IP-Logging der Model-Kartei 36

16.02.2010
Hallo,

wie in der aktuellen ct zu Lesen ist:

"BDSG" erlaubt in Paragraf 4 eine Erhebung, Verarbeitung und Nutzung solcher Daten grundsätzlich nur dann, wenn Betroffene ausdrücklich eingewilligt oder ein Gesetz diese Nutzung erlaubt."

Konnte nix finden wo ich explizit eingewilligt hätte :) Oder habe ich da was überlesen?

(unter "mehr" kann man die IPs der letzten Logins ansehen)

lg, Ronny
16.02.2010
dass die ip-adresse gespeichert wird, steht in den nutzungsbedingungen, denen du bei der einrichtung deines accounts durch setzen eines häkchens im formular zugestimmt hast.
16.02.2010
Stimmt, bin blind :)
[gone] falschbelichtung ( o.O )
16.02.2010
Original von RonnyBenischka
Stimmt, bin blind :)

Nicht sehr Vorteilhaft für einen Fotografen. ;-)

sorry, konnt es mir einfach nicht verkneifen.
16.02.2010
Na gut, dann kann ich eben nicht Lesen :)
Auch nicht der Hit ;-)
Gott sei Dank braucht man in der digitalen Zeit keine Entwicklerrezepte lesen ;-)


Original von RonnyBenischka
Na gut, dann kann ich eben nicht Lesen :)
Aber die Bedienungsanleitung der Cam, obwohl ich manchmal den Eindruck habe, dass das auch nicht passiert.
[gone] Hermann Klecker
16.02.2010
IP-Adressen sind keine personenbezogenen Daten. Den Personenbezug kann erst ein Telekommunikationsanbieter herstellen, und wird das nur auf der Grundlage von Gesetzen mitteilen dürfen.

Die darf man auch ohne AGB und völlig im Einklang mit dem BDSG speichern.


Das BDSG enhält im §28 noch einige Weichmacher. Was immer Du an scheinbar harten und Verbraucherfreundlichen Paragraphen darin findest, prüfe immer erst gegen den 28, ob es nicht dennoch erlaubt ist.

So darf man auch personenbezogene Daten dann ungefragt speichern, wenn sie für den Betrieb notwendig sind.

Eine IP-Adresse ist für den Betrieb notwendig. Sie in Log-Dateien zu speichern ist für die Fehleranalyse hilfreich bis notwendig.



Hendrik kann einen Personenbezug dann herstellen, wenn er sich Deine IP im Moment eines Bezahlvorgangs oder eines Logins speichert. Wenn er Dich kennt, bzw. Dein System ihn kennt, dann kann er mit etwas unschärfe Rückschlüsse ziehen auf mögliche Zweitaccounts, die Du hier betreibst. Er kann aber nicht unerscheiden, ob das eine Lebensgefährtin ist, oder jemand anderer aus einer WG oder einer Firma oder ob ein guter Freund Deinen PC zufällig nutzt oder mit seinem Notebook in Deinem WLAN ist.
Beim nächsten Login kannst Du eine andere IP haben.
Bei jedem Providerwechsel, und sei es nur, daß Du mal DSL, mal Internet by Call und mal UMTS machst, wirst Du eine andere IP bekommen.

Da Du Dich sowieso identifizierst, mit User-ID und Passwort, brauchst Du Dir über die IP keine Gedanken zu machen. Hendrik hat damit viel tollere und zuverlässigere Methoden, eine Verbindung zwischen Deinem Handeln und Deiner Person herzustellen.

Und wenn Du einen Ausweis eingeschickt hast, oder hier jemals bezahlt hast, was machst Du Dir da noch sorgen über die IP. Hendrik weiß dann eh, wer Du bist.


