Müssen Blogger Nutzerdaten preisgeben?
Blogger und Forenbetreiber haften nicht unmittelbar für Kommentare, die Dritte auf ihren Seiten abgeben. Es reicht normalerweise, wenn sie auf begründete Beanstandungen reagieren und die Inhalte zügig entfernen.
Der Streit ist damit aber oft noch nicht vorbei. Denn “Geschädigte” wollen dann häufig persönliche Daten, die der Autor des Kommentars hinterlassen hat. Auch die möglicherweise gespeicherte IP-Adresse wird herausverlangt. Dabei wird auch gern mit Klagen gedroht und die Kostenkeule geschwungen.
Wie groß die Erfolgsaussichten in einem solchen Fall sind, musste jetzt das Amtsgericht München entscheiden. Autohändler hatten in einem Forum missliebige Kommentare entdeckt. Der Forenbetreiber löschte die Äußerungen. Er weigerte sich aber unter Berufung auf den Datenschutz, Kontaktdaten herauszugeben.
Damit verhielt er sich korrekt, befand das Amtsgericht München. Aus dem Telemediengesetz ergebe sich nämlich eindeutig, dass Internetanbieter nur Behörden auskunftspflichtig sein können, und das auch nur “auf Anordnung” und “im Einzelfall”. Private hätten dagegen keinen Auskunftsanspruch. Weder das Telemediengesetz noch eine andere Rechtsvorschrift gäben ihnen dieses Recht. Der Gesetzgeber habe dies auch bewusst so geregelt, so dass sich die Kläger nicht auf Treu und Glauben, den juristischen Notnagel wenn sonst nichts mehr geht, berufen können.
Den Autohändlern stellte das Gericht frei, eine Strafanzeige zu erstatten. Möglicherweise nehme sich die Staatsanwaltschaft der Sache an, so dass sie auf diesem Weg an die Daten kommen.
Amtsgericht München, UIrteil vom 3.2.11, Aktenzeichen 161 C 24062/10
Dass man (wenn man schon jemanden beleidigt) das besser über nen Proxyserver macht, sollte sich mittlerweile rumgesprochen haben.
Dann sehen auch die Ermittlungsbehörden alt aus….
Und die große Frage für mich als Laien an der Stelle: Wenn der Forenbetreiber jetzt zu diesem Zeitpunkt all die Daten löscht, macht er sich damit strafbar?
Oh und was ist wenn der Forenbetreiber diese Daten gar nicht erst erhebt?
Gruß Papsti
An dieser Stelle sei mir ein herzliches "FU, Sony!" gestattet.
Hallo,
ich habe aktuell mit meiner Autoverwertung Probleme, denn im Internet behaupten viele Leute, dass ich Kunden nötigen würde. Ich hab die Forenbetreiber zur Löschung aufgefordert, mehrmals in dem Thread und der verweist nur auf die Kontaktadresse und löscht diese Schmiereien nicht!
Von Adressherausgabe kann ebenfalls nicht die Rede sein.
In allen Ehren
Grütze
Ich möchte mich hier Anonymous anschliessen und meine Verachtung gegenüber Sony ausrücken in dem ich beschwöre von der Firma die nächsten Jahre nichts mehr zu kaufen.
Beträgt die aktuelle Speicherdauer von IP-Daten bei den Providern, zumindest bei der Telekom, nicht nur eine Woche?
Ich meine, die Vorratsdatenspeicherung wäre ausgesetzt und die ISPs können nur noch für ihre Abrechnung (interessanterweise auch bei Flatrates) IPs speichern – tun dies aber eben nur für besagte Woche.
Wenn man nun davon ausgeht, dass der Autohändler sich sofort an den Forenbetreiber wandte, kann es ja schon sein, dass er theoretisch die IP des Kommentators innerhalb der Woche bekommen könnte.
Nur wie nun nach diesem Rechtsstreit noch eine Strafanzeige gestellt werden soll um dann noch irgend einen nutzen aus der IP ziehen zu können (kann ja theoretisch jemand mit fester IP sein) ist mir ehrlich gesagt schleierhaft.
@Anonymous und Christian:
Da hat wohl jemand Post von Sony bekommen?
@SILen(e:
Die Vorratsspeicherung ist euch ausgesetzt, nur speichern die ISPs immer noch, wer von ihren Kunden zu welcher Zeit welche IP hatte. Das ist aber etwas was schon immer gemacht wurde.
Wie isses den andersrum… wenn der Forenbetreiber die IP rausgibt, eben um möglichen Ärger zu vermeiden… darf er das?
@Grützmacher: Hm, im Internet behaupten das _viele_ Leute.
