Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Server Logs von Web Servern: Protokollierung von IP-Adressen ist keine gute Idee (Vorratsdatenspeicherung)

4

Der EuGH hat bestätigt, was ich zuvor behauptet habe: Volle IP-Adressen dürfen in Web Servern nicht anlasslos protokolliert werden. Selbst das BSI hatte in dieser Frage zum Datenschutz geirrt.

Update: Am 20.09.2022 bestätigte der EuGH seine Rechtsprechung (verbundene Rechtssachen C‑793/19 und C‑794/19). Insbesondere stellte de EuGH fest, dass IP-Adressen nur zum Schutz der nationalen Sicherheit, zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit für einen auf das absolut Notwendige begrenzten Zeitraum gespeichert werden dürfen (Rn. 131).

Urteil zur Vorratsdatenspeicherung

Am 05.04.2022 fällte der EuGH sein Urteil (Az.: C-140/20) zur Vorratsdatenspeicherung. Konkret ging es um ein Gewaltverbrechen. Selbst zur Prävention solcher schwerwiegender Verbrechen ist es rechtswidrig, eine „allgemeine und unterschiedslose Vorratsspeicherung der Verkehrs- und der Standortdaten“ vorzunehmen (Rn. 101 des Urteils). Das Urteil bezieht sich auf Betreiber öffentlicher Kommunikationsdienste, die ungleich gewöhnlichen Netzwerkteilnehmern sind. Ich deute das Urteil hier also nicht dogmatisch.

Der EuGH führte weiter aus, dass IP-Adressen in Ausnahmefällen gespeichert werden dürften, dann aber nur für einen auf das „absolut Notwendige begrenzten Zeitraum“ (Rn. 101). Dies gilt außerdem nur für die „Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit“.

Mittlerweile hat auch Portugal die anlasslose Vorratsdatenspeicherung gekippt.

Betreiber von Web Servern

Betreiber von Web Servern sind nach meiner Definition „gewöhnliche Unternehmen“ und nicht öffentliche Stellen oder Betreiber von Netzen. Die gewöhnlichen Betreiber von Web Servern bekämpfen jedenfalls nach meiner Kenntnis nicht die schwere Kriminalität. Demnach dürfen solche Betreiber von Web Servern keine anlasslose Protokollierung voller IP-Adressen vornehmen. Ich gehe davon aus, dass das EuGH-Urteil, welches sich auf Betreiber von Telekommunikationsdiensten bezieht, in diesem Punkt auch auf gewöhnliche Netzteilnehmer übertragen lässt. Warum sollte es anders sein? Immerhin haben gewöhnliche Netzteilnehmer noch weniger mit Strafverfolgung zu tun als Netzwerkanbieter, nämlich üblicherweise rein gar nichts. Außerdem war die Vorratsdatenspeicherung quasi ein (rechtswidriges) Privileg durch eine Vorgabe des deutschen Gesetzgebers. Diese Vorgabe galt meines Wissens nach nicht für Hinz und Kunz.

Meine frühere These passt zum Urteil

Mein Beitrag vom 08.02.2022 ist zwei Monate vor dem EuGH-Urteil erschienen. Ich vertrat darin die These, dass die anlasslose Protokollierung voller IP-Adressen im Kontext von Web Servern von Unternehmen rechtswidrig ist. Meine These wurde durch das EuGH-Urteil bestätigt, wenn ich die Randnummer 101 des Urteils richtig verstanden habe. Der EuGH hat gesagt, dass selbst bei behördlicher Anordnung ein Telekommunikationsdienstleister nicht anlasslos protokollieren darf (und falls doch, dann nur in sehr engen Grenzen für sehr schwerwiegende Zwecke, die Strafverfolgung bedeuten und eine Begründung bedingen).

Im Vorfeld meines eben verlinkten, früheren Beitrags habe ich zahlreiche Sicherheitsexperten gefragt, ob sie mir ein einziges Beispiel nennen können, in dem die anlasslose Speicherung von IP-Adressen in Server Logs notwendig ist. Viele verstanden die Frage nicht. Manche kamen mit dem Argument der Strafverfolgung, die aber nicht Sache eines Betreibers eines Servers und schon gar nicht eines Servers ist. Ich beziehe mich hier wie gesagt auf gewöhnliche Unternehmen, nicht auf Telekommunikationsdienstleister, Geheimdienste, Behörden oder sonstige Sonderfälle.

Meine These zur Speicherung von IP-Adressen in Server Logs wurde durch das EuGH-Urteil zwei Monate später bestätigt.

Das ist meine Auffassung des Urteils.

