Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Webseiten-Logfiles: Welche Speicherdauer ist zulässig? Eine Datenschutzfrage

0

Abhängig von den Daten, die in Server Logs auf Web Servern gespeichert werden, und dem Grund der Protokollierung ist die Frage der maximalen Speicherdauer zu beantworten. Das BayLDA gibt 30 Tage an. Diese Aussage halte ich für grundsätzlich falsch.

Einleitung

Server-Logs für Webseiten werden dazu genutzt, um den Besuch bzw. Aufruf einer Webseite zu protokollieren. Um es vorweg zu nehmen: Die meisten tun dies, ohne zu wissen, warum. Sie machen es nur, weil entweder gefühlt alle anderen es machen und sie meinen, dann müsste es wohl nötig sein. Oder sie protokollieren unwissentlich, weil der Web Server entsprechend konfiguriert ist und sich niemand für die Konfiguration interessiert.

In Webseiten-Logfiles wird der Zeitpunkt des Aufrufs einer Internet-Adresse (URL) gespeichert. Zusätzlich dazu werden typischerweise folgende Angaben protokolliert:

  • Aufgerufene Adresse (URL)
  • User-Agent des Browsers (enthält u. a. Angaben zum Browser und Betriebssystem)
  • Aufruferadresse (IP-Adresse), oft gekürzt

Die IP-Adresse darf lauf Aussage eines Vertreters des BayLDA mitprotokolliert werden. Bekanntlich sind IP-Adressen personenbezogene Daten. Vergleiche die Urteile von EuGH und BGH in der Sache „Breyer“ aus den Jahren 2016 und 2017. Demnach sind sogar dynamische IP-Adressen personenbezogene Daten. Das hatte auch das LG München am 20.01.2022 im Urteil wegen Google Fonts aufgegriffen.

Behördenmeinung und gerichtliche Meinung

Warum das BayLDA bzw. ein Vertreter nun einen Freibrief für die Protokollierung voller IP-Adressen ausstellt, ist mir nicht klar. Ich habe den Vertreter am 01.06.2022 angeschrieben und um Auskunft dazu gebeten sowie die aus meiner Sicht kritischen Punkte genannt. Sobald die Antwort vorliegt, werde ich sie hier sinngemäß widergeben.

Das BayLDA ist wie jede andere Datenschutzbehörde eine Behörde und vertritt eine Behördenmeinung. Vor Gericht gilt diese Meinung nicht und wenn doch, dann “nur” als Anhaltspunkt. Je nach Gericht wird die Behördenmeinung mehr oder weniger oder gar nicht in ein Urteil einfließen. Damit will ich nicht sagen, dass Behördenmeinungen unwichtig sind. Sie sorgen nur nicht für Rechtssicherheit in zivilrechtlichen oder wettbewerbsrechtlichen Auseinandersetzungen.

Auch Gerichte vertreten „nur“ Meinungen, weshalb es die Möglichkeit für Kläger oder Beklagte gibt, im Instanzenzug nach oben zu wandern, wenn eine Meinung nicht gut genug begründet erscheint. Irgendwann landet der Fall dann vielleicht vor dem höchsten deutschen Gericht oder vor dem EuGH. Spätestens vor dem EuGH ist dann Schluss. Dessen Meinung darf als Tatsache angesehen werden, wenn ich das Rechtssystem richtig verstehe. Aber auch die Meinungen von BGH und BVerfG sind wohl für Deutschland quasi als Faktum anzusehen. Siehe etwa das Urteil des BGH in der Sache „Planet 49“, wonach der § 15 Abs. 3 TMG umgedeutet wurde. Der BGH führte somit die ePrivacy-Richtlinie in Deutschland ein, weil der deutsche Gesetzgeber wieder mal geschlafen hatte und zu langsam war. Der BGH war somit Gesetzgeber, was er eigentlich nicht sein dürfte. Mit dem TTDSG wurde die Sache dann ab dem 01.12.2021 formal korrekt geregelt.

Manche im Instanzenzug weiter unten angesiedelte Gerichte setzen sich aber auch über Meinungsäußerungen des BGH hinweg. So hat ein Landgericht ein obiter dictum des BGH ignoriert. Ein obiter dictum ist eine Aussage eines Gerichts zu einer Frage, die ihm nicht gestellt wurde, wozu sich aber ein Anlass bot, etwa wegen einer angrenzenden Sachlage.

