Im Entwurf eines Gesetzes zur Stärkung der Sicherheit in der Informationstechnik des Bundes, welcher das BSI-Errichtungsgesetz (BSIG) von 1991 erneuern soll, wird auch das TMG im Bereich der Erhebung und Verwendung von Nutzungsdaten erweitert.

Dem § 15 des Telemediengesetzes vom 26. Februar 2007 (BGBl. I S. 179) wird folgender Absatz 9 angefügt:

(9) Soweit erforderlich, darf der Diensteanbieter Nutzungsdaten zum Erkennen, Eingrenzen oder Beseitigen von Störungen seiner für Zwecke seines Dienstes genutzten technischen  Einrichtungen  erheben  und  verwenden. Absatz  8  Satz  2  und  Satz  3  gilt  entsprechend.

Die Begründung hierzu verweist auf eine gegenüber dem § 100 Abs. 1 TKG entsprechende Bestimmung, die es Diensteanbietern ermöglicht, Nutzungsdaten zu erheben und zu verwenden, falls dies zum Erkennen, Eingrenzen oder Beseitigen von Störungen seiner technischen Einrichtungen erforderlich ist.  Hier  bestünde eine  Lücke  im  Bereich  der  Erlaubnistatbestände des  Telemediengesetzes.

Zur  Erkennung und Abwehr bestimmter Angriffe gegen Webseiten und andere Telemedien ist die Erhebung und kurzfristige Speicherung und Auswertung der Nutzungsdaten erforderlich. Diese soll durch den neuen § 15 Abs. 9 TMG, der sich an § 100 Abs. 1 TKG anlehnt, geschaffen werden. Dabei ist auch eine Weiterentwicklung der Angriffsmethoden zu berücksichtigen.

Technische Einrichtungen im Sinne dieser Vorschrift sind alle Einrichtungen des Diensteanbieters, die dieser benötigt, um sein Telemedienangebot zur Verfügung zu stellen. Insbesondere ist das der Datenspeicher (Server), auf dem das Telemedienangebot zum Abruf bereitgehalten wird.

Der Begriff der Störung ist umfassend zu verstehen als  jede  vom  Diensteanbieter  nicht  gewollte  Veränderung  der  von  ihm  für  sein  Telemedienangebot genutzten technischen Einrichtungen, also beispielsweise auch eine Veränderung,  welche  die  technische  Einrichtung  selbst  nur  als  Zwischenstation  nutzt,  um  die Nutzer des Telemedienangebots anzugreifen.

Die beabsichtigte Regelung geht klar in Richtung Speicherung von IP-Adressen insbesondere nach dem Urteil des AG Berlin(U.v. 27.03.07 – 5 C 314/06). Allerdings führt die entsprechende Anwendung der § 15 Abs. 8 S.2 u. 3 TMG nun zu einem neuen Problem. Die besagen

Der Diensteanbieter hat die Daten unverzüglich zu löschen, wenn die Voraussetzungen nach Satz 1 nicht mehr vorliegen oder die Daten für die Rechtsverfolgung nicht mehr benötigt werden. Der betroffene Nutzer ist zu unterrichten, sobald dies ohne Gefährdung des mit der Maßnahme verfolgten Zweckes möglich ist.

Welche Zeitspanne ist also unverzüglich? Ab wann darf gespeichert werden? Wie soll die Löschung bei Einbindung in “auswärtig speichernde Statistikprogramme” erfolgen? Wie soll eine Unterrichtung hierüber aussehen?
In Anlehnung an das TKG könnte man eine 6 Monatsfrist in Betracht ziehen (§§ 100 Abs.3, 113a Abs.1, 97 Abs. 3 TKG). Da der Entwurf allerdings von einer “kurzfristigen” und allenfalls vorfallsbezogenen Speicherung und Auswertung ausgeht, sind 6 Monate eindeutig zu lang. Ausreichend dürften hier wohl 24-48h sein.

{Quelle – BMI vom 14.01.2009}