Wenn das jetzt alles nicht vorliegt, und Du bist neu hier, kein VIP, kein Ausweis, keine Echtheitsbestätiger, wie könnte dann ein echter Personenbezug hergestellt werden?
1. Es muß einen Grund geben, das zu tun. Beispielsweise behauptet jemand, Du hättest gegen sein Urheberrecht verstoßen. Dann kann er verlangen, daß die Verbndungsdaten herausgegeben werden. (Ich glaub auch, Personendaten, sofern sie vorliegen. Tun sie in dem Beispiel aber nicht.)
2. Der nach dem UrhG geschädigte muß dann den IP-Provider herausfinden und dann die Personendaten dort erfragen.
3. Beides hat Aussicht auf Erfolg, sofern es in dem Rahmen passiert, in dem der IP-Provider die Daten bevorraten muß abzüglich der Bearbeitungszeiten bei Hendrik und dem Provider.
-oder-
1. Im Falle anderer Straftaten, also nich Urheberrecht, kann eine Strafverfolgungsbehörde einen Beschluß erwirken und dann ähnlich vorgehen, also erst die IP erfragen, den Provider ermitteln und dann den Teilnehmer identifizieren.

Im Zweifelsfall kann es bis zu dem handelnden Menschen dann aber noch ein schwieriger Weg sein.




Also komm mal wieder runter. Erstens ist alles legal, zweitens hast Du zugestimmt, drittens machst Du Dir Gedanken um völlig unwichtiges Zeugs.
16.02.2010
Du hast nicht recht...
"Nicht auf subjektive, sondern auch die objektive Möglichkeit der Belastbarkeit einer Person sei abzustellen.
Demzufolge wäre es schon ausreichend, wenn auch nur die theoretische Möglichkeit eines Personenbezugs besteht, auch wenn dazu die Mitwirkung eines Dritten erforderlich ist."
ct 05/10

Und zum runter kommen, müsste ich erst mal aufregen und das habe ich nicht. Wollte einfach das Thema mal aufgreifen. Und ob es unwichtig ist, steht im Auge des betrachters.
Du regst dich also unnötig auf...
16.02.2010
>IP-Adressen sind keine personenbezogenen Daten. Den Personenbezug kann erst ein >Telekommunikationsanbieter herstellen, und wird das nur auf der Grundlage von Gesetzen >mitteilen dürfen.
Wie gesagt, falsch.

>Die darf man auch ohne AGB und völlig im Einklang mit dem BDSG speichern.
auch falsch.

>Eine IP-Adresse ist für den Betrieb notwendig. Sie in Log-Dateien zu speichern ist für die >Fehleranalyse hilfreich bis notwendig.
Uahh, das geht vor keinem Gericht durch. Ich programmiere selbst und die Daten sind vielleicht hilfreich, aber sicher nicht notwendig!
[gone] Hermann Klecker
16.02.2010
Original von RonnyBenischka
Du hast nicht recht...
"Nicht auf subjektive, sondern auch die objektive Möglichkeit der Belastbarkeit einer Person sei abzustellen.
Demzufolge wäre es schon ausreichend, wenn auch nur die theoretische Möglichkeit eines Personenbezugs besteht, auch wenn dazu die Mitwirkung eines Dritten erforderlich ist."
ct 05/10


Das ist nicht falsch, aber auch nicht uneingeschränkt richtig.

Wenn ich hier Daten habe, die nicht direkt personenbezogen sind, aber mit Hilfe Dritter -legal- personifizierbar sind, dann ergeben sich daraus bereits gewisse Sorfaltspflichten.
Für IP-Adressen kann das heißen, daß ich sie erfassen und speichern darf, da betrieblich notwenidg, den Zugang dazu aber so einrichten muß, daß nur berechtigte Personen Zugang zu den Daten haben.

Wenn ich aber etwas illegales machen müsste, um den Personenbezug herzustellen, also z.B. eine Straftat vortäuschen oder mich als Amtsperson ausgeben, in ein System einhacken, etc. , dann sind meine Daten für sich genommen sicher nicht als personenbezogen zu bewerten.


Und zum runter kommen, müsste ich erst mal aufregen und das habe ich nicht. Wollte einfach das Thema mal aufgreifen. Und ob es unwichtig ist, steht im Auge des betrachters.
Du regst dich also unnötig auf...


OK, verstehe ich als retourkutsche. Ansonsten wäre nicht logisch, weshalb Du mir unterstellst, was Du für Dich negierst. :-)
16.02.2010
Ich Zitiere aus einer Fachzeitschrift, aus einem Artikel der von einem Fachanwalt geschrieben wurde. Du bist qualifiziert, Ihn zu widerlegen?
16.02.2010
Original von RonnyBenischka
Ich Zitiere aus einer Fachzeitschrift, aus einem Artikel der von einem Fachanwalt geschrieben wurde. Du bist qualifiziert, Ihn zu widerlegen?
Und glaubst Du einem Anwalt uneingeschränkt?

