Bei den ISPs, die man im privaten Bereich benutzt, ist die rechtslage ja einigermaßen klar. Bei DSL dürfen keine IP-Adressen gespeichert werden, bei anderen Verbindungsarten nur bis zur Abrechnung.
Wie verhält es sich, wenn man einen Provider hat, der einem eine feste IP vergibt. Da hat man ja über mehrere Jahre stets die gleiche Adresse. So gesehen können Webseiten ein exzellentes Profil über den Nutzer erstellen und ihn eindeutig zuordnen.
Meine Frage ist in diesem Zusammenhang, wie es sich mit den Verbindungsdaten verhält. Was passiert, wenn der Staatsanwalt den Provider zur Identifizierung auffordert? Können dann auch Daten heraus gegeben werden, wenn sie bereits mehrere Jahre alt sind? Theoretisch kommt man doch ohne Probleme an die Daten des Benutzers oder besteht nach einem gewissen Zeitraum keine Auskunftspflicht mehr?
Internetanschluss und Tarife 23.330 Themen, 98.029 Beiträge
Schöne Grüße aus dem Märchenland. Auch bei DSL werden die Verbindungsdaten mindestens 7 Tage gespeichert. Wenn ein Gericht einen "Quick Freeze" anordnet, auch länger.
Wurde unter einer bestimmten IP Schindluder getrieben, erhält der Provider eine gerichtliche Anordnung, die Verbindungsdaten einer bestimmten IP zu einem bestimmten Zeitpunkt herauszurücken. Das Gericht weiß nicht, ob es eine statische oder dynamische IP ist.
Die Auskunftspflicht erlischt erst dann, wenn keine eindeutige Identifizierung mehr möglich ist, z.B. weil die Daten bereits gelöscht wurden. Bei statischen IPs kann die zweifelsfreie Identifizierung jedoch weit in die Vergangenheit zurückreichen.
Das sehe ich auch so. Gilt vor Gericht auch IP=Person? Theoretisch gibt es keine Verurteilung, wenn noch Zweifel herrschen. Als Beweis habe ich in meinem Log eine IP und der Staatsanwalt findet heraus, welcher PC das war. Und an dem PC sitzt eine Person, also ist der Beweis erbracht, dass es niemand anderes sein konnte?
Nein, es gilt nur IP = Anschlussinhaber. Der Anschlussinhaber muss nicht zwangsläufig auch der Täter sein, dies ist aber meist unerheblich.
Im Falle von z.B. Urheberrechtsverletzungen wird der Anschlussinhaber in die Störerhaftung genommen. Dieser kann natürlich durch Benennung des tatsächlichen "Täters" aus seiner Schadenersatzpflicht entkommen.
Aber wie ist es bei einem Strafverfahren?
Wie ist es, wenn ich beweisen kann, dass ich es nicht war (z.B. belegte Abwesenheit), ich aber nicht ermitteln kann, wer es war? Wer wird dann bestraft?
Läuft es nicht so ähnlich ab wie bei Blitzern? Wenn die Person auf dem Photo nicht identifizierbar ist, kann der Halter nicht automatisch zur Rechenschaft gezogen werden.
Das kann im Strafverfahren tatsächlich zur Einstellung des Verfahrens führen. Die zivilrechtliche Seite ist i.d.R. aber deutlich unangenehmer, weil teurer - und die ist mit der Einstellung des Strafverfahrens noch nicht erledigt.
Vor allem gibt es im Zivilrecht im Gegensatz zum Strafrecht keine "Unschuldsvermutung" :-(
Wurde unter einer bestimmten IP Schindluder getrieben, erhält der Provider eine gerichtliche Anordnung, die Verbindungsdaten einer bestimmten IP zu einem bestimmten Zeitpunkt herauszurücken.
...und wurde kein Schindluder getrieben, geht es zur Not auch ohne eine gerichtliche Anordnung - die Musikindustrie macht's möglich :-((
Mag sein, dass es keine große Rolle spielt, ob der Anschlussinhaber selbst der Täter ist oder nicht - viel interessanter ist die Frage, ob überhaupt der richtige Anschlussinhaber ermittelt wurde. Es ist schon vorgekommen, dass Rechtsanwälte von Providern die Auskunft erhielten, "Tut uns leid, aber die von Ihnen angegebene IP-Adresse war zum fraglichen Zeitpunkt an genau gar keinen unserer Kunden vergeben...".
