Schlagwort: IP-Adresse

Grenzen der Datenminimierung bei der Speicherung von IP-Adressen

30. Januar 2019

Mit Beschluss vom 20.12.2018 hat die 3. Kammer des Zweiten Senats des Bundesverfassungsgericht entschieden, die Verfassungsbeschwerde eines E-Mail-Anbieters gegen eine von der Staatsanwaltschaft Stuttgart angeordnete Erhebung und Übermittlung von IP-Adressen nicht zuzulassen. Im Rahmen einer ordnungsgemäß veranlassten Telekommunikationsüberwachung sollte der E-Mail-Anbieter wegen mutmaßlicher Verstöße gegen das Betäubungsmittel- und das Kriegswaffenkontrollgesetz eines Nutzers die IP-Adressen des betreffenden Nutzers der Staatsanwaltschaft zur Verfügung stellen.

Im Rahmen der Verfassungsbeschwerde führte der E-Mail-Anbieter aus, dass ihm dies nicht möglich sei, da die IP-Adressen aus Gründen der Datenvermeidung und der Datensparsamkeit lediglich anonymisiert gespeichert würden. Nach Auffassung des E-Mail-Anbieters sei es technisch nicht erforderlich, die IP-Adressen mit Personenbezug zu speichern und er sei hierzu auch nicht per Gesetz verpflichtet. Die § 100 Abs. 3 S. 2 StPO a.F. iVm § 7 Abs. 1 S. 2 Nr. 4 Telekommunikationsüberwachungsverordnung würden lediglich dazu verpflichten, bereits vorhandene Daten an die Strafverfolgungsbehörden zu übermitteln. Da die IP-Adressen aber schon nicht in der notwendigen Form protokolliert werden würde, seien schon keine Daten zur Übermittlung vorhanden.

Dieser Ansicht folgte das Bundesverfassungsgericht jedoch nicht. Um eine E-Mail einem Empfänger zuordnen zu können, müsse die IP-Adresse zumindest vorübergehend für die Dauer der Kommunikation zwischengespeichert werden. Damit seien die Daten jedoch bei dem Anbieter vorhanden. Der E-Mail-Anbieter müsse seine Dienste so einrichten, dass er im Falle ordnungsgemäß angeordneter Überwachungsmaßnahmen die angefragten IP-Adressen in verwertbarer Form an die Strafverfolgungsbehörden weitergeben könne. Hierzu verpflichte schon § 110 Abs. 1 Nr. 1 TKG, nach dem Anbieter öffentlicher Telekommunikationsdienste auf eigene Kosten technische Einrichtungen zur Umsetzung gesetzlich vorgesehener Maßnahmen zur Überwachung der Telekommunikation vorhalten und organisatorische Vorkehrungen für deren unverzügliche Umsetzung treffen müssen.

Daten von Millionen von Flugreisenden ungeschützt im Internet

10. August 2016

Einem Bericht der Süddeutschen Zeitung zufolge, standen auf dem Online-Reiseportal www.cosmita.com jahrelang Informationen ungeschützt im Internet. Die Nutzer dieses Portals konnten darüber Ihre Reiseunterlagen einsehen, Sitzplatzreservierungen sowie Essensbestellungen für den Flug vornehmen und sonstige Reisepläne an Freunde und Verwandte versehden. Zur Einsicht und Bearbeitung dieser Informationen benötigte der Nutzer nur seinen Flug-Buchungscode und seinen Nachnamen oder den eines Mitreisenden.

Diese recht einfache Zugriffsmöglichkeit auf die Daten des Reiseportals haben sich zuletzt auch Kriminelle zu eigen machen und damit die oberen bereits genannten personenbezogene Daten von mehreren Millionen Reisenden abgreifen können. Weitergehende technische Kenntnisse waren dafür nicht erforderlich. Jeder wäre in der Lage gewesen, diese Informationen abzurufen. Recherchen der Süddeutschen Zeitung haben ergeben, dass der Auslöser hierfür ein seit 2011 bestehendes Datenleck bei dem Ticket-Großhändler Aerticket gewesen sei. Aerticket stelle für mehrere tausend Großkunden, wie unter anderem die Unister-Töchter www.fluege.de, Flug 24, Ab in den Urlaub, Tickets aus. Etwa ein Viertel davon seien von dem Datenleck betroffen und damit einsehbar gewesen. Nach Angaben der Süddeutschen Zeitung zufolge, sei die Sicherheitslücke umgehend nach Kenntnis geschlossen worden.

