Wie lange speichert die Telekom die IP-Adresse (Stand: August 2018)?

Quelle leider vertraulich, Kontakte nach "intern".

Mit "nicht mehr tun, als sie tun müssen" meinte ich ansonsten folgendes: Telco-Branche ist in Deutschland privatisiert. Der Bund hält zwar noch Anteile, aber das primär als "Investment" (es fließt ja gute Dividende). Unternehmen der freien Wirtschaft erfüllen regulatorische Auflagen regelmäßig nur so weit, wie sie es unbedingt müssen. Weil kostet ja Geld, produziert also Kosten, und die schmälern den Gewinn. VDS über längere Zeiträume verursacht mehr Aufwand und benötigt mehr Investitionen. Wenn man gewinnorientiert denkt und das vermeiden kann, tut man es natürlich nicht. Ggü. der zu erst besprochenen VDS haben wir halt nun das Moratorium. Bedeutet: Telcos müssen nur wenig machen. Genau so viel tun sie, mehr nicht.

(Randnotiz: das Problem, dass trotzdem zig Nachrichtendienste in der Infrastruktur schnüffeln, besteht dennoch.)

Vielen Dank für die Antwort. Meine Frage wäre, wenn bspw. die 7 Tage vorbei sind und meine IP-Adresse gelöscht wird, jedoch eine Behörde (Polizei etc.) nach Anschrift dieser IP anfragt, kann noch was rausgegeben werden?

Naja, da wird es in der Betrachtung immer etwas komplizierter:

Die unmittelbar im Bereich der Einwahl-Infrastruktur erhobenen Daten werden nach den wenigen Tagen gelöscht.

Systeme, die Daten abrechnungsbezogen erfassen, also z. B. auch im Kontext von (Mobile-)Kontingentabrechnungen, haben zugeteilte IP-Adressen ggf. etwas länger. Es handelt sich dann formal-datenschutzrechtlich um Daten, die auf Grundlage DSGVO § 6 (1) 1 b/c/f erhoben und verarbeitet werden. Weil es Daten sind, wo Geschäftsvorfälle stattfinden, die in gewissem Umfang zu dokumentieren sind. In wieweit und wie schnell Daten da zu teilanonymisierten Summensätzen aggregiert werden, weiß ich gerade nicht. Ich vermute, dass das eher so Monats-Batches sind, die derartige Dinge veranstalten. Ist aber nicht meine Ecke.

Sofern also eine IP noch irgendwo rumfliegt, ist sie erstmal ein intern benötigter Datensatz, der aber nach außen hin vom Datenschutzrecht her als "gesperrt" gilt für andere Auswertung als zum ursprünglichen Erhebungszweck. D. h. es darf da erstmal nicht "einfach so" drauf verarbeitet werden. Eine einfache Anfrage von einer Polizeidienststelle beispielsweise dürfte DTAG nicht beantworten. Es könnte allerdings bei einem konkreten Verdacht ein richterlicher Beschluss erwirkt werden, DTAG auf Herausgabe der Daten zu verpflichten. Dann müsste DTAG auch "gesperrte" Datensätze liefern.

Ich verstehe nicht ganz, könntest du mir das in einer etwas leichteren Sprache erklären. 😅

Kriegst auch sofort die Auszeichnunh als hilfreichste Antwort.

Naja, die Sach ist folgende: Kommunikationsdaten fallen auf verschiedenen Ebenen an. Es geht halt los bei der unmittelbaren Einwahl-Infrastruktur, also auf den Kisten, wo die Verbindungen ankommen. Diese Daten werden aggregiert und dann einerseits kurzzeitig auch für Rückverfolgungsprozesse vorgehalten (7 Tage), zum anderen aber auch in andere Systeme weitergeleitet. Zum Beispiel die, wo die Abrechnung von Anschlüssen erfolgt. Da wird wiederum geschaut, ob bestimmte Daten überhaupt zur Abrechnung benötigt werden oder nicht. Also Unterscheidung zwischen Flatrate-Kunden und Volumentarifen, um mal ein wichtiges Merkmal zu nennen.

Bei den Volumentarifen muss eine Telco die Daten ggf. länger halten. Denn sie schreibt ja dann nach einem Monat z. B. eine Rechnung, und die könnte der jeweilige Nutzer Einspruch erheben. Dann wäre die Telco in der Verantwortung, Nachweise zu erbringen, dass eine Leistung überhaupt erbracht wurde. Wie macht man das? Indem man die Nutzungsdaten auf den Tisch legt. Also Haltung der Daten wenigstens so lange, bis die vertragliche Einspruchsfrist abgelaufen ist. Das sind typischerweise dann schon mehrere Monate. Erst wenn quasi eine Forderung als unstrittig gilt, können die Verkehrsdaten gelöscht werden.

