Internet & Recht - aktuell Home

Die Problematik der gespeicherten Daten

Referat beim Symposion "Goodbye Privacy - Grundrechte in der digitalen Welt" bei der ars electronica am 5.9.2007 - Workshop "Die Speicherung von Daten auf Vorrat"

Die Richtlinie über die Vorratsdatenspeicherung regelt in Artikel 5, welche Daten zu speichern sind. Sowohl hier als auch in vielen anderen Bestimmungen unterscheidet die Richtlinie zwischen Telefonfestnetz, Mobilfunk, Internetzugang, E-Mail und Internet-Telefonie. Während die Speicherung der Telefonie-Daten (das Telekommunikationsgesetz 2003 unterscheidet diesbezüglich in § 92 zwischen Stammdaten, Verkehrsdaten und Standortdaten; die Inhaltsdaten sind von der Vorratsdatenspeicherung nicht betroffen) und der Zugriff auf diese Daten (§§ 149a ff StPO) in Österreich zum Großteil schon geregelt sind, werden die Internet-Daten bisher nur unzulänglich vom TKG 2003 erfasst. Hier wiederum sind es die Daten aus der Nutzung des WWW, die sich nur unzureichend in das Schema des TKG einordnen lassen. Konkret geht es dabei um die Frage, ob sich IP-Nummern mit Telefonnummern gleichsetzen lassen und ob es sich bei der Zuordnung einer solchen IP-Nummer zu einer Person tatsächlich um eine bloße Bekanntgabe von Stammdaten handelt, wie der Oberste Gerichtshof in seinem Urteil vom 26.7.2005, 11 Os 57/05z festgestellt hat.

Dieses Urteil erging aufgrund einer Nichtigkeitsbeschwerde zur Wahrung des Gesetzes, nachdem verschiedene Senate des Oberlandesgerichtes Wien in letzter Instanz die Frage der Auskunftspflicht der Access-Provider in Verfahren gegen unbekannte Tauschbörsennutzer unterschiedlich entschieden hatten. Der OGH ging in dieser Entscheidung davon aus, dass es sich bei der Ermittlung des Inhabers einer IP-Adresse, sei es dynamisch oder statisch, nicht um eine Auskunft über Verkehrsdaten handle, sondern um eine bloße Bekanntgabe von Stammdaten des Inhabers eines bereits (durch die IP-Adresse) bekannten Teilnehmeranschlusses und dass diese Bekanntgabe ohne die Voraussetzungen des § 149a StPO erfolgen könne; dies nachdem sich der involvierte Provider vor allem darauf berufen hatte, dass der Vorgang der Ermittlung des Inhabers der dynamischen IP-Adresse eine Rufdatenrückerfassung darstelle. Der OGH verwies bei seiner Auslegung des TKG 2003 auch darauf, dass der Gesetzgeber in Kenntnis des Internets von einer gesonderten Regelung Abstand genommen habe und somit offensichtlich auch davon ausgehe, dass das Internet von den bestehenden Bestimmungen miterfasst sei, was ich angesichts der Kompliziertheit der Materie für ein Scheinargument halte, abgesehen davon, dass der OGH in anderen Fällen sehr großzügig ist bei der Korrektur des Gesetzgebers ist.

Ich habe schon vor dieser Entscheidung die Meinung vertreten (Artikel "Auszählreime" und "Offenlegung des Internets?"), dass eine IP-Adresse nicht mit einer Rufnummer vergleichbar ist und insbesondere die Folgen der Offenlegung des Inhabers andere sind als bei der Bekanntgabe des Inhabers eines Telefonanschlusses. Es ist nur sehr schwer, Vergleiche mit anderen bestehenden Einrichtungen zu ziehen. Auch das KFZ-Kennzeichen reicht bei weitem nicht an die Problematik heran, bewegen sich Kraftfahrzeuge doch vorwiegend im öffentlichen Verkehr, jedenfalls aber nicht in den eigenen vier Wänden. Selbst wenn man jeder Person ein Kennzeichen verpassen würde, wäre das noch nicht ident mit der Wirkung einer IP-Adresse. Erst wenn man diese zusätzlich auf Schritt und Tritt mit einer Kamera überwachen würde, hätte man eine ähnliche Wirkung erreicht. So wie der Internetnutzer auf Blick und Klick anhand seiner IP-Nummer überwacht wird, würde jegliche Tätigkeit der Person in der realen Welt festgehalten. Der Film „FACELESS“ von Manu Luksch, vorgestellt bei der ars electronica 2007, zeigt dies übrigens recht eindrucksvoll. Während sich aber die Video-Überwachung überwiegend im öffentlichen Raum abspielt, setzt die technisch indizierte „Internet-Überwachung“ bereits beim Surfen in den eigenen vier Wänden ein. Der Internetuser begibt sich nur virtuell in die weite Welt. Vielleicht würde eine vergleichbare Situation entstehen, wenn die Fernsehsender begännen, mit zukünftigen technischen Möglichkeiten das Verhalten der Fernsehzuschauer vor dem Schirm zu eruieren, und dann versuchten die Gesichter den Gebührenzahlern zuzuordnen.

