Datenschutz-Grundverordnung: Minimal kurze Datenschutzerklaerung bei "privaten" Websites

[Andreas Borutta]

Moin.

Die Generatoren für Datenschutzerklärungen spucken kilometerlangen
Text aus.

Mich interessiert, wie kurz eine rechtssichere Datenschutzerklärung im
Sinne der DSGVO sein darf um konkreten Rahmenbedingungen zu genügen.


1 privat (Beispiel: <http://borumat.de>)
Wann eine Website im rechtlichen Sinne genau als "privat" und "nicht
privat" eingestuft wird, weiß ich nicht. Das wäre eine eigene Frage.

2 kein Kontaktformular

3 Mailadresse zur Kontaktaufnahme

4 keine Kommentarfunktion

5 keine Cookies

6 keine "Like"-Buttons oder Vergleichbares

7 kein Google Analytics-Skript

8 Apache-Server loggt per Default für Besuchsstatistiken IP-Adressen

9 gehostet von Provider


Fragen:

1 Darf die Datenschutzerklärung Teil der Seite "Impressum" sein?

2 Dürfen Impressum und Datenschutzerklärung Teil der Seite "Kontakt"
sein?

3 Muss mit dem Provider ein "Vertrag zur Auftragsverabreitung nach §
28 DSGVO" geschlossen werden (weil er IP-Adressen loggt)?

4 Muss zu den Besuchsstatistiken (IP-Adressen) ein Passus in die
Datenschutzerklärung?

5 Muss bei der Angabe einer Mail-Adresse im Impressum als Mittel zur
Kontaktaufnahme irgendwas in die Datenschutzerklärung?


Nochmal zur Erinnerung: mir geht es um eine minimal kurze
Datenschutzerklärung, weil ich es generell furchtbar finde, wenn
solche Texte länger sind als unbedingt nötig.

Über euren Rat freue ich mich. Danke.

Andreas

f'up2 de.soc.recht.misc
Falls ihr "de.soc.recht.datennetze" für geeigneter haltet, wählt bitte
diese Gruppe
--
http://fahrradzukunft.de

[F. Werner]

Am 16.04.2018 um 09:31 schrieb Andreas Borutta:

Ich bin kein Anwalt sondern habe bloß die Prüfung zum behördlichen
Datenschutzbeauftragten nach 3-monatiger Fortbildung bestanden.
Insofern: bitte mit Vorbehalt nehmen, was ich schreibe.

> Mich interessiert, wie kurz eine rechtssichere Datenschutzerklärung
> im Sinne der DSGVO sein darf um konkreten Rahmenbedingungen zu
> genügen.

Meines Wissens gibt es eine Goldene Keycard im Datenschutzrecht: die
Einwilligung. Wenn man zu Beginn des Besuchs fragt, ob man einverstanden
ist, dass die und die Daten erhoben und zu dem und dem Zweck verarbeitet
werden, sollte das m. E. genügen.

> 1 privat (Beispiel: <http://borumat.de>) Wann eine Website im
> rechtlichen Sinne genau als "privat" und "nicht privat" eingestuft
> wird, weiß ich nicht. Das wäre eine eigene Frage.

Ich denke, wenn man Geld damit einnimmt (z. B. Google-Anzeigen
schaltet), ist sie nicht mehr privat.

> 1 Darf die Datenschutzerklärung Teil der Seite "Impressum" sein?

Ich wüsste nicht, warum nicht. Das Impressum muss ja schnell und einfach
erreichbar sein.

> 2 Dürfen Impressum und Datenschutzerklärung Teil der Seite "Kontakt"
> sein?

Ich rate zu einer eigenen Impressum-Seite.

> 3 Muss mit dem Provider ein "Vertrag zur Auftragsverabreitung nach §
> 28 DSGVO" geschlossen werden (weil er IP-Adressen loggt)?

Das dürfte die Sorge des Auftragsverarbeiters sein. Hält er sich nicht
an die Vorschriften der DSGVO, wird er selbst zum Verantwortlichen.

> 4 Muss zu den Besuchsstatistiken (IP-Adressen) ein Passus in die
> Datenschutzerklärung?

Ja, IP-Adressen gelten m. E. als personenbezogene Daten.

> 5 Muss bei der Angabe einer Mail-Adresse im Impressum als Mittel zur
> Kontaktaufnahme irgendwas in die Datenschutzerklärung?

Das übliche denke ich: "Folgende Daten werden zu folgendem Zweck so und
so verarbeitet. Wenn Sie nicht einverstanden sind, schreiben Sie mir nicht."