Die gruseligen Schlussfolgerungen daraus mag jeder für sich selbst ziehen.
CU
Olaf
Und was wäre, wenn die IP der Anfrage sogar vergeben wäre, dieser Nutzer damit jedoch nichts zu tun hat? Muss dann der Provider nachvollziehen, ob die IP die Seite besucht hat oder sind sich in dem Moment bereits alle einig?
Exaktamente das meinte ich mit den "gruseligen Schlussfolgerungen":
Und was wäre, wenn die IP der Anfrage sogar vergeben wäre, dieser Nutzer damit jedoch nichts zu tun hat?
Genau das ist schon mehrfach passiert. Da hatten Leute eine Klage an der Backe, obwohl sie mit Urheberrechtsverletzungen überhaupt nichts zu tun hatten.
Die Klägerpartei hielt mit der Providerauskunft ein wunderschönes "Beweisstück" in der Hand.
Muss dann der Provider nachvollziehen, ob die IP die Seite besucht hat oder sind sich in dem Moment bereits alle einig?
Wenn es so weit ist, hat der Provider seine Logfiles längst gelöscht.
Praktisch für den Kläger, oder?
Ganz ehrlich - wer heutzutage das Internet nutzt, ist zum Abschuss freigegeben. Am besten ist, man hat gar keinen eigenen Anschluss mehr, sondern hackt sich nur noch widerrechtlich in wildfremder Leute WLANs ein :-(
CU
Olaf
Wenn's nicht so traurig wäre, wäre es fast schon wieder lustig!
Aber Recht hast Du irgendwie...
Gruß, mawe2
Ja, der Beitrag war ganz bewusst überspitzt von mir. Natürlich wollte ich niemanden dazu überreden, illegal anderer Leute WLANs zu nutzen.
Mir ging es darum zu verdeutlichen: Es ist schon zum Verzweifeln... da kann man mitunter auf schräge Gedanken kommen.
CU
Olaf
Ich würde mal behaupten, dass da irgendwas mit der Rechtssprechung schief läuft. Es reicht ja ein falsches Gerichtsurteil als Präzedenzfall aus, damit es soweit kommt.
Ganz ehrlich - wer heutzutage das Internet nutzt, ist zum Abschuss freigegeben. Am besten ist, man hat gar keinen eigenen Anschluss mehr, sondern hackt sich nur noch widerrechtlich in wildfremder Leute WLANs ein :-(
Olaf, um ehrlich zu sein, Deine Meinung verunsichert mich ein wenig. Eben fühlte ich mich noch sicher, einen Moment später ist mir bereits etwas unwohl auf menier Datenreise.
Gemach ;-)
Deine Meinung verunsichert mich ein wenig. Eben fühlte ich mich noch sicher, einen Moment später ist mir bereits etwas unwohl auf menier Datenreise.
Ich wollte hier niemandem den Spaß am Internet vermiesen - ich lasse mir die Webnutzung ja auch nicht kaputtmachen.
Es sind sicherlich nur extreme Einzelfälle, die auf diesem Wege unverschuldet in die Mühlen der Justiz geraten. Aber das ist für die Betroffenen nur ein schwacher Trost, und der eigentliche Skandal ist, dass so etwas überhaupt vorkommt. Für mich jedenfalls nicht mit unseren Rechtsgrundsätzen vereinbar.
Es reicht ja ein falsches Gerichtsurteil als Präzedenzfall aus, damit es soweit kommt.
Das hat noch nicht einmal etwas mit "Präzedenz" zu tun - IP-Adressen gelten, zusammen mit den Logfiles, die angeben, welche IP zu welcher Zeit welchem Kunden zugeordnet war, als "beweiskräftig".
Prinzipiell wäre das sogar in Ordnung so - wenn da nur nicht die Zahlendreher wären :-(
CU
Olaf
Prinzipiell wäre das sogar in Ordnung so - wenn da nur nicht die Zahlendreher wären :-(
Ist nicht irgendwo mal ein kompetenter Gutachter in der Lage, diese Fehler generell aufzudecken und die beteiligten Programme daher als für diesen Zweck unbrauchbar zu entlarven?
Es muss doch Möglichkeiten geben, einem Gericht diese Fehlerquellen plausibel darzulegen.
Und was ist mit einer eidesstattlichen Erklärung des Benutzers, dass er zum Zeitpunkt X die betreffende IP-Adresse nicht hatte (auf der Basis seines Router-Protokolls)? Muss das ein Richter nicht ebenso würdigen wie ein nicht mehr nachvollziebares aber fehlerbehaftetes Verfahren auf der anderen Seite?
