RegPräs Darmstadt: Speicherung von IP-Adressen durch Access-Provider


BDSG § 9; TDDSG §§ 6 Abs. 4, 1 Abs. 2

Reg Präs. Darmstadt Datenschutzrechtliche Beurteilung vom 14.1.2003 II 21.4-3v-04/03-043/02

Leitsätze der Redaktion

1.Die Speicherung der dynamisch vergebenen IP-Adresse durch einen Internet-Zugangsprovider (Acess-Provider) nebst Datum, Uhrzeit und Länge einer Internetsitzung über das Ende der Verbindung hinaus ist bei der Nutzung eines zeit- und volumenabhängigen Pauschaltarifs (Flatrate) nach § 6 Abs. 4 TDDSG und nach § 1 Abs. 2 TDDSG, § 9 BDSG zulässig.

2.Die Speicherung der IP-Adresse als Abrechnungsdatum ist erforderlich, damit der Access-Provider im Zweifelsfall die kostenpflichtige Erbringung der Leistung korrekt und durchsetzbar nachweisen kann. Die IP-Nummer dient dazu, die Fehlersicherheit der Datenverarbeitung sowie die Nachweisbarkeit und die Durchsetzbarkeit von Forderungen zu gewährleisten. Weiterhin kann bei "Flatrates" mit der protokollierten IP-Nummer eine vom Kunden behauptete Leistungsstörung widerlegt werden.

3.Die Speicherung und Verarbeitung der vergebenen dynamischen IP-Adresse stellt auch insoweit ein geeignetes Mittel zur Erreichung der Sicherheits- und Schutzziele des § 9 BDSG und Anlage hierzu dar, als sie insb. zur Erreichung einer wirksamen Zugriffskontrolle nach Nr. 3 der Anlage zu § 9 BDSG, aber auch für die Analyse vergangener Angriffe und anderer Unregelmäßigkeiten zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung unabdingbar ist, da Angreifer ihre IP-Adresse im Server- oder Firewall-Logfile des "Opfers" hinterlassen und ein Angreifer dann nur anhand dieser Zusatzinformation (Zeitpunkt und IP-Adresse) von seinem Access-Provider ermittelt werden kann.

4.Die Speicherung der IP-Nummer als Maßnahme zur Gewährleistung der Datensicherheit ist zulässig, da § 9 BDSG (nebst Anlage) von den Bestimmungen des TDDSG unberührt bleibt (§ 1 Abs. 2 TDDSG). Es wäre geradezu paradox, wenn in dem an technischen, rechtlichen und tatsächlichen Unsicherheiten kaum noch zu überbietenden Regelungsgegenstand "Internet" auf die Anwendung von Kontroll-, Sicherungs- und Sicherheitsvorschriften verzichtet würde, die für andere ungefährdetere Datenverarbeiter der "Offline-Welt" gelten.

Anm. d. Red.: Die Beurteilung wurde mitgeteilt und die Leitsätze wurden verfasst von RA Dr. Peter Schmitz, RAe Piepenbrock Schuster, Düsseldorf.


MMR 2003, 213 Der kostenpflichtige Volltext ist ca. ab Mitte März in beck-ONLINE abrufbar.