Jeder Betreiber eines Webservers möchte auf seiner Webseite die Nutzung beobachten, um z.B. die Top-Seiten oder auch kaum genutzte Seiten zu erkennen und damit das Internetangebot zu optimieren.
Seit Jahren ist es dazu üblich, für die Erstellung einer Nutzungsstatistik eines Webservers neben aufgerufenen Seiten, Zeit und Dauer usw. auch die IP-Nummer des Nutzers in Log-Dateien zu speichern. Allerdings ist die Speicherung der IP-Nummer nicht erlaubt.
IP-Adressen sind personenbezogene Daten
IP-Adressen gelten als personenbezogene Daten mit denen auf eine reale Person zurückgeschlossen werden kann. Nach §§ 13, 15 TMG (Telemediengesetz) ist eine Speicherung von personenbezogenen
Daten für eine Nutzung die nicht unbedingt notwendig ist, nur nach Einwilligung des Nutzers erlaubt. Eine Speicherung ist damit unzulässig und kann mit einem Bußgeld von bis zu 50.000 Euro
bestraft werden.
Die Datenschützer der Länder und des Bundes („Düsseldorfer Kreis“) haben im November 2009 klar gestellt, dass auch eine Verschlüsselung nicht genügt, da eine Rückrechnung möglich wäre. Es wurde
auch klar
darauf hingewiesen, dass eine IP-Adresse kein Pseudonym im Sinne §15, 3 TMG ist.
Kürzung der IP-Adresse und Statistiken sind erlaubt
Damit bleibt nur die Kürzung der IP-Adresse. In technischen Diskussionen wurde deutlich, dass VOR der Speicherung mindestens die letzten beiden Blöcke gekürzt werden müssen.
In der Praxis stellt sich jetzt das Problem, dass Hoster diese Vorgabe in der Regel nicht erfüllen. Allerdings haben die ersten Hoster wie Strato, 1+1 und Host Europe eine Änderung angekündigt. Die Problematik liegt aber auch darin begründet, dass amerikanische Statistiksoftware mit einer gekürzten IP-Adresse (noch?) nicht umgehen kann. Da das nicht erlaubte Speichern von IP-Adressen schon lange Gesetz (BDSG, TMG) ist, sind Internetanbieter gut beraten, ihren Hostern entsprechende Fristen zur Umstellung zu setzen. Werden die Internetserver selbst betrieben, liegt die Pflicht der Änderung beim Betreiber. Erste Module für den Apache-Server und auch Statistik-Software wie z.B. eTracker liegen vor. Beim Einsatz von Google-Analytics, ist ein umgehendes Abschalten dieser Statistiksoftware anzuraten. Nicht nur die Aufzeichnung der IP-Adresse sondern auch die Übertragung von personenbezogenen Daten in ein Drittland außerhalb der EU verstößt gegen deutsche und EU Gesetze.