Ich sehe da eigentlich gar kein technisches Problem, das irgendein Gutachter darlegen könnte. Es wird wahrscheinlich so ablaufen: Da schreibt einer meinen Provider an und sagt, wir brauchen die Daten von dem Kunden, der dann und dann mit der Nummer 123.465.789 im Netz war. Das steht so im Brief und der Provider guckt bei sich nach - dass in Wirklichkeit die 123.456.789 gemeint war, kann er ja nicht wissen.
Solange Menschen mit der Hand Zahlenketten abtippen, wird es immer Tippfehler und Zahlendreher geben, dafür brauche ich keinen Gutachter.
Und was ist mit einer eidesstattlichen Erklärung des Benutzers, dass er zum Zeitpunkt X die betreffende IP-Adresse nicht hatte (auf der Basis seines Router-Protokolls)?
Was muss man denn machen, um ein solcher Protokoll zu erstellen?
Davon ab - wenn schon eine EV, dann müsste es doch eigentlich schon reichen, wenn der Beklagte eidesstattlich versichert, den fraglichen Musiktitel nicht heruntergeladen zu haben.
CU
Olaf
OK. Dann nützt mir mein Router-Protokoll auch nichts. Denn da steht ja auch nur drin, dass ich die 123.465.789 hatte. Dass über diese das fragliche Stück gar nicht heruntergeladen wurde, weil es ja über 123.456.789 geladen wurde, kann ich also auch nicht beweisen.
Jetzt wäre die Frage, warum ein Richter nicht in der Lage sein sollte, einen solchen (immerhin leicht möglichen) Zahlendreher bei einer manuellen Übermittlung nicht zu verstehen / anzuerkennen?
(Ich ging immer davon aus, dass die Programme zur automatischen Analyse der IPs irgendwelche Fehler machen. Die sind wohl doch unfehlbar?)
Was muss man denn machen, um ein solcher Protokoll zu erstellen?
Ich kriege von meiner Fritz!Box täglich eine eMail, in der drin steht, wann meine Box mit welcher IP-Adresse online war. Für die letzten vier Wochen kann ich die Liste auch in der Box abrufen.
Das Problem dabei: Solche Protokolle sind natürlich nicht wirklich gerichtsverwertbar. Sie sind genauso wenig ein objektiver Beweis wie die manuell und verdreht übermittelten IP-Adressen, die der Abmahnanwalt dem Provider schickt. Sie könnten natürlich auch leicht manipuliert werden. Aber sie sind sicher besser als gar kein Nachweis.
Ein kluger Richter wird wissen, wie damit umzugehen ist.
Davon ab - wenn schon eine EV, dann müsste es doch eigentlich schon reichen, wenn der Beklagte eidesstattlich versichert, den fraglichen Musiktitel nicht heruntergeladen zu haben.
Natürlich. Das sollte reichen!
Nachdem nun einige Jahre dieses unsinnige (weil fehlerbehaftete) Verfahren angewandt wurde, müssten doch auch die dümmsten Richter in der Lage sein, die Klagen (der Rechteinhaber) abzuweisen, weil sie sich einfach auf viel zu dünnem Eis bewegen.
Für eine gewisse Zeit (wenn sowas ganz neu ist) sollte man auch Richtern das Recht auf Irrtum einräumen. Irgendwann sollte aber Professionalität einziehen.
Was ist da los im Rechtssystem?
Tja... das frage ich mich auch.
Die Geschichte mit dem Zahlendreher gilt natürlich als faule Ausrede / Notlüge / Schutzbehauptung des Beklagten. Was der Richter davon glaubt oder nicht glaubt, liegt in seiner Hand.
Nachdem nun einige Jahre dieses unsinnige (weil fehlerbehaftete) Verfahren angewandt wurde, müssten doch auch die dümmsten Richter in der Lage sein, die Klagen (der Rechteinhaber) abzuweisen, weil sie sich einfach auf viel zu dünnem Eis bewegen.
Früher war manches anders. Da durften Provider die IP-Adressen nur an die Staatsanwaltschaft herausrücken und nicht an jede aufgeblasene Pups-Firma, nur weil die irgendwelchen ach so schützenswerten multimedialen Content herstellt.
Auch haben die Provider früher ihre Logfiles afair bis zu 80 Tage aufbewahrt, da hätte man sich also viel leichter wehren können.