Mittlerweile gibt es auch auf europäischer Ebene eine Stimme in der Richtung, dass die Zuordnung der IP-Adresse keine bloße Bekanntgabe von Stammdaten darstellt. Im Vorabentscheidungsverfahren Promusicae, C-275/06, (betrifft auch einen Tauschbörsenfall und die Frage der Zulässigkeit der Weitergabe der Daten des Inhabers einer IP-Adresse an eine Verwertungsgesellschaft) geht nämlich die Generalanwältin in ihren Schlussanträgen vom 18.7.2007 davon aus, dass es sich bei der Zuordnung einer IP-Adresse zum Inhaber um Verkehrsdaten handelt. Sie vertritt auch die Meinung, dass eine Herausgabe dieser Daten nur an die zuständigen staatlichen Behörden, und nicht an Private zulässig sei. Sollte der EuGH dieser Meinung folgen, würde dies etwa bedeuten, dass § 87b Abs. 3 öst. UrhG (zivilrechtliche Auskunftspflicht) richtlinienwidrig ist.

Was ist nun das Besondere an einer IP-Adresse? Alle Computer, die ständig oder temporär mit dem Internet verbunden sind, erhalten eine weltweit nur einmal vergebene IP-Nummer. Eine solche besteht aus 4 maximal dreistelligen Zahlen von 0 bis 255 (z.B. 195.195.85.72). Ein normaler Internetnutzer, der über einen Access-Provider einen Internetanschluss mietet, bekommt meist keine ständige (fixe) IP-Adresse zugewiesen, sondern eine sogenannte dynamische, d.h. er erhält aus dem dem Provider zur Verfügung stehenden Nummernvorrat eine zugewiesen, die gerade frei ist (dynamisch vergebene IP-Adresse). Mit dieser IP-Nummer ist aber dann der Internetnutzer weltweit identifizierbar, weil das Internetprotokoll, auf dem der gesamte Datenverkehr im Internet basiert, dafür sorgt, dass diese Nummer bei jedem Schritt im Internet mitgeführt wird. Sie wird aber nicht nur bei jedem Aufsuchen einer Website „vorgewiesen“, sondern auch von jedem Webserver im Logfile gespeichert, und zwar nicht nur beim „Betreten“ einer Website, sondern auch bei jeder weiteren Bewegung innerhalb dieser Website. Zur Veranschaulichung hier ein winziger Ausschnitt aus einem Logfile des Servers eines Diskussionsforums:

Sie sehen in den einzelnen Zeilen des Logfiles zunächst die IP-Nummer, dann den Servernamen, den Benutzernamen, Datum und Uhrzeit, die getätigte Aktion und technische Daten zum Rechner des Users. Aus diesen Einträgen ergibt sich, dass der User mit der IP-Nummer 62.47.12.241 und der User-Bezeichnung f.schmidbauer zunächst das Forum betritt (login), dann einen Eintrag (post) verfasst und anschließend das Forum wieder verlässt (logoff), bevor der User p.woehrer das Forum betritt.
Anstelle des realen Usernamens könnte auch ein beliebiges Pseudonym stehen. Bei einer nicht zugangsgeschützten Website würde der Username überhaupt entfallen. Solche Logfiles erreichen je nach Besucherverkehr enorme Größen und sind manuell schwer auszuwerten, es wäre denn man sucht nach einem bestimmten Ereignis, das man zeitlich eingrenzen kann. Allerdings gibt es Auswertungstools, die aus den Logfiles für den Websitebetreiber wichtige Informationen wie Anzahl der Besucher, Besucherströme innerhalb der Website und Herkunft der Besucher (mit IP-Adresse) auswerten. Eine solche Auswertung enthält idR u.v.a. folgende Daten:

  Hits   Files   KBytes   Visits   Hostname
  4501   610   11483   129   85.127.60.117
  4302   3849   27313   316   65.214.39.180
  4140   3784   26189   263   193.95.154.69

Daraus ersieht man beispielsweise, dass der Rechner mit der IP-Adresse 85.127.60.117 die Website im Erhebungszeitraum 610 mal besucht hat und dabei 4501 Dateien aufgerufen hat. Eine Verfeinerung der Auswertung kann dann auch noch aufzeigen, welche Dateien aufgerufen wurden, um welche Uhrzeit die Besuche erfolgten und wie lange die einzelnen Seiten betrachtet wurden. Daraus lässt sich daher ein sehr genaues Profil des Besuchers und seiner Interessen herauslesen. Je nach Inhalt der Website (Politik, E-Commerce, Porno) können diese Auswertungen auch sehr sensible Daten offenlegen. Logfiles werden von praktisch allen Webservern der Welt geführt und gespeichert. Wie weit eine Auswertung erfolgt, ist Sache des Website-Betreibers, wenn er Zugriff auf die Logdateien hat, ansonsten kann nur der Server-Betreiber darüber verfügen.

Das exzessive Aufzeichnen von Daten ist somit Teil der Internettechnologie und hat mit der geplanten Vorratsdatenspeicherung zunächst nichts zu tun. Es wurde auch bisher nicht nur für technische Zwecke genutzt. Zu einem rechtlichen Problem wird dieses Speichern dann, wenn anonyme IP-Adressen mit realen Personendaten verknüpft werden; erst damit werden Maschinendaten zu personenbezogenen Daten. Eine solche Verknüpfung ist aber für den Website-Betreiber dann nicht möglich, wenn der momentane Träger der IP-Adresse nicht im WHOIS-Register (dort sind weltweit alle Domain-Inhaber und Inhaber von IP-Adressen abrufbar) eingetragen ist. So ergibt etwa eine Abfrage bezüglich der oben angeführten IP-Adressen, dass diese der INODE GmbH in Wien, der IANA Organisation in Kalifornien und dem Provider Ask Jeeves in Dublin gehören. Die eigentliche Nutzer sind unbekannte Kunden dieser Unternehmen, denen von diesen die jeweilige IP-Adresse zugewiesen wurde. Eine Feststellung des tatsächlichen Users ist nur über die Zuordnungsdaten dieser Provider möglich.

Ob die Provider diese Zuordnungsdaten derzeit überhaupt speichern dürfen, hängt von den jeweiligen nationalen Datenschutzbestimmungen ab; es handelt sich dabei jedenfalls um personenbezogene Daten. Nach einer Empfehlung der österreichischen Datenschutzkommission (11.10.2006, K213.000/0005-DSK/2006) dürfen diese Daten nur gespeichert werden, soweit dies für Verrechnungszwecke unbedingt notwendig ist, also etwa nicht bei Vorliegen einer Flatrate. Mit Inkrafttreten der Vorratsdatenspeicherung müssen diese Daten (voraussichtlich) sechs Monate gespeichert werden.

An der Verknüpfung IP-Adresse - Inhaberdaten haben viele Kreise aus unterschiedlichsten Gründen großes Interesse. Demgegenüber ist die Anonymität der IP-Adresse der einzige Schutz der Privatsphäre des Internetnutzers. Sobald die IP-Adresse offengelegt wird, wird der User zum gläsernen Net-Bürger, der auf Blick und Klick überwacht und ausgewertet wird. Genau um diese Zuordnungsdaten geht es bei der Vorratsdatenspeicherung von Internet-Daten. Die Offenlegung der Identität des Users erfolgt zwar nur für die Internetsitzung, für die ihm die konkrete IP-Adresse zugewiesen wurde, die Offenlegung kann aber trotzdem weit darüber hinausgehende Folgen haben, etwa wenn dadurch ein Pseudonym oder eine anonyme E-Mail-Adresse enttarnt wird. In diesem Fall wird durch eine Offenlegung aus einem konkreten Anlass das gesamte digitale Vorleben des Users offengelegt. Dies kann frühere Leserbriefe betreffen, einen Weblog oder Beiträge in Diskussions- oder Chatforen, die der User vielleicht nie unter seinem realen Namen geschrieben hätte. Genau diese digitale Identität wird demjenigen bekannt, der die Verknüpfung herstellen kann. Einmal verknüpft braucht man nur mehr eine Suchmaschine konsultieren und man erfährt alles, was dieser User je unter dieser Identität im Internet gemacht hat.

