zur Navigation springen

Anonymität im Netz : BGH zu Breyer-Klage: Gefahr von Hackerangriffen kann Surfprotokolle rechtfertigen

vom

Der Pirat will erreichen, dass Webseitenbetreiber nicht länger die IP-Adressen aller Besucher protokollieren.

Karlsruhe | Von Cyberattacken bedrohte Internetseiten dürfen zur Abwehr und Aufklärung solcher Angriffe je nach Einzelfall vorsorglich die IP-Adressen sämtlicher Besucher speichern. Die Grundrechte der Nutzer dürfen aber nicht aus dem Blick geraten. Das geht aus einem am Dienstag verkündeten Urteil des Bundesgerichtshofs (BGH) hervor.

Das Urteil bezieht sich formal nur auf die vom Bund betriebenen Websites, hat nach Einschätzung Patrick Breyers aber auch Wirkung weit darüber hinaus: Sollte es irgendwann zu einem Verbot der Speicherung kommen, wäre es dann „Aufgabe der Datenschutzbehörden, ein Verbot der Protokollierung auch gegenüber privaten Anbietern durchzusetzen“.

Die Entscheidung fiel in einem Rechtsstreit, den der Piraten-Politiker Patrick Breyer seit nun schon fast zehn Jahren gegen die Bundesrepublik führt. Ob sein Surfverhalten auf den Seiten des Bundes protokolliert werden darf, steht immer noch nicht fest.

Denn bisher wurde nicht geklärt, wie groß die Gefahr von Angriffen auf diese Seiten tatsächlich ist. Für die Karlsruher Richter ist das aber die zentrale Frage. Der Fall muss deshalb am Berliner Landgericht noch einmal neu verhandelt werden. (Az. VI ZR 135/13)

„Ich freue mich, dass der Bundesgerichtshof die Erforderlichkeit der verdachtslosen und flächendeckenden Protokollierung unseres Surfverhaltens hinterfragt und dass er die Betreiberwünsche gegen die Grundrechte der Internetnutzer auf Informations- und Meinungsfreiheit abwägen will“, sagte der Kläger und Datenschutzexperte der Piratenpartei.

Klärungsbedürftig scheint dem Senat vor allem, warum einige Bundesseiten IP-Adressen speichern, andere aber bewusst darauf verzichten, etwa das Portal der Bundesdatenschutzbeauftragten. „Die Gefahr von Cyberangriffen kann durchaus nicht pauschal bejaht werden“, gab der Vorsitzende Richter Gregor Galke zu bedenken.

Kläger Breyer kritisiert aber auch: „Warum die bisherigen Erkenntnisse für eine endgültige Entscheidung nicht ausgereicht haben sollen, verstehe ich nicht. Das gerichtliche Sachverständigengutachten hat bereits ergeben, dass - unabhängig vom ‚Angriffsdruck‘ - ,für die Absicherung von IT-Systemen eine Vielzahl von anderen, wesentlich effektiveren Mitteln und Methoden’ existieren.“ Im Zeitalter internationaler Netzwerke auf „IT-Sicherheit durch Abschreckung oder Strafverfolgung zu setzen, ist illusorisch und entbehrt jeder gesetzlichen Grundlage“, betont Breyer. „Ein effektiver Schutz vor Angriffen ist alleine durch technische Absicherung der Systeme möglich.“

Breyer will erreichen, dass die Betreiber von Websites nicht länger die IP-Adressen aller Besucher protokollieren dürfen. Zwar kann allein der Internetanbieter diese Daten mit einem bestimmten Anschluss in Verbindung bringen. Der Webseiten-Betreiber hat keinen Zugriff. Breyer lehnt die „permanente Ausspähung“ aber prinzipiell als Eingriff in die Privatsphäre ab. Stellvertretend hat er die Bundesrepublik verklagt. „Was ich lese, schreibe und wonach ich suche, spiegelt meine privatesten und intimsten Interessen, Überzeugungen, Vorlieben und Schwächen wieder und geht niemanden etwas an“, sagt Breyer deutlich. „Unser Leben wird immer digitaler, aber es darf damit nicht immer gläserner werden.“

Zum Schutz vor Hackerangriffen speichern auch die meisten Internetseiten des Bundes IP-Adressen. Der Europäische Gerichtshof hatte bereits entschieden, dass ein „berechtigtes Interesse“ solche Surfprotokolle rechtfertigen kann.