Meine Meinung

Ich beziehe mich hier nur auf die Frage, ob volle IP-Adressen in Webseiten-Logs gespeichert werden dürfen. Eigentlich geht es ja um die als zulässig anzusehende Speicherdauer von solchen Logfiles. Aber damit wird diese Frage gleich mit beantwortet.

Meine Meinung ist eine These. Eine These kann falsifiziertwerden. Das bedeutet, wenn Sie mir ein einziges Gegenbeispiel nennen können, was meiner These widerspricht, dann ist meine These widerlegt. Ebenso bedeutet es, dass meine These von Ihnen zu akzeptieren ist, wenn kein solches Gegenbeispiel gefunden werden kann. Mich interessiert Ihre Meinung in dieser Frage nicht. Nennen Sie mir ein Gegenbeispiel für meine folgende These oder akzeptieren Sie meine These als aktuelle Wahrheit, der Sie bitte folgen möchten.

Meine These lautet:

Die anlasslose Protokollierung voller IP-Adressen in Webseiten-Logs ist nicht notwendig und somit ohne weitere Rechtsgrundlage rechtswidrig.

Ohne Rechtsgrundlage wie beispielsweise Einwilligung. Das berechtigte Interesse scheidet aus. Gilt für gewöhnliche Betreiber von Webseiten, nicht für ISP o.ä.

Die meisten regen sich über diese Aussage auf. Der Grund ist, dass das Adjektiv anlasslos nicht oder falsch verstanden wird. Anlasslos bedeutet immer oder fast immer. Ein Anlass hingegen läge vor, wenn ein Hacker-Angriff festgestellt wurde oder der Verdacht darauf besteht.

Ein Verdacht könnte vorliegen, wenn die fragliche Webseite in sehr kurzer Zeit außergewöhnlich oft aufgerufen wurde. Dann könnte von einem automatisierten Abruf, möglicherweise zum Zweck einer Denial of Service Attacke oder zum Finden von Sicherheitslücken ausgegangen werden. Aber auch der Wunsch, Crawler auszusperren, könnte einen Anlass begründen. Natürlich erst, wenn der Crawler aktiv wird und nicht schon pauschal aufgrund eines Generalverdachts gegen jeden zukünftigen Aufrufer.

Meine These begründe ich in einem ausführlichen Beitrag:

Bitte beachten Sie in diesem Zusammenhang folgendes:

  • Notwendig (oder nötig) ist ungleich nützlich. Wie gerne würde ich als Unternehmer meine Steuererklärung nicht abgeben müssen oder manchmal schneller fahren als erlaubt? Das wäre im Einzelfall sehr nützlich, ist aber offenbar rechtswidrig.
  • Protokollierung bedeutet nichtflüchtige Speicherung. Das flüchtige Halten von Daten in einem Hauptspeicher ist keine Protokollierung im Sinne meiner These. Natürlich darf der Hauptspeicherinhalt nicht ewig gehalten werden, und es darf nicht möglich sein, den Hauptspeicher zu „dumpen“ bzw. für eine weitere Verarbeitung, etwa durch den Menschen, auszulesen.
  • Das berechtigte Interesse ist keine universelle Rechtsgrundlage. Es muss nachgewiesen bzw. plausibel gemacht werden. Gibt es mildere Mittel, scheidet das berechtigte Interesse regelmäßig als Erlaubnistatbestand aus. Es gibt somit kein berechtigtes Interesse für Sicherheitsmaßnahmen. Berechtigt kann das Interesse nur sein, wenn es ganz konkret abgeleitet wird. Daran scheitern leider viele. Vgl. auch Art. 5 DSGVO.
  • Bisher konnte mir niemand ein Gegenbeispiel nennen, das meine These widerlegen würde. Ich habe sogar aktiv IT-Security Experten, Datenschützer und auch das BSI angeschrieben oder antelefoniert.

Nun zur eigentlichen Frage des Betrags, der Speicherdauer von Webseiten-Logfiles.

Speicherdauer von Webseiten-Logfiles

Wie lange dürfen Logfiles auf Web Servern gespeichert werden? Das BayLDA sagt 30 Tage. Die sonstige Auffassung lautet regelmäßig: 7 Tage. Meine Auffassung ist die folgende:

Webseiten-Logfiles dürfen anlasslos sehr lange gespeichert werden, sofern quasi keine personenbezogenen Daten darin enthalten sind. Sehr lange könnte etwa ein Jahr sein. Es könnten aber vielleicht auch zwei oder mehr Jahre sein, je nach Art der enthaltenen Daten. Die Gefahr ist nur, dass man Daten nicht immer ansieht, ob aus Ihnen ein Personenbezug abgeleitet werden kann.

