgehostete Weblogs verweist die Initiative "WirSpeichernNicht.de.

Ein Weblog ohne IP-Adressen-Speicherung wäre momentan wohl nur realisierbar, indem man einen eigenen Server aufsetzt und bei der Server-Software "Apache" die Protokollierung von IP-Adressen abschaltet und anschließend keinerlei Software und Skripte einsetzt, die irgendwo IP-Adressen speichern. Kein geringer Aufwand.

Ich hoffe, meine Besucher können es mir nachsehen, dass ich deshalb zunächst einmal weiter hier bei Blogspot.com blogge - trotz der bestehenden Unsicherheit darüber, was Blogspot.com wie lange an Daten speichert.

Es wäre zu begrüßen, wenn das Urteil große Veränderungen in der Internetbranche in Deutschland bewirkt. Wäre es nicht großartig, wenn Google.de nicht nur fleißig vermeintlich jugendgefährdende Seiten oder Bilder in Deutschland zensiert, sondern sich auch auf anderen Gebieten an deutsche Gesetze halten würde und ab sofort aufhören würde die IP-Adressen seiner Nutzer länger als nötig zu speichern?

Das Urteil des Gerichts beruft sich übrigens auch ausdrücklich auf das Grundgesetz. Ein weiterer, deutlicher Hinweis, dass auch die geplante Vorratsdatenspeicherung wohl kaum zu vereinbaren ist mit der Verfassung.

Technorati-Tags: , , , ,

4 Kommentar(e):

Anonym hat gesagt…

Einige Fragen bleiben aber bezüglich der BKA-Webseite: Was passiert mit den bisher über die IP-Adresse gewonnenen und wer weiß wo abgespeicherten Klarnamen und Anschriften? Müssten die nicht auch gelöscht werden? Kann man das BKA anschreiben um eine Auskunft zu erhalten, ob man selbst von dieser Datenspeicherung betroffen ist? Oder wird man dann umso nachdrücklicher in den Datenbanken als z.B. "Gefährder" gekennzeichnet?

Klar ist: Man darf das Urteil des Bundesverfassungsgerichts zur Vorratsdatenspeicherung mit Spannung abwarten. Nur bringen wird es außer einer Signalwirkung nichts. Dann wird das Grundgesetz einfach geändert. Und sollte das nicht durchsetzbar sein, erfolgt eine Veranlassung zur Vorratsdatenspeicherung über die EU. Dort wird ja scheinbar zukünftig auch darüber entschieden, welche Internetseiten ein EU-Bürger nicht aufrufen darf oder welche Seiten er überhaupt noch aufrufen kann.

In Deutschland scheint der Trend dahin zu gehen, dass Maßnahmen, die hier bei uns illegal sind, im Ausland durchgeführt werden, sei es in Europa oder im außereuropäischen Ausland. In Deutschland ist Folterung verboten, und Verschleppung auch. Dennoch wurden bereits deutsche Bürger außerhalb Deutschlands verschleppt und auf fragwürdigste Weise verhört. Dazu passt, dass unser Innenminister es für richtig und wichtig hält, auch Informationen zu verwenden, die unter Folter erpresst wurden. Wer so verfährt wird auch nicht davor zurückschrecken auf andere Daten zurückzugreifen, die nach deutschem Recht auf ungesetzliche Weise im Ausland gewonnen wurden wie Verbindungsdaten aus der Telekommunikation, Festplatteninhalte etc. Die ETSI-Standards zum Data Mining bei der Vorratsdatenspeicherung können dabei nur hilfreich sein. Und was das BKA nicht darf, macht der Geheimdienst.

Solon hat gesagt…

Ich habe mir ähnliche Fragen gestellt. Wer in dem entsprechenden Zeitraum tatsächlich auf dieser Webseite des BKA war, sollte sich vielleicht an einen Anwalt wenden?

Ich befürchte jedoch stark, dass das BKA nicht nur die jetzt öffentlich gewordene Aktion gemacht hat, sondern womöglich auch die Daten von Besuchern anderer BKA-Webseiten zu anderen Zeitpunkten ebenfalls ausgeschnüffelt hat. Wiederholungsgefahr nennen das die Juristen wohl.

Absolut auffällig ist ja das laute Schweigen der Politik zum Vorgehen dieser Behörde, der gerade im Kabinett weitgehende Befugnisse verpasst werden sollen. Die meisten Medien haben anscheinend auch noch nicht so richtig kapiert, was das BKA da eigentlich gemacht hat.

Im übrigen glaube ich nicht, dass die das Grundgesetz so einfach ändern können, wenn das Bundesverfassungsgericht die Vorratsdatenspeicherung als verfassungswidrig einstuft. Denn höchstwahrscheinlich wird das Verfassungsgericht dann die Verfassungswidrigkeit mit Artikel 1 und 2 des Grundgesetzes begründen. Und diese Artikel sind nicht so einfach änderbar. Man müsste schon eine komplett neue Verfassung verabschieden. Artikel 1 und 2 stehen nämlich unter der sogenannten "Ewigkeitsklausel", die kurz gefasst besagt, dass sie nicht verändert werden dürfen.

Deswegen befürchte ich als Reaktion auf Seiten der Sicherheitsbehörden ein schleichendes Ausweichen der bei ihren Methoden in die Illegalität (man wendet verbotene Methoden an, obwohl man es nicht darf) oder man beschafft sich die Infos von befreundeten Geheimdiensten.