 

Worum geht es in dem Gerichtsprozess?

In dem Rechtsstreit geht es um die Speicherung der Daten bei der Nutzung von Webseiten der Bundesministerien. Wenn Internetnutzer auf den Webseiten des Bundes surfen, werden ihre Protokolldateien gespeichert – dazu gehören der Name der abgerufenen Seite, der Zeitpunkt des Abrufs, das Ende der Nutzung und die IP-Adresse des zugreifenden Rechners. Der Landtagsabgeordnete Patrick Breyer wirft der Bundesrepublik Deutschland vor, damit gegen das Telemediengesetz (TMG) zu verstoßen, da es sich bei IP-Adressen ihm zufolge um personenbezogene Daten handelt, anhand derer ein Nutzer klar zu identifizieren ist. Breyer will mit seiner Klage erreichen, dass Surfprotokolle anonymisiert werden und die persönliche Internetnutzung nicht über die IP-Adresse zurückverfolgt werden kann.

Welche Gerichte haben den Fall bereits behandelt?

Der Rechtsstreit um die Speicherung der IP-Adressen ging zunächst durch die deutschen Instanzen, bis zum Bundesgerichtshof. Die Richter in Karlsruhe tendierten eher dazu, die IP-Adressen nicht als „personenbezogene Daten“ anzusehen, also die Speicherung zuzulassen. Weil es aber in der EU mit der Datenschutz-Richtlinie ein vereinheitlichtes Datenschutzrecht gibt, hatte der BGH die Sache zunächst ausgesetzt und die entscheidende Frage an den EuGH weitergegeben. Der EuGH urteilte im Oktober 2016, die Speicherung von Nutzerdaten auf Internetportalen könne rechtens sein. Das EU-Recht erlaubt demnach die Verarbeitung personenbezogener Daten wie der IP-Adresse, etwa wenn dies im „berechtigten Interesse“ jener liegt, die die Daten verarbeiten, erklärten die Luxemburger Richter (Rechtssache C-582/14). Das sei aber abzuwägen gegen das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Internetnutzer.

Was ist das Telemediengesetz?

Das Telemediengesetz regelt die rechtlichen Rahmenbedingungen für sogenannte Telemedien in Deutschland – damit sind nahezu alle Internetdienste gemeint. Deshalb wird das Gesetz umgangssprachlich auch als Internetgesetz bezeichnet. Ein wichtiges Thema im TMG ist der Datenschutz im Internet. §15 regelt zum Beispiel, dass der Diensteanbieter personenbezogene Daten „nur erheben und verwenden darf, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten)“. Nutzungsdaten sind laut TMG Merkmale zur Identifikation des Nutzers, Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und Angaben über die vom Nutzer in Anspruch genommenen Telemedien.

Was ist eine IP-Adresse?

IP steht für „Internet-Protokoll“. Die IP-Adresse ist eine Zahlenkombination. Sie besteht aus vier Zahlen, jeweils zwischen 0 und 255 – zum Beispiel 192.0.2.157. Weil immer mehr Menschen das Internet nutzen, gibt es immer häufiger auch IP-Adressen, die aus acht Zeichenblöcken bestehen, die neben Ziffern auch Buchstaben enthalten.

Jeder Nutzer, der im Internet unterwegs ist, hat so eine IP-Adresse, damit der angefragte Server weiß, wem er antworten soll. Es handelt sich also um eine Art Absenderangabe. Aus der Adresse ist nach außen ersichtlich, um welchen Internetanbieter es sich handelt (zum Beispiel Telekom oder Vodafone) und wo sich das Gerät, mit dem gesurft wird, gerade befindet. Die IP-Adresse zeigt aber nicht automatisch, welcher Kunde damit im Internet unterwegs ist. Nur der Internetanbieter selbst kann den Datenstrom seiner Kunden nachverfolgen, erklärt die Telekom. Theoretisch wisse der Internetanbieter, wonach seine Nutzer im Netz suchen, welche Seiten sie besuchen und welche Dateien sie heruntergeladen haben. Nach der aktuellen Gesetzgebung müssen Internet-Provider jedoch die gesamten Verlaufsdaten einer Internetsitzung löschen, sobald diese beendet ist. Auch an Kunden vergebene IP-Adressen dürfen Internet-Provider höchstens sieben Tage lang speichern.