Das ist natürlich kein Beweis, aber wie kommt es denn, dass es viele sind?
Da gibt es ja ein paar interessante Folgefragen. Wie Papsti schon fragt, darf ich diese Daten eigentlich löschen, solange die Anfrage eben nicht von einer Behörde kommt?
Wenn jemand privat anfragt und ankündigt, dass er ein Strafverfahren einleitet und mich bittet, die Daten aufzuheben, muss ich das dann tun? Oder wäre es sogar legal, die Daten zu löschen, bevor sich die Staatsanwaltschaft meldet?
Wenn ich die Daten nach einer bestimmten Frist lösche oder anonymisiere (Server-Logs z.B. unterliegen ja normalerweise einer Rotation, wo nach ein paar Tagen nichts mehr zu holen ist), muss ich dann eine Art Freeze durchführen und die Daten so lange aufheben, bis geklärt ist, ob ich die rausgeben muss? Oder ist das nunmal höhere Gewalt, wenn leider die Daten zu der Zeit schon futsch sind, wo ich die Anfrage beantworten will?
Im Zweifelsfall, da bin ich mir wieder ziemlich sicher: Wenn nichts gespeichert wird, kann man auch nichts rausgeben, und da Webseiten- und Forenbetreiber nicht verpflichtet sind, IPs oder sonstwas zu speichern, kann man dem Auskunftsersuchen einen Riegel vorschieben, wenn man alle Aufrufe mit 0.0.0.0 ins Log schreibt. Für WordPress, phpBB und Co. gibt es doch bestimmt Plugins, durch die bei Kommentaren keine IPs gespeichert werden.
@Tobias: Ich dachte ja, dass man besser gar nicht erst jemanden beleidigt. Wie auch immer, es hat sich bisher nicht rumgesprochen. Zumindest nicht allzu weit.
In der Praxis korrelieren soziale Inkompetenz und technisches Unvermögen derart regelmäßig, dass es für Ermittler eine wahre Freude ist.
@Trittbretttreter: Die deutlich interessantere Frage ist, ob du die Daten überhaupt speichern _dürftest_.
"auf Anordnung" und "im Einzelfall" – hmm – Frage Richtervorbehalt: ja/nein?
Sprich: kann die Polizeidienststelle Pusemuckelheim die Daten abfragen oder braucht Sie eine richterliche Anordnung?
@Ingo [13]
Die Polizeidienststelle Pusemuckelheim kann dir getrost den Buckel runter rutschen. Du musst nicht mit denen Reden und darf ihnen höflich die Tür weisen. Das kommt bei den Herren zwar nicht gut an, aber Du hast dieses Recht als Zeuger der Du dann nun mal bist. Wenn Sie dir mit einer Vorladung drohen, kannst Du lächelnd die Tür schließen oder ihnen sagen, dass es dann schon eine Vorladung sein sollte, der Du auch folgen musst. Ich würde aber ersteres empfehlen um die Sache möglich weit hinaus zu zögern. Log Dateien rotieren ja in der Regel.
Du musst auch als Zeuge nur Vorladungen folge leisten, die dir der Staatsanwalt oder ein Richter ins Haus schickt. In diesem Fall würde ich aber empfehlen einen Anwalt deines Vertrauens hinzu zu ziehen, der mit einer entsprechenden Begründung auch noch mal ein oder zwei Wochen Zeit schinden kann.
Allerdings solltest Du den waren Grund nicht durchblicken lassen, sonst wird der Server schnell mal vom STA beschlagnahmt.
@Grützmacher:
Ich finde es immer wieder unterhaltsam wo Sie auftauchen..wieso engagieren Sie keinen Anwalt wenn sie sich im Recht wägen?
1.) Unmögliches kann nicht verlangt werden.
2.) Unmögliches nicht zu leisten kann nicht strafbar sein.
Nein, diese Plug-Ins kann es nicht geben. Das Loggen ist der Job des Webservers und der wird sich nicht von PHP-Skripten vorschreiben lassen, was er loggt und was nicht.
@jo / 12:
"Die deutlich interessantere Frage ist, ob du die Daten überhaupt speichern _dürftest_."
Meinst du die Frage, ob ich bei einer eingehenden Anfrage die Daten einfrieren darf, oder ob ich als Blogger/Forenbetreiber/Webserverbetreiber überhaupt IP-Adressen speichern darf?
