Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.

Jetzt testen

sofort das Ergebnis sehen

DSGVO Website-Check
Externe Links sind mit dem Symbol Externer Link Symbol gekennzeichnet. Datenschutzinfo

Webseiten-Logfiles: Welche Speicherdauer ist zulässig? Eine Datenschutzfrage

Veröffentlicht von Dr. DSGVO · Zuletzt aktualisiert am 20. Januar 2026 · Lesezeit: 13 Minuten
7
Server Logs
Dr. DSGVO Newsletter erkannt: Erweiterte Funktionen verfügbar
Artikel als PDF · Mehr Inhalte & kompakte Kernaussagen · Webseiten-Checks · Offline-KI Live
Standardansicht: Dr. DSGVO Newsletter nicht erkannt. Erweiterte Funktionen nur für Abonnenten:
Artikel als PDF · Mehr Inhalte & kompakte Kernaussagen · Webseiten-Checks · Offline-KI Live
📄 Artikel als PDF
📄 Artikel als PDF (nur für Newsletter-Abonnenten)
🔒 Premium-Funktion
Der aktuelle Beitrag kann in PDF-Form angesehen und heruntergeladen werden

📊 Download freischalten
Der Download ist nur für Abonnenten des Dr. DSGVO-Newsletters möglich

Kategorien: Datenschutz und Recht

Abhängig von den Daten, die in Server Logs auf Web Servern gespeichert werden, und dem Grund der Protokollierung ist die Frage der maximalen Speicherdauer zu beantworten. Das BayLDA gibt 30 Tage an. Diese Aussage halte ich für grundsätzlich falsch.

Einleitung

Server-Logs für Webseiten werden dazu genutzt, um den Besuch bzw. Aufruf einer Webseite zu protokollieren. Um es vorwegzunehmen: Die meisten tun dies, ohne zu wissen, warum. Sie machen es nur, weil entweder gefühlt alle anderen es machen und sie meinen, dann müsste es wohl nötig sein. Oder sie protokollieren unwissentlich, weil der Web Server entsprechend konfiguriert ist und sich niemand für die Konfiguration interessiert.

In Webseiten-Logfiles wird der Zeitpunkt des Aufrufs einer Internet-Adresse (URL) gespeichert. Zusätzlich dazu werden typischerweise folgende Angaben protokolliert:

  • Aufgerufene Adresse (URL)
  • User-Agent des Browsers (enthält u. a. Angaben zum Browser und Betriebssystem)
  • Aufruferadresse (IP-Adresse), oft gekürzt

Die IP-Adresse darf laut Aussage eines Vertreters des BayLDA mitprotokolliert werden. Bekanntlich sind IP-Adressen personenbezogene Daten. Vergleiche die Urteile von EuGH und BGH in der Sache „Breyer“ aus den Jahren 2016 und 2017. Demnach sind sogar dynamische IP-Adressen personenbezogene Daten. Das hatte auch das LG München am 20.01.2022 im Urteil wegen Google Fonts aufgegriffen.

Behördenmeinung und gerichtliche Meinung

Warum das BayLDA bzw. ein Vertreter nun einen Freibrief für die Protokollierung voller IP-Adressen ausstellt, ist mir nicht klar. Ich habe den Vertreter am 01.06.2022 angeschrieben und um Auskunft dazu gebeten sowie die aus meiner Sicht kritischen Punkte genannt. Sobald die Antwort vorliegt, werde ich sie hier sinngemäß wiedergeben.

Das BayLDA ist wie jede andere Datenschutzbehörde eine Behörde und vertritt eine Behördenmeinung. Vor Gericht gilt diese Meinung nicht und wenn doch, dann „nur“ als Anhaltspunkt. Je nach Gericht wird die Behördenmeinung mehr oder weniger oder gar nicht in ein Urteil einfließen. Damit will ich nicht sagen, dass Behördenmeinungen unwichtig sind. Sie sorgen nur nicht für Rechtssicherheit in zivilrechtlichen oder wettbewerbsrechtlichen Auseinandersetzungen.

