18. Januar 2010
Kategoriebild infos_service.png
Presseanfrage: IP-Nummern in Logfiles

Die c’t hat uns auf einen Beschluss der “obersten Aufsichtsbehörden für den Datenschutz” hingewiesen, der sich kritisch mit der Praxis von IP-Logfiles und -Auswertungen durch Webseitenbetreiber auseinandersetzt. Gleichzeitig wurden wir gefragt, ob

1. wir die IP-Adressen der Besucher von Kundenwebseiten speichern

2. wir unseren Kunden Logfiles mit IP-Nummern zur Verfügung stellen

3. die IP-Nummern in Logfiles durch uns anonymisiert werden

4. die Logfileerstellung standardmäßig ein- oder ausgeschaltet ist

5. Kunden die Logfileerstellung selbst unterbinden können

6. durch uns Logfile-Analyse-Tools angeboten/empfohlen werden

7. Neukunden auf die Rechtslage hinweisen

8. wir Änderungen an der bisherigen Voreinstellungen planen

Grundsätzlich ist der jeweilige Kunde für die rechtskonforme Nutzung von Serverlogfiles verantwortlich, die wir im Rahmen der technischen Dienstleistung bereitstellen. Dennoch möchten wir natürlich weder unsere Kunden “ins offene Messer laufen lassen” noch bei diesem wichtigen datenschutzrechtlichen Thema einfach die Augen verschließen. Daher haben wir die Rechtslage auch bereits mehrfach (zuletzt – ebenfalls mehrfach – im vergangenen Jahr) durch unsere Rechtsanwälte überprüfen lassen. Dabei hat sich gezeigt, dass – zumindest zum damaligen Zeitpunkt – keine eindeutige rechtliche Situation existiert und die Frage zur Handhabung von IP-Adressen auch unter Juristen noch intensiv diskutiert wird.

Selbstverständlich haben wir die Anfrage zum Anlass genommen, um eine erneute Überprüfung zu beauftragten. Weiterhin werden wir folgende kurzfristige Änderungen einführen:

  • Neue Option “Deaktivierung von Logfiles” im Kundenmenü (bisher muss der Logfile-Ordner gelöscht werden), Zeitrahmen: ca. 2 Wochen
  • Mit Einführung der neuen Option: Logfiles bei neuen Accounts sind standardmäßig deaktiviert; Infoanzeige bei der Aktivierung mit Hinweis auf Rechtslage
  • Aufnahme einer Information in die Neukunden-Begrüßungsemail, Zeitrahmen: heute oder morgen
  • Nach Abschluss der rechtlichen Klärung Infomail an alle Kunden zu diesem Thema, Zeitrahmen: ca. 2-4 Wochen

Grundsätzlich hätten wir auch kein Problem damit, IP-Nummern aus Logfiles einfach auszunehmen oder zu anonymisieren. In der Praxis befürchten wir bei einem solchen Schritte aber einen Proteststurm unserer Kunden, zumal die Bereitstellung von Serverlogfiles als branchenüblich zu bezeichnen sein dürfte und eine Anonymisierung sowohl mit den üblichen Tools vollständig kompatibel (d.h. wie eine IP-Nummer aufgebaut) sein muss als auch das Risiko einer “Verwechslung” mit realen IP-Nummern gleichzeitig ausschließen muss. Die anonymisierte IP-Adresse muss also im üblichen Format (123.456.789.000) aufgebaut sein, darf aber nicht mit realen IP-Nummern übereinstimmen. Denn anderenfalls kommen viele Analysetools sicherlich nicht mehr mit den gelieferten Rohdaten klar, eben weil die IP-Nummer in einem bestimmten Format erwartet wird. Der Austausch gegen einen Hash o.ä. scheidet daher ebenfalls aus, wenn man den Nutzwert der Logfiles (Verweildauer, Pfadanlayse, usw. – das “tägliche Brot” vieler Webseitenbetreiber also) erhalten will. Auch die einfache Kürzung der IP um einige Ziffern fällt daher flach.

Wir hoffen daher, mit den o.g. Schritten einen guten Mittelweg gefunden zu haben. Wer in Zukunft keine Logfiles braucht, bekommt sie gar nicht erstellt. Umgekehrt ist vielmehr eine bewusste Aktivierung möglich, bei der – ebenso wie bereits in der Tarif-Infomail auf die Rechtslage hingewiesen wird.