Ohne einen Anwalt jetzt schlecht zu machen ... aber normalerweise wird er seinem Auftraggeber das erzählen, was man mit den Gesetzen noch gerade so hinbkommen kann. Ob das ein gericht dann auch so sieht, ist etwas ganz anderes.

Unabhängig davon habt Ihr dem IP-Logging in den AGB zugestimmt ;-)
16.02.2010
Und davon abgesehen: mich interessiert eure wahre Identität oder andere Sachen sowas von überhaupt nicht. Jeder kann seine Privatsphäre schützen, sich verstecken, alles geheim halten; ist mir vollkommen egal.

Bis zu dem Punkt wenn jemand versucht ein anderes Mitglied oder mich als Betreiber zu verarschen, betrügen, hintergehen, etc. DANN wirds unangenehm. ;)


LG Hendrik
Original von Hermann Klecker
2. Der nach dem UrhG geschädigte muß dann den IP-Provider herausfinden und dann die Personendaten dort erfragen.

Das wird Dir der Provider aber niemals sagen. Die Telekom z.B. wird Dir niemals sagen, wer sich hinter einer IP Adresse zu dem und dem Zeitpunkt verbarg. Außerdem verlangt die Telekom recht viel Kohle dafür, wenn sie es im Rahmen einer richterlichen Beschlusses macht.

3. Beides hat Aussicht auf Erfolg, sofern es in dem Rahmen passiert, in dem der IP-Provider die Daten bevorraten muß ...

Der Provider muss die Daten mindestens 6 Monate speichern. Siehe hier: "Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG" http://www.bgblportal.de/BGBL/bgbl1f/bgbl107s3198.pdf

abzüglich der Bearbeitungszeiten bei Hendrik und dem Provider.
-oder-
1. Im Falle anderer Straftaten, also nich Urheberrecht, kann eine Strafverfolgungsbehörde einen Beschluß erwirken und dann ähnlich vorgehen, also erst die IP erfragen, den Provider ermitteln und dann den Teilnehmer identifizieren.


Es ist irrelevant, ob es eine Straftat nach dem Urhebergesetz ist oder nach dem StGB.
Eine Ermittlung der Daten aus den IP Adressen geht immer nach §§ 100g, 100h StPO und das heißt über einen richterlichen Beschluss
Original von Hermann Klecker
IP-Adressen sind keine personenbezogenen Daten. Den Personenbezug kann erst ein Telekommunikationsanbieter herstellen, und wird das nur auf der Grundlage von Gesetzen mitteilen dürfen.


Falsch!

IP Adressen sind sehr wohl personenbezogene Daten:
Daten sind personenbezogen, wenn sie eindeutig einer bestimmten natürlichen Person zugeordnet sind oder diese Zuordnung zumindest mittelbar erfolgen kann.


Siehe hier im Kommentar:
Erbs/Kohlhaas, Strafrechtliche Nebengesetze, 176. Aufl. 2009, BDSG § 3, Rn. 3
[...] nach diesem Gesetz sind nur Einzelangaben, die einer bestimmten natürlichen Person zugeordnet werden können, [...] Diese Person muss bestimmt oder mindestens bestimmbar sein (BGH NJW, 1991, 568). Die Person ist bestimmt, wenn sie durch die Angaben selbst bezeichnet wird wie Anschrift, Kennzeichen u. a. Sie ist bestimmbar, wenn sie mit Hilfe weiterer verfügbarer Erkenntnisse identifiziert werden kann. Der Grad der Schwierigkeit eines solchen Identifizierungsverfahrens ist dabei unerheblich, sofern die speichernde Stelle in der Lage ist, mit angemessenem Aufwand eine Beziehung zu dem Betroffenen herzustellen.
Original von Hermann Klecker
So darf man auch personenbezogene Daten dann ungefragt speichern, wenn sie für den Betrieb notwendig sind.