Auch Gerichte vertreten „nur“ Meinungen, weshalb es die Möglichkeit für Kläger oder Beklagte gibt, im Instanzenzug nach oben zu wandern, wenn eine Meinung nicht gut genug begründet erscheint. Irgendwann landet der Fall dann vielleicht vor dem höchsten deutschen Gericht oder vor dem EuGH. Spätestens vor dem EuGH ist dann Schluss. Dessen Meinung darf als Tatsache angesehen werden, wenn ich das Rechtssystem richtig verstehe. Aber auch die Meinungen von BGH und BVerfG sind wohl für Deutschland quasi als Faktum anzusehen. Siehe etwa das Urteil des BGH in der Sache „Planet 49“, wonach der § 15 Abs. 3 TMG umgedeutet wurde (seit Mai 2024 heißt das TMG nun DDG). Der BGH führte somit die ePrivacy-Richtlinie in Deutschland ein, weil der deutsche Gesetzgeber wieder mal geschlafen hatte und zu langsam war. Der BGH war somit Gesetzgeber, was er eigentlich nicht sein dürfte. Mit dem TTDSG wurde die Sache dann ab dem 01.12.2021 formal korrekt geregelt. Das TTDSG heißt seit Mai 2024 TDDDG.

Manche im Instanzenzug weiter unten angesiedelte Gerichte setzen sich aber auch über Meinungsäußerungen des BGH hinweg. So hat ein Landgericht ein obiter dictum des BGH ignoriert. Ein obiter dictum ist eine Aussage eines Gerichts zu einer Frage, die ihm nicht gestellt wurde, wozu sich aber ein Anlass bot, etwa wegen einer angrenzenden Sachlage.

Die Meinung auf Dr. DSGVO

Wir beziehen hier nur die Frage ein, ob volle IP-Adressen in Webseiten-Logs gespeichert werden dürfen. Eigentlich geht es ja um die als zulässig anzusehende Speicherdauer von solchen Logfiles. Aber damit wird diese Frage gleich mit beantwortet.

Die folgende Meinung ist eine These. Eine These kann falsifiziertwerden. Das bedeutet, wenn Sie mir ein einziges Gegenbeispiel nennen können, was meiner These widerspricht, dann ist meine These widerlegt. Ebenso bedeutet es, dass meine These von Ihnen zu akzeptieren ist, wenn kein solches Gegenbeispiel gefunden werden kann. Mich interessiert Ihre Meinung in dieser Frage nicht. Nennen Sie mir ein Gegenbeispiel für meine folgende These oder akzeptieren Sie meine These als aktuelle Wahrheit, der Sie bitte folgen möchten.

Die These lautet:

Die anlasslose Protokollierung voller IP-Adressen in Webseiten-Logs ist nicht notwendig und somit ohne weitere Rechtsgrundlage rechtswidrig.

Ohne Rechtsgrundlage wie beispielsweise Einwilligung. Das berechtigte Interesse scheidet aus. Gilt für gewöhnliche Betreiber von Webseiten, nicht für ISP o.ä.

Die meisten regen sich über diese Aussage auf. Der Grund ist, dass das Adjektiv anlasslos nicht oder falsch verstanden wird. Anlasslos bedeutet immer oder fast immer. Ein Anlass hingegen läge vor, wenn ein Hacker-Angriff festgestellt wurde oder der Verdacht darauf besteht.

Ein Verdacht könnte vorliegen, wenn die fragliche Webseite in sehr kurzer Zeit außergewöhnlich oft aufgerufen wurde. Dann könnte von einem automatisierten Abruf, möglicherweise zum Zweck einer Denial of Service Attacke oder zum Finden von Sicherheitslücken ausgegangen werden. Aber auch der Wunsch, Crawler auszusperren, könnte einen Anlass begründen. Natürlich erst, wenn der Crawler aktiv wird und nicht schon pauschal aufgrund eines Generalverdachts gegen jeden zukünftigen Aufrufer.

