Volgens de privacyverklaringen op veel websites worden IP-adressen in serverlogbestanden volledig en langdurig opgeslagen, vaak kennelijk uit veiligheidsredenen zonder enige aanleiding. Of het onnodige registreren toelaatbaar is, hangt af van of het technisch noodzakelijk is of als er mildere middelen zijn.
Inleiding
Onderscheiding: De bijdrage behandelt alleen openbaar toegankelijke servers van gewone exploitanten, dus NIET van ISPs, justitie enzovoorts. Het gaat hier vooral niet om de gevallen die door § 172 TKG gedekt worden. Er wordt aangenomen dat er geen wettelijke grondslag is volgens Artikel 6 DSGVO, bijvoorbeeld een toestemming, (anders zou de vraag snel beantwoord zijn).
Omdat het steeds weer tot misverstanden leidt: Het begrip "aanleiding" moet je fundamenteel begrijpen! Hij wordt in de bijdrage uitgelegd. De voorraadspeicheringswet heet zo, omdat ze zonder aanleiding, dus altijd, plaatsvindt!
IP-adressen zijn netwerkadressen. Zij zijn onderdeel van de Meta-informatie, die bij iedere aanvraag van een website altijd worden overgezet. Deze metadaten worden af en toe ook als Verkeersdata of Verbindingsdata aangeduid. De betekenis van deze twee begrippen lijkt in het technische en juridische kader verschillend te zijn. Daarom gebruik ik de term metadaten.
IP-adressen zijn volgens de hoogste rechtspraak van het EHRM en het BGH persoonsgegevens. Dat geldt ook voor dynamische IP-adressen, en dat al sinds 2016 (EHRM) en 2017 (BGH). De AVG is vanaf eind mei 2018 van toepassing.
IP-adressen maken het mogelijk om aanvallen te herkennen en daardoor de veiligheid van servers eventueel te verhogen. Bovendien kan door kennis van een IP-adres wellicht strafvervolging plaatsvinden. Alles lijkt mij plausibel, hoewel niet voor elk willekeurig aanvalsscenario. Mijn gesprekspartners, vele experts uit IT-veiligheid en recht, bevestigen dit.
IP-adressen zijn dus nuttig om de veiligheid van een server te verhogen en om daders op te sporen. De Nuttigheid is echter geen doorslaggevend rechtvaardigingsgrond.
De vraag luidt:
Moeten volledige IP-adressen zonder aanleiding door providers van eigen servers geregistreerd worden, of zijn er milde middelen?
Vraag van dit artikel.
Dit artikel richt zich dus op beheerders van servers. Internet Service Provider (ISP) zoals de Deutsche Telekom of Vodafone dienen hieromwillekeurig niet in aanmerking te worden genomen.
Bijwerken: De EGJH had zelfs de ongeoorloofde voorraad opslag van gegevens voor rechtswijd verklaard, als ze gebruikt zou worden om ernstige misdrijven te onderzoeken. Zie EGJH-uitspraak van 05.04.2022 (Zaaknr.: C-140/20).
Zelfs wettelijke bepalingen die preventief strekken tot bestrijding van ernstige criminaliteit en voorkoming van ernstige bedreigingen voor de openbare orde, met een algemene en onderscheidloze opslag van verkeers- en locatiegegevens, zijn wettelijk niet te rechtvaardigen.
Mijn formulering van het arrest van het Hof van Justitie van de Europese Unie van 05.04.2022, zaaknr. 101.
De EGHR stelt verder vast dat het alleen tot voorkoming van een bedreiging voor de openbare veiligheid en bestrijding van ernstige criminaliteit is toegestaan, "voor een beperkte tijdspanne een allgemeine en onderscheidloze voorraadspeicheringsopslag van IP-adressen, die aan de bron van een verbinding zijn toegekend" (Rn. 101 van het vonnis) te doen. De EGHR bevestigt daarmee, naar mijn begrip, wat ik hieronder al eerder heb uitgelegd. Want particuliere exploitanten van (web)servers hebben weinig tot niets met de openbare veiligheid te maken en helemaal niet iets met het bestrijden van ernstige criminaliteit.
Nu verder in de tekst, zonder directe verwijzing naar het hiervoor genoemde EU-Grondwet-uitspraak, dat pas na publicatie van mijn tekst is gedaan.
Het gaat in mijn bijdrage om de volgende drie voorwaarden, die plotseling van toepassing zijn:
- GEEN LOSSE AANSLAG
- Protokolering (= persistente opslag, bijv. in bestanden)
- Volledige IP-adressen
De bedoeling is het voorkomen van gevaar. Strafvervolging heeft niets met u en mij te maken en evenmin met uw server, tenzij u de politie bent, openbaar ministerie e.d.
Neem deze voorwaarden eerst tot u yourself voordat u verder leest en denkt dat u de vraag van dit artikel kunt beantwoorden!
Het gaat NIET om:
- Aanleidinggebonden registratie en/of
- Niet vastgehouden gegevens in het hoofdgeheugen en/of
- Gebruik van andere gegevens dan de volledige IP-adressen en/of
- Rechtelijke vervolging door overheidsinstanties, politie en openbaar ministerie.
Hebt u dit op? Dan leest u alstublieft verder en meldt u zich alstublieft bij mij als u de eerste wilt zijn die een concreet voorbeeld kan noemen van het ongeoorloofde registreren van IP-adressen, waarin een rechtsgrondslag zichtbaar is.
Zonder aanleiding betekent dat IP-adressen altijd geregistreerd worden zijn. Anlassbezogen zou betekenen dat met de registratie van IP-adressen pas wordt gestart bij het optreden van een gebeurtenis, zoals een vermoedelijk hack-aanval of bij het zoeken naar fouten bij netwerkproblemen of bij een aanmeldingspoging met een wachtwoord. De reden geldt pas vanaf het moment dat deze is vastgesteld of wordt aangenomen. Een terugwerkende beslissing over de reden is ongepast. Want dan zou altijd geregistreerd moeten worden, om later 99% van de gegevens te wissen (die dan anlasslos en dus, zoals beweerd, illegaal waren geregistreerd), alleen om 1% van de gegevens voor de latere vastgestelde reden te gebruiken. Een reden kan ook worden aangenomen als een automatisering met een voldoende hoge waarschijnlijkheid een reden als aanwezig ziet. Deze hoge waarschijnlijkheid kan echter helemaal niet voor elke mogelijke (dus anlasslose) toegang gelden (behalve, iedere toegang tot een server vindt plaats vanuit een hacker). In dit artikel gaat het niet om de discussie over waarschijnlijkheidspercentages. Een duurzame registratie is in elk geval gebaseerd op een waarschijnlijkheid van 0% dat een reden aanwezig is, en is dus ongepast, beweer ik.
Een aanleiding is een vermeend gebeuren. Een altijd plaatsvindende registratie is duidelijk zonder aanleiding.
Viele Artikel in PDF-Form · Kompakte Kernaussagen für Beiträge · Offline-KI · Freikontingent+ für Website-Checks
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