Webseiten-Logfiles dürfen anlasslos überhaupt nicht gespeichert werden, sofern die volle IP-Adresse von Webseitenbesuchern enthalten ist. Begründung: Die Speicherung der vollen IP-Adresse ist nicht notwendig und somit rechtswidrig. Siehe meinen oben verlinkten Beitrag für Details.

Webseiten-Logfiles dürfen anlassbezogen so lange gespeichert werden, wie dies durch den jeweiligen Anlass zu rechtfertigen ist. Wird ein Hacker-Angriff festgestellt, kann der Anlass so lange vorliegen, wie die Untersuchungen andauern bzw. solange der Hacker aktiv ist. Idealerweise unterscheidet der Verantwortliche, welche Daten in den Logfiles dem Hacker zugeordnet werden können und welche sicher nicht dem Angriff zugeordnet werden können. Sofern aber keine personenbezogenen Daten in den Logs vorliegen, ist diese Frage nebensächlich.

Liegt ein solcher Anlass vor, können (selbstverständlich) auch volle IP-Adressen von Nutzern gespeichert werden. Die Auswertung dieser Daten darf aber nur dem Zweck der Gefahrenabwehr dienen und nicht etwa für Marketing-Aktivitäten verwendet werden.

Personenbeziehbare Daten

Wird die IP-Adresse nicht im Server Log gespeichert, weil dies anlasslos rechtswidrig ist (dies ist meine bisher unwiderlegte These), bleiben folgende weiteren Daten übrig, die man als personenbeziehbar und somit als personenbezogen (vgl. Art. 4 Nr. 1 DSGVO) ansehen könnte:

  • User-Agent
  • Aufgerufene URL

Zusammen mit dem Zeitpunkt des Zugriffs, der in Server Logs protokolliert wird, könnte ein Personenbezug hergestellt werden. Sofern die aufgerufene URL ohne URL-Parameter gespeichert wird, ist dieser Datenwert jedenfalls unkritisch. Wenn es ausgeschlossen werden kann, dass Formulardaten mit Personenbezug in URL-Parametern landen und auch sonst keinen personenbeziehbaren URL-Parameter (wie Tracking-Links aus Newslettern) verwendet werden, kann die volle URL recht gefahrlos mitprotokolliert werden.

Der User-Agent ist recht einmalig, aber nicht völlig einmalig. Ihn alleine als Unterscheidungskriterium zu verwenden, um einen Nutzer in einer Gruppe anderer Nutzer zu unterscheiden, ist zumindest schwierig. Fallen aber genügend Daten an oder ist die Anzahl der Besucher der Webseite gering, so könnte der User-Agent schon als personenbeziehbarer Datenwert angesehen werden. Vgl. Stellungnahme der Artikel 29-Gruppe, zu finden etwa über Begründung im WhatsApp-Fall.

Ich empfehle daher, den User-Agent gekürzt zu speichern oder nachträglich (etwa nach x Tagen) zu kürzen oder Server Logs nicht länger als 30 Tage aufzubewahren.

Fazit

Server Log Files für Webseiten dürfen anlasslos nahezu beliebig lange aufbewahrt werden, wenn sie keine personenbezogenen Daten enthalten. Wird die IP-Adresse gespeichert, fehlt dafür die Rechtsgrundlage. Das Server Log wird somit rechtswidrig geführt. Es darf somit gar nicht aufbewahrt werden.

Ich empfehle, Server Logs, in denen keine personenbezogenen Daten vorliegen, generell nicht länger als ein oder zwei Jahre aufzubewahren, sofern kein Anlass (Hacke-Angriff o.ä.) vorliegt. Allerdings wird wohl meist kein Grund vorliegen, derartige Protokolle länger aufzubewahren. Für die meisten Webseitenbetreiber dürften diese Protokolle an sich entbehrlich sein. Bei Providern wie ALL-INKL kann man solche Logs deaktivieren, was für die meisten Fälle wohl die beste Entscheidung ist.

Liegt ein Anlass vor, können alle dem Anlass angemessenen Daten so lange gespeichert werden, wie dies dem Anlass angemessen ist.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Über neue Beiträge werden Sie informiert, wenn Sie meinen Newsletter abonnieren. Über Ihre Unterstützung für meine unabhängige Berichterstattung würde ich mich besonders freuen.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Cookie-Umfrage von GMX und Web.de: So geht Lobbyismus in eigener Sache