Es sollte hinlänglich bekannt sein, dass die Protokollierung und kurzfristige (bis zu sieben Tage) Speicherung von IP-Adressen zur Abwehr von Angriffen sowie zum Erkennen, Eingrenzen oder Beseitigen von Störungen unter kontrollierten Bedingungen für einen Zeitraum von sieben Tagen in ungekürzter Form für Access-Provider zulässig ist (vergl. BGH, Urteil vom 3. Juli 2014, AZ: III ZR 391/13). Diese Auffassung wird überwiegend auch für den Betrieb von Webseiten angewandt.
Bei der Speicherung ist drauf zu achten, dass der Zugriff auf diese Datei nur bei Vorliegen eines begründeten Missbrauchsverdachts erfolgen darf und der Zugriff nur einem streng limitierten Personenkreis erlaubt ist. Wer hierzu nähere Informationen wünscht, sei auf unsere Beitragsreihe TOM und der Datenschutz verwiesen und hier im Speziellen auf den Teil 3 – Zugriffskontrolle.
Warum weisen wir nochmals darauf hin?
Ende Juni erfolgte ein „Hackerangriff“ auf das IT-Verfahren zur Reservierung von Kraftfahrzeug-Wunschkennzeichen in Rheinlandpfalz und Hessen, woraufhin die Systeme vorübergehend vom Netz genommen werden mussten. Bei den Ermittlungen wurde festgestellt, dass sich Unbekannte Zugriff zu den Servern in Gießen und Mainz verschafft und Manipulationen an der im Hintergrund laufenden Datenbank vorgenommen hatten (vgl. hier). Die Ermittlungen in Hessen laufen derzeit noch. In Rheinland-Pfalz wurden die Ermittlungen eingestellt, da die IP-Adressen aller, die auf das System zugreifen, automatisch um drei Stellen gekürzt wurden, sprich anonymisiert sind und eine Rückverfolgung unmöglich machten.
Datenschutz als Täterschutz?
Natürlich wurden Stimmen laut, die den Datenschutz, der als Grund für die Anonymisierung der IP-Adressen gilt, verteufeln. Wir können uns dem rheinland-pfälzischen Datenschutzbeauftragten nur anschließen, der in einer Pressemitteilung darauf hinweist, dass eine Speicherung der ungekürzten IP-Adressen unter den oben genannten Bedingungen zulässig ist und Datenschutz eben kein Täterschutz ist.