Aber im Prinzip hast du schon recht. In den USA hatten sie einmal eine alte Dame am Kanthaken. Die soll sich mächtig Heavy Metal aus dem Web heruntergeladen haben :-D
Das Dumme war nur, die besaß nicht einmal einen Internetanschluss... also wie sie die Meisterleistung hingekriegt haben, ist mir ein Rätsel. Details erinnere ich leider nicht mehr, liegt schon zu lange zurück (muss so um 2003/2004 gewesen sein).
CU
Olaf
Wenn es so weit ist, hat der Provider seine Logfiles längst gelöscht.
Dafür hat der Provider gar keine Logfiles.
Der Provider weiß nur welchem Anschluss zu welchem Zeitpunkt welche IP zugeordnet war. Wobei das mit den ganz exakten Zeitpunkt schon wieder problematisch sein kann.
Die Zuordnung Webseite/Dienst und IP-Adresse zu einem bestimmten Zeitpunkt hat wiederum nur der Seitenbetreiber. Wobei der sich diese Daten auch einfach selbst basteln könnte :-(
Mmh, genau diese Zuordnung hatte ich jetzt mit "Logfiles" gleichgesetzt.
Irgendwelche "Seitenbetreiber" werden doch gar nicht von der MI & FI kontaktiert? Es geht doch immer nur um Internet Service Provider?
CU
Olaf
Wenn das aber mehr als einmal passiert, kann der Halter verpflichtet werden, ein Fahrtenbuch zu führen um über die Identität des jeweiligen Fahrers Auskunft geben zu können. Die Masche zieht also vielleicht einmal - mehr nicht.
Vielleicht ist es bei unserem Problem ähnlich?
Und wie lässt sich die Idee eines Fahrtenbuches auf die Benutzung von PCs übertragen?
Z.B. wenn ich erstmalig "erwischt" werde, gehe ich straffrei aus, bekomme aber die Auflage, zukünftig dafür zu sorgen, dass ich alle Benutzer meiner IP-Adresse registriere und niemandem Zugang ermögliche, den ich nicht kenne?
Ich weiß nicht, ob so was passieren kann?
Ich schätze, wenn die IP bekannt ist, sieht man auch, mit welchem Login der Benutzer zu dem Zeitpunkt angemeldet war. Bei einem personalisierten Account ist die Sache klar. Was aber, wenn die Person den Arbeitsplatz verlässt und jemand innerhalb von 10 Sekunden irgendwas macht? Dann sind wir wieder beim ursprünglichen Problem angekommen? Wer haftet?
Ganz und gar nicht. Dazu müsste im eigenen Netzwerk noch geloggt werden, wer wann mit welchem Account was gemacht hat.
Von außen gesehen kommen die Pakete alle vom selben Router. Man kennt noch nicht mal den PC, geschweige denn die dort angemeldete Person.
Jetzt sind wir wieder beim Thema. Bei einer festen IP Adresse sieht man auf jeden Fall welcher Rechner es ist. Auf dem Rechner sieht man dann, welcher Benutzer angemeldet war. Es gibt zwar nur wenige Provider, die feste IPs vergeben, aber genau das war meine Frage.
Aber nur, wenn lediglich ein einziger Rechner an diesem Anschluss hängt. Und zwar ohne Router.
Ansonsten ist die feste IP-Adresse doch dem Router zugeordnet und welche IP-Adressen die dahinter liegenden PCs haben, ist eine andere Frage.
Die nächste Frage wäre, ob man verpflichtet ist, personalisierte Benutzerkonten zu verwenden oder ob man den PC auch mit einem Standardaccount für alle Benutzer laufen lassen darf?
Wir sprechen hier nicht über NAT, sondern über feste IP Adressen der einzelnen Clients. Sowas gibt es, ist oftmals optional, aber manchmal auch nicht zu ändern. Wie lange wird sowas gespeichert? Wie lange muss man sowas raus geben?
Aha. So habe ich mir das nicht vorgestellt, dass sogar feste IP-Adressen für jeden einzelnen Client vom Provider vergeben wurden.
Mal eine (nicht ganz) abseitige Frage: Wozu soll das gut sein?
Es widerspricht dem Prinzip, dass niemals alle Kunden gleichzeitig online sind und somit die IP Adressen sparsamer verwaltet werden können. Aber das ist ein anderes Thema. Forschungseinrichtungen haben auch für jeden PC eigene IPs.