Damit sollte eigentlich jedem klar sein, dass das nicht mit der Bekanntgabe des Inhabers einer Telefonnummer gleichgesetzt werden kann, wie es der derzeitige Entwurf der TKG-Novelle (61/ME), mit dem die Vorratsdatenspeicherung umgesetzt werden soll, leider tut.

Die unterschiedlichen Rollen der IP-Adresse

Das Internet selbst ist zunächst nichts anderes als ein System aus Computern und Verbindungen (Kabel, Funk). In diesem Netzwerk gibt es verschiedene Dienste (E-Mail, WWW, Foren, IP-Telefonie, Tauschbörsen). Diese Dienste sind, was das Verhältnis öffentlich - privat betrifft, unterschiedlich einzuordnen. Der größte Fehler wäre es, alles in einen Topf zu werfen. Gerade die Natur der IP-Adresse ist deswegen so schwer einzuordnen, weil sie je nach Dienst die unterschiedlichsten Funktionen hat. Bei der E-Mail und der IP-Telefonie werden die IP-Adressen der beteiligten Mailserver gespeichert und an den Endpunkten auch die des Absenders und Empfängers, bei den Foren die IP-Adressen der Teilnehmer und des Forenbetreibers, bei den Tauschbörsen, die der Teilnehmer. Beim WWW kommt es darauf an, ob es aktiv oder passiv genutzt wird. Bei der aktiven Nutzung steht die IP-Adresse für einen veröffentlichten Inhalt, bei der passiven Nutzung für die Identität des Surfers, der hier eher mit einem Fernsehkonsumenten vergleichbar ist. Daneben gibt es auch noch Mischformen, wie etwa die Tauschbörsen, bei denen der einzelne PC etwa passiv zum Surfen genutzt wird, unter derselben IP-Adresse aber von einem Teil der eigenen Festplatte Musikstücke öffentlich (in der Art eines Webservers) zur Verfügung gestellt werden.

Zu beachten ist aber, dass zum Zeitpunkt der Aufnahme der Internetverbindung noch nicht feststeht, wofür die zugewiesene IP-Adresse genutzt wird; sie kann auch für mehrere Dienste genutzt werden. Gespeichert wird sie (bzw ihr Inhaber) aber in Zukunft auf jeden Fall. Bei einem späteren Auskunftersuchen muss daher genau geprüft werden, welcher Dienst betroffen ist und wie im konkreten Fall das Schutzbedürfnis des Inhabers in Bezug auf Schutz von Privatsphäre und Kommunikationsgeheimnis zu bewerten ist. Klar sollte sein, dass bei der Auskunft ein deutlicher Unterschied gemacht werden muss, je nachdem ob der Inhaber einer IP-Adresse im Netz veröffentlicht, kommuniziert oder nur passiv konsumiert hat. Klar sollte aber auch sein, dass es eine solche Auskunft nicht auf Zuruf geben darf, sondern nur nach sorgfältiger Prüfung durch ein Gericht und nicht wegen jeder Bagatelle.

Durch die geplante Vorratsdatenspeicherung wird diese Problematik zwar nicht geschaffen, aber verschärft. Bei der Umsetzung muss daher auf den Schutz der gespeicherten Daten (dezentrale Speicherung bei hunderten Providern!) und vor allem auf die Frage, wer unter welchen Umständen Zugriff darauf hat, besonderes Augenmerk gerichtet werden.

Literatur

Pressespiegel

Wenn Sie im Pressespiegel auf der Suchseite das Stichwort Vorratsdatenspeicherung eingeben, so finden Sie mit Stichtag 5.9.2007 105 Artikel

5.9.2007 (Nachträge 16.9.2007)

Franz Schmidbauer

zum Seitenanfang

zur Übersicht Aktuelles