FW

[Wolfgang Kynast]

On Tue, 17 Apr 2018 09:10:20 +0200, "F. Werner" posted:

>Am 16.04.2018 um 09:31 schrieb Andreas Borutta:
>
>Ich bin kein Anwalt sondern habe bloß die Prüfung zum behördlichen
>Datenschutzbeauftragten nach 3-monatiger Fortbildung bestanden.
>Insofern: bitte mit Vorbehalt nehmen, was ich schreibe.
>
>> Mich interessiert, wie kurz eine rechtssichere Datenschutzerklärung
>> im Sinne der DSGVO sein darf um konkreten Rahmenbedingungen zu
>> genügen.
>
>Meines Wissens gibt es eine Goldene Keycard im Datenschutzrecht: die
>Einwilligung. Wenn man zu Beginn des Besuchs fragt, ob man einverstanden
>ist, dass die und die Daten erhoben und zu dem und dem Zweck verarbeitet
>werden, sollte das m. E. genügen.
>
>> 1 privat (Beispiel: <http://borumat.de>) Wann eine Website im
>> rechtlichen Sinne genau als "privat" und "nicht privat" eingestuft
>> wird, weiß ich nicht. Das wäre eine eigene Frage.
>
>Ich denke, wenn man Geld damit einnimmt (z. B. Google-Anzeigen
>schaltet), ist sie nicht mehr privat.

"Geld einnehmen" ist hinreichend, aber nicht notwendig.

Sollte man nach drei Monaten schon wissen.

--
Schöne Grüße,
Wolfgang

[Andreas Borutta]

F. Werner schrieb:

> Am 16.04.2018 um 09:31 schrieb Andreas Borutta:
>
> Ich bin kein Anwalt sondern habe bloß die Prüfung zum behördlichen
> Datenschutzbeauftragten nach 3-monatiger Fortbildung bestanden.
> Insofern: bitte mit Vorbehalt nehmen, was ich schreibe.
>
>> Mich interessiert, wie kurz eine rechtssichere Datenschutzerklärung
>> im Sinne der DSGVO sein darf um konkreten Rahmenbedingungen zu
>> genügen.
>
> Meines Wissens gibt es eine Goldene Keycard im Datenschutzrecht: die
> Einwilligung. Wenn man zu Beginn des Besuchs fragt, ob man einverstanden
> ist, dass die und die Daten erhoben und zu dem und dem Zweck verarbeitet
> werden, sollte das m. E. genügen.

Ich möchte Leser nicht mit solch einer Frage "begrüßen". Da dies auch
auf anderen Seiten nicht üblich ist, interessiert mich hier allein der
Weg, eine - kürzestmögliche - Datenschutzerklärung auf einer Website
mit den konkreten genannten Rahmenbedingungen zu integrieren

>> 2 Dürfen Impressum und Datenschutzerklärung Teil der Seite "Kontakt"
>> sein?
>
> Ich rate zu einer eigenen Impressum-Seite.

Mich interessiert, ob das zwingend notwendig ist.

>> 3 Muss mit dem Provider ein "Vertrag zur Auftragsverabreitung nach §
>> 28 DSGVO" geschlossen werden (weil er IP-Adressen loggt)?
>
> Das dürfte die Sorge des Auftragsverarbeiters sein. Hält er sich nicht
> an die Vorschriften der DSGVO, wird er selbst zum Verantwortlichen.
>
>> 4 Muss zu den Besuchsstatistiken (IP-Adressen) ein Passus in die
>> Datenschutzerklärung?
>
> Ja, IP-Adressen gelten m. E. als personenbezogene Daten.

Hier warte ich noch weitere Antworten ab.

>> 5 Muss bei der Angabe einer Mail-Adresse im Impressum als Mittel zur
>> Kontaktaufnahme irgendwas in die Datenschutzerklärung?
>
> Das übliche denke ich: "Folgende Daten werden zu folgendem Zweck so und
> so verarbeitet. Wenn Sie nicht einverstanden sind, schreiben Sie mir nicht."

Gilt dies für jedes Medium, in welchem ich eine Mailadresse angebe.

In einem gedruckten Brief.
In einer Mail.
In einer als Mailanhang versendeten Datei.

Muss überall so ein Disclaimer dazu?

Wenn nein: warum dann auf einer Website?
Ist das eindeutig geregelt?

Andreas
--
http://fahrradzukunft.de

[Ulrich Maier]

Am 17.04.2018 um 09:10 schrieb F. Werner:
> Am 16.04.2018 um 09:31 schrieb Andreas Borutta:
>
> Ich bin kein Anwalt sondern habe bloß die Prüfung zum behördlichen
> Datenschutzbeauftragten nach 3-monatiger Fortbildung bestanden.
> Insofern: bitte mit Vorbehalt nehmen, was ich schreibe.
>
>> Mich interessiert, wie kurz eine rechtssichere Datenschutzerklärung
>> im Sinne der DSGVO sein darf um konkreten Rahmenbedingungen zu
>> genügen.
>
> Meines Wissens gibt es eine Goldene Keycard im Datenschutzrecht: die
> Einwilligung. Wenn man zu Beginn des Besuchs fragt, ob man einverstanden
> ist, dass die und die Daten erhoben und zu dem und dem Zweck verarbeitet
> werden, sollte das m. E. genügen.