Eine IP-Adresse ist für den Betrieb notwendig. Sie in Log-Dateien zu speichern ist für die Fehleranalyse hilfreich bis notwendig.


Also wenn eine Log Datei mit IP Daten für die Fehleranalyse hilfreich ist, dann ist sie aber nicht unbedingt notwendig .

Notwendig bedeutet, dass der Betrieb ohne diese personenbezogenen Daten gar nicht oder nur äußerst schwer möglich ist.

Bloß weil es der IT Abteilung hilft, ist es noch lange nicht i.S.d. BDSG erlaubt.

Und der § 28 BDSG ist gar nicht so ein Weichmacher. Dort steht schon explizit unter welchen Ausnahmen es erlaubt ist.

§ 28 [1] Datenerhebung und -speicherung für eigene Geschäftszwecke

(1) Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig

1.wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist,
[gone] Hermann Klecker
16.02.2010
Original von McFly_Stade
[quote]Original von Hermann Klecker
2. Der nach dem UrhG geschädigte muß dann den IP-Provider herausfinden und dann die Personendaten dort erfragen.

Das wird Dir der Provider aber niemals sagen. Die Telekom z.B. wird Dir niemals sagen, wer sich hinter einer IP Adresse zu dem und dem Zeitpunkt verbarg. Außerdem verlangt die Telekom recht viel Kohle dafür, wenn sie es im Rahmen einer richterlichen Beschlusses macht.

3. Beides hat Aussicht auf Erfolg, sofern es in dem Rahmen passiert, in dem der IP-Provider die Daten bevorraten muß ...

Der Provider muss die Daten mindestens 6 Monate speichern. Siehe hier: "Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG" http://www.bgblportal.de/BGBL/bgbl1f/bgbl107s3198.pdf

abzüglich der Bearbeitungszeiten bei Hendrik und dem Provider.
-oder-
1. Im Falle anderer Straftaten, also nich Urheberrecht, kann eine Strafverfolgungsbehörde einen Beschluß erwirken und dann ähnlich vorgehen, also erst die IP erfragen, den Provider ermitteln und dann den Teilnehmer identifizieren.


Es ist irrelevant, ob es eine Straftat nach dem Urhebergesetz ist oder nach dem StGB.
Eine Ermittlung der Daten aus den IP Adressen geht immer nach §§ 100g, 100h StPO und das heißt über einen richterlichen Beschluss[/quote]

Es ist richtig, daß es eines Beschlusses bedarf und daß "der Verletze" zunächst alle Kosten tragen muß, sowohl für das Gericht als auch für die Kosten der Auskunftgebenden Betreiber.

Es ist nicht richtig, daß es völlig irrelavant ist, ob es eine Urheberrechtsverletzun ist oder etwas anderes. Im Falle einer Urheberrechtsverletzung in gewerblichem Ausmaß geht das auf zivilem Wege, muß aber von der zuständigen Zivilkammer eines Landgerichts beschlossen werden.
[gone] Hermann Klecker
16.02.2010
Original von McFly_Stade
[quote]Original von Hermann Klecker
So darf man auch personenbezogene Daten dann ungefragt speichern, wenn sie für den Betrieb notwendig sind.

Eine IP-Adresse ist für den Betrieb notwendig. Sie in Log-Dateien zu speichern ist für die Fehleranalyse hilfreich bis notwendig.


Also wenn eine Log Datei mit IP Daten für die Fehleranalyse hilfreich ist, dann ist sie aber nicht unbedingt notwendig .

Notwendig bedeutet, dass der Betrieb ohne diese personenbezogenen Daten gar nicht oder nur äußerst schwer möglich ist.

Bloß weil es der IT Abteilung hilft, ist es noch lange nicht i.S.d. BDSG erlaubt.

Und der § 28 BDSG ist gar nicht so ein Weichmacher. Dort steht schon explizit unter welchen Ausnahmen es erlaubt ist.

§ 28 [1] Datenerhebung und -speicherung für eigene Geschäftszwecke

(1) Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig

1.wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist,
[/quote]

Frag mal die Mitglieder hier, ob sie den stabilen und fehlerfreien Betrieb für notwendig erachten.

Hast Du dort aufgehört zu lesen, wo Du aufgehört hast zu zitieren?