Das BSI antwortete mir auch auf meine Fragen hin, aber in einer Weise, die europarechtswidrig ist, wie sich jetzt herausstellte. Ich forderte das BSI direkt nach dem Urteil auf, die öffentlichen BSI-Unterlagen und Empfehlungen anzupassen und bin gespannt, ob und wann dies passieren wird.

netcup, ein Hosting Provider, hat für seine Web Hosting Kunden standardmäßig die Protokollierung von IP-Adressen in deren Server Logs aktiviert. Ich forderte netcup bereits im Februar für einen meiner Kunden auf, dies abzustellen. Der Kunde selbst hat nichts davon und will diese Protokollierung selbst gar nicht. netcup deaktivierte daraufhin nur für diesen einen Kunden die Protokollierung, nicht aber allgemein. Mir ist ein weiterer Fall dieser Art bei netcup bekannt. Direkt nach dem Urteil schrieb ich netcup wieder an und konfrontierte mit dem EuGH-Urteil und der Aufforderung, diese Protokollierung zukünftig zu deaktivieren.

Nachverfolgung von Nutzern durch Verkehrsdaten

Der EuGH stellte übrigens in seinem Urteil fest, wie weitreichend die Nachverfolgung von Personen durch Ausnutzen von deren Verkehrsdaten ist (Rn. 45):

Dieser Schluss erscheint umso gerechtfertigter, als die Verkehrs- und Standortdaten Informationen über eine Vielzahl von Aspekten des Privatlebens der Betroffenen enthalten können, einschließlich sensibler Informationen wie sexuelle Orientierung, politische Meinungen, religiöse, philosophische, gesellschaftliche oder andere Überzeugungen sowie den Gesundheitszustand, wobei solche Daten im Übrigen im Unionsrecht besonderen Schutz genießen. Aus der Gesamtheit dieser Daten können sehr genaue Schlüsse auf das Privatleben der Personen, deren Daten gespeichert wurden, gezogen werden, etwa auf Gewohnheiten des täglichen Lebens, ständige oder vorübergehende Aufenthaltsorte, tägliche oder in anderem Rhythmus erfolgende Ortsveränderungen, ausgeübte Tätigkeiten, soziale Beziehungen dieser Personen und das soziale Umfeld, in dem sie verkehren. Diese Daten ermöglichen insbesondere die Erstellung eines Profils der Betroffenen, das im Hinblick auf das Recht auf Achtung des Privatlebens eine ebenso sensible Information darstellt wie der Inhalt der Kommunikationen selbst (…).

EuGH-Urteil vom 05.04.2022 (C‑140/20)

Hoffentlich kommt diese Erkenntnis demnächst bei deutschen Gerichten an.

Technische Betrachtung notwendig bei rechtlichen Fragen

Als Informatiker bin ich der Meinung, dass technische Fragen zuerst technisch und dann erst rechtlich beurteilt werden sollten. Genau in dieser Reihenfolge. Wer die erste Ebene nicht leisten kann, braucht die zweite Ebene gar nicht erst anfangen, außer, es handelt sich um recht einfache technische Betrachtungen. Bei der technischen Betrachtung schadet es sicher nicht, Grundkenntnisse von rechtlichen Gegebenheiten zu haben.

Am Beispiel der Frage, ob die Reichweitenmessung mit Cookies einwilligungsfrei ist, einem zunächst einfach anmutenden, aber insgesamt doch komplexen Fall, wird deutlich, dass juristische Ausführungen zu Cookies, ohne die Technik zu betrachten, substanzlos erscheinen.

Das mir etwas merkwürdig vorkommende Prinzip des “legitimate interest assessment” (LIA) konterkariert die Tatsache, dass man konkrete Sachverhalte auch konkret prüfen sollte. Denn LIA ist nach meinem Verständnis ein überwiegend juristisch motivierter Ansatz einer rechtlichen Fachanalyse. Eine Fachanalyse sollte allerdings das Fundament eines Hauses zuerst betrachten, bevor sie sich dem Dach widmet. Im Lichte des § 25 TTDSG erscheint mir LIA noch abstruser. Gelegentlich wird LIA nämlich dafür herangezogen, um angeblich einwilligungsfreie Cookies zur Reichweitenmessung zu rechtfertigen. Wo steht im § 25 TTDSG etwas von berechtigtem Interesse? Wer diesen Begriff sucht, muss erst einmal das lex specialis namens TTDSG (bzw. ePrivacy) passieren, bevor er zum Art. 6 DSGVO weiterblättern darf. Vielleicht wurde LIA auch einfach nur mit DPIA (Data Protection Impact Assessment) verwechselt …

Datenschutzfragen im Internet sollten zuerst aus dem technischen, dann aus dem rechtlichen Blickwinkel, mindestens aber durch ganz konkrete Betrachtung einer Sachlage betrachtet werden.

