rating service  security service privacy service
Dürfen Web-Logfiles weitergegeben werden?
DSG 2000 §1, §4, §14, §46
Web-Logfiles entstehen, wenn die Zugriffe auf Webserver protokolliert werden - sie enthalten mit der IP-Adesse indirekt personenbezogene Daten und fallen damit unter die Bestimmungen des Datenschutzgesetzes

Protokollierung von Web-Logfiles

Grundsätzlich ist ein Web-Serverbetreiber berechtigt Seitenzugriffe auf seinen Server zu protokollieren. Verarbeitet der Server personenbezogene Daten, etwa bei einem Telebanking-Portal, aber auch einem Online-Shop oder einem Portal für Kontaktanzeigen, besteht sogar eine Verpflichtung gemäß §14 DSG 2000. Unter dem Blickwinkel der Nachvollziehbarkeit der ordnungsgemäßen Verwendung des Webportals ergibt sich die Protokllierungspflicht.

Diese ist jedoch an strenge Verwertngsrgeln gebunden. Es dürfen nicht beliebige Auswertungen gemacht werden, sondern nur jene, die den Zweck der Identifikation rechtswidriger Verwendung personenbezogener Dten haben.

Werden jedoch keine personenbezogene Daten auf der Website verarbeitet, was bei den meisten Informations- und Werbeportalen der Fall ist, dann darf ebenfalls protokolliert werden. Dies wird man aus allgemeinen betrieblichen Sicherheitsüberlegungen rechtfertigen. Darüber hinaus bieten die Zugriffe auch interessante Anhaltspunkte über Nutzung und Nutzungsprofil einer Website.

Diese Protokollierungen umfassen in der Regel Datum, Uhrzeit, IP-Adresse und aufgerufene Webseite. Aus grundrechtlicher Sicht wäre es wünschenswert, dass auch die Tatsache und Umfang der Protokllierung angekündigt wird, erforderlich ist es jedoch nicht. Eine gewisse Problematik ergibt sich, wenn neben den unmittelbar den eigenen Server betrffenden Daten auch die Referer-Webadresse protokolliert wird. Bei der Eingangsseite erfährt man dadurch welche andere Website vorher angesurft wurde. Dies kann zu unerwünschten Rückschlüssen führen.

Durch die Protokollierung der IP-Adresse handelt es sich bei den Logdaten jedenfalls um indirekt personenbezogene Daten. Indirekt personenbezogene Daten legen dann vor, wenn ein Auftraggeber (hier der Webserver-Betreiber) mit rechtlich zulässigen Mitteln keine persönliche Zuordnung der Daten vornehmen kann, dies jedoch jemand anderer machen könnte. Der Betreiber des Webservers wird in der Regel nicht auf die Person des Surfers zurückschliessen können, sehr wohl jedoch der Provider, bei dem der Surfer angeschlossen ist. In Kombination mit Datum und Uhrzeit kann der ISP zumindest feststellen welcher Vertragspartner den Internetzugang nutzte.


Verwendung zu statistischen Auswertungen

Neben der Verwendung zur Sicherung des Betriebs dürfen die Logdaten auch statistisch ausgewertet werden. Eine statistische Auswertung liegt dann vor, wenn zwar die Ausgangsdaten (indirekt) personenbezogen waren, das Ergebnis jedoch nicht mehr personenbezogen, also aggregiert ist.

Grundlage für diese statistischen Auswertungen bildet §46 DSG 2000, im Fall der Logdateien wären es Abs.1 Z2 und Z3. Für Telekombetreiber gelten jedoch die einschränkenderen Bestimmungen des TKG 2003, auf die hier nicht eingegangen wird.


Weitergabe an Dritte

Grundsätzlich ist die Weitergabe der Logdateien an Dritte unter der Voraussetzung zulässig, dass diese nur statistische Auswertungen durchführen (in diesem Fall wird §46 Abs.1 Z2 anzuwenden sein). Notwendig wird jedoch eine ensprechende vertragliche Vereinbarung sein. Es wird sich hier jedoch nicht um eine Dienstleistervereinbarung im Sinne des DSG 2000 §10 handeln, da der Datenempfänger die Auswertung nach eigenem Ermessen machen kann, sondern um eine allgemeine vertragliche Vereinbarung, die die ordnungsgemäße Verwendung der Daten sichert.

Die Vereinbarung sollte neben dem Ausdrücklichen Festhalten, dass nur staistische Auswertungen gemacht werden dürfen, auch Kontrollrechte des ursprünglichen Auftraggebers enthalten, ein Verbot der Zuordnung der indirekt personenbezogenen Daten zu einzelnen Personen und eine Darstellung welche technische Sicherheitsmaßnahmen der Datenempfänger trifft.


Veröffentlichen von Web-Logdateien

Jedenfalls unzulässig ist das vollständige oder ausschnittweise Veröffentlichen der Web-Logdateien, eventuell sogar verbunden mit einer Auflösung der IP-Adressen, sodaß erkennbar ist, von welcher Organisation auf einen Webserver zugegriffen wurde.

Meist wird die Auflösung der IP-Adresse nur einen Provider anzeigen, aber immer mehr Firmen, Behörden und Vereine haben eigene IP-Adressblöcke zugeordnet. Das Veröffentlichen der Web-Logdatei erlaubt somit auch Einblick in die Kommunikationsgewohnheiten der Mitarbeiter einer Organisation.

Ein diesbezüglich abschreckendes Beispiel ist nedstat.

mehr --> Beispiel der Veröffentlichung von Web-Logdateien
mehr --> http://www.argedaten.at/recht/dsg204__.htm
mehr --> http://www.argedaten.at/recht/dsg201__.htm
mehr --> http://www.argedaten.at/recht/dsg246__.htm

- Internet - Telekommunikation - Dienstleister - Datenverarbeitungsregister - DSK - privacyday.at - Vorratsspeicherung - datenschutz tag - RFID - social media - Web2.0 - DSG 2000 - e-government - e-commerce - privacy - data protection law - Vienna
Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2018webmaster