[Insgesamt ist das leider eines der Themen, bei denen man als Provider im Spannungsfeld zwischen den datenschutzrechtlichen Einschätzungen einerseits und den Kundenanforderungen bzw. der Marktsituation andererseits leicht zerrieben wird. Einfach weil es schwierig ist, bei gleichzeitig umstrittener Rechtslage den perfekten Mittelweg zu finden. Würden IP-Adressen hingegen z.B. grundsätzlich und eindeutig nicht erhoben werden dürfe, wäre das für uns und alle Mitbewerber klar umsetzbar, ohne sich der Kritik von Kunden ("andere können und machen das doch auch") aussetzen zu müssen.]

Vielleicht bei dieser Gelegenheit eine Frage an Leser: Wie ist die Nutzung von Serverlogfiles und die Kenntnis der Sachlage? Werden Logfiles benötigt und genutzt? Wie ist der Umgang hinsichtlich IP-Adressen? … – es wäre sicher interessant, hierzu einige Stimmen aus der Alltagspraxis zu hören. :-)

von Sara veröffentlicht in Infos & Service
Trackbacklink - RSS-Feed der Artikelkommentare: RSS 2.0
Veröffentlicht in Infos & Service
Schlagwörter: ,

Kommentare & Trackbacks

Tobia Sara
18. Januar 2010
07:18 Uhr

Weil die Frage vermutlich kommen wird, hier die Antworten auf die o.g., gestellten Fragen als Auszug aus der Antwort an die Redaktion:

“>1. Wir stellen Kunden in einigen Tarifen Serverlogfiles zur Verfügung; diese enthalten auch IP-Adressen der Besucher der Webseite. Wir selbst halten die Webserverlogfiles nicht für eigene Zwecke vor.

>2. Siehe 1.

>3. Nein, wir haben diese Möglichkeit geprüft jedoch aus praktischen technischen Gründen verworfen. Eine Anonymisierung muss ja insbesondere einerseits mit verbreiteten Analysetools kompatibel sein und darf andererseits keine Rückschlüsse auf den Webseitenbesucher erlauben. Eine Lösung zur wirksamen und zugleich kundenfreundlichen Anonymisierung der IP-Adressen bei gleichzeitigem Nutzungserhalt der vertraglich geschuldeten Funktion “Logfilebereitstellung” haben wir bei der technischen Prüfung nicht festgestellt. Da laut anwaltlicher Einschätzung (zuletzt aus 2009) die Rechtslage auch noch keinesfalls eindeutig ist, lag auch keine rechtliche Grundlage vor, um das vertraglich vereinbarte Feature zu verändern (“Ab sofort keine IP-Nummern mehr / nur noch anonymisierte IP-Nummern”). Es haben bisher also rechtliche und praktische Punkte gegen die Anonymisierung gesprochen.

>4. In Tarifen mit Logfile-Bereitstellung ist diese Option automatisch aktiviert; die Logfiles werden in dieser Standardeinstellung nach 7 Tagen automatisch gelöscht.

>5. Ja, dies ist möglich, in dem der Kunde den Ordner /logs löscht.

>6. Wir bieten keine speziellen Analyse-Tools an. Eventuelle Empfehlungen im Rahmen des technischen oder nicht-technischen Kundenservice können vom Einzelfall abhängen.

>7. Bisher weisen wir darauf nicht hin, da laut Ergebnis anwaltlicher Prüfungen die Rechtslage noch nicht eindeutig und unter Juristen umstritten ist. Wir nehmen jedoch ab sofort (mit Wirksamkeit ab voraussichtlich kommenden Montag oder Dienstag) eine Information in die an alle Kunden nach Freischaltung eines Auftrages versendete Infomail auf. Weiterhin werden wir alle Kunden über eine ggf. geänderte Rechtslage per Infomail informieren (siehe 8.).

Ebenfalls habe ich veranlasst, dass wir sehr zeitnah die automatische Erzeugung von Logfiles deaktivieren und bei Aktivierung im Kundenmenü einen Hinweis mit weiteren Informationen anbringen. Den genauen Zeitpunkt hierfür kann ich Ihnen Anfang kommender Woche gerne mitteilen.