Am besten auch in der ersten Stufe bereits unter Kenntnis grundlegender Rechtsvorgaben.

Genauso verhält es sich mit der Frage der anlasslosen Protokollierung voller IP-Adressen, einer Art Vorratsdatenspeicherung. Rein technische Betrachtungen führen bereits zur Ausarbeitung konkreter Fragestellungen und zur Antwort der milderen Mittel auf diese Fragen (vgl. u.a. Art. 5 DSGVO oder Erwägungsgrund 39 zur DSGVO). Außerdem wurde durch technische Analyse bereits klar, dass selbst die Kenntnis voller IP-Adressen in vielen Fällen keine effektive Rechtsverfolgungsmöglichkeit bietet. Man denke nur an DDoS-Attacken, die wohl kein Hacker von seinen eigenen Computern aus durchführt. Damit erübrigen sich weitere rechtliche Betrachtungen, jedenfalls in der Tiefe.

Übrigens hatte ich auch ein Jahr vor dem Urteil des LG München vom 20.01.2022 zu Google Fonts eine Untersuchung angestellt, aus der eben hervorgeht, dass es keine Ausreden gibt. Wer Schriftarten auf seiner Webseite nutzen will, bindet sie lokal ein. Wer hiermit ein Problem hat, ist entweder im falschen Beruf (Webseitenbetreuer) oder muss jemanden verteidigen (Anwalt).

Wenn ein Gericht entscheiden soll, ob Google Nutzer mithilfe von Metadaten nachverfolgen kann, sollte es entweder das EuGH-Urteil zur Vorratsdatenspeicherung (insb. Rn. 45) zur Kenntnis nehmen oder einen Sachverständigen fragen. Mittlerweile dürfen Gerichte Sachverständige sogar als Berater hinzuziehen. Warum nicht diese Möglichkeit nutzen?

Speichert Ihr Provider für Ihre Webseite eigentlich die volle IP-Adresse in Ihren Server Logs. Was sagt Ihre Datenschutzerklärung? Schreiben Sie mir doch den Namen Ihres Providers, wenn dieser entweder immer voll protokolliert oder dies per Default tut und Sie die Einstellung durch eigenen Eingriff datenschutzkonform gestalten müssen.

Lesen Sie hier meinen Artikel zu Server Logs und akzeptieren Sie entweder, was ich geschrieben habe oder seien Sie der erste, der ein KONKRETES (!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!) Beispiel als Gegenbeweis liefert. Manche wissen nicht, was konkret bedeutet. Konkret bedeutet etwa “Denial of Service” plus spezifische Angabe von technischen Gegebenheiten. Konkret bedeutet nicht “Abwehr von Gefahren”. Noch einmal: Es geht um die ANLASSLOSE (!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!) Protokollierung voller IP-Adressen, die ich in Server Logs von Web Servern von Unternehmen für rechtswidrig halte. Unternehmen sind keine Strafverfolger, jedenfalls nicht ohne Anlass!

Speicherdauer

Werden keine vollen IP-Adressen in Webseiten-Logfiles gespeichert werden, bleiben wahrscheinlich nur folgende Daten mit möglichem Personenbezug:

  • User-Agent
  • aufgerufene URL

Der User-Agent alleine ist recht eindeutig, aber isoliert betrachtet nicht wirklich auf eine Person beziehbar.

Die aufgerufene URL ist meistens nicht personenbezogen, selten aber schon, insbesondere wenn URL-Parameter aus Formulareingaben mitgeführt werden. Sofern diese kritische Datenmitnahme nicht passiert, sehe ich keinen wesentlichen Grund für Probleme mit der Speicherdauer.

Die Bayerische Datenschutzaufsicht meint, dass Webseiten-Logfiles inklusive IP-Adressen für 30 tage aufbewahrt werden dürfen. Ich halte das für grundfalsch, weil IP-Adressen in Webseiten-Logfiles ohne Anlass nichts zu suchen haben. Sind IP-Adressen dort ohne Anlass vorhanden, beträgt die zulässige Speicherdauer somit 0 Tage (was auch immer das dann heißen mag, im schlechesten Fall heißt es gar keine Speicherung).

Inklusive IP-Adressen, die anlassbezogen protokolliert werden, dürfen Webseiten-Logfiles so lange aufbewahrt werden, wie dies durch den Anlass (etwa Hackerangriff mitsamt Folgeuntersuchungen) gerechtfertigt erscheint. Es könnten also auch einige Monate oder Jahre sein.

