Heutzutage sind der Datenschutz einerseits und die IT-Sicherheit andererseits nicht mehr als Einheit wegzudenken. Insbesondere im Hinblick darauf, dass Cyberangriffe immer weiter zunehmen. Aus diesem Grund steigen auch die Anforderungen an die Sicherheit gegen solche Angriffe, beziehungsweise an die Fähigkeit Angriffe dieser Art abzuwehren oder zu verhindern. Auch vor dem Hintergrund, dass diese Angriffe nicht nur quantitativ zunehmen, sondern auch qualitativ, ist besondere Sicherheit geboten. Daher ist allein der Datenschutz nicht mehr ausreichend, eine effektive Sicherheit vor Gefahren zu gewähren. Wichtig sind zusätzliche, je nach Unternehmen angepasste, risikosenkende Maßnahmen. Solche weitergreifenden Maßnahmen gehen jedoch oftmals mit der Verarbeitung personenbezogener Daten einher, die einer rechtlichen Grundlage der Datenschutzgrundverordnung (DSGVO) bedürfen. Ein wichtiges Tool ist dabei die Speicherung von Server-Logfiles durch den Website-Betreiber.
Das Wichtigste in Kürze
- Die Speicherung von Daten wie beispielsweise IP-Adressen, dem verwendeten Webbrowser sowie Betriebssystemen und des Zeitpunkts des Website-Besuchs dürfen gestützt auf das berechtigte Interesse des Website-Betreibers auch ohne Einwilligung des Website-Besuchers gespeichert werden.
- Der Gesetzgeber gibt für die Speicherdauer keine Fristen vor.
- Dynamische IP-Adressen gelten als personenbezogene Daten im Sinne der DSGVO.
Log-Files
Als Log-File wird eine Datei bezeichnet, in der Prozesse, die in einem Computer- oder Netzwerksystem ablaufen, protokolliert werden. Sie liefern wichtige Daten zur Analyse von Netzwerken oder Zugriffen auf einen Webserver oder einer Website. Logfiles enthalten Informationen wie beispielsweise die Zugriffszeit, die IP-Adresse, verwendeter Browser oder das verwendete Betriebssystem.
IP-Adressen als personenbezogene Daten im Sinne der DSGVO
IP-Adresse steht für „Internet-Protokoll-Adresse“. Sie stellt eine individuelle Adresse dar, die ein Gerät im Internet oder auf einem lokalen Netzwerk identifiziert. IP-Adressen sind das Erkennungsmerkmal, mit dem Informationen auf einem Netzwerk zwischen Geräten gesendet werden können. Sie enthalten Informationen zum Standort und machen Geräte zu Kommunikationszwecken zugänglich.
Anhand der IP-Adresse lässt sich ein Netzwerk oder ein einzelnes Gerät im Internet identifizieren. Dabei haben insbesondere Webseiten sogenannte feste oder statische IP-Adressen und sind somit immer eindeutig zu identifizieren. Dahingegen wird dem normalen Nutzer üblicherweise jedes Mal eine andere IP-Adresse zugewiesen, sobald er sich ins Internet einwählt. Diese bezeichnet man als dynamische IP-Adresse.
Bei jedem Aufruf einer Webseite über einen Browser wird die IP-Adresse des Nutzers, also dessen Netzwerkadresse, an die aufgerufene Webseite übertragen. Damit geht auch einher, dass jeder Provider die dynamische Adresse eines Users so lange speichern muss, wie von seiner Seite aus entsprechende Informationen an diesen ausgeliefert werden.
Aus diesen Gründen stellt sich auch die Frage, wie es sich datenschutzrechtlich mit IP-Adressen und deren Speicherung verhält. Dies hat der EuGH im Jahr 2017 entschieden, nachdem der BGH eine Frage im Wege des Vorabentscheidungsverfahrens stellte. In dieser Entscheidung stellte der EuGH fest, dass dynamische IP-Adressen personenbezogene Daten sein können. Er vertritt die Auffassung, dass dynamische IP-Adressen dann personenbezogen seien, wenn der Betreiber konkret über die entsprechenden rechtlichen Mittel verfüge, um den Nutzer hinter der Adresse zu bestimmen.
Ein Webseitenbetreiber verfügt schon dann über entsprechende rechtliche Mittel, wenn er etwa für den Fall einer kriminellen Cyberattacke auf seine Seite zusammen mit den Strafverfolgungsbehörden die User hinter den entsprechenden IP-Adressen identifizieren könne. Der Bundesgerichtshof hat die Betrachtungsweise des EuGH übernommen, sodass sich daraus ergibt, dass dynamische IP-Adressen grundsätzlich personenbezogen Daten sind, weil der Seitenbetreiber regelmäßig mit Hilfe anderer Behörden den Nutzer bestimmen kann.
Weil IP-Adressen dementsprechend personenbezogene Daten sind, ist der Aufruf einer Webseite immer ein DSGVO-relevanter Vorgang. Die Entscheidungen des EuGH und BGH sind zwar noch vor Inkrafttreten der DSGVO gefallen, jedoch bleibt es dabei, dass dynamische IP-Adressen einen Personenbezug haben.
Dies bekräftigt auch die Aufnahme der IP-Adresse als solche in Erwägungsgrund 30 DSGVO. Erwägungsgrund 30 DSGVO weist nämlich darauf hin, dass natürliche Personen unter Umständen eben genau solchen IP-Adressen zugeordnet werden. Das könne dann wiederum dazu führen, dass die eingehenden Informationen beim Server zur Identifikation oder Erstellung von Profilen der natürlichen Personen benutzt werden können.