Man wird aber kaum einem Besucher als erstes die Einwilligung in die
Datenschutzerklärung abverlangen wollen!

>> 1 privat (Beispiel: <http://borumat.de>) Wann eine Website im
>> rechtlichen Sinne genau als "privat" und "nicht privat" eingestuft
>> wird, weiß ich nicht. Das wäre eine eigene Frage.
>
> Ich denke, wenn man Geld damit einnimmt (z. B. Google-Anzeigen
> schaltet), ist sie nicht mehr privat.

TMG § 5: "Diensteanbieter haben für geschäftsmäßige, in der Regel gegen
Entgelt angebotene Telemedien ..."

Oder auch etwas salopp: Wenn die Webseite einem Abmahner bekannt wird,
wird sie in der Regel impressumpflichtig sein ;-)

>> 1 Darf die Datenschutzerklärung Teil der Seite "Impressum" sein?
>
> Ich wüsste nicht, warum nicht. Das Impressum muss ja schnell und einfach
> erreichbar sein.

Die Datenschutzerklärung muss leicht auffindbar sein. Im Impressum darf
sie nicht versteckt sein. Man sollte dann den Link mit "Impressum und
Datenschutz(erklärung)" bezeichnen.

>> 2 Dürfen Impressum und Datenschutzerklärung Teil der Seite "Kontakt"
>> sein?
>
> Ich rate zu einer eigenen Impressum-Seite.

Impressum im Kontakt wird möglicherweise durchgehen. Besser ist, wenn
auf allen Webseiten die Begriffe "Impressum" und "Datenschutz"
auffindbar sind.

>> 3 Muss mit dem Provider ein "Vertrag zur Auftragsverabreitung nach §
>> 28 DSGVO" geschlossen werden (weil er IP-Adressen loggt)?
>
> Das dürfte die Sorge des Auftragsverarbeiters sein. Hält er sich nicht
> an die Vorschriften der DSGVO, wird er selbst zum Verantwortlichen.

Für den bloßen Internet-Zugangsdienst beraf es keiner A(D)V-Vereinbarung.

>> 4 Muss zu den Besuchsstatistiken (IP-Adressen) ein Passus in die
>> Datenschutzerklärung?
>
> Ja, IP-Adressen gelten m. E. als personenbezogene Daten.

IP-Adressen können personenbezogen sein. Aber nicht jede IP-Adresse ist
personenbezogen, etwa die IP-Adresse, unter der BMW seine Webseiten
anbietet. Die IP-Adresse, die Dir für Deinen privaten Zugang zugewiesen
wird, ist dagegen in der Regel personenbezogen.

>> 5 Muss bei der Angabe einer Mail-Adresse im Impressum als Mittel zur
>> Kontaktaufnahme irgendwas in die Datenschutzerklärung?
>
> Das übliche denke ich: "Folgende Daten werden zu folgendem Zweck so und
> so verarbeitet. Wenn Sie nicht einverstanden sind, schreiben Sie mir
> nicht."

Die im Impressum angebotene E-Mail-Adresse muss natürlich ohne vorherige
Einwilligung nutzbar sein!


Ulrich

PS: Was lernt man eigentlich als behördlicher Datenschutzbeauftragter?

[Andreas Borutta]

Ulrich Maier schrieb:

>>> 1 Darf die Datenschutzerklärung Teil der Seite "Impressum" sein?
>>
>> Ich wüsste nicht, warum nicht. Das Impressum muss ja schnell und einfach
>> erreichbar sein.
>
> Die Datenschutzerklärung muss leicht auffindbar sein. Im Impressum darf
> sie nicht versteckt sein. Man sollte dann den Link mit "Impressum und
> Datenschutz(erklärung)" bezeichnen.

OK. Ich hatte das befürchtet.

>>> 3 Muss mit dem Provider ein "Vertrag zur Auftragsverabreitung nach §
>>> 28 DSGVO" geschlossen werden (weil er IP-Adressen loggt)?
>>
>> Das dürfte die Sorge des Auftragsverarbeiters sein. Hält er sich nicht
>> an die Vorschriften der DSGVO, wird er selbst zum Verantwortlichen.
>
> Für den bloßen Internet-Zugangsdienst beraf es keiner A(D)V-Vereinbarung.

Auch dann nicht, wenn, wie erwähnt, der typische (Apache-)Server per
Default IP-Adressen speichert?

>>> 4 Muss zu den Besuchsstatistiken (IP-Adressen) ein Passus in die
>>> Datenschutzerklärung?
>>
>> Ja, IP-Adressen gelten m. E. als personenbezogene Daten.
>
> IP-Adressen können personenbezogen sein. Aber nicht jede IP-Adresse ist
> personenbezogen, etwa die IP-Adresse, unter der BMW seine Webseiten
> anbietet. Die IP-Adresse, die Dir für Deinen privaten Zugang zugewiesen
> wird, ist dagegen in der Regel personenbezogen.

