Veröffentlicht am Kategorien Kommentar, NewsTags , , 3 Comments

Google zeigt gespeicherte Daten

Google hat nun “Dashboard” online gestellt: Hier kann man sich mit seinem Google-Account einloggen und sieht, welche Daten man bei Google wo hinterlegt hat (ausgenommen Serverlogfiles und einige weitere Dienste, wie z.B. Analytics, Maps, Groups, Feedburner). Dennoch eine gute Möglichkeit, sich nochmal umzusehen und die Augen zu öffnen.

Bei der Zeit hat man natürlich Recht: Mit Datenschutz hat das nichts zu tun, vielmehr wird nur eine weitere Schaltzentrale errichtet, die einfach bündelt, was vorher im Einzelnen zu sehen war.

Veröffentlicht am Kategorien Kommentar, NewsTags , , , , , 10 Comments

Datenschützer: Neues Gesetz sieht Surfprotokollierung vor

So berichtet Golem, aber auch Heise:

In einem Gesetzentwurf zur Stärkung der IT-Sicherheit der Onlineangebote der Bundesregierung ist eine Klausel versteckt, die den Betreibern von Onlineangeboten das Aufzeichnen des Surfverhaltens der Nutzer explizit erlaubt.

Ja, richtig gut versteckt: Ich hatte schon vor fast einer Woche davon berichtet. Und da habe nicht einmal ich es „entdeckt“, sondern ein Rechtsanwalt, den ich auch zitiere.
Nun bin ich bekanntlich ein Gegner der unkkontrollierten Speicherung von IPs in Logfiles. Und auch dieser Gesetzesentwurf ist letztlich nur schädlich, weil – wie ich ja darlege – eben nichts geklärt wird, sondern eine schwammige Regelung nun durch eine andere ersetzt wird.

Dennoch sollte man nicht bei jeder gesetzlichen Regelung, die die Speicherung von Daten regelt (oder wie hier: es zu Regeln versucht), gleich laut aufschreien. Das Problem das man hier angeht, muss geklärt werden und thematisch wird eine solche Änderung im BSI-Gesetz nicht versteckt, sondern steht genau am richtigen Ort, denn um Datensicherheit geht es. Auch wenn man – wie ich – der Meinung ist, dass dieses Argument Humbug ist, so muss man die Argumente doch an der richtigen Stelle streuen.

Fakt ist: Auch nach der Änderung des §15 TMG ist hinterher genauso viel unklar wie vorher: Wozu darf gespeichert werden, wie lange – wann muss gelöscht werden (denn eine Löschung ist auch weiterhin Pflicht!). All diese Fragen sind weiter ungeklär, der Webmaster der speichert, ist weiterhin Problemen ausgesetzt. Im Ergebnis macht der Gesetzgeber schlichtweg, wiedermal, Murks.

Veröffentlicht am Kategorien KommentarTags , , , , , 2 Comments

fairesverfahren.de: Nur scheinbare Anonymität? (Update)

Auf fairesverfahren.de (Webseite zum so genannten „Holzklotz-Fall“) wird damit geworben, dass man absolut anonyme Hinweise geben kann. Das ist kritisch zu hinterfragen.

Update: Die Betreiber der Seite haben offenbar reagiert nachdem ich das Thema hier aufgegriffen habe. Das ist natürlich gut, nur ist der Artikel bei mir jetzt schon wieder überaltet: Google-Analytics wurde auf der Seite im Formular entfernt, ebenso ist nun ausdrücklich der Hinweis zu finden, dass keine IP gespeichert wird. Vorbildlich und kein Anlass mehr für Kritik – aber wie ich schon vorher (weiter unten) geschrieben habe ist das Projekt ja insgesamt sehr positiv zu sehen. Im folgenden nun der alte Artikel von mir, in der Vergangenheitsform, denn wie gesagt: Es ging mir darum das Thema zu nochmal hervor zu holen – die Seite selbst diente nur als Beispiel.

