Protokollierung von Nutzungsdaten

Viele Webseitenbetreiber protokollieren alle Zugriffe (Abrufe von Webseiten bzw. Dateien) auf Ihr Webangebot. Gewöhnlich ist der Zweck der Protokollierung die Ermittlung, welche Seiten des Angebotes besonders beliebt sind und aus welchen Regionen oder Ländern die Zugriffe stammen. Dagegen gibt es an sich nichts einzuwenden. Selbst eine Protokollierung der konkreten Wege der einzelnen Nutzer durch das Angebot (Clickstream-Analyse) kann aus Sicht des Datenschutzes akzeptabel sein. Allerdings ist es nicht akzeptabel, die Absender-IP-Adresse jedes Zugriffs zu speichern, wie das Berliner Amtsgericht am 27. März 2007 entschieden hat:

Die IP-Adresse ist ein personenbezogenes Datum. Das Aufzeichnen von personenbezogenen Daten ist nur in soweit erlaubt, als es zur Diensterbringung erforderlich ist. Damit ist es Betreibern von Internetangeboten nicht erlaubt, zu protokollieren, welche IP-Adressen zu welchem Zeitpunkt welche Webseiten abgerufen haben, da dies für die Diensterbringung nicht erforderlich ist.

Es gibt eine Reihe von Mechanismen, die eine Anonymisierung bzw. Pseudonymisierung von Webserver-Log-Daten ermöglichen. Eine einfache Möglichkeit wäre, in jedem Logeintrag nur die ersten beiden Oktetts der IP-Adresse (Beispiel: 162.191.xxx.xxx) abzuspeichern. Dies ermöglicht beispielsweise weiterhin eine Analyse der Einträge nach geographischer Herkunft, ohne den Nutzer zu identifizeren, da hinter jeder dieser verkürzten IP-Adresse theoretisch bis zu 65535 verschiedene Rechner stehen können. Nur das letzte Oktett der IP-Adresse zu löschen ist nicht ausreichend, da längst nicht alle IP-Adressbereiche vollständig genutzt werden.

Manche Anbieter behaupten, Log-Daten mit vollständiger IP-Adresse würden benötigt, um Angriffe verhindern oder zumindest nachvollziehen zu können. Allerdings ist dieses Argument in Zeiten nicht nachzuvollziehen, wo professionelle Angriffe i.d.R. unter Nutzung der Rechner Unschuldiger (sogenannter Bot-Netze) durchgeführt werden.

Sollte es zur Nachverfolgung von Bewegungsspuren (z.B. zur Analyse von Angriffen) notwendig sein, Nutzer wieder zu erkennen, bieten sich Hashverfahren zur Pseudonymisierung der IP-Adressen an. Dafür sind sogenannte “salted Hashes” zu verwenden, d.h. die Berechnung des Hashwertes erfolgt aus der IP-Adresse und einem festem Wert (dem “salt”), wobei der “salt” regelmäßig (ein- oder mehrmals pro Tag) gewechselt und der jeweils gerade ausgewechselte Wert gelöscht werden muss. Da gleiche IP-Adressen den gleichen Hashwert ergeben solange der gleiche Salt verwendet wird, lässt sich auf diese Weise der Clickstream eines Nutzers rekonstruieren. Vorstellbar sind auch Kombination, so könnten z.B. die nur letzten beiden Oktets gehashed werden. Im Ergebnis wäre sowohl die Erstellung von Clickstreams als auch eine geographische Einordnung datenschutzkonform möglich.

Gewarnt werden muss vor externen Usertracking-Dienstleistern wie beispielsweise “Google Analytics”. Solche Dienste speichern mitunter nicht nur rechtswidrig die IP-Adressen sondern legen zudem noch Cookies an. Sie als Anbieter des Webangebotes können meist nicht kontrollieren, wie diese Daten verwendet werden – zumal diese potentiell in einen Rechtsraum außerhalb der Europäischen Union übermittelt werden. Es darf bezweifelt werden, dass die Nutzung solcher Dienste in Europa legal ist. Auf jeden Fall müssten die Besucher des Webangebotes über die Datenweitergabe informiert werden.

Auf Protokollierung der Zugriffe zum Webangebot sollte weitestgehend verzichtet werden. Wenn eine gewisse Protokollierung notwendig ist, so muss diese anonymisiert oder zumindest pseudonymisiert erfolgen. Achten Sie darauf, dass auch Ihr Webspace-Anbieter keine Protokollierung durchführt. Verwenden Sie keine externen Usertracking-Dienste.