Da sie personenbezogen sein können: Muss daher ein entsprechender
Passus in die Datenschutzerklärung?

Weiterhin:
Muss man dem Besucher anbieten, dass
a sein IP-Adresse auf Wunsch nicht (mehr) gespeichert wird (falls das
spezifisch technisch überhaupt geht)?
b seine bereits gespeicherten IP-Adresse auf Wunsch gelöscht wird?

Muss der Webhoster dem Websitebetreiber so etwas anbieten?

>>> 5 Muss bei der Angabe einer Mail-Adresse im Impressum als Mittel zur
>>> Kontaktaufnahme irgendwas in die Datenschutzerklärung?
>>
>> Das übliche denke ich: "Folgende Daten werden zu folgendem Zweck so und
>> so verarbeitet. Wenn Sie nicht einverstanden sind, schreiben Sie mir
>> nicht."
>
> Die im Impressum angebotene E-Mail-Adresse muss natürlich ohne vorherige
> Einwilligung nutzbar sein!

Muss also zu einer Mailadresse als Kontaktangebot gar keine
Information in die Datenschutzerklärung?


Andreas
--
http://fahrradzukunft.de

[Helmut Richter]

On Tue, 17 Apr 2018, Ulrich Maier wrote:

> TMG § 5: "Diensteanbieter haben für geschäftsmäßige, in der Regel gegen
> Entgelt angebotene Telemedien ..."
>
> Oder auch etwas salopp: Wenn die Webseite einem Abmahner bekannt wird, wird
> sie in der Regel impressumpflichtig sein ;-)

Das ist wohl eine eigenwillige Auslegung von "in der Regel gegen
Entgelt angebotene Telemedien". Ist es üblich, die Termine der
nächsten Treffen des Kaninchenzüchtervereins nur gegen Entgelt zu
verraten?

Ich muss allerdings bekennen, dass mir die neue Fassung der
Impressumspflicht sehr viel unklarer ist als die alte, obwohl die hier
schon kontrovers diskutiert wurde, weil sie unklar war. Aber
"geschäftsmäßig" war klar, sobald man begriffen hatte, dass es nicht
dasselbe wie "kommerziell" oder "gewinnorientiert" ist. Aber: wenn ich
nicht ein Medium im engeren Sinne betreibe (etwa das Äquivalent einer
Zeitung), ist völlig unklar, unter welchen Umständen die von mir
verbreiteten Informationen sonst in der Regel gegen Entgelt angeboten
worden wären.

> Die Datenschutzerklärung muss leicht auffindbar sein. Im Impressum darf sie
> nicht versteckt sein. Man sollte dann den Link mit "Impressum und
> Datenschutz(erklärung)" bezeichnen.

Andere Frage: bedarf es einer Datenschutzerklärung, wenn keinerlei
Daten erfasst werden, nicht einmal ein anonyme Zugriffsstatistik?

--
Helmut Richter

[F. Werner]

Am 17.04.2018 um 10:25 schrieb Ulrich Maier:
> Am 17.04.2018 um 09:10 schrieb F. Werner:
>> Am 16.04.2018 um 09:31 schrieb Andreas Borutta:

>> Ich bin kein Anwalt sondern habe bloß die Prüfung zum behördlichen
>> Datenschutzbeauftragten nach 3-monatiger Fortbildung bestanden.
>> Insofern: bitte mit Vorbehalt nehmen, was ich schreibe.

>>> Mich interessiert, wie kurz eine rechtssichere
>>> Datenschutzerklärung im Sinne der DSGVO sein darf um konkreten
>>> Rahmenbedingungen zu genügen.

>> Meines Wissens gibt es eine Goldene Keycard im Datenschutzrecht:
>> die Einwilligung. Wenn man zu Beginn des Besuchs fragt, ob man
>> einverstanden ist, dass die und die Daten erhoben und zu dem und
>> dem Zweck verarbeitet werden, sollte das m. E. genügen.

> Man wird aber kaum einem Besucher als erstes die Einwilligung in die
> Datenschutzerklärung abverlangen wollen!

Warum nicht? Man verlangt ja auch als erstes die Einwilligung zur
Benutzung von Cookies (bzw. nimmt den Hinweis z. K.).

>> Ich denke, wenn man Geld damit einnimmt (z. B. Google-Anzeigen
>> schaltet), ist sie nicht mehr privat.

> TMG § 5: "Diensteanbieter haben für geschäftsmäßige, in der Regel
> gegen Entgelt angebotene Telemedien ..."

> Oder auch etwas salopp: Wenn die Webseite einem Abmahner bekannt
> wird, wird sie in der Regel impressumpflichtig sein ;-)

Ist eine Website mit Google-Anzeigen ein gegen Entgelt angebotenes
Telemedium?

