Webhoster befinden sich in einigen Situationen in der Zwickmühle. Diese müssen die vertraglichen Verpflichtungen gegenüber ihren Kunden wahren, deren Daten und IP-Adressen aber unter Umständen an öffentliche Stellen übermitteln. Dies ist insbesondere bei Strafverfolgungsbehörden der Fall. Wir klären Sie darüber auf, wann Webhoster Daten übermitteln müssen und welchen Pflichten diese bei der Speicherung personenbezogener Daten unterliegen!
Müssen Webhoster die IP-Adressen ihrer Kunden herausgeben?
Webhoster unterliegen vielseitigen Pflichten und müssen sich vereinzelt mit der Frage beschäftigen, ob sie personenbezogene Daten ihrer Kunden herausgeben müssen. Grundsätzlich ist eine solche Verpflichtung nur dann gegeben, wenn die Kunden des Webhosters rechtswidrige Inhalte hinterlegt haben. Eine Übermittlung von Daten muss nur dann erfolgen, wenn ein richterlicher Beschluss vorliegt. Die Rechtsgrundlage wird in vielen Sachverhalten vom Grundsatz von Treu und Glauben gebildet, § 242 BGB. Ob eine Auskunftspflicht besteht, muss stets im Einzelfall geprüft werden. Bei einem Rechtsstreit in Bamberg entschied das Gericht beispielsweise, dass Anonymisierungsdienste nicht verpflichtet sind Auskunft über IP-Adressen und sonstige Kundendaten zu geben, sofern nur eine leichte Straftat vorliegt. Webhoster achten genau darauf, ob sie Kundendaten weiterleiten müssen oder nicht. Zum einen wird die Seriosität bzw. Beliebtheit des Webhosters untergraben, was zu weniger Kunden und stagnierenden Umsätzen führt. Zum anderen befürchten Webhoster, dass sie von ihren Kunden wegen Verletzung vertraglicher Pflichten verklagt werden. Obwohl Webhoster außer der Zur-Verfügung-Stellung von Ressourcen nicht am Geschehen teilnehmen, befinden sich diese zwischen den Fronten und laufen Gefahr von beiden Seiten scharf angegriffen zu werden.
Webhostern und personenbezogene Daten
Bei der Inanspruchnahme von Webhostern werden zahlreiche personenbezogene Daten gespeichert. Die Rechtsgrundlage für die Erhebung, Verarbeitung und Nutzung der Daten ergibt sich aus dem Teledienstedatenschutzgesetz (TDDSG) und aus dem Mediendienste-Staatsvertrag (MDStV). Bei der Vermittlung des Zugangs zum Internet und bei E-Mail-Diensten handelt es sich um einen Telekommunikationsdienst, wodurch das Telekommunikationsgesetz (TKG) Anwendung findet. Bei Webhostern werden verschiedene personenbezogene Daten erhoben. Dazu gehören Verbindungs-, Bestands-, Nutzungs-, Inhalts- und Abrechnungsdaten. Personenbezogene Daten müssen einer staatlichen Stelle immer dann übermittelt werden, wenn dem Webhoster die entsprechende Rechtsgrundlage genannt wurde. Falls dieser der Forderung nicht nachkommt, werden richterliche Anordnungen vorgelegt. Nach dem Vorlegen der Forderung müssen Webhoster dieser Folge leisten, d.h. zum Beispiel die Überwachung eines E-Mail-Postfaches gewähren. Webhoster müssen die inhaltlichen Voraussetzungen einer Anordnung nicht prüfen. Diese sind jedoch dazu verpflichtet sich von der Einhaltung der formalen Anforderungen zu überzeugen. Sind Strafverfolgungsbehörden involviert, müssen Webhoster die entsprechenden Anordnungen zwingend umsetzen und etwaige Überwachungen mittragen. Wenn es sich um Geheimdienste handelt, sind Webhoster zur Auskunft berechtigt, aber keinesfalls dazu verpflichtet.
Grundlegendes zu Datenspeicherung, Bestandsdaten und Nutzungsdaten
Webhoster verfügen über diverse personenbezogene Daten ihrer Nutzer. Bestandsdaten sind Daten, welche für die Begründung, Ausgestaltung oder Änderung von Verträgen verwendet werden. Webhoster speichern regelmäßig Name, Anschrift, E-Mail, Telefonnummer, Geburtsdatum, Bankverbindung bzw. Kreditkartennummer, User-ID und IP-Adresse. Welche Bestandsdaten im Einzelfall erhoben, verarbeitet und genutzt werden, hängt von der technischen Ausgestaltung des Webhosters und von den individuellen Verträgen ab. Bestandsdaten dürfen nur dann erhoben werden, wenn deren Erhebung für den Webhoster zwingend notwendig sind. Der Webhoster muss die Daten demnach benötigen, um seine vertraglichen Pflichten zu erfüllen. Bestandsdaten werden im Regelfall nur bei kostenpflichtigen Webhosting-Diensten erhoben. Bei kostenlosen Angeboten werden gelegentlich E-Mail-Adressen gespeichert. Nach § 35 II Nr. 3 BDSG müssen Bestandsdaten gelöscht werden, sobald das Vertragsverhältnis beendet ist, keine nachvertraglichen Ansprüche bestehen und keine Notwendigkeit zum Speichern besteht. Daten für Telekommunikationsdienste müssen nach Beendigung des Vertrages gemäß § 5 III S.1 TDSV mit Ablauf des folgenden Kalenderjahres gelöscht werden. Ausnahmen ergeben sich aus § 35 III BDSG, wonach personenbezogene Daten unter Umständen dauerhaft zu speichern sind, falls diese unter die gesetzlichen Aufbewahrungsbestimmungen fallen. In einem solchen Fall werden die Daten separat für die Erfüllung der Dokumentationsverpflichtung gelagert und vom operativen Datenbestand getrennt. Nutzungsdaten sind Daten, die erforderlich sind, um Webhosting-Leistungen zu ermöglichen und abzurechnen, vgl. § 6 I TDDSG und § 19 II MDStV. Nutzungsdaten dienen der Identifikation von Nutzern, der Erfassung von Beginn und Ende der Dienstleistungen und als Information über die in Anspruch genommenen Dienste. Die Aussagekraft von Nutzungsdaten ist immens hoch. Im Gegensatz zu Verbindungsdaten wird nicht nur offengelegt, wer mit wem zu welcher Zeit kommuniziert hat: Nutzungsdaten zeigen darüber hinaus an, welche Inhalte übertragen worden sind.
Löschungsfristen und sonstige Daten
Gemäß § 6 IV TDDSG dürfen Webhoster nach dem Ende des Webhosting-Vertrages Nutzungsdaten nutzen und verarbeiten, falls diese für Abrechnungszwecke benötigt wird. Alle anderen Daten müssen so schnell wie möglich gelöscht werden, vgl. § 19 V MDStV. Abrechnungsdaten sind Nutzungsdaten, welche für die Rechnungsstellung verwendet werden. Diese werden im Regelfall aus den Bestandsdaten gewonnen. Generell gilt, dass sämtliche Daten und verwendete IP-Adressen an staatliche Behörden herausgegeben werden müssen. Dies ist aber nur dann notwendig, wenn ein richterlicher Beschluss vorliegt.