Weiterhin gibt es dann eben noch die Ebene der zusätzlichen Server, die weitere Angebote bereitstellen. Blödes Beispiel: entgeltpflichtiges Videostreaming mit "pay per usage". Auch da wiederum das Spiel mit der nachträglichen Dokumentation von Geschäftsvorfällen: Nutzer bekommt bei "pay per usage" eine Rechnung, oder es wird sofort eingezogen. Kunde kann aber ggf. Einspruch erheben. Dann muss Anbieter den Geschäftsvorfall dokumentierern können, um abschließend zu entscheiden, ob Forderung rechtmäßig oder nicht. Hier kommen wir dann in den Bereich der handelsrechtlichen Vorschriften. Die wiederum besagen, dass Unterlagen zu Geschäftsvorfällen 3 Jahre lang aufbewahrrt werden müssen. So lange kann also ggf. eine IP in irgendeiner Datei rumschwirren, wo z. B. Käufe von Videostream-Nutzung o. ä. hinterlegt sind.

Das hat dann alles mit der unmittelbaren VDS nichts mehr zu tun. Ich möchte halt darauf hinweisen, dass allein die Frage "VDS ja oder nein, bzw. wie lange" überhaupt nichts darüber aussagt, wie lange es dauert, bis für eine konkrete Nutzung von irgendeinem Dienst im Netz keine retrospektiven Spuren mehr vorhanden sind.

Sorry, es ist wirklich so verworren und kompliziert...

Ich verstehe nicht, was das jetzt mit Videostreaming zu tun hat?

Das war ein Beispiel. Schau' Dir mal an, was eine Telco wie z. B. Deutsche Telekom alles im Bereich Internet anbietet.

Festnetz, Mobilfunk, Daten über diese beiden Wege, dann stellen sie Nameserver, weiterhin haben sie eine Homepage, und dann haben sie ihre diversen "Magenta"-Angebote, wo - und das war jetzt halt einfach mal beispielhaft gemeint - eben z. B. eine Streaming-Plattform gehört.

Wenn Du nun - um im Beispiel zu bleiben - über einen Telekom-DSL-Anschluss auf besagte Telekom-eigene Streaming-Plattform zugreifst, nutzt Du

• den DSL-Einwahlzugang
• wahrscheinlich auch den Nameservice
• und dann die Streaming-Plattform, die auf diversen Servern als Cluster betrieben wird

Auf jeder Ebene in dieser Zugriffskette fallen Protokolldaten an. Und da sind die 7tägig gehaltenen Einwahldaten auf der DSL-Zugangsebene eher die kürzeste "Lagerdauer" für Deine IP-Adresse.

Speziell der Mehrwertdienst, also hier im Beispiel die Streaming-Plattform, wird die Nutzungsdaten möglicherweise für Abrechnungszwecke speichern. Kaufst Du etwas und erhebst Du später Einspruch, muss der Vorfall ggf. dokumentierbar sein. D. h. nach DSGVO § 6 (1) 1 b) bzw. f) kann bzw. muss der Plattformbetreiber (also Deutsche Telekom im Beispiel) relevante Daten zum Vertragsabschluss, also zum Kauf, vorhalten können. HGB redet dabei teilweise von Pflicht-Vorhaltedauern von 3 Jahren.

Dagegen sind die 7 Tage vorn in der Einwahl-Infrastruktur "Peanuts".

Wenn also nun ein Richter beispielsweise richterlich Maßnahmen nach TKG anordnet und "die Telekom" auf Herausgabe "aller" hinweisführenden Daten "bittet", dann wird diese ggf. nicht nur in der Einwahl-Protokolldatensenke wühlen, sondern ggf. auch anderswo in Datenbeständen. Und dann können Sachen auch weit über die besagten 7 Tage hinaus unter Umständen(!) rückauflösbar/rückverfolgbar sein.

Das ist wie gesagt alles nur ein Beispiel. Und dann ein eher "ungünstiger" Fall in Sachen Privatsphäre. Wer keinerlei Mehrwertdienste der Telekom nutzt, auch deren Homepage nicht anschaut, einen eigenen Nameservice verwendet usw., wird hingegen kaum mehr Spuren hinterlassen als das, was in der Einwahlinfrastruktur protokolliert wird. Und das wiederum fliegt halt - sofern nicht eine richterlich angeordnete TKÜ bereits erfolgt - nach besagten derzeit 7 Tagen weg.