>> Das dürfte die Sorge des Auftragsverarbeiters sein. Hält er sich
>> nicht an die Vorschriften der DSGVO, wird er selbst zum
>> Verantwortlichen.
>
> Für den bloßen Internet-Zugangsdienst beraf es keiner
> A(D)V-Vereinbarung.

Und für einen Webhoster?

>>> 4 Muss zu den Besuchsstatistiken (IP-Adressen) ein Passus in die
>>> Datenschutzerklärung?
>>
>> Ja, IP-Adressen gelten m. E. als personenbezogene Daten.

> IP-Adressen können personenbezogen sein. Aber nicht jede IP-Adresse
> ist personenbezogen, etwa die IP-Adresse, unter der BMW seine
> Webseiten anbietet. Die IP-Adresse, die Dir für Deinen privaten
> Zugang zugewiesen wird, ist dagegen in der Regel personenbezogen.

Na ja, das ist schon klar.

>>> 5 Muss bei der Angabe einer Mail-Adresse im Impressum als Mittel
>>> zur Kontaktaufnahme irgendwas in die Datenschutzerklärung?
>>
>> Das übliche denke ich: "Folgende Daten werden zu folgendem Zweck
>> so und so verarbeitet. Wenn Sie nicht einverstanden sind,
>> schreiben Sie mir nicht."
>
> Die im Impressum angebotene E-Mail-Adresse muss natürlich ohne
> vorherige Einwilligung nutzbar sein!

Und das Einverständnis zur Datenverarbeitung?

> PS: Was lernt man eigentlich als behördlicher
> Datenschutzbeauftragter?

Wenn das keine rhetorische Frage war: das Landesdatenschutzrecht gilt
für Landesbehörden und Kommunen, das BDSG für Bundesbehörden,
Unternehmen und Privatleute.

FW

[Ulrich Maier]

Am 17.04.2018 um 10:46 schrieb Andreas Borutta:
> Ulrich Maier schrieb:
>
>>>> 1 Darf die Datenschutzerklärung Teil der Seite "Impressum" sein?
>>>
>>> Ich wüsste nicht, warum nicht. Das Impressum muss ja schnell und einfach
>>> erreichbar sein.
>>
>> Die Datenschutzerklärung muss leicht auffindbar sein. Im Impressum darf
>> sie nicht versteckt sein. Man sollte dann den Link mit "Impressum und
>> Datenschutz(erklärung)" bezeichnen.
>
> OK. Ich hatte das befürchtet.

Warum "befürchtet"?

>>>> 3 Muss mit dem Provider ein "Vertrag zur Auftragsverabreitung nach §
>>>> 28 DSGVO" geschlossen werden (weil er IP-Adressen loggt)?
>>>
>>> Das dürfte die Sorge des Auftragsverarbeiters sein. Hält er sich nicht
>>> an die Vorschriften der DSGVO, wird er selbst zum Verantwortlichen.
>>
>> Für den bloßen Internet-Zugangsdienst beraf es keiner A(D)V-Vereinbarung.
>
> Auch dann nicht, wenn, wie erwähnt, der typische (Apache-)Server per
> Default IP-Adressen speichert?

Die dauerhafte Speicherung der IP-Adressen ist nur mit vorheriger
ausdrücklicher Einwilligung des Besuchers möglich. (Allerdings wird das
heute wohl kaum ein Provider tun.)

Und ja, wenn der Provider für Dich den Webserver betreibt, liegt AV vor
und es bedarf eines Vertrags.

>>>> 4 Muss zu den Besuchsstatistiken (IP-Adressen) ein Passus in die
>>>> Datenschutzerklärung?
>>>
>>> Ja, IP-Adressen gelten m. E. als personenbezogene Daten.
>>
>> IP-Adressen können personenbezogen sein. Aber nicht jede IP-Adresse ist
>> personenbezogen, etwa die IP-Adresse, unter der BMW seine Webseiten
>> anbietet. Die IP-Adresse, die Dir für Deinen privaten Zugang zugewiesen
>> wird, ist dagegen in der Regel personenbezogen.
>
> Da sie personenbezogen sein können: Muss daher ein entsprechender
> Passus in die Datenschutzerklärung?

Ja - Du findest ihn in jeder Datenschutzerklärung.

> Weiterhin:
> Muss man dem Besucher anbieten, dass
> a sein IP-Adresse auf Wunsch nicht (mehr) gespeichert wird (falls das
> spezifisch technisch überhaupt geht)?
> b seine bereits gespeicherten IP-Adresse auf Wunsch gelöscht wird?

Der Besucher hat das Recht auf Löschung. Das ist kein freiwilliges Angebot.

> Muss der Webhoster dem Websitebetreiber so etwas anbieten?

Der Websitebetreiber muss sicherstellen, dass er die Daten klschen kann.

