JurPC Web-Dok. 43/2003 - DOI 10.7328/jurpcb/200318240

Regierungspräsidium Darmstadt
Schreiben vom 14.01.2003

II 21.4-3v-04/03-043/02

Speicherung der Internetverbindungsdaten durch Provider

JurPC Web-Dok. 43/2003, Abs. 1 - 15


BDSG § 9

Leitsätze (der Redaktion)

1. Die Speicherung der IP-Nummer durch den Accessprovider ist gerechtfertigt, damit der Provider im Zweifelsfall die kostenpflichtige Erbringung seiner Leistung wirklich korrekt und durchsetzbar nachweisen kann.

2. Die Maßnahme der Speicherung der IP-Nummer ist auch gemäß § 9 BDSG zur Gewährleistung der Datensicherheit erforderlich, da durch sie eine wirksame Zugangskontrolle, insbesondere auch im Hinblick auf Trojaneraktivitäten und Hacker gewährleistet werden kann.
An alle Petenten

in Durchschrift an:
T-Online International AG, Darmstadt
H.-Verlag (Zeitschrift ..., Hannover)
LfD Niedersachsen (Hannover)
JurPC Web-Dok.
43/2003, Abs. 1
Datenschutzaufsicht im nicht öffentlichen Bereich

Speicherung der vergebenen dynamischen IP-Nummer durch Internet-Zugangsprovider T-Online International AG, 64331 Weiterstadt
Abs. 2
Sehr geehrter Herr ...,