Ersteres ist für Juristen vermutlich nicht mit einem einfachen Ja/Nein zu beantworten. Das überlasse ich mal denen, die sich mit sowas auskennen. :-)
Zweiteres: Ich schließe mich da der Meinung an, dass IP-Adressen *keine* personenbezogenen Daten sind und deshalb grundsätzlich von Web-Anbietern gespeichert werden dürfen. Ich stehe auch auf dem Standpunkt, dass diese Daten sogar dann gespeichert werden müssten, wenn sie personenbezogen wären, da bestimmte Arten der Netzwerkanalyse und -administration ansonsten nicht möglich sind. In diesem Fall wäre nur die Frage, wie lange man die IP-Adressen aufheben darf. Da halte ich z.B. sieben Tage für einen guten Kompromiss. Wenn man sein Netzwerk z.B. im Fall eines DDOS bis dahin nicht unter Kontrolle hat, bringen einem die alten Daten vermutlich eh nichts mehr.
Aber wenn man als Web-Anbieter auf dem Standpunkt steht, IP-Adressen wären personenbezogen und man selbst dürfte sie nicht speichern, dann erübrigt sich die Frage, ob man diese nicht vorhandenen Daten überhaupt noch rausgeben muss. :-)
Daten, die man nicht erhebt, kann man auch nicht herausgeben.
Darf ich an die Aktion "Wir speichern nicht" erinnern? Da haben sich unzählige Websites zum Nichtspeichern von IPs und Userdaten bekannt. Ich finde es auch ungehörig von Foren die IPs zu speichern, da dies meine informelle Selbstbestimmung beeinträchtigt und im Zweifelsfall zu Prozessen der obigen Art führt.
Also einfach den Button auf die Seite und die Logs abschalten
Keine Daten speichern, was man nicht hat, das kann man nicht herausgeben. Ganz abgesehen davon, dass man laut Datenschutzgesetz doch keine Personenbezogenen Daten speichern DARF !
Also kann man sie nicht raus geben ohne sich Strafbar zu machen – was man mit dieser Begründung dann wiederum verweigern dürfte… :D
@Trittbretttreter: Ach Gottchen, das Märchen von der Netzwerkanalyse und -administration. Ich kanns nicht mehr hören.
Ich administriere seit 16 Jahren Unix- und Linux-Serversysteme, viele Webserver aber auch andere Dienste bei denen IP-Adressen anfallen.
Ich habe NOCH NIE, ich wiederhole, NOCH NIE den Fall gehabt, daß eine IP-Adresse im Logfile wirklich für eine Fehlersuche oder ähnliches notwendig gewesen wäre. Interessant ist allerhöchstens, alle Zugriffe von einer IP-Adresse identifizieren zu können, aber das kann ich auch hinbekommen ohne die IP-Adresse offen zu speicehrn.
Ich weiß daß vielen Admins – insbesondere Hobbyadmins – voll einer davon abgeht, solche Daten zu erfassen und da allerlei fragwürdige Auswertungen drüber laufenzulassen. Das ist aber keine Begründung für eine Notwendigkeit.
Im übrigen trifft Kommentar 17 (Seb) den Punkt auf den Kopf. Der Betreiber hat im vorliegenden Fall zwar Recht bekommen, aber das hätte trotzdem auch anders ausgehen können und den Ärger hat er trotzdem gehabt. Gar nicht erst zu speichern ist definitiv die entspanntere Option.
Löschen sie sofort die ehrverletzenden Beiträge von Grützmacher und JDS und händigen sie mir umgehend die IP Adressen aus, damit ich einen Durchsuchungsbefehl bei diesen Personen beantragen kann um diese Schmierfinken inhaftieren zu lassen! Diese Menschen versuchen einem ehrlich wirtschaftenden Kleinunternehmer die Letzte Münze aus dem Spendenhut zu nehmen!
Hochachtungsvoll
Herr Höll
@Hans: Man kann sicherlich diskutieren, ob IP-Adressen für Netzwerkadministration wirklich zwingend notwendig oder einfach nur hilfreich sind.
Der Verweis auf Seb/17 ist schön und gut. Das habe ich übrigens in beiden Beiträgen auch selbst geschrieben: Wo nichts gespeichert wird, kann man auch nichts weitergeben, da sind wir uns einig.
Das Ganze wirft aber eine andere interessante Frage auf: Was ist eigentlich mit denjenigen personenbezogenen Daten, die von vielen Anbietern zwingend erhoben werden? Beispielsweise die E-Mail-Adresse, die ich hier im law blog eintragen muss, wenn ich einen Kommentar abgeben will.
Ich weiß, dass ich nicht _meine_ Adresse eingeben muss, da die nicht verifiziert wird. Aber der knappe Text "erforderlich" macht ja schon deutlich, dass genau das von mir verlangt wird: meine E-Mail-Adresse dort einzutragen.