>8. Selbstverständlich. Wir haben eine erneute Prüfung veranlasst und werden bei entsprechendem Prüfungsergebnis über die bereits unter 7. genannten Punkte hinaus reagieren. Hierbei kann je nach Ergebnis der Prüfung z.B. auch eine Kundenrundmail mit der Information über eine ggf. unklare Rechtslage und – bei inzwischen eindeutiger Rechtslage – die Änderung der bisherigen Praxis (= Entfall der unanonymisierten IP-Nummer in bereitgestellten Logfiles) zeitnah erfolgen. Gerne halte ich Sie diesbezüglich auf dem Laufenden.

Allgemein möchte ich folgendes anmerken:

Grundsätzlich haben wir kein Interesse an der Erfassung von IP-Nummern der Webseitenbesucher unserer Kunden. In der Praxis ist dies jedoch eine Funktion, die immer noch als branchenüblich betrachtet werden kann, vertraglich geschuldet wird und durch Kunden genutzt wird, um z.B. die Verweildauer und Besucherströme zu analysieren. Logfiles ohne IP-Nummer oder ein aus Nutzungssicht ähnliches, anonymes Merkmal sind leider ein praktisches Problem und erfüllen die Anforderungen von Hostingkunden in der Regel nicht.

Die laut unserer Anwälte uneindeutige Rechtslage hat daher in der Vergangenheit eine Änderung des Ist-Zustandes verhindert, da wir hier einerseits mit anderen Providern im Wettbewerb stehen und Kunden eben einen anderen Hoster wählen, wenn dort die Logfiles mit IP-Nummern angeboten werden und zeitgleich keine rechtlich eindeutige Lage die IP-Nummernentfernung aus den Logfiles gegenüber den Kunden rechtfertigt. Andererseits ist es auch für uns keine technisch gute Lösung ersichtlich gewesen, die ohne nennenswerte Nachteile eine Anonymisierung ermöglicht.

Sofern die Rechtslage jedoch inzwischen eindeutig(er) sein sollte, werden wir dieses Thema natürlich erneut aufgreifen und auch zeitnah Lösungen finden, die eine Einhaltung der gesetzlichen Vorschriften wieder vollständig sicherstellen.

Wie bereits an anderer Stelle erwähnt haben wir den Sachverhalt im Jahr 2009 mehrfach überprüfen lassen und hatten in Folge der damit verbundenen, rechtlichen Einschätzung die geschilderte Praxis fortgesetzt.

Ich hoffe, Ihnen mit den Auskünften weitergeholfen zu haben und stehe für Rückfragen selbstverständlich gerne zur Verfügung.”

Gerald
18. Januar 2010
08:28 Uhr

Ich hätte ein Problem damit bei unliebsamen Ereignissen dann eine IP zu sperren wenn ich sie nicht kenne. Da ich zusätzlich einen Blog und ein Forum betreibe wird die IP aus Sicherheitsgründen eh übermittelt. In der Regel lösche ich die Logfiles nach einem Tag wenn keine Auffälligkeiten bestehen.
Daß ein Provider die betreffenden IPs nicht unbedingt braucht kann ich ja verstehen, aber als Besitzer einer Webseite möchte ich schon wissen wer auf meine Seite zugreift ohne die Daten allerdings weiterzuverwerten. Wer in meine Wohnung will muß sich auch ausweisen ohne daß ich Daten sammle.

Stellt euch mal die Situation vor. Der Staat kennt die Besucher meiner Webseite, ich aber nicht. So darf das nicht laufen.

Außerdem würden dann viele Tools nutzen die es im Internet gibt und sogar “Livelogs” erlauben. Ob das nun sicherer ist…?

Desweiteren hat man als Kunde im Gegensatz zum Provider keine Möglichkeit die IP einer bestimmten Person oder Firma zuzuordnen (sofern sie keine Eintragung im Register hat), meist tauchen im Log eh nur die Namen der Provider (Host) und nicht die IP auf.

Das manche Firmen mithilfe der Statistik ihre Werbung (und Webseiten) optimieren dürfte wohl auch nicht schlimm sein.

Schwarze Schafe die die Daten zu etwas anderen mißbrauchen wird es immer geben. Aber das Autofahren wird doch wegen ein paar Schwarzfahrern auch nicht verboten, oder?