Aerticket verteidige sich derzeit mit der Behauptung, dass die über fünf Jahre bestehende Sicherheitslücke gar nicht von Kriminellen entdeckt worden sei. Die Sicherheitsexperten des Ticket-Großhändlers hätten geprüft, ob eine überdurchschnittlich hohe Anzahl an Zugriffen von einzelnen IP-Adressen aus einem bestimmten WLAN-Netz zu verzeichnen gewesen seien. Dies sei jedoch zumindest in den vergangenen eineinhalb Jahren nicht der Fall gewesen. Nun läge der Fall beim Berliner Datenschutzbeauftragten zur abschließenden Prüfung. Diese könne sich jedoch noch einige Monate hinziehen. Die Konsequenzen seien noch nicht bekannt.

Vorlage an den EuGH bzgl. Speicherung von IP-Adressen

29. Oktober 2014

Im Rechtsstreit um die Speicherung dynamischer IP-Adressen (die Ziffernfolgen, die bei jeder Einwahl vernetzten Computern zugewiesen werden, um deren Kommunikation im Internet zu ermöglichen) durch die Bundesregierung hat der Bundesgerichtshof (BGH)  dem Europäischen Gerichtshof (EuGH) nun die folgende Frage zur Auslegung der EG-Datenschutz-Richtlinie vorgelegt: Die Brüsseler Richter sollen u. a. entscheiden, ob IP-Adressen „personenbezogene Daten“ sind.

In dem damit ausgesetzten Revisionsverfahren geht es um eine Klage des Piratenpolitikers Patrick Breyer gegen die Bundesrepublik Deutschland. Der Schleswig-Holsteinische Landtagsabgeordnete will dem Bund verbieten lassen, IP-Adressen von Besuchern von Websites des Bundes über die Dauer der Nutzung hinaus zu speichern. Der EuGH soll nun klären, ob IP-Adressen überhaupt als „personenbezogene Daten“ gelten, die vom europäischen Datenschutzrecht geschützt werden, auch wenn keine weiteren Informationen zur Identität des Anschlussinhabers vorliegen. Der Bund argumentiert bislang, ihm lägen selbst keine Informationen vor, die eine Identifizierung anhand der IP-Adresse ermöglicht. Diese Informationen habe nur der jeweilige Zugangsanbieter, der darüber nicht ohne Weiteres Auskunft geben dürfe.

Die Bundesbeauftragte für den Datenschutz, Andrea Voßhoff, begrüßte die gestrige Entscheidung des BGH. „Die gemeinsamen europäischen Rechtsgrundlagen, vor allem die in Arbeit befindliche Datenschutzgrundverordnung, erfordern eine einheitliche Auslegung und ein harmonisiertes Vorgehen bei grundlegenden Fragen.“, so Voßhoff in einer Pressemitteilung.

Kategorien: Allgemein
Schlagwörter: , ,

BGH: Auskunftsanspruch von Rechteinhabern bei Urheberrechtsverletzungen

20. August 2012

Der Bundesgerichtshof (BGH) hat in einem Beschluss vom 19. April 2012 (Az. I ZB 80/11) den Auskunftsanspruch von Rechteinhabern bei Urheberrechtsverletzungen bekräftigt. Dem Beschluss zufolge müssen Internetprovider den Rechteinhabern Namen und Anschrift eines Nutzers mitteilen, wenn mit der dazugehörigen IP-Adresse „ein urheberrechtlich geschütztes Musikstück offensichtlich unberechtigt in eine Online-Tauschbörse eingestellt [wurde]“. Durch die Entscheidung kehrt der BGH von der bisherigen Rechtsprechungspraxis (vgl. nur die vorinstanzlichen Entscheidungen des LG Köln (Az. 213 O 337/11) und des OLG Köln (Az. 6 W 237/11)) ab, wonach ein gewerbliches Element zu der Rechtsverletzung treten muss, um einen Auskunftsanspruch begründen zu können. Die gesetzliche Grundlage des Auskunftsanspruchs der Rechteinhaber in § 101 Abs. 2 Satz 1 Nr. 3 im Gesetz über Urheberrecht und verwandte Schutzrechte (UrhG) spricht ebenfalls von einem „gewerblichen Ausmaß“, in dem die Rechtsverletzung erfolgt sein muss. Der BGH führt in der Begründung zu dieser Problematik recht kurz aus, dass der Auskunftsanspruch „kein gewerbliches Ausmaß der Rechtsverletzung voraus [setze], sondern […] unter Abwägung der betroffenen Rechte des Rechtsinhabers, des Auskunftspflichtigen und der Nutzer sowie unter Berücksichtigung des Grundsatzes der Verhältnismäßigkeit in aller Regel ohne weiteres begründet [sei]“. Der BGH führt weiter aus, dass sich weder aus dem Wortlaut der Bestimmung, noch aus der Systematik des Gesetzes die Voraussetzung des gewerblichen Elements ergebe. Diese widerspräche dem Ziel des Gesetzes, Rechtsverletzungen im Internet wirksam zu bekämpfen.