Die genannte These wird in einem ausführlichen Beitrag begründet:

Anlasslose Protokollierung voller IP-Adressen ist rechtswidrig

Bitte beachten Sie in diesem Zusammenhang folgendes:

  • Notwendig (oder nötig) ist ungleich nützlich. Wie gerne würde ich als Unternehmer meine Steuererklärung nicht abgeben müssen oder manchmal schneller fahren als erlaubt? Das wäre im Einzelfall sehr nützlich, ist aber offenbar rechtswidrig.
  • Protokollierung bedeutet nichtflüchtige Speicherung. Das flüchtige Halten von Daten in einem Hauptspeicher ist keine Protokollierung im Sinne meiner These. Natürlich darf der Hauptspeicherinhalt nicht ewig gehalten werden, und es darf nicht möglich sein, den Hauptspeicher zu „dumpen“ bzw. für eine weitere Verarbeitung, etwa durch den Menschen, auszulesen.
  • Das berechtigte Interesse ist keine universelle Rechtsgrundlage. Es muss nachgewiesen bzw. plausibel gemacht werden. Gibt es mildere Mittel, scheidet das berechtigte Interesse regelmäßig als Erlaubnistatbestand aus. Es gibt somit kein berechtigtes Interesse für Sicherheitsmaßnahmen. Berechtigt kann das Interesse nur sein, wenn es ganz konkret abgeleitet wird. Daran scheitern leider viele. Vgl. auch Art. 5 DSGVO.
  • Bisher konnte mir niemand ein Gegenbeispiel nennen, das meine These widerlegen würde. Ich habe sogar aktiv IT-Security Experten, Datenschützer und auch das BSI angeschrieben oder antelefoniert.

Nun zur eigentlichen Frage des Betrags, der Speicherdauer von Webseiten-Logfiles.

Speicherdauer von Webseiten-Logfiles

Wie lange dürfen Logfiles auf Web Servern gespeichert werden? Das BayLDA sagt 30 Tage. Die sonstige Auffassung lautet regelmäßig: 7 Tage. Meine Auffassung ist die folgende:

Webseiten-Logfiles dürfen anlasslos sehr lange gespeichert werden, sofern quasi keine personenbezogenen Daten darin enthalten sind. Sehr lange könnte etwa ein Jahr sein. Es könnten aber vielleicht auch zwei oder mehr Jahre sein, je nach Art der enthaltenen Daten. Die Gefahr ist nur, dass man Daten nicht immer ansieht, ob aus Ihnen ein Personenbezug abgeleitet werden kann.

Webseiten-Logfiles dürfen anlasslos überhaupt nicht gespeichert werden, sofern die volle IP-Adresse von Webseitenbesuchern enthalten ist. Begründung: Die Speicherung der vollen IP-Adresse ist nicht notwendig und somit rechtswidrig. Siehe meinen oben verlinkten Beitrag für Details.

Webseiten-Logfiles dürfen anlassbezogen so lange gespeichert werden, wie dies durch den jeweiligen Anlass zu rechtfertigen ist. Wird ein Hacker-Angriff festgestellt, kann der Anlass so lange vorliegen, wie die Untersuchungen andauern bzw. solange der Hacker aktiv ist. Idealerweise unterscheidet der Verantwortliche, welche Daten in den Logfiles dem Hacker zugeordnet werden können und welche sicher nicht dem Angriff zugeordnet werden können. Sofern aber keine personenbezogenen Daten in den Logs vorliegen, ist diese Frage nebensächlich.

Liegt ein solcher Anlass vor, können (selbstverständlich) auch volle IP-Adressen von Nutzern gespeichert werden. Die Auswertung dieser Daten darf aber nur dem Zweck der Gefahrenabwehr dienen und nicht etwa für Marketing-Aktivitäten verwendet werden.

Personenbeziehbare Daten

Wird die IP-Adresse nicht im Server Log gespeichert, weil dies anlasslos rechtswidrig ist (dies ist meine bisher nicht widerlegte These), bleiben folgende weiteren Daten übrig, die man als personenbeziehbar und somit als personenbezogen (vgl. Art. 4 Nr. 1 DSGVO) ansehen könnte:

  • User-Agent
  • Aufgerufene URL

Zusammen mit dem Zeitpunkt des Zugriffs, der in Server Logs protokolliert wird, könnte ein Personenbezug hergestellt werden. Sofern die aufgerufene URL ohne URL-Parameter gespeichert wird, ist dieser Datenwert jedenfalls unkritisch. Wenn es ausgeschlossen werden kann, dass Formulardaten mit Personenbezug in URL-Parametern landen und auch sonst keinen personenbeziehbaren URL-Parameter (wie Tracking-Links aus Newslettern) verwendet werden, kann die volle URL recht gefahrlos mitprotokolliert werden.