Wieso ist es für viele Leute so ein Problem, dass beim Kommentieren und beim Posten IP-Adressen gespeichert werden, aber kein Problem, dass außerdem E-Mail-Adressen erfasst werden?
Mit ein wenig technischem Sachverstand sind beide Informationen freiwillig: Die bereits erwähnte Option der Proxy-Nutzung ermöglicht es mir ja auch, meine IP zu verschleiern und eine Verfolgung auf dieser Basis schwierig bis unmöglich zu gestalten.
Da es hier keine Realnamenspflicht gibt, kann man auch schlecht argumentieren, die E-Mail-Adresse wäre nötig, um die Kommentatoren differenzieren zu können, zumal eh nur der Admin die Adressen sieht. Wozu soll das also gut sein, und wieso akzeptieren praktisch alle Kommentatoren ohne Murren, dass sie ihre E-Mail-Adresse angeben müssen und ärgern sich, dass gleichzeitig ihre IP gespeichert wird, die bei den meisten ISPs nach wenigen Tagen nicht mehr zugeordnet werden kann – anders als manche E-Mail-Adressen, da bei vielen Free-Mail-Anbietern Realnamenspflicht besteht (ob die das verifizieren, steht wieder auf einem anderen Blatt)?
Und zu guter Letzt: Wer meint, IP-Adressen dürften nicht gespeichert werden, ist hier eh an der falschen Stelle…
http://www.lawblog.de/index.php/archives/2008/09/01/was-wir-mit-leserdaten-machen/
Wenn der Richter Blogger als Dienstanbieter klassifiziert, dann darf ich an die Pragraphen § 96 TKG und § 88 TKG erinnern, wonach die vorliegende Angelegenheit eigentlich allein damit schon ziemlich klar sein sollte!
Was viele zudem (leider) nicht zu kapieren scheinen (inkl. Hr. Peter Schaar) ist ein elemtares Prinzip des Datenschutzes im Allgemeinen. Und zwar das der "Zweckbindung"! D.h. es ist zunächst (!) auch völlig egal, ob etwa das Kriterium "personenbezogen" gilt. Übrigens: Selbstverständlich ist eine dynamische IP-Adresse personenbezogen. Auch wenn sie letzten Endes (d.h. nach der "Hochzeit" zwischen Verkehrs- und Bestandsdaten) "nur" zu einem bestimmten Anschlußinhaber führt, so ist dieser zweifesfrei als Person zu deklarieren! Immerhin gibt es zudem noch so'n Schwachsinn wie die "Störerhaftung" (m.E. weil ahnungslose Juristen ständig fälschlicherweise meinen, stets mit "Autovergleichen" daherzukommen – dabei aber z.B. vergessen daß es für's Auto 'ne Haftpflicht gibt…)!
Das Amtsgericht hat also völlig richtig und auch absolut nachvollziehbar geurteilt! Simple as that!
Gruß, Baxter
_____________________________________
P.S.: Ich hoffe, daß der ein- oder andere jetzt auch endlich 'mal etwas weiterDENKT und sich evtl. fragt weshalb im UrhG Extrawürste für vermeintliche, private "anti-piracy"-Firmen gebraten werden. Trotz Art. 10, GG (Vgl. § 101 Abs. 10 UrhG) und den mehr als eindeutigen Worten des BVerfG zum Thema! Im Grunde ermöglicht diese (grundrechtverletzende) Krücke einem Privaten die (willkürliche) Auskunft! Korb II und Lobbyisten sei Dank, die damit seinerzeit auf die staatsanwaltschaftlich eingeführte Bagatellgrenze reagiert hatten (mit dem lächerlichen Begriff "gewerbliches Ausmaß")! Der Richtervorbehalt ist dabei ein schlechter (Durchwink-)Witz, bei dem auch noch Art. 19 GG mit Füßen getreten wird. Der "Einzelfall" interessiert die Richter nämlich nicht, es werden tagtäglich tausende IP-Adressen auf einmal abgefertigt, um bereitwillig ungeprüft bzw. nur einseitig geprüft Grundrechte einzuschränken. Das nennt sich dann "Rechtsstaat"! Für mich persönlich eine absolute Farce und einer der größten Justizskandale der Nachkriegszeit (ernsthaft)!
Übrigens: Bitte nicht vergessen, daß die gleichen Protagonisten nicht nur Netzsperren, sondern auch einen direkten Auskunftanspruch (also ohne Richtervorbehalt) beim ISP fordern –> Gott bewahre (das schreibe ich als Atheist)!