In der Opposition und der Netzgemeinde ist das Urteil weitestgehend auf Unverständnis gestoßen. Kritisiert wird insbesondere, dass der Beschluss im klaren Gegensatz zum Willen des Gesetzgebers stehe. Dieser habe, so Lars Klingbeil, netzpolitischer Sprecher der SPD-Bundestagsfraktion, den Auskunftsanspruch der Rechteinhaber „… ausdrücklich und aus guten Gründen auf Verletzungen des Urheberrechts in gewerblichen Ausmaß begrenzt“.

Daneben wird beklagt, dass mit dem Beschluss das ohnehin schon durch die Rechtsprechung aufgeweichte Kriterium des „gewerblichen Ausmaßes“ endgültig gekippt werde. Oliver Süme vom eco-Verband der deutschen Internetwirtschaft e.V. rechnet damit, dass dies zu einer erheblichen Steigerung der Auskunftsersuchen an die Provider führen werde, die bereits zum jetzigen Zeitpunkt, nach erwirktem Gerichtsbeschluss, jeden Monat die Nutzerdaten zu 300.000 Internetverbindungen an die Rechteinhaber herausgeben. Zudem könne durch den Verzicht auf das gewerbliche Element die Intention des Gesetzgebers, Eingriffe in das Fernmeldegeheimnis an hohen Hürden zu messen, nicht mehr zur effektiven Durchsetzung verholfen werden.

Der Beschluss des BGH zeigt deutlicher als je zuvor, dass die angekündigte Novelle des Urheberrechts in kürzester Zeit angegangen werden sollte, um damit bei allen Beteiligten für die notwendige Rechtssicherheit im Umgang mit urheberrechtsgeschützten Inhalten sorgen zu können.

Irische Behörde will Facebook prüfen – Wissenschaftlicher Dienst legt Gutachten zu Social-Plugins vor

24. Oktober 2011

Wie heise online berichtet, plant die irische Datenschutzbehörde eine Überprüfung der europäischen Facebook-Niederlassung in der kommenden Woche. Anlass hierfür gaben auch die Beschwerden des österreichischen Studenten, der seine bei Facebook gespeicherten Daten angefordert hatte. Auf der ihm anschließend übersandten CD mit einem 1200 Seiten starken Dokument fanden sich unter anderem Einträge und Daten, die er längst gelöscht hatte.

Die Überprüfung von Facebook in Dublin soll nach dem Bericht etwa eine Woche dauern. Zuständig ist der irische „Data Protection Comissioner“, weil Facebook allein in Irland die „Facebook Ireland Limited“ als Niederlassung für Europa betreibt.

Inzwischen hat sich auch der Wissenschaftliche Dienst des Bundestages mit Facebook beschäftigt. Genauer ging es um die Anfrage eines FDP-Bundestagsabgeordneten, ob das Unabhängige Landeszentrum für Datenschutz (ULD) in Schleswig-Holstein Nutzern der Social-Plugins von Facebook zu Recht vorwerfe, gegen deutsches Datenschutzrecht zu verstoßen.

Das eindeutige Fazit der Wissenschaftler lautet, dass wegen deutlicher Unsicherheiten im geltenden Datenschutzrecht keinesfalls eindeutig von einem Verstoß ausgegangen werden könne. Die Rechtsauffassung des ULD sei vertretbar, die Behauptung eines eindeutigen Verstoßes aber unzutreffend.

Problematisch sei besonders der Personenbezug von Cookies und IP-Adressen. Die Anforderungen an die Bestimmbarkeit einer Person seien sehr umstritten und von der Rechtsprechung nicht einheitlich geklärt. Diese Kontroverse würde aber vom ULD ausgeblendet. Nicht nachvollziehbar sei auch die Begründung einer Auftragsdatenverarbeitung  nach  §11 BDSG, aus der sich die angeprangerte Verantwortlichkeit der Webseitenbetreiber für die von Facebook erstellen Statistiken ergeben könnte. (ssc)

Google Analytics und die datenschutzkonforme Ausgestaltung von Websiteanalysen

14. März 2011

Immer wieder taucht die Frage auf, ob Dienste wie Google Analytics datenschutzkonform sind. Dies richtet sich entscheidend nach den Regelungen des TMG (Telemediengesetz).

Die dabei maßgeblichen Kriterien hat der Düsseldorfer Kreis (eine informelle Vereinigung der obersten Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich) bereits im November 2009 herausgearbeitet. Festzuhalten ist dabei vor allem, dass Nutzungsprofile nur bei Verwendung von Pseudonymen erstellt werden dürfen. Eine IP-Adresse ist dabei kein Pseudonym im Sinne des Telemediengesetzes.

