Das was ich schon lange befürchtet hab, ist nun passiert:
Ein Gericht erkärt die Speicherung von IP-Adressen in den Logfiles von Webservern als nicht zulässig.
Siehe auch Urteilstext beim Kläger:
Urteil: Vorratsspeicherung von Kommunikationsspuren verboten
golem.de:
Initiiert hatte die Klage der Jurist Patrick Breyer vom Arbeitskreis Vorratsdatenspeicherung, der sich an der Aufzeichnung von Webserver-Logfiles samt IP-Adressen stört. Die Aufbewahrung solcher Kommunikationsspuren ermögliche es, „das Surf- und Suchverhalten von Internetnutzern detailliert nachzuvollziehen“, so Breyer. Er sieht durch die Aufzeichnung der Logfiles mti IP-Adressen sein „Recht auf informelle Selbstbestimmung“ verletzt.
Quelle: Urteil untersagt Aufzeichnung von IP-Adressen im Logfile
Vielen Dank, Herr Breyer.
Was werden die Folgen sein:
- Eine Kriminalisierung von fast jedem Betreiber eines Webauftritts, inklusive einer dementsprechenden Abmahnwelle.
- Eine weitere Entrechtung der Betreiber von Webauftritten. Es ist den Betreibern von Webauftritten nicht merh erlaubt zu wissen, wer zu Besuch kommt
- Kosten und Aufwand (zwar im einzelnen Minimal, aber in der Summe doch gewaltig) bei der Anpassung aller Webserver im deutschsprachigen Raum. Sofern es den Betreibern überhaupt möglich ist!!! (Wie bitte schön soll den ein Kunde der bei einem amerikanische Hoster ist, dort durchsetzen, daß die IP-Adresse in den Logs wegfällt?)
- Etliche Skripten, die auf die Environment-Variablen REMOTE_HOST bzw. REMOTE_ADDR zugreifen müssen geändert werden. Sehr viele Dinge, wie z.B. Besucherzähler, werden garnicht mehr zuverlässig funktionieren können.
Und dies alles nur weil es möglich sein könnte, daß jemand die IP-Adressdaten einer Person zuweist und dann dies missbräuchlich nutzt?
Wenn mich jemand im realen Leben zu Hause besucht, dann hab ich ein Hausrecht und hab wohl auch ein Recht zu wissen, wer da ist. Herr Breyer kann ja auch mal verlangen, daß Haus- oder Wohnungsbesitzer lobotomisiert werden, damit die nicht mehr wissen, wer vorhin zu besuch war. Der Datenschutz müsste das ja auch hergeben, nicht wahr?
Mehr unter:
www.daten-speicherung.de
intern.de
Ergänzung
Herr Breyer hat in seiner Vorraussicht für alle einen Text für eine Musterklage bereitgestellt.
In der schreibt er auch noch:
Das gesetzliche Verbot der Speicherung von IP-Adressen gilt für alle in Deutschland ansässigen Anbieter von Internetdiensten (z.B. Suchmaschinen, Online-Shops, Nachrichtenportale, Foren, Blogs). Verboten ist auch die Protokollierung anderer Kennungen, anhand derer die Identität des Nutzers ermittelt werden kann (z.B. Benutzername, Benutzer-ID).
www.daten-speicherung.de nutzt ein Angebot der Firma Hetzner Online AG.
Verwendet wird ein alter Apache 2.0.50. Das Webangebot wird mit WordPress 2.1 realisiert.
Apache speichert per Default auch die IP-Adressen. Dies kann man abschalten, indem man die Anweisung Logformat anpasst. Z.B. so:
LogFormat darf.ich.nicht.haben %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat darf.ich.nicht.haben %l %u %t \"%r\" %>s %b common
(Notiz: Von einer Aktion, die vermeintlich Gutes will, hätte ich erwartet, daß die diese Konfigurationsanweisungen auch irgendwo hinschreibt. Als Leitfaden für die, welche sich dran halten wollen. Aber es fehlt an jeglicher solcher Hinweise. Naja, es geht wohl weniger um das Helfen als mehr um das pauschale Verbieten. Stacheldrahtzaun halt.)
Aber auch wenn Herr Breyer dies in Vorraussicht von wütenden Klagen beseitigt haben sollte, nutzt er trotzdem WordPress. Und in WordPress werden auch IP-Adressen gespeichert. Nämlich zum Beispiel von jedem Kommentator.
Dies kann man sehr schön sehen, wenn man die SQL-Backups macht und sich mal die SQL-Datei anschaut.
Ich gehe nicht davon aus, daß irgendwer in Deutschland nach jeder neuen monatlichen SecFix-Wordpress-Version in den Code geht um die IP-Adressen wieder wegzumachen. Daher glaub ich auch nicht, daß es dort geschah.
Also bitte. Wer meint, die Musterklage gegen jemand nutzen zu wollen, weil angeblich das Recht der informationellen Selbstverwirklichung beeinträchtigt wurde, der sollte dort bei dem Urheber aller kommenden Klagen und Abmahnungen anfangen.
