Mein Broker speichert die IP-Adressen sämtlicher Browserinteraktionen über einen Zeitraum von 3 Jahren zum Jahresende.
Er beruft sich dabei auf das berechtigte Interesse, Rechtsansprüche abwehren zu wollen. Die Frage ist, ob das zulässig ist.
Aus meiner Sicht sollten drei Punkte geprüft werden: Geeignetheit, Erforderlichkeit und Angemessenheit.
Die Geeignetheit begründet er damit, dass die IP-Adressen revisionssicher gespeichert werden und somit vor Gericht bewiesen werden kann, dass gewisse Aktionen erfolgt bzw. nicht erfolgt sind. Kann man so oder so sehen, aber wenn Gerichte das anerkennen, ist die Speicherung ggf. geeignet.
Die Erforderlichkeit kann ich nicht beurteilen. Andere Broker machen das allerdings nicht. Insofern fraglich - allerdings gibt es da vielleicht auch andere Ziele.
Die Angemessenheit sehe ich als Betroffener nicht gegeben, das ist allerdings sicherlich ein Graubereich.
Keine Ahnung ob ich jetzt auf dem Schlauch stehe, aber wie soll das vor Gericht Sicherheit bringen? So lange wir IPv4 Adressen haben, die sich in gewissen Zeiträumen ändern und die Internet-Provider nicht für lange Zeit eine Voratsdatenspeicherung vollziehen, verstehe ich nicht, wie das etwas bringen soll bei der Zuordnung…
Außerdem könnte es ja auch sein, dass du ein VPN, Tor oder Proxy benutzt hast und es noch nicht einmal deine Adresse ist…
Das war zumindest das, was mir direkt eingefallen ist zu dem Thema
Das vorgebrachte Argument geht in etwa so: “Wir protokollieren konsequent zu jeder Aktion die IP-Adresse. Wenn jetzt der Kunde sagt, ich habe Transaktion B nicht ausgeführt, aber zuvor hat er mit derselben IP-Adresse Transaktion A ausgeführt und nicht beanstandet, dann können wir sagen, war ja die gleiche IP-Adresse, also hast du auch Transaktion B ausgeführt”.
Das Argument ist also eher der Art, dass man die Transaktionen beim Broker bzw. die dort protokollierten IP-Adressen für Konsistenzprüfungen nutzt, als dass man objektiv behauptet, dass war die IP-Adresse, die zu Zeitpunkt X dem Kunden zugeordnet war.
Da stellt sich natürlich die Frage, ob man dann stattdessen nicht auch Session-Token o.ä. nutzen kann.