Der Düsseldorfer Kreis hält im Einzelnen folgende Vorgaben aus dem TMG für beachtlich:

  • Den Betroffenen ist eine Möglichkeit zum Widerspruch gegen die Erstellung von Nutzungsprofilen einzuräumen. Derartige Widersprüche sind wirksam umzusetzen.
  • Die pseudonymisierten Nutzungsdaten dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden. Sie müssen gelöscht werden, wenn ihre Speicherung für die Erstellung der Nutzungsanalyse nicht mehr erforderlich ist oder der Nutzer dies verlangt.
  • Auf die Erstellung von pseudonymen Nutzungsprofilen und die Möglichkeit zum Widerspruch müssen die Anbieter in deutlicher Form im Rahmen der Datenschutzerklärung auf ihrer Internetseite hinweisen.
  • Personenbezogene Daten eines Nutzers dürfen ohne Einwilligung nur erhoben und verwendet werden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Jede darüber hinausgehende Nutzung bedarf der Einwilligung der Betroffenen.
  • Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) ist aufgrund der Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist.

Was bedeutet dies nun für Google Analytics? Google selber gibt in den Bedingungen für Google Analytics unter Punkt 8.1 an, die IP-Adresse in die USA zu übertragen und dort zu speichern.  Die Schlussfolgerung liegt damit auf der Hand: Ohne Einwilligung des Websitenutzers zu dieser Übertragung und Speicherung ist der Einsatz von Google Analytics nicht datenschutzkonform.

Diese Einschätzung teilt auch das ULD (Unabhängiges Landeszentrum für Datenschuzt Schleswig-Holstein) und hat prägnant festgestellt, „dass „Google Analytics“ nach deutschem Recht nicht datenschutzkonform eingesetzt werden kann.“

Auf Grund dieser Kritik hat Google mittlerweile die Funktion „_anonymizeIp()“ hinzugefügt. Mit Hilfe dieser Funktion wird das letzte Oktett der IP-Adresse vor der Speicherung durch Google abgeschnitten. Wird diese Funktion verwendet, erfolgt die Analyse des Nutzungsverhaltens somit nicht mehr unter Verwendung der vollständigen IP-Adresse des Nutzers. Formell scheint damit auf den ersten Blick den Anforderungen des Düsseldorfer Kreises insofern Genüge getan sein. Das ULD fordert jedoch an anderer Stelle die Löschung der letzten beiden Oktette und begründet diese Ansicht mit den Ausführungen der Artikel29-Datenschutzgruppe in deren Arbeitspapier WP 148:

„Bei der Anonymisierung von Daten sollte jegliche Möglichkeit der Identifizierung von Personen ausgeschlossen werden. Auszuschließen ist selbst das Kombinieren der anonymisierten Informationen eines Suchmaschinenbetreibers mit Informationen, die ein anderer Beteiligter gespeichert hat (beispielsweise ein Internet-Diensteanbieter). Derzeit schneiden einige Suchmaschinenbetreiber IPv4-Adressen ab, indem sie die letzte Achtergruppe entfernen, womit sie effektiv Informationen über den Internet-Diensteanbieter oder das Teilnetz des Benutzers speichern, ohne die Person direkt zu identifizieren. Die Aktivität könnte dann von einer beliebigen der 254 IP-Adressen ausgehen. Dies ist für eine Anonymisierungsgarantie möglicherweise aber nicht immer ausreichend.“

Weiterhin ist zu beachten, dass die Nutzer auch eine wirksame Möglichkeit haben müssen, der Erstellung von Nutzungsprofilen zu widersprechen. Dazu bietet Google für Microsoft Internet Explorer, Google Chrome, Mozilla Firefox, Apple Safari und Opera ein Browser-AddOn an, welches Google Analytics für alle mit dem Browser aufgerufenen Seiten blockiert.

Sowohl zur Frage, ob die „_anonymizeIp()“ Funktion ausreichend ist, als auch bezüglich der Frage, ob die Installation eines Browser-AddOns eine wirksame Widerspruchsmöglichkeit gegen die Erstellung von Nutzerprofilen darstellt, steht eine Stellungnahme der Datenschuztbehörden noch aus.

Unternehmen, die dem Online-Datenschutz Rechnung tragen und dennoch das Nutzungsverhalten der Besucher ihres Webangebotes mit Google-Analytics auswerten möchten, muss daher geraten werden, zumindest die Funktion „_anonymizeIp()“ zu verwenden.

Wer nicht unbedingt auf Google-Analytics angewiesen ist, kann auch auf Websiteanalysetools wie das Open-Source Tool Piwik auszuweichen. Für Piwik existiert sogar eine Anleitung des ULD, die explizit beschreibt, wie dieses datenschutzkonform verwendet werden kann. (se)