>>>> 5 Muss bei der Angabe einer Mail-Adresse im Impressum als Mittel zur
>>>> Kontaktaufnahme irgendwas in die Datenschutzerklärung?
>>>
>>> Das übliche denke ich: "Folgende Daten werden zu folgendem Zweck so und
>>> so verarbeitet. Wenn Sie nicht einverstanden sind, schreiben Sie mir
>>> nicht."
>>
>> Die im Impressum angebotene E-Mail-Adresse muss natürlich ohne vorherige
>> Einwilligung nutzbar sein!
>
> Muss also zu einer Mailadresse als Kontaktangebot gar keine
> Information in die Datenschutzerklärung?

M.E. ist zu erklären, was mit den in einer E-Mail übermittelten Daten
passiert, soweit ein E-Mail-Link auf der Webseite genutzt wird. Um
solche E-Mails von anderen E-Mails unterscheiden zu können, empfehlen
sich individuelle E-mail-Adressen.


Ulrich

[Ulrich Maier]

Am 17.04.2018 um 11:57 schrieb F. Werner:


>> Man wird aber kaum einem Besucher als erstes die Einwilligung in die
>>  Datenschutzerklärung abverlangen wollen!
>
> Warum nicht? Man verlangt ja auch als erstes die Einwilligung zur
> Benutzung von Cookies (bzw. nimmt den Hinweis z. K.).

Also, ich möchte es nicht. Auf die dauerhafte Speicherung von
IP-Adressen büsste außerdem überaus deutlich hingewiesen werden!

> Ist eine Website mit Google-Anzeigen ein gegen Entgelt angebotenes
> Telemedium?

Sie ist auf jeden Fall geschäftsmäßig.

>>> Das dürfte die Sorge des Auftragsverarbeiters sein. Hält er sich
>>> nicht an die Vorschriften der DSGVO, wird er selbst zum
>>> Verantwortlichen.
>>
>> Für den bloßen Internet-Zugangsdienst beraf es keiner A(D)V-Vereinbarung.
>
> Und für einen Webhoster?

Kommt drauf an, was das sein soll. Wenn es gemanagt wird, dann sicher.

>> IP-Adressen können personenbezogen sein. Aber nicht jede IP-Adresse
>> ist personenbezogen, etwa die IP-Adresse, unter der BMW seine
>> Webseiten anbietet. Die IP-Adresse, die Dir für Deinen privaten Zugang
>> zugewiesen wird, ist dagegen in der Regel personenbezogen.
>
> Na ja, das ist schon klar.

Hmm - anderen war das weit weniger klar. Es war vielmehr höchst
umstritten und ging deswegen bis zum BGH (Urt. v. 16.05.2017, Az. VI ZR
135/13)

>> Die im Impressum angebotene E-Mail-Adresse muss natürlich ohne
>> vorherige Einwilligung nutzbar sein!
>
> Und das Einverständnis zur Datenverarbeitung?

Die E-Mailadresse im Impressum ist zur Kontaktaufnahme gesetzlich
vorgeschrieben. Diesen Zugang kannst Du nicht einfach durch nicht
genehme, zustimmungspflichtige Trickserein erschweren.

>> PS: Was lernt man eigentlich als behördlicher Datenschutzbeauftragter?
>
> Wenn das keine rhetorische Frage war: das Landesdatenschutzrecht gilt
> für Landesbehörden und Kommunen, das BDSG für Bundesbehörden,
> Unternehmen und Privatleute.

Na ja - die hier behandelten Fragen sind schon ziemlich grundlegend und
und solten auch einem behördlichen Datenschutzbeauftragten bekannt sein.

Ulrich

[Ulrich Maier]

Am 17.04.2018 um 11:46 schrieb Helmut Richter:
> On Tue, 17 Apr 2018, Ulrich Maier wrote:
>
>> TMG § 5: "Diensteanbieter haben für geschäftsmäßige, in der Regel gegen
>> Entgelt angebotene Telemedien ..."
>>
>> Oder auch etwas salopp: Wenn die Webseite einem Abmahner bekannt wird, wird
>> sie in der Regel impressumpflichtig sein ;-)
>
> Das ist wohl eine eigenwillige Auslegung von "in der Regel gegen
> Entgelt angebotene Telemedien".

Du gehörst doch eigentlich zu der Gattung Mensch, die die deutsche
Sprache besonders gut beherrscht. Die Bedeutung von "insbesondere" wird
die insofern geläufg sein!

>> Die Datenschutzerklärung muss leicht auffindbar sein. Im Impressum darf sie
>> nicht versteckt sein. Man sollte dann den Link mit "Impressum und
>> Datenschutz(erklärung)" bezeichnen.
>
> Andere Frage: bedarf es einer Datenschutzerklärung, wenn keinerlei
> Daten erfasst werden, nicht einmal ein anonyme Zugriffsstatistik?

Wie antwortet Deine Webseite, wenn keine IP-Adressen gespeichert werden!?