Ich könnte allerdings durchaus auf Zusatzdaten wie Browser und Betriebssystem, etc. verzichten, aber das wäre für andere wiederum genau das was sie für die Optimierung ihrer Webseiten brauchen.

Wen es notwendig sein sollte und technisch möglich ist kann man ja für den einzelnen Kunden entsprechende Filter einbauen….aber wegen mir…muß nicht.

werning
18. Januar 2010
09:07 Uhr

Hallo,

das Problem geht doch aber weiter.
Ist die IP generell personenbezogen darf diese nicht gespeichert aber eben auch nicht übertrgen werden.

So sehen schon jetzt einige die Einbindung von Drittscripten als kritisch:
http://www.werning.com/blog/2009/12/verbot-von-externen-js-scripts/

Zue WebAnalyse, insbesondere zu Google Analytics:
http://www.werning.com/blog/2009/11/fakten-alle-jahre-wieder%e2%80%a6-google-analytics/

Ich bin gespannt ob es eine eindeutige Rechtsöage geben wird und Deutschland dann vom Internetmarkt “abgehängt” wird.

Grüße
Thomas Werning

Thorsten
18. Januar 2010
09:16 Uhr

Gibt es irgednwie die Möglichkeit, die Logfiles je Domain ein- bzw. auszuschalten? Dies fände ich extrem hilfreich, nachdem ich das Blog gerade gelesen habe.

Tobia Sara
18. Januar 2010
09:20 Uhr

Derzeit werden noch automatisch Logfiles erstellt (und nach 7 Tagen jeweils wieder gelöscht). Wer das nicht möchte, kann einfach den Ordner /logs im Webspace-Hauptverzeichnis löschen. Ab Ende Januar gibt es dafür auch eine Option “Keine Logfiles erstellen” bei der entsprechenden Kundenmenüfunktion; diese wird dann bei neuen Accounts auch voreingestellt sein.

Tobia Sara
18. Januar 2010
09:21 Uhr

So sieht der oben angekündigte neue, ab voraussichtlich heute in allen relevanten Tarifinfomails bei Neubestellungen enthaltene Hinweis aus:

========================================

3. Datenschutz: IP-Nummern in Logfiles

In dem von Ihnen genutzten Tarif ist die Bereitstellung von
Webserverlogfiles durch automatische Hinterlegung dieser
Logfiles auf Ihrem Webspace möglich. Bitte beachten Sie in
diesem Zusammenhang jedoch, dass die Logfileerstellung
durch uns nur als technischer Dienstleister für Sie erfolgt
und für die Einhaltung der bei Nutzung von Serverlogfiles
maßgeblichen Bestimmungen Sie selbst verantwortlich
sind. So sind insbesondere bei der Nutzung der in diesen
Logfiles enthaltenen IP-Nummern die rechtlichen
Bestimmungen des Telemediengesetzes (TMG) durch Sie
als Webseitenbetreiber einzuhalten, da es sich bei IP-
Adressen nach Einschätzung der obersten Aufsichts-
behörden für den Datenschutz nicht um Pseudonyme
im Sinne des TMG handelt. Weitere Informationen dazu
finden Sie auch in unserem Kundenforum unter
http://forum.df.eu/forum/showthread.php?t=54520.
Aufgrund der rechtlichen Gegebenheiten raten wir dazu,
vor Nutzung der Serverlogfiles bzw. IP-Nummern die
genauen rechtlichen Rahmenbedingungen im Einzelfall
selbst klären zu lassen und im Zweifelsfall von einer
Nutzung abzusehen. Dies gilt natürlich nicht nur für die
Webserverlogfiles, sondern auch für z.B. von durch Ihre
Anwendungen selbst erzeugte und IP-Nummern
beinhaltende Logfiles.

Übrigens: In der Voreinstellung werden durch uns nächt-
lich Webserverlogfiles auf Ihrem Webspace hinterlegt
und nach jeweils sieben Tagen wieder gelöscht. Um die
Bereitstellung von Webserverlogfiles auf Ihrem Webspace
zu deaktivieren, löschen Sie bitte einfach den Unterordner
/logs in Ihrem Webspace.