"...Können dann auch Daten heraus gegeben werden, wenn sie bereits mehrere Jahre alt sind?..."
Soviel ich gelesen habe muss ein ISP die Logs nur 6 Monate aufheben, ein längerer Zeitraum wäre auch eine Zumutung.
Das einzige was ich mir vorstellen könnte das ein Staatsanwalt die IP schon seit längerem Zeitpunkt unter Beobachtung stellen ließ, Gründe: Terrorismus, org. Drogenhandel,... also die etwas gröberen Abteilungen.
Ganz bestimmt kann ich es aber nicht sagen denn ich führe mein Leben im Österreichischen Grenzraum
und die einzigen deutschen fixen IP hat die Firma.
In Österreich wo ich privat eine Fixe IP habe, ist die Vorratsdatenspeicherung erst seit dem Frühjahr durch erst "unterschrieben" und muss erst verwirklicht werden.
Wie sieht es denn auf der anderen Seite aus? Wie lange darf man als Webseitenbetreiber die Verbindungsdaten speichern? Ist es erlaubt, ein zwei Jahre altes Protokoll auszukramen oder gilt das vor Gericht nicht mehr als Beweis?
Das sind interessante Fragen!
Da ich kein Jurist bin, kann ich sie daher auch nicht beantworten. Ich bin aber gespannt auf die wirklich kompetenten Antworten zu diesem Thema.
Neben der Frage, wie lange irgendein Provider oder irgendein WebHoster Protokolle aufbewahren und Auskünfte daraus erteilen darf, die den Anschlussinhaber identifizieren, steht für mich jedoch generell die andere, viel wichtigere Frage im Vordergrund:
Ist mit der zweifelsfreien Identifizierung eines bestimmten PCs auch gleichzeitig zweifelsfrei ein bestimmten Benutzer indentifiziert?
Daran müsste sich ja eine evtl. Strafverfolgung auch orientieren. Den PC kann man ja nicht bestrafen. Und einen Benutzer kann man nur bestrafen, wenn seine Identitiät zweifelsfrei bewiesen ist.
Kann man die überhaupt jemals beweisen?
Gruß, mawe2
Genau diese Frage habe ich weiter oben bereits gestellt. Es gibt bestimmt diesbezüglich Gerichtsurteile, dürfte ja kein neues Thema sein. Bei offenen WLANs gilt man als "Störer". In einer Firma kann es doch jeder z.B. jeder sein, der an dem PC mit der IP vorbei kommt. Im privaten Bereich kommen weniger Personen in Frage.
Für die Abmahnwelle und Strafverfolgung ist die Sache ganz klar. Denen reicht es schon, wenn Deine IP in einem Log vorkommt und die Gerichte winken alles durch.
Das wäre die Frage...
Wenn nicht eindeutig bewisen werden kann, dass ICH es war, würde ich die Instanzen aber alle ausreizen! Noch gilt ja zunächst mal die grundsätzliche Unschuldsvermutung und erst wenn eine Schuld nachgewiesen iat, kann jemand bestraft werden.
Dass es in Zivilprozessen evtl. anders läuft, weil der Anschlussinhaber als "Störer" behandelt wird, ist auch klar. Aber ob das in einem Strafprozess ausreichen würde?
Fakt ist, dass man sich hierfür einen sehr kompetenten Anwalt suchen sollte, der die Thematik wirklich verstanden hat.
Moment! Der von Dir zitierte Grundsatz betrifft das Strafrecht. Im Falle von Urheberrechtsverletzungen befinden wir uns meistens auf zivilrechtlichem Gebiet (Schadenersatzansprüche des Geschädigten). Der strafrechtliche Teil ist für den Rechteinhaber meistens weniger interessant, da er davon nicht selbst profitiert.
Im Zivilrecht gilt der Grundsatz: "Gib mir Fakten, dann gebe ich Dir das Recht" (lat.: da mihi facta, dabo tibi ius). Vor Gericht "gewinnt" also derjenige, der die überzeugenderen Argumente hat. Da es für eine Urheberrechtsverletzung nicht auf das Verschulden ankommt - auch eine fahrlässige oder gänzlich unbewusste widerrechtliche Verwertung urheberrechtlich geschützten Materials zieht Unterlassungs- und Schadenersatzansprüche des Rechteinhabers nach sich - haben die Rechteinhaber ganz gute Karten. Man nehme einen spezialisierten Dienstleister, der eine gutachterlich geprüfte Software zur IP-Ermittlung verwendet, und schon hat man Beweismaterial, das die meisten Gerichte überzeugt.