Ja, ich weiß. Es ist kompliziert.

Alles klar. Jetzt check ichs endlich. Erstmal bedanke ich mich für die Mühe die du dir gemacht hast, um all das zu verfassen.
Gehört auch ein Telefonanschluss der Telekom zum Mehrwertdienst? Das hat ja nichts mit der IP zu tun.

Der Telefonanschluss ist kein "Mehrwertdienst", sondern dessen potenzielle Überwachung und die mit der Nutzung einhergehende Datenerfassung wird direkt über das TKG reguliert. Da heute gerade Festnetz-Telefonie meist als VoIP realisiert wird, greifen aber die Datenerfassung Internet-Einwahldaten und die Datenerfassung VoIP eng ineinander. D. h. Telefonnutzung hinterlässt quasi auf mehreren Ebenen zeitweilige Spuren, und dann auch wieder mit unterschiedlichen Haltezeiten der Daten (analog zu obigem Beispiel).

Alles klar, vielen Dank.
Ich habe eine Frage zu einer fiktiven Sachlage;

Ein Nutzer kauft sich bei Streaming Seiten wie bspw. Netflix oder Amazon Prime Videos, gibt jedoch bei der Registration nicht seine Daten, sondern Fake Daten, aus der Webseite, bspw. Fake-It. Die Bankdaten sind ebenfalls Fake, gehören keiner Person, wurden generiert (auch von der Seite Fake-It). Der Nutzer hinterlässt bei den Streaming Seiten nur seine IP-Adresse. Nun zeigt Amazon/Netlfix diesen Nutzer wegen Betrug an, jedoch sind die 7 Tage der VDS schon vorbei. Wie siehts jetzt aus mit dem ganzen? Dieser Nutzer nutzt auch keine Mehrwertdienste.

Dann kommen Providerdaten erstmal für Rückverfolgung nicht in Frage. Möglicherweise kann man aber noch Rückkorrelationen über wiiederverkehrend verwendete Cookies vornimmt, wenn man einen konkreten Verdacht hat, eine Hausdurchsuchung beim mutmaßlichen Nutzer richterlich anordnet, und dort auf der Kiste dann exakt den verwendeten Cookie in den Browserdaten findet. Oder eben im Browserverlauf, Cache o. ä. noch Rückstände zu finden sind.

Eventuell könnte man - da wird es aber hypothetisch - auch über Daten von Werbenetzwerken versuchen, Korrelationen zu anderen Accounts bei anderen Anbietern zu finden. Frei nach dem Motto "Otto Bösewicht war unter anderem auch noch als Peter Mustermann bei XYZ unterwegs". Technisch existieren solche Daten durchaus. Allerdings müssten dann richterliche Anordnungen zur Herausgabe von Daten an etliche beteiligte Unternehmen gehen. Es hat solche Ermittlungen in Einzelfällen tatsächlich schon gegeben. Allerdings wird sowas schon aufgrund des enormen Aufwandes typischerweise nur dann gemacht, wenn es z. B. um Bandenkriminalität im großen Stil geht.

Also denkst du, es ist der Aufwand nicht Wert für die Ermittlungsbehörden?

Wenn es sich nicht um eine "große Sache" handelt (wie z. B. organisierte Bandenkriminalität, Menschenhandel o. ä.), dann vermutlich eher nicht. Bzw. man wird halt nur in den Kurzfrist-Daten suchen, wo ja nichts mehr vorliegen dürfte.

Das geht eben nicht nach 7 Tagen müssen die gelöscht sein laut BHG Urteil. Ob die Telekom dem wirklich nachkommt ist eine andere Frage. Aber ich glaube schon.

Ich denke schon das diese Daten gelöscht werden, da die Infrastruktur für die Vorratsdatenspeicherung ca. 15 Millionen Euro beträgt.

Ja glaube ich auch. Die können ja das Urteil nicht misachten. Aber den traue ich das schon zu, daß sie Wege jaben das dennoch alles zu speicher, vielleicht im Ausland

Das sind alles Kosten für die Telekom diese ganzen Informationen zu speichern. Ich denke das sie die Daten gar nicht speichern wollen. Es gab auch Fälle wo die Telekom keine Daten weitergegeben hat.

Ich würde gerne Wissen, wieso du dir so sicher bist das es 7 Tage sind? Könntest du mir das vielleicht belegen.

Ja.

https://de.wikipedia.org/wiki/Vorratsdatenspeicherung

Ich würde gerne Wissen, wieso du dir so sicher bist das es 7 Tage sind? Könntest du mir das vielleicht belegen.