Sollten Server-Logfiles keine oder keine offensichtlich personenbeziehbaren Daten enthalten, ist die Frage der Speicherdauer fast uninteressant. Um das Entstehen eines Personenbezugs durch Halten von sehr vielen Daten zu vermeiden, sollten Log Files ohne direkt personenbeziehbare Daten wohl nicht länger als einige Monate lang aufbewahrt werden. Anders sieht es aus, wenn ein Anlass vorliegt. Das kann anlassbezogen gehandelt werden.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT und Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über neue Beiträge werden Sie informiert, wenn Sie meinen Newsletter abonnieren. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Kommentare von Lesern

Die Kommentare drücken die Meinungen der jeweiligen Kommentargeber aus
  1. Tom

    Moin,
    ich würde gerne folgendes Szenario zum Thema IP-Adressen in Log-Files anbieten:

    Ein vor allem in der Linuxwelt populäres Security Tool ist “fail2ban”, welches z.B. SSH- oder Webserverlogs benutzt um DOS Attacken oder anderes verdächtiges Verhalten per ufw (Firewall) zu unterbinden.

    Beispiel: Ein Bot crawlt eine Website nach bekannten Einfallstoren (Klassiker: /wp-admin.php, oft schlecht gesichert), wobei eine grosse Anzahl an 404 Fehlern entsteht. fail2ban bemerkt dies (per wiederholtem access-log scan) und sperrt die verwantwortliche IP-Adresse für eine bestimmte Zeit aus. Das schützt nicht nur potentiell vor DOS-Angriffen sondern verhindert auch Requestflooding und sorgt eventuell dafür, dass Bots es nicht mehr versuchen.

    In diesem Fall ist das Loggen voller IPs also, zumindest temporär, sehr nürtzlich. Theoretisch kann (und sollte!) man diese Logs jedoch mehrmals täglich zurücksetzen. Eine dauerhafte Speicherung der Verbindungsdaten rechtfertigt dies selbstverständlich nicht.

    Cheers!
    Tom

    • Dr. DSGVO

      Vielen Dank für die Info.
      Eine Rückmeldung zu fail2ban erhielt ich bereits kürzlich an anderer Stelle. Ich antwortete das gleiche wie jetzt auch:
      * Ein Halten von IP-Adressen im Hauptspeicher für eine recht kurze Zeit ist keine Speicherung im kritischen Sinne. Siehe meinen Beitrag oben
      * Zu DoS-Attacken habe ich ebenfalls oben im Beitrag einiges ausgeführt
      * Wenn ungewöhnlich “viele” Aufrufe von einer IP-Adresse stattfanden, kann ein Anlass für eine Speicherung vorliegen. Dann wäre auch eine Speicherung in Logs statthaft
      * Unabhängig davon, dass ich auch das genannten fail2ban- Szenario als nicht rechtskonform erachte, ist es schon ein Unterschied, ob man Protokolle nur eine sehr, sehr kurze Zeit lang aufhebt (so wie im Kommentar genannt) oder 7 Tage oder 30 Tage lang oder noch länger.

      Ich vermute, dass einige Firewalls selbst diese Sperren gegen DoS-Angriffe durch reine Hauptspeicherlösungen anbieten. Jedenfalls könnten sie das.

  2. Julian

    Hallo Klaus,

    mich würde interessieren wie eine DSGVO-konforme Firewall aussehen würde. Moderne Firewalls sind im Prinzip auch Server die enorme Mengen an Verbindungsdaten speichern z.B. Verbindungen, Protokolle, Fehler, Attacken, Nutzungsstatistiken, etc. Als das basiert meist auf IP Adressen (=personalisierte Daten). Wie ist hier die rechtliche Situation?

    LG, Julian

    • Dr. DSGVO

      Firewalls könnten (Verbindungs-)Daten im Hauptspeicher halten und nur „festhalten“ oder persistent speichern, wenn ein Anlass besteht. Ein Anlass könnte etwa ein häufiger Aufruf durch einen Netzwerkteilnehmer innerhalb kurzer Zeit sein.

      Sofern es notwendig (nicht: nützlich!) ist, Daten ohne Anlass zu speichern, könnte man das auch verargumentieren. Hierfür fehlt aber bisher jegliches (!) Beispiel, welches zur Berechtigung geeignet sein könnte (siehe meinen Beitrag).

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Sind Cookies für die Reichweitenmessung auf Webseiten oder Apps einwilligungsfrei?