Ergänzung 2:
Ich gebe mein Irrtum gern zu: Es gibt eine Möglichkeit, WordPress die Speicherung abzugewöhnen. Auf der Website der Aktion „Wir speichern nicht“ gibt es hierzu eine Anleitung:
Plugin „Delete Comment IP“, http://www.wirspeichernnicht.de/content/blogsection/5/24/
Dies ändert nichts an meiner grundsätzlichen Kritik. Ich als Betreiber einer Website bestehe auf mein virtuellen Hausrecht. Und darin sehe ich ein recht auch darin, zu wissen, wer mich besucht.
Es ist meine Sache wofür ich die IP-Adresse verwende oder ob ich sie nicht verwende. Ich garantiere bereits in meinem Impressum, daß ich damit kein Schindluder treibe. Nur darauf sollte es ankommen.
Weil ein paar wenige Promille der Website-Betreiber die IP-Adresse zu ungesetzlichen Zwecken missbrauchen, wird hier plötzlich jeder Website-Betreiber kriminalisiert. Das sehe ich nicht ein.
Ergänzung 2:
Die Behauptung, daß es sich um ein Grundsatzurteil handelt, ist IMHO falsch.
Denn das Gericht schrieb in der Begründung:
Aus einer „Einzelfallentscheidung in einer Sonderkonstellation“ eine Grundsatzentscheidung zu machen, ist verwegen.
Ergänzung 3:
Der Rechtsanwalt Dr. Bahr hat zu der ganzen Sache einen schönen Artikel geschrieben: LG Berlin: IP- und Daten-Speicherung auf Webseite rechtswidrig
wird wohl spannend werden, wenn die ersten abmahnanwälte versuchen damit geld zu verdienen.
btw: gibt es irgendeine möglichkeit z.b. awstats so zu konfigurieren, dass es auch ohne ip-adressen noch brauchbare logfile-auswertungen zustande bringt?
Naja, du kannst den Webserver ja umstellen auf eine definierte IP. Dann wird der AWSTATS die Statistiken so auswerten, als ob alle User nur von dieser IP kommen.
Sowohl bei AWSTATS als auch bei Webalizer wird das ganze dafür sorgen, daß du die Statistik der Visits wegwerfen kannst. Du behälst lediglich noch Views und Hits.
Eine TopTen der User hast du aber auch nicht mehr, auch keine Statistik über die Suchmaschinen (die nutzen ja auch IPs und werden oft darüber identifiziert).
damit sind awstats und co für mich unbrauchbar geworden.
na toll.
Tatsächlich gibt es keinen Grund, die REMOTE_ADDR zu verwenden (*) oder gar zu speichern. Auch bei einem Seitenaufrufzähler nicht.
Ein Seitenaufrufzähler zählt die Aufrufe einer Seite, mehr nicht, das sind zwei Spalten in einer Tabelle (URL, Counter).
(*) Es sei denn, die wird zur DEMO angezeigt.
Was die Speicherung in LOG-Files betrifft: Der Webseitenbetreiber hat darauf i.d.R. keinen Einfluss. das ist Providersache (Serverkonfiguration). Und da gibt es auch Provider, die den Webseitenbetreibern gar keinen Zugriff auf Logfiles gewähren. Ich bin froh, einen solchen Provider zu haben.
Was interessieren mich auch die IP-Adressen meiner Besucher.
Viele Grüße, Ernst
„Tatsächlich gibt es keinen Grund, die REMOTE_ADDR zu verwenden (*) oder gar zu speichern. “
Da bin ich anderer Ansicht.
Spätestens bei einer automatisierten Referer-SPAM-Attacke brauchst du das.
Wie auch immer: Mit geht es ums Prinzip. Es kann doch nicht sein, daß Website-Betreiber total entblößt (Impressum) werden, aber selbst keinerlei Info haben dürfen, wer die Site aufruft.
Hi Wolfgang,
falls Du meine IP von diesem POST im Log siehst: Das ist ein Proxy-Server, dahinter steckt eine Firma mit mehr als tausend Mitarbeitern.
Aber im Prinzip hast Du schon Recht ;-)
Ernst
ich bin dafür, dass alle bürger ab sofort nackt herumzulaufen haben.
Eine schöne Übersicht der Notwendigkeit der IP-Speicherung findet sich auch hier:
Sicherheitstechnisch gesehen sehr Gefährlich
Hi,
eine IP-Adresse ist weltweit eindeutig, das ist klar.
Eine IP-Adresse kann in einzelnen Fällen personenbezogen sein, muss aber nicht.
Zurück zu dem von mir erwähnten Beispiel mit dem Proxy-Server:
Tausende Mitarbeiter der Firma stecken hinter einer einzigen IP-Adresse, jeder Mitarbeiter, der hier POSTEN würde, kommt mit derselben IP-Adresse wie die anderen Kollegen.
Also: IP != Person
Ob sich das jemals wenigstens einmal rumspricht!?
Viele Grüße, Ernst