Der Ausweg wäre, dass die Politik endlich aufhört mit ihrem Theater von der Sicherheit und den Bürgern sachlich erklärt, dass es keine hundertprozentige Sicherheit gibt und dass der Schutz von Freiheitsrechten konkreten Nutzen hat, die Terror-Gefahr jedoch ein abstraktes Risiko ist wie viele Gefahren, mit denen man es im modernen Leben zu tun hat. Auf diese Art müssten die Politiker auch die Sicherheitsbehörden vor überzogenen Forderungen in Schutz nehmen und so verhindern, dass diese eine Kultur des nicht-rechtsstaatlichen Handelns entwickeln.

Die Terrorbedrohung ist eben keine Kriegsbedrohung. Vielleicht steckt hier die größte Desinformation der Rede von dem "Krieg gegen den Terror" drin: Krieg, ja das ist eine konkrete Gefahr. Da weiß man konkret, wer der Angreifer ist und welche Waffenstärke er besitzt. Da sieht man wirklich jeden Tag Tod und Zerstörung. Das ist eine völlig andere Dimension der Gefährdung als einzelne Terror-Anschläge. Terror ist kein Krieg.

Anonym hat gesagt…

Nun erstmal die Füße stillhalten. Ein Amtsrichter in Hamburg (späterer Innensenator) hat auch so manchen Dummfug entschieden, der rechtskräftig wurde, weil es entweder zu mühselig wurde, sich zu wehren, man es leid war oder die Fristen verpennt hat.

Diese Entscheidung ist auf Amtsgerichts-Ebene gefallen. Eventuell hat sich ein unbedarfter Richter von der Klageschrift beeindrucken lassen und war sich der möglichen Tragweite nicht bewusst. Auf AG-Ebene gibt es auch Urteile, die die Existenz von Wirtschaftsaufkunfteien unmöglich machen würden, wenn sie ständige Rechtsprechung wären.

Ich will erst eine Wiederholung des Erfolges sehen, bevor ich irgendwelche Konsequenzen ziehe.Vor allem wird man ohne Speicherung der IP oder anderen personenbezogenen Daten, schlicht das Internet abstellen oder eine Vorzensur betreiben müssen, denn die Mitstörerhaftung wird man ohne diese Daten nicht mehr los. Dieses Urteil schießt über das Ziel hinaus, da es auf andere Weise die Meinungsfreiheit behindert.

Solon hat gesagt…

Soweit ich in der oben im Eintrag verlinkten Meldung lese, ist das Urteil bereits vom Berliner Landgericht bestätigt worden. Das hatte ich aber auch erst überlesen.

Zum Betrieb des Internets ist es nicht nötig, dass IP-Adressen dauerhaft gespeichert werden. Und mit der Mitstörerhaftung hat das nichts zu tun. Dass man bei Nicht-Speicherung der IP-Adresse nicht nachweisen kann, wer beispielsweise was als Kommentar hinterlassen hat, sagt nur, dass man den Täter eventuell nicht fassen kann. Ich denke nicht, dass das heißt, dass dann halt beispielsweise der Forenbetreiber alternativ bestraft wird wegen eines Kommentars, den man keiner Person zuordnen kann - falls ich deine Befürchtungen hier richtig verstanden habe (?). Wenn ein Täter sich geschickt anstellt, dann kann er auch heute im Internet anonym unterwegs sein. Das Verbot umfangreicher IP-Speicherungen schützt also eher die Masse an unbedarften Leute, die sich korrekt verhalten, aber deren Nutzungsverhalten heute dennoch umfangreich protokolliert wird.

Warum das irgendwie die Meinungsfreiheit einschränkt, kann ich jetzt auch nicht nachvollziehen.

Die IT-Branche muss sich schlicht Methoden einfallen lassen, um Nutzerdaten zu anonymisieren, also von der IP-Adresse abzukoppeln. Das ginge beispielsweise durch die sofortige Umrechnung einer IP-Adresse in einen Hash-Wert. Mit diesem anonymen Hash-Wert werden dann Nutzer getrackt, um beispielsweise Forennutzer in einem Forensystem angemeldet zu lassen oder Statistiken über die Anzahl (aber nicht mehr über die Identität) der Nutzer zu bekommen. Das stärkt meiner Meinung nach eher die Meinungsfreiheit.

Auch zur Abwehr von Kommentar-Spam sind sinnvollere Methoden möglich, als ganze IP-Adressbereiche zu sperren. Außerdem scheint das Urteil die Möglichkeit zu belassen, bei der Abwehr von Gefahren (beispielsweise DDoS-Angriffen) kurzfristig IP-Adressen zu speichern, um Gegenmaßnahmen einzuleiten.

Aber es stimmt schon: Mal sehen, was jetzt in der IT-Branche passiert. Dumm ist natürlich, dass es in Deutschland dieses furchtbare Abmahnwesen gibt und Abmahnanwälte jetzt einen gedeckten Tisch vorfinden könnten. Das liegt aber nicht an dem Urteil, sondern an dem Abmahnwesen, mit dem wir Deutsche anscheinend auf ewig wie mit einem schicksalhaften Fluch leben müssen. Die Politiker scheinen sich ja leider weiter nicht zu bequemen, hier Änderungen vorzunehmen. :-(