========================================

Odde23
18. Januar 2010
10:04 Uhr

Bei dem ganzen Tamtam um die Speicherung von IP-Adressen muß man aber auch berücksichtigen, dass die IP-Adressen bei der Verfolgung von Straftaten sogar von Ermittlungsbehörden angefordert werden. Ich hatte diesen Fall schon mehrfach bei Shopbetreibern, die Opfer von Kreditkartenmissbrauchs wurden. Hier hat die Staatsanwaltschaft immer die geloggten IP-Adressen abgefragt. Eine Ermittlung des Täters ist ja sonst unmöglich. Auch bei Foren halte ich das nicht loggen von IP-Adressen für kritisch, gerade im Zusammenhang mit Urheberechts oder Markenrechtsverletzungen. Da hat man sonst als Forenbetreiber recht schnell ziemlich dicken Ärger am Hals.

Adrian
18. Januar 2010
10:10 Uhr

Der Personenbezug von IP-Adressen ist so ziemlich der größte Krampf in unserem deutschen Datenschutzrecht. “Personenbezug” heißt in diesem Zusammenhang, dass eine Person mit Hilfe eines Datums (z.B. der IP-Adresse) “eindeutig bestimmt werden kann”.

Die Datenschutzbehörden und eine ganze Menge anderer Juristen vertreten aber die Meinung des “absoluten Personenbezugs”. Danach reicht die objektive Möglichkeit, mit einem Datum einen Personenbezug herzustellen. Kann also der Provider die Person hinter der IP-Adresse identifizieren, gilt das Datum für *jeden* als personenbezogen. Eben weil objektiv ja ein Personenbezug herstellbar ist.

Ich finde das ziemlichen Unsinn, weil die IP-Adresse an sich ja nur einen Internetanschluss oder maximal ein Gerät eindeutig identifiziert. Welche Person über diesen Anschluss oder dieses Gerät nun ins Netz gegangen ist, lässt sich in den seltensten Fällen eindeutig feststellen. Von einer “eindeutigen Bestimmbarkeit” kann fast nie die Rede sein. Und einem Webmaster die Speicherung von IPs zu verbieten, nur weil *irgendjemand anderes* einen Personenbezug herstellen kann, halte ich auch für Unfug. Der Datenschutz wird damit banalisiert. Außerdem ergeben sich damit eine ganze Menge Widersprüche mit anderen Rechtsgebieten, siehe: http://www.feldblog.de/?p=266

Das Problem ist, dass das Gesetz nur eine “Alles oder nichts”-Lösung bietet. Nimmt man an, dass IP-Adressen kein personenbezogenes Datum darstellen, dürfte man mit IPs so ziemlich alles anstellen, was man will. Es gibt eben keine spezielle Regelung dafür.

Einzig das BSI darf neuerdings sog. “Protokolldaten” erheben. Eine entsprechende Regelung für Otto-Normal-Bürger wurde wegen des Protestes von Datenschützern wieder gestrichen. Ich finde das ein ziemliches Eigentor. So eine Regelung wäre ein schöner Weg gewesen, dieses leidige Problem mit den IP-Adressen endlich mal eigenständig zu lösen, ohne sich mit dem Personenbezug rumschlagen zu müssen.

Adrian
18. Januar 2010
10:13 Uhr

@Odde23: Genau das Problem mit dem Forenbetreiber behandelt der Link, den ich oben gepostet habe. Einige Gerichte fordern von Intermediären (also Plattformen für user generated content) in bestimmten Fällen das Speichern von IP-Adressen, um nicht für die Inhalte der User selbst zu haften. Das gilt im konkreten Fall für die Kommentare in einem Blog, ähnliche Urteile gibt es aber auch zu Foren und zum Beispiel gegen Rapidshare.

Problem: Die IP-Adresse *darf* gar nicht gespeichert werden. Der Betreiber sitzt dann in der Zwickmühle: Speichert er die IP gibt’s Ärger mit dem Datenschutzbeauftragten. Speichert er sie nicht, gibt’s Ärger mit dem LG Hamburg. Verzwickt…

Florian König-Heidinger
18. Januar 2010
10:33 Uhr

Hallo,

für die Analyse der Besucherströme sind Logfiles sowieso nur bedingt geeignet. Da verwende ich lieber Tagging-basierte Lösungen.
Trotzdem vergleiche ich die Daten immer auch gerne mit den Auswertungen der Logfiles. Die Tagging-basierten Lösungen können nur die Aufrufe meiner Seiten ermitteln, während Logfiles aufzeigen, was wirklich auf dem Server passiert. Wenn beispielsweise Bilder von meiner Seite auf fremden Seiten eingebunden werden, so kann ich dies in der Logfiles-Auswertung erkennen (diese können sich zu Traffic-Fressern entwickeln…)