Die IP-Adresse bleibt aber nicht immer die gleiche. Sie gilt nur für eine Internetsitzung. Wenn der Nutzer die Internetverbindung trennt, erhält er beim nächsten Einwählen eine neue Adresse. Internetverbindungen werden in der Regel spätestens nach 24 Stunden automatisch kurz vom Provider getrennt.

Warum ist die Speicherung der IP-Adressen für Breyer so problematisch?

„Der Staat hat Zugriff auf diese Daten und kann sie ganz leicht bestimmten Personen zuordnen“, erklärt Breyer. Wenn dann beispielsweise jemand die Web-Informationen des Bundesamts für gesundheitliche Aufklärung über Alkohol- oder Drogenmissbrauch aufrufe, seien das einfach Informationen, die nicht gespeichert werden dürften. Deshalb will der Kieler Landtagsabgeordnete der Piratenpartei die Bundesrepublik Deutschland zwingen, auf die Speicherung so genannter IP-Adressen zu verzichten. Denn seiner Meinung nach handelt es sich bei IP-Adressen grundsätzlich um personenbezogene Daten, die laut TMG nicht ohne Zustimmung des Nutzers gespeichert werden dürfen. Er glaubt, über die Speicherung der IP-Adresse sei es möglich, Profile über Interessen und Neigungen zu erstellen. „Das sind zum Teil extrem intime Informationen“, sagt Breyer. „Aus unserem Surfverhalten kann man Rückschlüsse ziehen auf privateste Vorlieben.“ Diese gehen nach Breyers Überzeugung nicht nur niemanden etwas an - schlimmstenfalls könnte solches Wissen auch in falsche Hände geraten, warnt er. „Sicher ausschließen lässt sich das nur, indem solche Informationen erst gar nicht gesammelt und gespeichert werden.“

„Mit meiner Klage fordere ich das Recht der Generation Internet ein, uns im Netz ebenso unbeobachtet und unbefangen informieren zu können, wie es unsere Eltern aus Zeitung, Radio oder Büchern konnten“, erklärte Breyer am Tag vor der ersten BGH-Verhandlung.

Das Urteil würde sich formal nur auf die vom Bund betriebenen Websites beziehen, hätte nach Breyer aber auch Wirkung weit darüber hinaus: „Es wäre dann Aufgabe der Datenschutzbehörden, das auch gegenüber privaten Anbietern durchzusetzen.“

Sind solche Befürchtungen realistisch?

Technisch ist es möglich, eine IP-Adresse zum zugehörigen Internetnutzer zurückzuverfolgen, erläutert der IT-Sicherheitsexperte Christoph Fischer. Solange man sich nichts zuschulden kommen lasse, werde aber kein Provider die Anschlussdaten herausrücken.

Er warnt vor größeren Gefahren im Netz: vor Kriminellen, die Kreditkartendaten abfischen, um mit dem Geld anderer Leute online einkaufen zu gehen, oder über manipulierte Server private Rechner mit Spionagesoftware infizieren. Fischer hält es deshalb für unerlässlich, dass beispielsweise der Betreiber eines Online-Shops die Möglichkeit hat, durch Protokollierung der Zugriffe zu überwachen, dass niemand seine Dienstleistungen missbraucht. „Ohne Logfiles bin ich blind“, sagt er.

Können Nutzer das Speichern ihrer Daten verhindern?

Experten kennen Tricks, um ihre IP-Adresse zu verschleiern. Wer zum Beispiel das Anonymisierungsnetzwerk Tor nutzt, surft weitgehend anonym. Für Breyer ist das aber keine wirkliche Alternative: „Dem normalen Nutzer ist es nicht zuzumuten, solche Technologien einzusetzen“, sagt er. Kriminelle hingegen wüssten nur zu gut, wie sich ihre Spuren über Anonymisierung, ausländische Server oder gekaperte Rechner verwischen lassen. Auch deshalb ist er gegen die automatische Protokollierung der IP-Adressen: „Erfasst werden nur die unschuldigen Nutzer - und die, die man erwischen will, gerade nicht.“

(mit dpa)

zur Startseite

von
erstellt am 16.Mai.2017 | 11:48 Uhr

Gefällt Ihnen dieser Beitrag? Dann teilen Sie ihn bitte in den sozialen Medien - und folgen uns auch auf Twitter und Facebook:

Diskutieren Sie mit.

Leserkommentare anzeigen