Zum fliegenden Gerichtsstand habe ich neulich schon mal was geschrieben - ich such mal den Link raus:
http://www.nickles.de/thread_cache/538801039.html#_pc
Richtig. Ich beziehe mich auf das Strafrecht; dass es im Zivilrecht anders aussieht, weiß ich auch. Auch der Thread-Starter bezieht sich auf das Strafrecht: Was passiert, wenn der Staatsanwalt den Provider zur Identifizierung auffordert?
Nu ja, ich hab eben gleich ein bisschen allgemeiner geantwortet, weil es für viele Menschen da draußen gleichviel ist, ob sie Post vom Staatsanwalt oder vom Gericht bekommen. Der Staatsanwalt arbeitet ja schließlich beim Gericht... ;-)
Andererseits hat der Staatsanwalt noch ganz andere Möglichkeiten als ein Rechteinhaber - so kann er beim Ermittlungsrichter auch eine Hausdurchsuchung beim Beschuldigten anordnen lassen. Eben genau um Beweise zu sichern.
Ist ja auch egal. Es ist ja bekannt, dass das Strafverfahren nur dazu benutzt wird, dass der Staatsanwalt wie ein Stück Vieh losgetrieben wird, um die Identität hinter der IP einzuholen. Wenn er seinen Dienst erledigt hat, juckt es nicht, ob er danach streikt und das Verfahren einstellt. Hauptsache die Anwaltskanzlei kann sich ihre Brötchen verdienen.
Das ist mittlerweile nicht mehr nötig. Nach der Urheberrechtsnovelle kann der Rechteinhaber einen Antrag auf Herausgabe von Verkehrsdaten gemäß § 101 (9) UrhG am Landgericht des Geschäftssitzes des Providers (z. B. Telekom - Köln) stellen. Wird dieser Antrag per Richterbeschluss genehmigt, muss der Provider die Daten (Name, Anschrift) zur ermittelten IP-Adresse beauskunften - sofern er sie noch hat.
Das war mir neu. Führt natürlich zu einer Entlastung des repressiven Verfolgungsapparates.
Nachdenken:
In Deutschland ist der Inhaber des Internetanschlusses für das Tun haftbar. Da ist es egal, wer was tut, der vertragliche Kunde ist der Angearschte.
Zum anderen:
Wie lange darf man als Webseitenbetreiber die Verbindungsdaten speichern?
GAR NICHT. Datenschutzrtechnisch gesehen darfst du nur vollständig anonymisierte Verbindungsdaten speichern, aber selbst das ist gefährlich, weil ich bezweifel, dass normale Systeme diesen Anforderungen gerecht werden.
Theoretisch kommt man doch ohne Probleme an die Daten des Benutzers oder besteht nach einem gewissen Zeitraum keine Auskunftspflicht mehr? gute Frage! Wenn du eine statische IP hast und diese auch 5 Jahre mit dir rumschleppst, dann wird der ISP wohl einen Vertrag haben, wo das so drin steht. In dem Fall denke ich würde man je nach schwere der Tat entscheiden, was passiert - ist eben vom Gericht abhängig. Aber ich würde nicht darauf wetten, dass es bei den 7 Tagen respektiven 6 Montaen bleibt ;-)
Darf man Fragen wieso du das fragst?
Mal angenommen, jemand betreibt eine Webseite und bietet einen Dienst an. Jetzt kommt ein "Kunde" und sagt, es habe sich jemand mit seinen Zugangsdaten angemeldet. Das ganze könnte ja schon über ein Jahr lang her sein und gemerkt wurde es nicht, sondern der "Kunde" hat es von jemanden erfahren und erstattet Anzeige wegen Ausspähen von Daten. Jetzt wird der Webseitenbetreiber gebeten, in den Verbindungsprotokollen nachzusehen, von welcher IP-Adresse die Anmeldung erfolgte. Hat man dann automatisch ein Problem, wenn man sagt: "Alles klar, ich habe ja sowieso alle Logs seit Aufsetzen des Servers"? Ab wann müsste man denn löschen bzw. darf die Daten nicht mehr weitergeben?
Bei einer Webseite bist Du nicht verpflichtet, ein Log zu führen.