Sie sind Kunde der T-Online International AG und hatten sich als Betroffener darüber beschwert, dass das Unternehmen in seiner Funktion als Internet-Zugangsprovider (Accessprovider) zu Datum, Uhrzeit und Länge einer Internet-Sitzung auch die an den jeweiligen Kunden für die Online-Sitzung vergebene dynamische IP-Nummer über das Ende dieser Nutzung hinaus speichert. Unter Hinweis auf den von Ihnen genutzten zeit- und volumenunabhängigen Pauschaltarif des Unternehmens für den Internetzugang über eine DSL-Netzwerkverbindung (T-DSL-Flatrate) hatten Sie gebeten, die Frage der Zulässigkeit der IP-Nummern-Speicherung für Kunden mit diesem Pauschaltarif der T-Online International AG datenschutzrechtlich zu prüfen, besonders da hierbei keine Abrechnungserforderlichkeit im Sinne des § 6 Abs. 4 TDDSG gegeben sein könnte.
Abs. 3
Nach intensiver Prüfung der Angelegenheit, auch unter Beteiligung eines Gesprächskreises der für den Datenschutz im nicht-öffentlichen Bereich zuständigen obersten Datenschutzaufsichtsbehörden der Bundesländer, darf ich Ihnen unter Bezug auf meine Zwischennachricht im folgenden die zugesagte datenschutzrechtliche Beurteilung dieser Fragestellung durch die für die T-Online International AG zuständige Datenschutzaufsichtsbehörde beim Regierungspräsidium Darmstadt zukommen lassen:Abs. 4
Die Speicherung der IP-Nummer ist gerechtfertigt, damit die T-Online International AG im Zweifelsfall die kostenpflichtige Erbringung ihrer Leistung wirklich korrekt und durchsetzbar nachweisen kann. Die IP-Nummer dient dazu, die Fehlersicherheit der Datenverarbeitung sowie die Nachweisbarkeit und die Durchsetzbarkeit von Forderungen zu gewährleisten. Es muss anerkannt werden, dass diese Ziele ohne die vergebene und dokumentierte IP-Nummer gerade bezüglich der für die Abrechung notwendigen Aufstellung der Nutzungsdaten bei zeit- und volumenabhängigen Nutzungstarifen grundsätzlich nicht ohne diesbezüglichen Qualitätsverlust erreicht werden können.Abs. 5
Bei sog. "Flatrates" muss bezüglich der Abrechungszwecke berücksichtigt werden, dass Kunden der T-Online International AG innerhalb des T-DSL-Flat-Tarifes auch Verbindungen über ISDN, Modem oder GSM aufbauen können, die dann nicht mehr pauschal, sondern zeitabhängig verrechnet werden. Da der Tarif T-DSL-Flat bei T-Online nur für Hauptbenutzer gilt, werden die Verbindungen vorhandener Anschluss-Mitbenutzer des Flatrate-Kunden ebenfalls in Abhängigkeit von der jeweiligen Onlinezeit und nicht mehr pauschal berechnet, ebenso wie das Abrufen kostenpflichtiger Inhalte auch für T-Online Flatrate-Kunden zusätzliche Kosten und Gebühren verursacht, die über die vergebene IP-Nummer abgerechnet werden.Abs. 6
Weiterhin kann bei "Flatrates" mit der protokollierten IP-Nummer z. B. eine von Kunden behauptete Leistungsstörung widerlegt, bzw. der Umfang einer vorhandenen Leistungsstörung mit den zu bestimmten Zeiten vergebenen IP-Nummern umrissen werden. Sollten Kunden also mit Hinweis auf Leistungsstörungen beabsichtigen, die zu entrichtende Pauschale anteilig zu kürzen, kann das Unternehmen mit der Dokumentation über die zu dieser Zeit vom Radius-Server vergebenen IP-Nummern den Gegenbeweis antreten, ohne dass hierfür die Inhalte der Nutzungen protokolliert werden müssten. Die Speicherung der IP-Nummer dient also der Kontrolle der Verfügbarkeit, Fehlersicherheit und Revisionsfähigkeit des Abrechungssystems (unabhängig vom jeweiligen Tarif). Ob man diese Speicherung der IP-Nummer in jedem Fall auch unter dem Aspekt der "Erforderlichkeit für Abrechungszwecke" im Sinne des § 6 Abs. 4 TDDSG einordnen kann, kann dahingestellt bleiben, weil die Maßnahmen auch gem. § 9 BDSG zur Gewährleistung der Datensicherheit erforderlich sind.Abs. 7
Die Speicherung und Verarbeitung der vergebenen dynamischen IP-Adresse durch einen Internet-Zugangsprovider stellt auch insoweit ein geeignetes Mittel zur Erreichung der Sicherheits- und Schutzziele des § 9 BDSG und Anlage hierzu dar, als sie insbesondere zur Einrichtung einer wirksamen Zugriffskontrolle nach Nr, 3 der Anlage zu § 9 BDSG, aber auch für die oft zeit- und personalaufwändige Analyse vergangener Angriffe und anderer Unregelmäßigkeiten (Portscans, Trojaneraktivitäten, Hacker-Attacken usw.) zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung unabdingbar ist, da Angreifer bei ihren Aktivitäten ihre IP-Adresse im Server- oder Firewall-Logfile des "Opfers" hinterlassen und ein Angreifer dann nur anhand dieser Zusatzinformation (Zeitpunkt und IP-Adresse) von seinem Access-Provider ermittelt werden kann.Abs. 8
