T-Online darf Flatrate-IP-Nummern speichern

Das Regierungspräsidium Darmstadt hat als zuständige Datenschutz-Aufsichtsbehörde entschieden, dass T-Online als Zugangsanbieter mitspeichern darf, welchen Kunden in einem bestimmten Zeitraum welche IP-Adresse zugewiesen wird. Diese Entscheidung gilt für jede Art des Internet-Zugangs für Privatkunden, also auch für Flatrate-Zugänge. Die Behörde war von einer Reihe von betroffenen T-Online-Kunden gebeten worden zu prüfen, ob die Praxis von T-Online, diese Daten 80 Tage ab Rechnungsstellung zu speichern, gegen geltendes Datenschutzrecht verstößt.

In der Begründung zur Entscheidung, die heise online vorliegt, heißt es wörtlich: "Die Speicherung der IP-Nummer ist gerechtfertigt, damit die T-Online International AG im Zweifelsfall die kostenpflichtige Erbringung ihrer Leistung wirklich korrekt und durchsetzbar nachweisen kann. Die IP-Nummer dient dazu, die Fehlersicherheit der Datenverarbeitung sowie die Nachweisbarkeit und die Durchsetzbarkeit von Forderungen zu gewährleisten. Es muss anerkannt werden, dass diese Ziele ohne die vergebene und dokumentierte IP-Nummer gerade bezüglich der für die Abrechung notwendigen Aufstellung der Nutzungsdaten bei zeit- und volumenabhängigen Nutzungstarifen grundsätzlich nicht ohne diesbezüglichen Qualitätsverlust erreicht werden können. Bei so genannten 'Flatrates' muss bezüglich der Abrechungszwecke berücksichtigt werden, dass Kunden der T-Online International AG innerhalb des T-DSL-Flat-Tarifes auch Verbindungen über ISDN, Modem oder GSM aufbauen können, die dann nicht mehr pauschal, sondern zeitabhängig verrechnet werden."

T-Online könne auch bei der Flatrate nur anhand der geloggten IP-Nummer eine vom Kunden behauptete Leitungsstörung widerlegen. Ob man dies gemäß Paragraf 6 Abs. 4 des Teledienste-Datenschutzgesetzes (TDDSG) als "Erforderlichkeit für Abrechnungszwecke" einstufen kann, könne dahingestellt bleiben, denn die Maßnahme des Providers sei darüber hinaus gemäß Paragraf 9 des Bundesdatenschutzgesetzes (BDSG) zur Gewährleistung der Datensicherheit erforderlich. Nur durch die Speicherung der IP-Adressen könnten im Nachhinein die Aktivitäten von Angreifern auf Datenverarbeitungssysteme nachvollzogen werden. "Es muss in diesem Zusammenhang auch darauf aufmerksam gemacht werden, dass es geradezu paradox wäre, wenn in dem an technischen, rechtlichen und tatsächlichen Unsicherheiten kaum noch zu überbietenden Regelungsgegenstand 'Internet' mit den vielfältigen Sicherheitsdefiziten des aktuellen IPv4-Standards auf die Anwendung von Kontroll-, Sicherungs- und Sicherheitsvorschriften verzichtet würde, die aber für andere, ungefährdetere Datenverarbeiter der 'Offline-Welt' nach Paragraf 9 BDSG und Anlage hierzu sehr wohl gelten und dort eingehalten werden müssen", heißt es in der Begründung.

Zur Entscheidungsfindung hat die Aufsichtsbehörde in Darmstadt etwa ein Jahr benötigt. Erste Beschwerden von Kunden waren dort im Februar des vergangenen Jahres eingegangen, als heise online darüber berichtet hat, dass T-Online Nutzer von P2P-Tauschbörsen identifiziert und ermahnt hatte. Im Gespräch mit heise online erklärte der zuständige Beamte im Regierungspräsidium Darmstadt, Ralf Menger, dass der Beurteilung einige Gesprächsrunden mit den anderen Datenschutz-Aufsichtsbehörden der Bundesländer vorausgegangen waren. "Es hat zwar eine Mehrheit für unsere Auffassung gegeben, aber es wurden auch kritische Stimmen laut", beschrieb Menger die Lage. Eine formale Bindung für andere Behörden an die Darmstädter Beurteilung gäbe es nicht, betonte er. Es sei durchaus möglich, dass man in ähnlich gelagerten Fällen woanders auch anders entscheide. (hob/ct)