Im Gegenteil - wenn Du loggst bist Du verpflichtet, Deine Besucher an geeigneter Stelle auf den Umfang der Speicherung hinzuweisen. Da gibts hübsche Mustertexte, z.B.
abc.de erhebt und speichert automatisch in ihren Server Log Files Informationen, die Ihr Browser an uns übermittelt. Dies sind:
- Browsertyp/ -version
- verwendetes Betriebssystem
- Referrer URL (die zuvor besuchte Seite)
- Hostname des zugreifenden Rechners (IP Adresse)
- Uhrzeit der Serveranfrage.
Diese Daten sind nicht bestimmten Personen zuordenbar. Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen, die Daten werden zudem nach einer statistischen Auswertung gelöscht.
Das findet sich dann im Kleingedruckten der AGB wieder?
Jain. Es sollte ncht zu unauffällig plaziert werden, weil es sonst auch Schelte geben kann ;)
Das bedeutet im Umkehrschluss, dass eine Weitergabe der Daten im Sinne der Strafverfolgung ohne Hinweis auf der Homepage unzulässig wäre und nicht als Beweis vor Gericht anerkannt werden könnte?
Eine Weitergabe der Daten, zu welchem Grund auch immer, ist nicht erlaubt solange der Nutzer darüebr nicht informiert wird (z.B. präventiv im Impressum).
Erhebst du Daten ohne dass der Nutzer der weiß, bist du dran.
Gibts du Daten weiter, ohne dass der Nutzer das einwilligt, bist du dran.
Hast du Daten die zur Starfverfolgung genutzt werden könnten und hat der Nutzer sein Einverständnis gegeben, dass du diese haben darfst, dann kann nur ein Richter das Anordnen. Da setzt aber eine Integrität der Daten voraus, wobei ich denke, dass diese schwer nachzuweisen ist.
Klingt eigentlich schon sehr konkret - Dreck am Stecken?
Nein, dafür wäre eine öffentliche Diskussion nicht ungeeignet.
Je weiter man sich in diese Materie vorwagt, desto mehr Fragen und Schwierigkeiten ergeben sich. Auf der einen Seite gibt es neue Gesetze, die es leichter machen sollen, Kriminelle zu fassen, aber auf der anderen Seite arbeitet man immer gegen den Datenschutz.
Genau das ist das Problem. Auf der sicheren Seite bist du, wenn du versucht eben keine Daten zu speichern und, ´dann nur anonymisiert und soweit wie du es wirklich brauchst. Das loggen von IP mit Zeitstempel im Klartext kann einem mehr schaden, als es nützen kann.
Was wäre denn der Nutzen von IP-Adressen? Für eine Statistik braucht man sie ja nicht. Höchstens für ein Profil. Wie machen das eigentlich Firmen und andere kommerzielle Betreiber?
Die Anbieter von Webpräsenzen (Strato und Co.) loggen auch alles mit. Ist man dann dafür auch verantwortlich, wenn man die Funktion nicht deaktivieren kann?
Doch - wenn Du wissen willst, über welche Seiten Deine Besucher kommen, welche/wie viele Seiten Sie bei Dir durchschnittlich aufrufen, ... - dann geht das nur, wenn Du den einzelnen Besucher über seine IP im Logfile verfolgst.
Die IP selbst wird in der Statistik (z.B. webalizer) nicht angezeigt, aber halt die darauf basierende Auswertung.
Dass die Nutzer dadurch erkannt werden und über IPs die Kommunikation stattfindet ist dir klar, oder?
Das Problem hier ist die SPEICHERUNG. Dass du die IP abfragst um z.B. einen Login zu bestätigen ist ok, du darfst jedoch kein Profil von diesem Nutzer erstellen, außer du anonymisierst die Daten bzw. pseusonymisierst die Daten so, dass du den Nutzer als diesen erkennen und verfolgen, aber nicht mit einer realen Person in Verbindung bringen kannst.
Verstehst? Ich bin schelcht in Erklären ^^''
Die Kommunikation läuft über Sockets und da ist die IP ein Bestandteil von.
Da sich die IP in der Regel ändert, wird das Profil clientseitig über Cookies erstellt. Serverseitig darf kein Profil erstellt werden, außer die Daten werden anonymisiert. Ob eine Pseudonymisierung erlaubt ist, frage ich mich gerade. Wie wohl die großen Suchmaschinen arbeiten? Ixquick speichert die IP nicht, aber für gewöhnlich leben sie von Nutzerdaten.