Ein ebenso geeignetes oder gar effektiveres Instrumentarium, das ohne die dokumentierte Information über die für einen bestimmten Zeitraum vergebene IP-Nummer ähnlich wirksam wäre, ist nicht zu erkennen.Abs. 9
Die Speicherung der IP-Nummer als Maßnahme zur Gewährleistung der Datensicherheit ist zulässig, da § 9 BDSG (nebst Anlage) von den Bestimmungen des TDDSG unberührt bleibt (§ 1 Abs. 2 TDDSG) und die Gewährleistung der Datensicherheit im Online-Bereich ebenso erforderlich ist, um die Inanspruchnahme der Dienste im Sinne des § 6 Abs. 1 TDDSG zu ermöglichen, wie sie im Offline-Bereich der Erfüllung von Vertragsverhältnissen dient (§ 28 Abs. 1 Nr. 1 BDSG). Es muss in diesem Zusammenhang auch darauf aufmerksam gemacht werden, dass es geradezu paradox wäre, wenn in dem an technischen, rechtlichen und tatsächlichen Unsicherheiten kaum noch zu überbietenden Regelungsgegenstand "Internet" mit den vielfältigen Sicherheitsdefiziten des aktuellen IPv4-Standards auf die Anwendung von Kontroll-, Sicherungs- und Sicherheitsvorschriften verzichtet würde, die aber für andere, ungefährdetere Datenverarbeiter der "Offline-Welt" nach § 9 BDSG und Anlage hierzu sehr wohl gelten und dort eingehalten werden müssen.Abs. 10
Auch die dem TKG unterliegenden Anbieter von Telekommunikationsdienstleistungen müssen nach § 87 TKG der zuständigen Regulierungsbehörde für Telekommunikation und Post ein Datensicherheitskonzept vorlegen, dass die Protokollierung von IP-Nummern vorsieht.Abs. 11
Der Hessische Datenschutzbeauftragte gelangt in einem Rechtsgutachten, das für die Datenschutzbeauftragten der Hessischen Hochschulen erstellt wurde, ebenfalls zu der Auffassung, dass eine Aufbewahrung bestimmter Nutzungsdaten, die zu Zwecken der Datensicherung und Datenschutzkontrolle gespeichert werden, zulässig ist (28. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten, Nr. 9.1.1.2, Nr. 9.1.2).Abs. 12
Die weiteren in den bisherigen Gesprächen mit dem Unternehmen zu diesem Problemkreis aufgetretenen Fragen werde ich mit dem Unternehmen weiterhin intensiv diskutieren. Dabei wird eine Überprüfung des zugriffsberechtigten Personenkreises sowie die Frage der zulässigen Höchstspeicherfrist dieser Daten im Vordergrund stehen.Abs. 13
Vor dem Hintergrund einiger Presseberichte der letzten Monate, in denen über die Speicherung der vergebenen dynamischen IP-Nummer in Verbindung mit den Bestrebungen der EU und des Deutschen Bundesrates zur sog. "Vorratsdatenspeicherung" informiert wurde, möchte ich abschließend nochmals darauf hinweisen, dass die T-Online International AG keine Informationen darüber speichert, welche Dienste im weltweiten Internet genutzt und welche WWW-Seiten angesurft, bzw. welche Inhalte und Daten heruntergeladen wurden. Diese Daten werden nach der Online-Sitzung umgehend gem. § 4 Abs. 4 Nr. 2 TDDSG i. V. m. § 6 Abs. 4 TDDSG von T-Online gelöscht.Abs. 14
Es bleibt in diesem Zusammenhang anzumerken, dass während der Gespräche mit dem Unternehmen in den letzten Monaten im Gegenteil der Eindruck entstanden ist, dass die T-Online International AG den sicherheitspolitischen Vorhaben auf deutscher und europäischer Ebene zu einer weitreichenden verdachtsunabhängigen Vorratsspeicherung von Telekommunikationsdaten (data retention), wie sie z. B. die vom Europarat verabschiedete Cybercrime Convention (Art. 14-22) und ein Vorschlag der aktuellen dänischen EU-Präsidentschaft vorsehen, deutlich ablehnend gegenüber steht.

Mit freundlichen Grüßen
Im Auftrag
...
JurPC Web-Dok.
43/2003, Abs. 15
[online seit: 27.01.2003]
Zitiervorschlag: Behörde, Datum, Aktenzeichen, JurPC Web-Dok., Abs.
Zitiervorschlag: Darmstadt, Regierungspräsidium, Speicherung der Internetverbindungdaten durch Provider - JurPC-Web-Dok. 0043/2003