Für mich sind die Logfiles aber auch wichtig, um mögliche Angriffe analysieren zu können. So konnte ich über Logfiles einen leider erfolgreichen Angriff auf einer meiner Kunden über die Logfiles rekonstruieren und das Sicherheitsloch erkennen und beseitigen. Die IP-Adressen dienen dabei nur zur Wiedererkennung des Angreifers, um die Logfile-Einträge zuordnen zu können. Dabei ist es mir egal, ob es sich um die echte oder eine pseudonymisierte Adresse handelt.
Ob man mit diesen IP-Adressen dann auch wirklich den Angreifer ermitteln kann, ist meist eh fragwürdig – dann müßte der Angreifer schon ausgesprochen dumm sein (und das Sicherheitsloch dementsprechend peinlich).
Durch die Erkenntnis aus den Logfiles konnte ich einige zusätzliche Sicherheitsmaßnahmen aufbauen, mit denen bisher alle weiteren Angriffe abgeblockt werden konnten.

Die Veränderung der Websites durch die Hacker erfolgte dabei erst mehrere Wochen nach dem Angriff (da hatten sie sich nur Zugang verschafft). Erst durch die Veränderung wurde ich auf den Angriff aufmerksam, wodurch ich auch auf ältere Logfiles zugreifen mußte.

Daher: Mir persönlich sind Logfiles schon wichtig. Das einzige AnalyseTool, dass meine Logfiles nachbearbeitet ist UltraEdit ;-) und dem ist es egal, welche Form IP-Adressen haben. Schön wäre es, wenn es ein Häckchen mit “IP-Adressen für diese Domain in den Logfiles anonymisieren” gäbe.
Wünschenswert ist auch ein zusätzlicher längerer Zeitraum (z.B. 60 Tage).

Schöne Grüße,
Florian König-Heidinger

Odde23
18. Januar 2010
10:41 Uhr

Hallo Adrian,
ich finde es ebenfalls sehr bedauernswert, dass es hier der Gesetzgeber bereits mehrfach versäumt hat, klare Regeln und damit auch Rechtssicherheit zu schafeen, die zum einen nicht an der Realität vorbeigehen aber auch den Datenschutz nicht zum Täterschutz aversieren zu lassen. Ich hoffe dass in diesem Luftlleren Raum bald Rechtssicherheit geschaffen wird, entweder durch den Gesetzgeber selbst oder durch den BGH. Die gegenwärtige Situation ist nämlich alles andere als angenehm.

Nulloption
21. Januar 2010
00:43 Uhr

Wie schon in anderen Kommentaren geschrieben, widerspricht sich “der Gesetzgeber” hier selbst bzw. kommen so einige Juristen auf sehr merkwuerdige Ideen in Sachen Internet und IP-logging. Ich betreibe ein community Projekt mit einer sehr grossen Datenbank mit Webzugriff, bei dem man IP-Adressen u.a. braucht, um den gelegentlichen Missbrauch abzustellen. Wenn eine entsprechende (unsinnige) Gesetzgebung kommt, werden eben noch mehr Firmen und Projekte einfach ins Ausland abwandern. Wenn das so weitergeht, ist es bald eine Ueberraschung, wenn es deutsches Hosting ueberhaupt noch gibt. Deutsche Gruendlichkeit und Regelungswut sollten sich einmal zuruecklehnen und in einer langen Pause eine gute Prise common sense und Sachverstand konsumieren ;-)

Schiwi
19. Februar 2010
07:57 Uhr

Meine Lösung lautet, das ich die IP´s in meinen Logfiles anonymisiere (Das vierte Byte wird zur 0 )
Bisher habe ich damit keine Probleme bei Statistikprogrammen wie awstats, analog oder webalizer, solange ich die DNS Abfrage in der config deaktiviere
Angriffe wie Spam oder schlimmeres speichere ich mit kompletter IP in einer seperaten Logdatei, diese wird nicht für die Statistik verwendet

Die Kommentarfunktion für diesen Beitrag ist geschlossen.