Der User-Agent ist recht einmalig, aber nicht völlig einmalig. Ihn alleine als Unterscheidungskriterium zu verwenden, um einen Nutzer in einer Gruppe anderer Nutzer zu unterscheiden, ist zumindest schwierig. Fallen aber genügend Daten an oder ist die Anzahl der Besucher der Webseite gering, so könnte der User-Agent schon als personenbeziehbarer Datenwert angesehen werden. Vgl. Stellungnahme der Artikel 29-Gruppe, zu finden etwa über Begründung im WhatsApp-Fall.

Ich empfehle daher, den User-Agent gekürzt zu speichern oder nachträglich (etwa nach x Tagen) zu kürzen oder Server Logs nicht länger als 30 Tage aufzubewahren.

Beispiel ALL-INKL

Aufgrund eines Kommentars zu diesem Beitrag zeige ich, welche Einstellmöglichkeiten für die Protokollierung von IP-Adressen beim deutschen Web Hoster ALL-INKL möglich sind.

Einstellungen zum Server Log Protokoll im ALL-INKL Kundenbereich.

Die Optionen haben folgende Bedeutungen und Konsequenzen:

  • Es werden die vollständigen Logs erzeugt: IP-Adressen werden vollständig und anlasslos protokolliert. Das halte ich für rechtswidrig.
  • Die letzten beiden Stellen der IP-Adresse werden gekürzt: Bei einer IPv4-Adressen werden 2 von 4 Bytes genullt, also anonymisiert. Somit kann die resultierende gekürzte IP-Adresse als nicht mehr personenbezogen angesehen werden. Diese gekürzte IP-Adresse wird anlasslos protokolliert. Der Nutzen ist fraglich. Allerdings sind im Log ja noch weitere Informationen, wie etwa der User-Agent.
  • IP-Adressen werden vollständig anonymisiert. Jede IP-Adresse erhält dieselbe Ausprägung, nämlich 0.0.0.0. Im Protokoll sind somit faktisch keine IP-Adressen vorhanden. Wegen der weiteren Informationen im Log kann diese Einstellung sinnvoll sein
  • Es werden keinerlei Logs erzeugt: Weder die IP-Adresse noch sonstige Daten (aufgerufene URL, Zeitpunkt, User Agent …) werden protokolliert. Es gibt also keine Protokolldatei.

Fazit

Server Log Files für Webseiten dürfen anlasslos nahezu beliebig lange aufbewahrt werden, wenn sie keine personenbezogenen Daten enthalten. Wird die IP-Adresse gespeichert, fehlt dafür die Rechtsgrundlage. Das Server Log wird somit rechtswidrig geführt. Es darf somit gar nicht aufbewahrt werden.

Ich empfehle, Server Logs, in denen keine personenbezogenen Daten vorliegen, generell nicht länger als ein oder zwei Jahre aufzubewahren, sofern kein Anlass (Hacke-Angriff o.ä.) vorliegt. Allerdings wird wohl meist kein Grund vorliegen, derartige Protokolle länger aufzubewahren. Für die meisten Webseitenbetreiber dürften diese Protokolle an sich entbehrlich sein. Bei Providern wie ALL-INKL kann man solche Logs deaktivieren, was für die meisten Fälle wohl die beste Entscheidung ist.

Liegt ein Anlass vor, können alle dem Anlass angemessenen Daten so lange gespeichert werden, wie dies dem Anlass angemessen ist.

⚡ KOSTENLOSER CHECK

Ist Ihre Website DSGVO-konform?

Prüfen Sie Ihre Website in nur 60 Sekunden auf DSGVO-Compliance.
Sofortige Ergebnisse – keine Registrierung erforderlich.

🔍 Jetzt Website prüfen
✓ Website absichern ✓ Sofort-Ergebnisse ✓ Keine Anmeldung

Kernaussagen dieses Beitrags

Die maximale Speicherdauer von Webseiten-Logfiles ist umstritten, da IP-Adressen als personenbezogene Daten gelten und Gerichte unterschiedliche Meinungen haben.

Die dauerhafte Speicherung voller IP-Adressen in Webseiten-Logs ist ohne einen konkreten Anlass (z.B. Hackerangriff) rechtswidrig, da sie nicht notwendig ist.

Die Speicherung von IP-Adressen in Webseiten-Logfiles ist grundsätzlich unrechtmäßig, es sei denn, es gibt einen konkreten Anlass wie einen Hackerangriff.

