Das soll doch wohl nicht heissen, das schon z.B. das Standard Apache access-log gesetzeswidrig ist... ?!

Gesetzeswidrig ist ein unschönes Wort; Gesetze sind häufig Auslegungssache, und somit ist mir so ein Wort viel zu absolut. Aber zum Thema:

Grundsätzlich besagt beispielsweise der Mediendienste-Staatsvertrag (http://www.beckmannundnorda.de/mdstv.html) unter §18, Pflichte des Diensteanbieters, Absatz 6, folgendes:

"Der Diensteanbieter hat dem Nutzer die Inanspruchnahme von
   Mediendiensten und ihre Bezahlung anonym oder unter Pseudonym zu
   ermöglichen, soweit dies technisch möglich und zumutbar ist."

Das Teledienstedatenschutzgesetz sagt:

"(4) Der Diensteanbieter darf Nutzungsdaten über das Ende des
   Nutzungsvorgangs hinaus verarbeiten und nutzen, soweit sie für
   Zwecke der Abrechnung mit dem Nutzer erforderlich sind
   (Abrechnungsdaten)."
   (http://jurcom5.juris.de/bundesrecht/tddsg/__6.html)

Wohlgemerkt: Abrechnung. Im Absatz 1 des Paragraphen ist die Speicherung von personenbezogenen Daten neben der Abrechnung nur auf das beschränkt, was "erforderlich ist, um die Inanspruchnahme von Telediensten zu ermöglichen". Zur technischen Notwendigkeit der Speicherung der IP-Adresse siehe etwas weiter unten.

Kurz: Wenn irgend machbar, sollte die Nutzung anonym ermöglicht werden. Das ist aber mit dem Standardlogformat des Apache, bei dem die IP gespeichert wird, nicht unbedingt gegeben. Die IP ist zwar nicht direkt personenbezogen, aber auch nicht anonym, sie ist indirekt personenbezogen, weil es durchaus möglich ist, über IP und Uhrzeit einen Rückschluss auf die Identität des Nutzers zu ziehen.

Insofern ist das routinemäßige Mitschreiben der IP-Adresse meiner Meinung nach als zumindest zweifelhaft anzusehen.

Nö, das würde ich auch nicht so sehen. Schließlich hast Du als Betreiber eines Angebotes im Internet ein "berechtigtes Interesse" daran, Daten zu erheben. Sei es zur Prävention gegen Straftaten, für anonyme statistische Zwecke, oder zu technischen Zwecken (um Deine Software verbessern zu können).

Mit Verlaub, die "Prävention von Staftaten" ist doch wohl kaum ein Interesse eines normalen Webseitenbetreibers, das das Aufzeichnen der IP-Adresse rechtfertigt. Was für Straftaten sollen das bitte sein? Und: Eine vorsorgliche Überwachung wird immer wieder von Datenschützern angeklagt. Mal ganz zu schweigen davon, daß Du damit in gewisser Weise alle Besucher einer Webseite als potentielle Straftäter bezichtigst.

"Anonyme statistische Zwecke": Wer "anonym" sagt, sollte sich auch konsequent daran halten und -wie oben gesagt- die IP nicht aufzeichnen.

Und zu "technischen Zwecken" ist die IP im gesamten Protokoll das mit Abstand überflüssigste Element. Nenne mir bitte eine Anwendung, die die dauerhafte (!) Speicherung zwingend notwendig macht.

Dabei dürfen allerdings nur soclhe Daen gespeichert werden, die dem "berechtigten Interesse" dienen. Also die Messenger-Daten (Meldungsinhalte) eines Users an einen anderen User Deines Systems z.B. darfst Du noch nicht einmal lesen, es sei denn, dass Du eine schwere Straftat (Entführung, Mord, Raub, ...) vermuten musst.

Das ist Quatsch. Das Abhören ist strafbar und nur in Ausnahmefällen der Polizei erlaubt, nämlich wenn eine richterliche Genehmigung vorliegt.
Ansonsten könnte ja auch jeder auf bloßen Verdacht hin ("Bei meinem Nachbarn sind die Vorhänge immer zu, ich vermute mal eine schwere Straftat.") fremde Telefone anzapfen..

Mindestaufbewahrungszeit für Logs sind derzeit drei Monate, demnächst wahrscheinlich ein Jahr.

Wo steht denn das? Bitte einen Beleg dafür. Ich möchte mal behaupten, daß das -wenn überhaupt- nur für die Protokolle gilt, die in irgend einer Weise einen Vertrag als Grundlage haben (siehe Abrechnung oben).

Und der Bundesrats-Gesetzentwurf gegen Kindesmißbrauch (unter diesem Deckmäntelchen läuft die ganze Geschichte der vorsorglichen Speicherung von Verbindungsdaten, http://www.dud.de/dud/documents/brdrs-0275-02-020531(beschluss).pdf) ist noch lange nicht durch, sondern liegt ganz im Gegenteil wegen der Bundestagswahl erstmal wieder auf Eis und muß durch den Bundesrat neu eingebracht werden. Mal abgesehen davon, daß es einige Leute gibt, die der Meinung sind, daß dieser Gesetzentwurf verfassungswidrig ist.

Sehr interessantes zum Thema gibt's beim Unabhängigen Landeszentrum für Datenschutz in Kiel, Titel "Rote Karte für Internet-Schnüffler": http://www.datenschutzzentrum.de/material/themen/rotekarte/.

Du machst Dich also eher strafbar, wenn Du nicht loggst.

Vorsicht mit solchen Aussagen.

Gruß,
  soenk.e