Da sich die IP in der Regel ändert, wird das Profil clientseitig über Cookies erstellt. Richtig, aber ein Cookie-only Lösung ist schlecht, da das kopieren des Cookies ein Problem darstellen könnte. So werden oft u.B. MD5 der IP mit gespeichert um dann den Cookie und die IP zu matchen, um so falsche Dubletten zu erkennen ;-)
Ich überlege gerade, ob ein MD5 der IP nicht eine Pseudonymisierung darstellt. Vom Hash kommt man aufgrund der Einwegfunktion nicht zur IP zurück, aber wenn man die verdächtige IP nochmal transformiert, kann man die Ergebnisse vergleichen.
Richtig. Im Prinzip wäre das eine mögliche Methode.
ABER: 100%ig stimmt das auch nicht mehr - du kannst dir ja eine Hashtabelle mit allen IPs anlegen, sodass du anhand des Hashes einfach die IP zurückholen kannst - das generieren der Tabelle geht fix und das mtachen ist kein Problem. Aber ich denke sowas machst du nicht ;-)
ist dann eh nicht mehr ernst zu nehmen.
Anzeige wegen Ausspähen von Daten
In diesem Fall dann gegen unbekannt.
Jetzt wird der Webseitenbetreiber gebeten, in den Verbindungsprotokollen nachzusehen, von welcher IP-Adresse die Anmeldung erfolgte
Was so nicht passieren wird, denn du bist verpflichtet die Daten entsprechend dem Datenschutz zu anonymisieren bzw. pseudonymisieren. Ich glaube nicht, dass bei korrektem Verfahren nocht Zeitstempel mit zusammengehöriger IP zu finden sein DÜRFEN... also, ganz heikle Sache mit der Datenspeicherung.
Aber was solls: Du bist nicht dazu verplfichtet, wenn derjenige die Daten des Kunden hat, ist es wohl eher sein Problem und nicht die des Dienstanbeiters.
Mal angenommen der Webseitenbetreiber hat die Logs nicht anonymisiert und gibt die Information raus. Dann dürften die Daten nicht benutzt werden?!? Also wäre es wohl am besten, wenn man die Logs gar nicht erst anlegt, oder?
In diesem Fall dann gegen unbekannt.
Dann stellt sich die Frage, wie man jemals eine Person ausfindig machen will, die Daten ausspäht? Wie klein sollte da der Zeitraum sein? Setzt sich so schnell die Strafverfolgung in Bewegung?
Wenn diese Person wirklich nur späht, hat man vermutlich kaum eine Handhabe, weil die Provider die Verbindungsdaten derzeit nach einer Woche löschen. Innerhalb dieser Woche muss also jemand entweder schon die Verbindungsdaten sehen wollen oder zumindest bis zum Vorliegen des gerichtlichen Beschlusses einen "Quick Freeze" erwirken (d.h., die betroffenen Datensätze dürfen nicht mehr gelöscht werden).
Aber meistens späht man ja zu einem bestimmten Zweck (Bereicherung) und hinterlässt bei dieser Gelegenheit andere, möglicherweise verräterische Spuren...
Was könnte das sein? Dass z.B. Nachrichten als gelesen markiert sind, obwohl der eigentliche Nutzer diese noch gar nicht gelesen hat?
Nein - derjenige, der fremde eMails mitliest, späht ja nur.
Ich dachte eher an die missbräuchliche (und gewinnbringende) Nutzung fremder Bank- oder eBay-Accounts - so mal als Beispiel.
Ok, beim Online Banking würde man den Empfänger der illegalen Überweisung unter die Lupe nehmen. Und bei eBay wäre es wohl ähnlich (Geld- bzw. Warenempfang), oder?
Prinzipiell ja, aber versprich dir nicht zu viel davon.
So weit ich weiß gibt es in einigen Ländern immer noch die Möglichkeit, Bankkonten anonym einzurichten (Österreich, Kleinwalsertal?).
Warenempfang: Auch da müsste es mit etwas Trickreichtum gelingen, eine "Strohmannadresse" einzurichten und das ganze so zu drehen, dass die dritte Person nicht wegen Beihilfe drangekriegt wird, etwa wenn der nachweisen kann, in gutem Glauben gehandelt zu haben.
Mir fehlt die kriminelle Energie, um mir so etwas richtig auszumalen, aber die allgemeine Lebenserfahrung sagt mir - Menschen kriegen alles hin, wenn sie es unbedingt hinkriegen wollen (außer Arbeit finden, natürlich).
CU
Olaf