@Trittbretttreter:
Dito! Vermutlich wird das Thema aber von gewissen Personenkreisen ganz bewusst hochgehalten, denn leider "darf" man immer noch so 'was lesen: "BGH, Urteil vom 13. 1. 2011 – III ZR 146/ 10 – Speicherung dynamischer IP-Adressen" –> http://lexetius.com/2011,138 und sich die Begründung des BGH reinziehen…
Na dan ist für Betreiber und Nutzer von Webseiten, Blogs und Foren zumindest mal eine kleine gute Nachricht.
Allerdings gibt es in diesem Zusammenhang auch genügend Nachholbedarf und der Amtliche Weg bleibt ja weiterhin möglich…
Diesbezügliche Auskunftsersuchen bescheide ich mit:
IP = 127.0.0.1
Einfach nicht speichern und der Gruppe "Wir speichern nicht" beitreten. Thema erledigt
Ich finde die Entscheidung problematisch, da meines Wissens beispielsweise eine BEleidigung nur auf Antrag evrfolgt wird und ggf. auf den Privatklageweg verwiesen werden kann. Müsste die StA vor einem Veweis auf diesen Weg erst die Daten sichern lassen? Sonst kommt man an diese ja niemals dran!???!!
@Trittbretttreter: Pff, der Seitenhieb zum Schluss war unfair :-)
lawblog.de entsorgt – wie ja auch in dem Text ausgeführt – die Adressen nach ein paar Tagen (iirc sind es im Moment 48 Stunden). Dafür habe ich auch ein kleines Plugin geschrieben und veröffentlicht, wenn ich mir da die Downloadzahlen so anschaue, glaube ich durchaus erahnen zu können wieviel Prozent der anderen Blogs dauerhaft die IP-Adressen vorhalten.
http://wordpress.org/extend/plugins/deip/
@fh: Ganz ohne ihr nettes kleine Plugin besorgt das auf allen halbwegs sorgfältig konfigurierten Plugins logrotate.
Und an die sich hier aufspielenden "Unix-Admins" (von denen die meisten dann doch nur Linux meinen, und damit eine schlecht gemachte Kopie von Unix): wenn ihr noch nie IPs zur Fehlersuche benötigt habt, habt ihr bis jetzt entweder eure Arbeit nicht gemacht, oder noch nie Systeme wirklich unter Beschuss gehabt. Meine Systeme haben IP-Adressen jedenfalls für bis zu 120 Stunden auf (je nachdem bei welchem Dienst sie anfallen). Wie der Herr "Unix-Admin mit 15 Jahren Berufserfahrung" z.B. low-treshold-Angriffe auf Authentifizierungssysteme mit geringerer Speicherdauer erkennen und zuordnen will, kann er ja gerne mal erklären. Ein passender Artikel in einer passenden Fachzeitschrift wäre dafür wohl der richtige Platz …
@Kommentator: Logrotate? Das würde mich – ganz ernsthaft – interessieren, da mir das deutlich lieber als irgendwelchen WordPressplugins wäre. Aber logrotate im Zusammenspiel mit MySQL-Queries kam mir bislang nicht unter.
Wobei das natürlich auch nur für WP-User mit root auf der Kiste spannend ist ;)
@Grützmacher:
VIELE behaupten das? Nun, dann würde ich mal Ursachenforschung betreiben…
@21: zu der Frage der anderen persönlichen Daten.
Ich betreibe auch ein Forum und dort sind wir militante Nicht-Speicherer. Bei uns ist es sogar VERBOTEN, persönliche Daten einzugeben. Richtig, dadurch wissen wir zwar auch nicht mehr, wer da gerade wer sein mag. Aber Ärger mit Abmahnern, Anwälten, Ermittlern oder Geheimagenten haben wir jedenfalls keinen. Und daher jede Menge Spass.
piogi hat vollkommen recht: Nicht speichern löst alle Probleme
@jo: Eine gerichtliche Aufforderung, Daten zu speichern (zumeist gemeint: zu loggen), befolgen wir mittels Einstellung des Dienstes oder Wechsel der Maschine. Die Maschine, worauf diese Daten sich anhäufen soll(t)en, wartet dann endlos auf Daten. Das Betreiben eines Dienstes wird ja von Gerichten noch nicht aufgetragen..?
Das ist ähnlich der Massnahme, nicht mehr zu telefonieren, wenn man Wind von einer Abhörung bekommt.
Ich weiss gar nicht, was ein IP ist, wie soll ich das dann erheben oder gar speichern? Ausserdem haette ich fuer all die IPs doch gar keinen Platz.
Sowohl ich als auch mein Blogbetreiber sitzen ausserhalb Deutschlands, so dass auf http://www.andreasmoser.wordpress.com munter kommentiert werden darf.