Kommentar

Die Entscheidung der Aufsichtsbehörde in Darmstadt kann nur mit großer Verwunderung zur Kenntnis genommen werden. Sowohl das BDSG als auch alle anderen datenschutzrechtlichen Vorschriften wie beispielsweise das hier einschlägige TDDSG gehen vom Grundsatz der größtmöglichen Datenvermeidung und Datensparsamkeit aus. Dieser erstmals im TDDSG enthaltene Grundsatz konnte dort nach der ausdrücklichen Aufnahme in Paragraf 3a Abs. 1 BDSG entfallen.

Unter diesen Umständen stand für viele Experten bislang außer Frage, dass das Mitprotokollieren von Abrechnungsdaten bei Nutzung einer Flatrate rechtswidrig sein muss, da diese Daten zur Abrechnung schlicht nicht benötigt werden. Der Kunde muss den Dienst unabhängig von seiner Nutzung zahlen. Keinesfalls dürfen nach dieser Argumentation Daten, die Rückschlüsse darauf zulassen, welcher Nutzer welchen Dienst wann benutzt hat, länger als für die Nutzung erforderlich gespeichert werden.

Obwohl das "alte" TDDSG noch eine eindeutigere Sprache hatte, ist durch das Gesetz über rechtliche Rahmenbedingungen für den elektronischen Geschäftsverkehr (EGG), welches das TDDSG sehr umfassend änderte, im "neuen" TDDSG keine relevante Änderung durch den Gesetzgeber gewollt worden. Der Gesetzgeber hat den bislang eigenständigen Begriff der Abrechnungsdaten zwar als Nutzungsdaten qualifiziert, dennoch darf der Diensteanbieter Nutzungsdaten nur erheben und verarbeiten, um die Inanspruchnahme des Dienstes zu ermöglichen und abzurechnen. Ist die Nutzung beendet, so bedarf es keiner Nutzungsdaten mehr, es sei denn, sie werden zur Abrechnung benötigt.

Es steht außer Frage, dass die von Providern vergebenen IP-Adressen für die Sicherheits- und Ermittlungsbehörden von größter Wichtigkeit zur Vermeidung und Aufklärung von Straftaten sind. Wenn diese Daten aber tatsächlich Ermittlungszwecken dienen sollen, muss der Gesetzgeber seine datenschutzrechtlichen Vorschriften entsprechend ändern. Für Straftaten der Fahrerflucht, fahrlässigen Körperverletzung durch Autounfälle usw. wäre es ebenso hilfreich, jeden Autofahrer vor Befahren der Autobahn zu registrieren. Auf diese Idee käme jedoch keiner ernsthaft. Zumal Paragraf 6 Absatz 8 TDDSG eine Öffnungsklausel für Fälle mit missbräuchlicher Tendenz enthält: Der Gesetzgeber lässt beim Vorliegen tatsächlicher Anhaltspunkte eine Speicherung zu, die darüber hinaus zu dokumentieren ist. Dann, und nur dann darf großzügiger gespeichert werden, sonst wäre diese Öffnungsklausel völlig überflüssig.

Auch der Verweis auf § 9 BDSG erscheint rechtlich fraglich, da das TDDSG spezielle Vorschriften für Teledienste enthält und insoweit dem allgemeinen BDSG vorgehen dürfte. Dies belegt aus meiner Sicht, dass die Entscheidung nicht mit dem Willen des Gesetzgebers übereinstimmt. Völlig fehl geht auch der Hinweis auf das Erfordernis der Protokollierung, damit der Diensteanbieter vom Kunden eventuell behauptete Leistungsstörungen widerlegen könne. Diese Argumentation stellt die Idee und die Zielrichtung des Datenschutzes auf den Kopf.

Die "Darmstädter Entscheidung" wird zumindest dahingehend eine Signalwirkung entfalten, dass Provider sich auf sie berufen und hinsichtlich ordnungsrechtlicher oder zivilrechtlicher Ansinnen exculpieren werden. Die Entscheidung öffnet dem gläsernen Internet Tür und Tor und dürfte weitreichende Folgen nach sich ziehen. (hob)