Speicherung von Log-Files zur Gefahrenabwehr
Um Sicherheit zu gewährleisten, insbesondere im Hinblick auf mögliche Angriffe, können Daten wie unter anderem die IP-Adresse, Datum und Uhrzeit der Anforderung, verwendeter Webbrowser sowie Betriebssystem gespeichert werden, ohne sich dafür auf die Einwilligung stützen zu müssen.
Eine solche Speicherung könnte demnach auf Art. 6 Abs. 1 S. 1 lit. f) DSGVO gestützt werden. Dieser besagt, dass eine Verarbeitung personenbezogener Daten nur rechtmäßig ist, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Aus diesem Wortlaut wird ersichtlich, dass zur Anwendung der Bestimmung eine genaue Abwägung der berechtigten Interessen des Verantwortlichen oder eines Dritten gegenüber den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person zu erfolgen hat.
Diese Interessenabwägung muss im Einzelfall geschehen – und darf nicht pauschal vorgenommen werden. Die Interessen der betroffenen Person dürfen dabei nicht überwiegen. Das bedeutet auch, dass die berechtigten Interessen des Verantwortlichen oder eines Dritten, den Interessen der betroffenen Person überwiegen oder zumindest gleichgewichtet sein müssen.
Das berechtigte Interesse des Unternehmens kann im Hinblick auf die Vorsorge, einem Angriff nicht zum Opfer zu fallen, bejaht werden. Dadurch werden auch gleichzeitig Interessen und Rechte Dritter geschützt. Daher kommt man im Zuge einer Interessenabwägung nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO zu dem Ergebnis, dass eine solche Speicherung datenschutzkonform sein muss.
Wichtig ist jedoch hinsichtlich Art. 5 Abs. 1 lit. b) DSGVO zu erwähnen, dass die erhobenen Daten ausschließlich zum Zweck der präventiven Gefahrenabwehr gespeichert und verwendet werden dürfen. Denn Art. 5 Abs. 1 lit. b) DSGVO legt fest, dass personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden müssen und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise verarbeitet werden dürfen. Das bedeutet, dass jegliche Verarbeitung, die über den Zweck der Gefahrenabwehr hinausginge, nicht datenschutzkonform ist.
Vertretbare Speicherdauer von Websiten-Logfiles
Fraglich bleibt ebenso, wie lange Logfiles gespeichert werden dürfen, da sich eine entsprechende Speicherfrist in keinem Gesetz finden lässt. Man war sich grundsätzlich darüber einig, dass die Speicherdauer sieben Tage beträgt – außer bei Unternehmen, die als kritische Strukturen einzuordnen sind. Da jedoch die Cyberangriffe sowohl quantitativ als auch qualitativ immer weiter zunehmen, ist zu überlegen, ob die Speicherdauer von sieben Tagen nicht zu kurz bemessen ist. Denn durch eine längere Speicherdauer wäre auch die Gefahrenabwehr deutlich effizienter.
Jedoch kann man sagen, dass die Daten nicht so lange gespeichert werden dürfen, als sie für die Erreichung des Zwecks ihrer Erhebung nicht mehr erforderlich sind. Dies wäre dann beispielsweise bei der Erfassung der Daten zur Bereitstellung der Website, wenn die jeweilige Sitzung beendet ist. Es bleibt abzuwarten, ob dies noch näher durch den Gesetzgeber oder die Gerichte konkretisiert wird.
Ausblick
Es wird deutlich, dass die Speicherung von Server-Logfiles durch Website-Betreiber ein notwendiges und erforderliches Mittel darstellt, um die Gefahrenabwehr bei möglichen Cyberangriffen zu erleichtern.
Da dabei insbesondere die IP-Adresse einen datenschutzrechtlich relevanten Personenbezug aufweist, bedarf es bei der Speicherung oder sonstiger Verarbeitung über den Nutzungsvorgang hinaus einer Rechtsgrundlage nach der DSGVO.
Grundlage dafür ist Art. 6 Abs. 1 S. 1 lit. f) DSGVO, bei dem das berechtigte Indessen des Verantwortlichen erforderlich ist. Ein berechtigtes Interesse an einer Speicherung der IP-Adresse über einen geringen Zeitraum hinweg kann sich zum Beispiel für den Fall einer möglichen Cyber-Attacke und eine entsprechende Strafverfolgung ergeben. Denn nur durch Speicherung der IP-Adresse kann mithilfe der Zusatzinformationen des Providers die Person identifiziert und angezeigt werden.
Grundsätzlich ist davon auszugehen, dass jeder Seitenbetreiber im Kampf gegen entsprechende kriminelle Attacken mithilfe der Strafverfolgungsbehörden über die rechtlichen Mittel verfügen können muss, um den Nutzer hinter einer IP-Adresse zu bestimmen. Daher bedarf es großer Vorsicht durch die Unternehmen den Datenschutz nicht außer Acht zu lassen, denn jegliche Verarbeitung, die über den Zweck der Gefahrenabwehr hinausginge, wäre nicht mehr datenschutzkonform. Das Risiko einer unzulässigen Speicherung personenbezogener Daten ist jederzeit gegeben. Ob es Konkretisierungen hinsichtlich der Dauer der Speicherung geben wird, bleibt abzuwarten.