Minimal-Datenschutzerklärungen findest Du (erwartungsgemäß) hier:
https://www.datenschutz-bayern.de/ODSP.htm
https://www.lda.bayern.de/de/datenschutz.html

U.

[Helmut Richter]

On Tue, 17 Apr 2018, Ulrich Maier wrote:

> Am 17.04.2018 um 11:46 schrieb Helmut Richter:
> > On Tue, 17 Apr 2018, Ulrich Maier wrote:
> >
> > > TMG § 5: "Diensteanbieter haben für geschäftsmäßige, in der Regel gegen
> > > Entgelt angebotene Telemedien ..."
> > >
> > > Oder auch etwas salopp: Wenn die Webseite einem Abmahner bekannt wird,
> > > wird
> > > sie in der Regel impressumpflichtig sein ;-)
> >
> > Das ist wohl eine eigenwillige Auslegung von "in der Regel gegen
> > Entgelt angebotene Telemedien".
>
> Du gehörst doch eigentlich zu der Gattung Mensch, die die deutsche Sprache
> besonders gut beherrscht. Die Bedeutung von "insbesondere" wird die insofern
> geläufg sein!

In der mir vorliegenden Fassung von TMG §5 findet sich das Wort
"insbesondere" nicht. Dort ist die Rede von Telemedien, die (1)
geschäftsmäßig und (2) in der Regel gegen Entgelt angeboten werden.

(ad 1) Das unterscheidet sich von der alten Fassung, die auf die
Geschäftsmäßigkeit *nicht* des Medienbetriebs selbst abhob, sondern der
Tätigkeit, *aufgrund* derer er stattfand. Das wurde in dieser Gruppe
regelmäßig ignoriert.

(ad 2) Es kommt also nicht darauf an, ob ein Entgelt verlangt wird,
sondern ob eine Entgeltforderung zu erwarten wäre, und zwar wieder für die
Inanspruchnahme des Telemediums. Wer für irgendetwas Reklame macht, was er
verkaufen will, liefert diese Information in aller Regel kostenlos aus.
Damit gilt nach dem Wortlaut für ihn der § 5 nicht. Nach der alten
Regelung hätte eine Impressumspflicht bestanden, weil die Tätigkeit,
*aufgrund* derer die Webseite betrieben wird, geschäftsmäßig ist.

Gemeint ist anscheinend trotzdem *ungefähr* die alte Regelung, bloß ist
sie sprachlich unverständlich formuliert.

--
Helmut Richter

[Ulrich Maier]

Am 17.04.2018 um 17:49 schrieb Helmut Richter:
> On Tue, 17 Apr 2018, Ulrich Maier wrote:
>
>> Am 17.04.2018 um 11:46 schrieb Helmut Richter:
>>> On Tue, 17 Apr 2018, Ulrich Maier wrote:
>>>
>>>> TMG § 5: "Diensteanbieter haben für geschäftsmäßige, in der Regel gegen
>>>> Entgelt angebotene Telemedien ..."
>>>>
>>>> Oder auch etwas salopp: Wenn die Webseite einem Abmahner bekannt wird,
>>>> wird
>>>> sie in der Regel impressumpflichtig sein ;-)
>>>
>>> Das ist wohl eine eigenwillige Auslegung von "in der Regel gegen
>>> Entgelt angebotene Telemedien".
>>
>> Du gehörst doch eigentlich zu der Gattung Mensch, die die deutsche Sprache
>> besonders gut beherrscht. Die Bedeutung von "insbesondere" wird die insofern
>> geläufg sein!
>
> In der mir vorliegenden Fassung von TMG §5 findet sich das Wort
> "insbesondere" nicht. Dort ist die Rede von Telemedien, die (1)
> geschäftsmäßig und (2) in der Regel gegen Entgelt angeboten werden.

Ja sorry- da habe ich nicht nachgesehen. Macht aber keinen prinzipiellen
Unterschied. Das "in der Regel" kling stärker, als es rechtlich
ausgelegt wird. "und in der Regel gegen Entgelt..." ist auf jeden Fall,
wie Dir bewusst ist, nicht gleichbedeutend mit "und gegen Entgelt...".

Ulrich

[Andre Eiger]

Am Tue, 17 Apr 2018 09:10:20 +0200 schrieb F. Werner:

> Am 16.04.2018 um 09:31 schrieb Andreas Borutta:
>
>> 4 Muss zu den Besuchsstatistiken (IP-Adressen) ein Passus in die
>> Datenschutzerklärung?
>
> Ja, IP-Adressen gelten m. E. als personenbezogene Daten.
>

Der logische Kurzschluss wird sofort klar, wenn ich als Besucher der
seiner Webseite von Andreas Borutta verlange, mir Auskunft über die von
ihm über mich gespeicherten personenbezogenen Daten zu geben. Er wird mir
beim besten Willen nicht meine IP-Adresse(n) nennen können, von denen aus
ich seine Webseite besucht habe, und verstößt damit gleich gegen die neue
Auskunftspflicht ;-)

Art.15 – EU-DSGVO – Auskunftsrecht der betroffenen Person
...
3. Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die
Gegenstand der Verarbeitung sind, zur Verfügung.
...