Nochmaliges Update: Inzwischen wurde GA dort ganz von der Seite genommen.

Ein Blick zeigte anfänglich, dass dort Mails in einem speziellen Kontaktformular zwar online mit PGP verschlüsselt werden: Mit Anonymität hatte das aber erstmal weniger zu tun. Vielmehr mit einer sicheren Daten-Übertragung – solange im Hintergrund z.B. in Webserver-Logfiles die IP-Adressen der Nutzer geloggt werden würden, gäbe es dort keine Anonymität. (Den Hinweis, dass nicht geloggt wird, sieht man über dem Formular).

Die Tatsache, dass man dort Google-Analytics eingesetzt hatte (anfangs auch auf der Seite mit dem „sicheren Mailformular“) und somit auch noch an einen Dritten bereitwillig die IPs der Nutzer übermittelt – die das Formular nutzen – erweckte nicht gerade Vertrauen. Gleich ob der Fehler fahrlässig oder vorsätzlich begangen wird. Zumal der obligatorische Google-Analytics-Disclaimer ebenfalls zu fehlen schien.

Daher wiedermal der Aufruf: Anonymität nur versprechen, wenn man selbst auch mit absoluter Sicherheit weiß, das man sie zusichern kann. Andernfalls verspielt man (wichtiges) Vertrauen. Passend dazu auch der Artikel bei Jurabilis der in einem ähnlichen Feld mit Missverständnissen aufräumt (hier zu finden). Ebenfalls passend: Datenschlamperei bei Webformularen.

Persönlicher Hinweis: Die Idee der dortigen Seite finde ich gut; Ich habe sie hier lediglich als aktuelles Beispiel herausgezogen um das Problem der vermeintlichen Anonymität nochmals in den Vordergrund zu rücken!

Links zum Thema Google-Analytics:

Veröffentlicht am Kategorien Praxis - Für Betroffene, Praxis - Verarbeitende StellenTags , , , , , , , , , , , , 2 Comments

Logfiles in der Praxis

Jedes Webhosting Paket bietet heute Logfiles an – aber viele Webmaster und vor allem Nutzer sind sich nicht im Klaren, was diese „Logfiles“ an Daten eigentlich beherbergen und was man damit tun kann. Ich habe hier zwei ältere Artikel von mir herausgesucht und eingestellt, mit denen ich (vor einigen Jahren) Webmastern beschrieben habe, die man Logfiles analysiert. An dieser Stelle sollen diese Inhalte dazu dienen, jedem Klar zu machen, was dies für ein Werkzeug ist, wie man es nutzt und wie man es nutzen kann.

Logfiles in der Praxis weiterlesen

Veröffentlicht am Kategorien Praxis - Verarbeitende Stellen, RechtTags , , , , , , , , , 5 Comments

IPs anonymisieren in der Praxis

Icon - Server und IDZunehmend setzt sich die Ansicht durch, dass IPs als personenbezogenes Datum zu sehen sind – dazu früher hier. Die ältere Ansicht, eine IP sei ein „relativ personenbezogenes Datum“ ist schon lange nicht mehr h.M., absehbar, dass in naher Zukunft die ohnehin schon überwiegend vertretene Meinung der anderen Seite bald beherrschend ist.

Damit ergeben sich für Webmaster ganz praktische Probleme: Wie speichert man denn keine IPs bzw. wie anonymisiert man diese?

Update: Aus aktuellem Anlaß habe ich den Artikel nochmals „nach oben“ geholt.

IPs anonymisieren in der Praxis weiterlesen

Veröffentlicht am Kategorien Praxis - Verarbeitende Stellen, RechtTags , , , , , , Leave a comment

Fallstricke im Telemediengesetz

Icon - NoteVorschriften zum Datenschutz gibt es viele, das Bundesdatenschutzgesetz ist dabei die Regelung, die sicherlich jedem als erstes einfällt. In weiteren Gesetzen finden sich aber zusätzliche Regelungen, vieles ist sehr speziell wie im Gesetz der Bundespolizei. Anderes, wie die Regelungen im SGB X, können da schon relevanter sein – heute schreibe ich kurz was zum Telemediengesetz und meinen liebsten Themen in diesem Bereich.