Aber davon ab - IP-Adressen sind gar keine personenbezogenen Daten. Wie Du ja gerade erst erkärt hast, bedarf es eines richterlichen Beschlusses, um den Personenbezug herzustellen. Also einfache Hilfe Dritter genügt da nicht.


Zu dem Thema will ich den Fred nicht zu sehr zerpflücken und zitiere Dich hier:
Original von McFly_Stade

Falsch!

IP Adressen sind sehr wohl personenbezogene Daten:
Daten sind personenbezogen, wenn sie eindeutig einer bestimmten natürlichen Person zugeordnet sind oder diese Zuordnung zumindest mittelbar erfolgen kann.


Siehe hier im Kommentar:
Erbs/Kohlhaas, Strafrechtliche Nebengesetze, 176. Aufl. 2009, BDSG § 3, Rn. 3[quote][...] nach diesem Gesetz sind nur Einzelangaben, die einer bestimmten natürlichen Person zugeordnet werden können, [...] Diese Person muss bestimmt oder mindestens bestimmbar sein (BGH NJW, 1991, 568). Die Person ist bestimmt, wenn sie durch die Angaben selbst bezeichnet wird wie Anschrift, Kennzeichen u. a. Sie ist bestimmbar, wenn sie mit Hilfe weiterer verfügbarer Erkenntnisse identifiziert werden kann. Der Grad der Schwierigkeit eines solchen Identifizierungsverfahrens ist dabei unerheblich, sofern die speichernde Stelle in der Lage ist, mit angemessenem Aufwand eine Beziehung zu dem Betroffenen herzustellen.
[/quote]


IP Adressen sind eben nicht eindeutig einer Person zugeordnet werden. Du kommst damit bestenfalls zu einem privatkunden eines Telekommunikationsanbieters. Wer am PC sitzt, ob mehrer Personen sich diese öffentliche IP teilen, ob es gar ein WLAN-Hotspot ist, ... ist daraus nicht erkennbar.

Das Wort "eindeutig" verstehe ich anders.
Original von Hermann Klecker
IP Adressen sind eben nicht eindeutig einer Person zugeordnet werden. Du kommst damit bestenfalls zu einem privatkunden eines Telekommunikationsanbieters.

Du hast Recht, mit der IP Adresse bekomme ich den Anschlussinhaber. Die IP Adresse ist somit ein personenbezogenes Datum des Anschlussinhabers.


Original von Hermann Klecker Wer am PC sitzt, ob mehrer Personen sich diese öffentliche IP teilen, ob es gar ein WLAN-Hotspot ist, ... ist daraus nicht erkennbar.

Das stimmt, aber wenn der Anschlussinhaber eine natürliche Person ist, dann ist diese IP Adresse ein personenbezogenes Datum.

Original von Hermann KleckerDas Wort "eindeutig" verstehe ich anders.

"Sie ist bestimmbar, wenn sie mit Hilfe weiterer verfügbarer Erkenntnisse identifiziert werden kann. Der Grad der Schwierigkeit eines solchen Identifizierungsverfahrens ist dabei unerheblich, sofern die speichernde Stelle in der Lage ist, mit angemessenem Aufwand eine Beziehung zu dem Betroffenen herzustellen."

Nun, die speichernde Stelle (z.B. Telekom) ist doch mit einem sehr leichten angemessenem Aufwand in der Lage zu sagen, wer Anschlussinhaber ist. Oder ist es für die Telekom schwer, zu sagen, wer Anschlussinhaber ist?
Das Erwirken eines richerlichen Beschlusses ist hier nicht von Belang, das ist lediglich Voraussetzung.

Um es zu beschleunigen:
IP Adressen können mithin personenbezogene Daten sein, wenn es sich um natürliche Personen handelt. Das sieht die Rechtsprechung so und genau deshalb benötigt man ja auch den Beschluss nach §§ 100g, 100h StPO.
Also die Frage,ob es sich bei IP Adressen um personenbezogene Daten handelt ist absolut klar, da die Rechtsprechung sich hier schon zu ausgelassen hat.
Alles andere wären hier nur die perönlichen Meinungen der User, die vom geltenden Recht abweichen.

Topic has been closed