Server-Logs sollten so angelegt sein, dass sie keine personenbezogenen Daten enthalten.

Webseitenbetreiber brauchen diese Protokolle meist nicht. Sie können sie deaktivieren, es sei denn, es gibt einen bestimmten Grund, Daten zu speichern.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Ich stehe für pragmatische Lösungen mit Mehrwert. Meine Firma, die IT Logic GmbH, berät Kunden und bietet Webseiten-Checks sowie optimierte & sichere Lösungen an (mit und ohne KI).
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/webseiten-logfiles-welche-speicherdauer-ist-zulaessig-eine-datenschutzfrage
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.
Schlagworte zu diesem Artikel:

Kommentare von Lesern

Die Kommentare drücken die Meinungen der jeweiligen Kommentargeber aus
  1. Thomas

    Interessanter Artikel! Wie würdest Du denn die Speicherung von anonymisierten IP-Adressen in den Log-Files sehen? Bei All-Inkl. kann man ja z.B. die letzten 2 Stellen entfernen. Ist die dann gespeicherte IP-Adresse dann noch personenbezogen?

    Antworten
    • Dr. DSGVO

      Im Beitrag habe ich gegen Ende nun eine Abschnitt "Beispiel ALL-INKL" eingefügt. Dort findest Du die Antworten.

      Antworten
  2. Frank

    Sind Statistiken kein berechtigter Anlass ?

    Natürlich wird man normalerweise Webserverlogs adhoc auswerten und in eine anonyme Statistik aufsummieren, sodaß man die Einträge selbst sofort löschen kann … aber könnte es nicht ein berechtigtes Interesse des Webseitenbetreibers sein, die Originallogs später auch durch eine andere/neuere/bessere Statistiksoftware analysieren zu lassen ?

    Antworten
    • Dr. DSGVO

      Das berechtigte Interesse muss ja nachgewiesen werden können, und zwar dann, wenn es als Rechtsgrundlage angeführt wird. Rechtsgrundlagen müssen vorab festgestellt und erklärt werden. Spätestens, wenn jemand nachfragt (Artikel 15 DSGVO o.ä.), dann muss es nachgewiesen werden können.
      Dann zu sagen: "Wir wissen nicht, ob wir ein berechtigtes Interesse haben, weil wir nicht in die Zukunft blicken können" ist unzulässig.
      Berechtigt ist ein Interesse nur, wenn es konkret begründet ist. Siehe auch https://dr-dsgvo.de/das-berechtigte-interesse-im-datenschutz-kein-freifahrtschein-sondern-ein-pruefauftrag/

      Zudem habe ich herausgearbeitet – ohne ein Gegenbeispiel erhalten zu haben -, dass die anlasslose Speicherung von IP-Adressen nicht notwendig und oft auch nicht einmal sinnvoll ist.

      Zur statistischen Auswertung:
      Diese ist auch im Hauptspeicher möglich. Wenn man den Umweg über ein Log geht, wird das schwierig. Weil ansonsten jeder behaupten kann: "Wir speichern ja nur sehr kurz, bis unser Programm die Daten aufsummiert hat, dann löschen wir." Mein Statistik-Tool braucht keine IP-Adressen zu speichern und tut es auch nicht.

      Antworten
  3. Oliver

    1. Während einige Rechtsprechungen und Datenschutzbehörden IP-Adressen unter bestimmten Umständen als personenbezogene Daten einstufen, hängt dies stark vom Kontext und der Art der Nutzung ab. Wenn eine IP-Adresse beispielsweise mit anderen Daten kombiniert wird, die eine Identifizierung ermöglichen, könnte sie als personenbezogen angesehen werden. Ohne solche zusätzlichen Informationen bleibt die IP-Adresse jedoch oft anonym.

    2. Obwohl IP-Adressen in bestimmten Szenarien als personenbezogene Daten betrachtet werden können, ist dies nicht immer der Fall. Die Möglichkeit des Spoofings, die dynamische und gemeinsame Nutzung von IP-Adressen sowie die fehlende direkte Identifizierbarkeit sind wichtige Faktoren, die berücksichtigt werden müssen. Daher kann eine IP-Adresse nicht pauschal als personenbezogene Daten eingestuft werden.