Fallstricke im Telemediengesetz weiterlesen

Veröffentlicht am Kategorien RechtTags , , , , , , 13 Comments

Ist die IP-Adresse personenbezogen? (Update)

Seit Jahren wird darüber gestritten, bis heute gibt es einige, die es ablehnen – so der Gola/Schomerus-Kommentar zum BDSG: Ist die IP des Benutzers im Internet ein personenbezogenes Datum oder nicht? Früher verbreitet war die Auffassung, bei der IP würde es sich um ein Datum mit „relativem“ Personenbezug handeln – für die einen Anbieter soll es somit ein personenbezogenes Datum sein, für die anderen nicht.

Aktueller Hinweis – hier finden Sie zu dem Thema weitere Informationen:

Zunehmen aber setzt sich die Auffassug durch, dass es sich um ein personenbezogenes Datum handelt und der Begriff der „relativität“ fehlerhaft ist. Nun haben auch die Datenschützer auf EU-Ebene gefordert, dies anzuerkennen (Bericht bei Heise), dazu der Bundesbeauftragte für den Datenschutz Peter Schaar:

„In diesem Zeitalter zu sagen, IP-Adressen sind nicht personenbezogen, das ist nicht möglich“

Ich selber vertrete seit langem die Ansicht, dass eine IP-Adresse personenbezogen ist und sich eine „Relativierung“ des Begriffs -in Abhängigkeit von demjenigen der die Daten erhebt- schlicht verbietet. Dazu meine ersten Ausführungen hier. Neben diesem Streit ist die Tendenz hin zum unstrittig personenbezogenen Datum längst absehbar, verarbeitende Stellen sollten sich also nicht auf eine auslaufende Ansicht verlassen und anfangen, sich vorzubereiten. Speziell der datenhungrige Staat, der zunehmend beginnt auf Daten bei Unternehmen zuzugreifen (man denke nur an den Zugriff der Landesrundfunkanstalten auf Kundensätze), ist Grund für beide Seiten – Verarbeitende Stelle und Betroffener – das Merkmal restriktiv auszulegen und nur ein Minimum an Daten zu erheben bzw. zu speichern.

Dabei darf man in der Diskussion nicht verwechseln, dass ein „personenbezogenes Datum“ nicht unbedingt ein „nutzerbezogenes Datum“ sein muss. Es reicht, wenn irgendeine Person durch das Datum identifiziert wird, ob dahinter der aktuelle Nutzer steht ist zweitrangig. Das Argument ist klar: Wenn durch den personenbezug irgendwelche Sanktionen stattfinden, richten die sich primär gegen die identifizierte Person – erstmal unabhängig ob rechtmössig oder nicht. Hier gilt es zu schützen.

Update: Nach den ersten Urteilen sind sich nun auch die Datenschützer einig. Wie Heise berichtet, hat die so genannten „Artikel 29 Gruppe“ eindeutig festgehalten dass Netzkennungen personenbezogene Daten darstellen.

Hinweis: Einen Artikel zum Anonymisieen von PHP-Software und Webserver-Logfiles finden Sie hier.

Veröffentlicht am Kategorien Praxis - Verarbeitende StellenTags , , , , , , , , 3 Comments

Datenschutz mit P3P

Ich habe vor längerer Zeit schon einmal eine kurze Anleitung verfasst, wie man mit P3P (einem Standard) eine Datenschutzerklärung verfassen kann. Damals interessierte das keinen, weil Datenschutz noch nicht so Hip war wie heute. Ich schreibe hier nochmal kurz was dazu, Hintergrund ist, dass ich heute morgen meine Webseiten alle mit einer P3P Erklärung versehen habe.

Datenschutz mit P3P weiterlesen