    3. IP-Adressen in Log-Files sind essenziell für die Netzwerk- und Serversicherheit. Sie ermöglichen die Identifikation potenzieller Angreifer, unterstützen die Durchsetzung von Sanktionen und helfen bei der Implementierung von Sicherheitsmaßnahmen wie Fail2Ban. Ohne die Erfassung und Analyse von IP-Adressen wären viele dieser wichtigen Sicherheitsfunktionen nicht möglich, was die Netzwerksicherheit erheblich beeinträchtigen würde.

    Zudem sind IP-Adressen wichtig, um auf Anfragen von Sicherheitsbehörden reagieren zu können.

    Hier ein paar wichtige Informationen dazu:
    https://www.bka.de/SharedDocs/Kurzmeldungen/DE/Kurzmeldungen/230623_Mindestspeicherfristen_IP-Adressen.html

    Daher halte ich diese Daten inklusive der vollen IP-Adresse für 7 Tage. Nur zu diesem Zweck speichere ich diese Daten. Damit wird keine Webseiten-Besucher Analyse durchgeführt oder sonstiger statistischer Unsinn getrieben.

    Antworten
    • Dr. DSGVO

      Vielen Dank für Ihre ausführliche Rückmeldung. Gerne kläre ich die Sachlage auf:

      Es geht um die anlasslose (!!!) Protokollierung. Anlasslos = "immer" = ohne Anlass.
      Bitte verstehen Sie den Unterschied zum Anlass.
      In Ihrem Punkt 3 ist "Fail2Ban" genannt. Das ist ein ANLASS ("Fail2Ban: ban hosts that cause multiple authentication errors").

      Zum Zeitpunkt der (anlasslosen !!!) Protokollierung weiß ja niemand, ob die IP-Adresse (bei der Auswertung) nicht doch als personenbezogen anzusehen ist. Generell ist daher die IP-Adresse als personenbezogen anzusehen. Auch ohne Zusatzdaten kann sie personenbezogen sein. Beispiel: statische IP-Adresse. Beispiel 2: dynamische IP-Adresse, für die ein Anschlussinhaber festgestellt werden kann.

      Es fehlen wieder die konkreten Fälle (ohne Anlass!), in denen die IP-Adressenspeicherung (auf Vorrat!) auf Webseiten (also nicht durch Internet Provider) gerechtfertigt sein soll. Der verlinkte BKA-Artikel targetiert TK-Anbieter. Webseitenbetreiber sind keine TK-Anbieter.

      Was ein Anlass ist, wird im Beitrag https://dr-dsgvo.de/protokollierung-von-ip-adressen-in-server-logs-erlaubt-oder-nicht/ etwas genauer beschrieben, der oben im Beitrag auch verlinkt ist.

      Antworten
      • Oliver

        Danke für Ihre Rückmeldung.

        Zu denen von Ihnen genannten Punkt TK-Anbieter sollte ich erwähnen. Das ich selbst Server Hoster und somit ein Dienste-Anbieter bin. Also nicht nur ein Webseiten-Betreiber, der bei einem Dritten seine Seite hosten lässt.. Das hatte ich vergessen zu erwähnen. Zur Sicherstellung meines Dienstes habe ich ein Verpflichtung (Anlass) zur Speicherung von Daten, wegen der Nachvollziehbarkeit im Falle eines Angriffs auf die feste IP-Adresse meines TK-Anbieters. DDOS, SYN-Floot etc…

        Der Webseiten-Betreiber hat eigentlich keinen Anlass. Da stimme ich Ihnen zu. Es würde auch reichen für statistische Zwecke, die IP kurz per "WhoIs" abzufragen, damit man das Land des Aufrufs ermitteln kann und diese IP gar nicht weiter zu speichern. Falls man einen Überblick haben möchte aus welchen Ländern die eigene Seite aufgerufen wurde. Dann könnte man das Land ohne Bezug zu einer IP-Adresse speichern. Der Aufrufende wäre ja eh ,sofern eine Session-Management benutzt wird. Durch eine anonyme Session ID identifiziert. Die keinen Bezug auf persönliche Daten zulässt. Damit nicht die Frage aufkommt, wie man ohne IP-Adresse, dann feststellen kann, dass der Benutzer nicht mehrmals statistisch ausgewertet wird. Dies so am Rande als Anregung für die Leser.

        Antworten

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Cookie-Umfrage von GMX und Web.de: So geht Lobbyismus in eigener Sache