--

[Andreas Borutta]

Ulrich Maier schrieb:

Vielen Dank erstmal für Deine ausführliche Antwort!

> Am 17.04.2018 um 10:46 schrieb Andreas Borutta:
>> Ulrich Maier schrieb:
>>
>>>>> 1 Darf die Datenschutzerklärung Teil der Seite "Impressum" sein?
>>>>
>>>> Ich wüsste nicht, warum nicht. Das Impressum muss ja schnell und einfach
>>>> erreichbar sein.
>>>
>>> Die Datenschutzerklärung muss leicht auffindbar sein. Im Impressum darf
>>> sie nicht versteckt sein. Man sollte dann den Link mit "Impressum und
>>> Datenschutz(erklärung)" bezeichnen.
>>
>> OK. Ich hatte das befürchtet.
>
> Warum "befürchtet"?

Ich fände es besser, wenn alle langweiligen, formalen Inhalte
(Datenschutzerklärung, AGB, Impressum) auf einer einzigen Seite stehen
dürften.
Oder wenn sie wenigstens nur auf der Startseite, nicht aber auf
anderen Seiten ebenfalls verlinkt sein müssten.

>>>>> 3 Muss mit dem Provider ein "Vertrag zur Auftragsverabreitung nach §
>>>>> 28 DSGVO" geschlossen werden (weil er IP-Adressen loggt)?
>>>>
>>>> Das dürfte die Sorge des Auftragsverarbeiters sein. Hält er sich nicht
>>>> an die Vorschriften der DSGVO, wird er selbst zum Verantwortlichen.
>>>
>>> Für den bloßen Internet-Zugangsdienst beraf es keiner A(D)V-Vereinbarung.
>>
>> Auch dann nicht, wenn, wie erwähnt, der typische (Apache-)Server per
>> Default IP-Adressen speichert?
>
> Die dauerhafte Speicherung der IP-Adressen ist nur mit vorheriger
> ausdrücklicher Einwilligung des Besuchers möglich. (Allerdings wird das
> heute wohl kaum ein Provider tun.)

Also hat diese Praxis Abmahnpotential, selbst wenn in der
Datenschutzerklärug auf das Speichern hingewiesen wird?

Oder macht es sich am "dauerhaft" fest?

Kann also ein Webhoster, der z.B. die IP-Adressen 7 Tage speichert,
auf eine vorherige ausdrückliche Genehmigung verzichten?

[Geklärtes gesnipt]

>> Weiterhin:
>> Muss man dem Besucher anbieten, dass
>> a sein IP-Adresse auf Wunsch nicht (mehr) gespeichert wird (falls das
>> spezifisch technisch überhaupt geht)?
>> b seine bereits gespeicherten IP-Adresse auf Wunsch gelöscht wird?
>
> Der Besucher hat das Recht auf Löschung. Das ist kein freiwilliges Angebot.
>
>
>> Muss der Webhoster dem Websitebetreiber so etwas anbieten?
>
> Der Websitebetreiber muss sicherstellen, dass er die Daten klschen kann.

Das dürfte für viele Webhoster eine Herausforderung werden.

Als Betreiber müsste ich all sowas in dem Vertrag zur
Auftragsverarbeitung abklären, richtig?

>>>>> 5 Muss bei der Angabe einer Mail-Adresse im Impressum als Mittel zur
>>>>> Kontaktaufnahme irgendwas in die Datenschutzerklärung?
>>>>
>>>> Das übliche denke ich: "Folgende Daten werden zu folgendem Zweck so und
>>>> so verarbeitet. Wenn Sie nicht einverstanden sind, schreiben Sie mir
>>>> nicht."
>>>
>>> Die im Impressum angebotene E-Mail-Adresse muss natürlich ohne vorherige
>>> Einwilligung nutzbar sein!
>>
>> Muss also zu einer Mailadresse als Kontaktangebot gar keine
>> Information in die Datenschutzerklärung?
>
> M.E. ist zu erklären, was mit den in einer E-Mail übermittelten Daten
> passiert, soweit ein E-Mail-Link auf der Webseite genutzt wird. Um
> solche E-Mails von anderen E-Mails unterscheiden zu können, empfehlen
> sich individuelle E-mail-Adressen.

Danke.


Andreas
--
http://fahrradzukunft.de

[Ulrich Maier]

Am 17.04.2018 um 23:04 schrieb Andreas Borutta:

> Ich fände es besser, wenn alle langweiligen, formalen Inhalte
> (Datenschutzerklärung, AGB, Impressum) auf einer einzigen Seite stehen
> dürften.

Wenn eine Webseite AGB benötig, dürfte an ihrer Geschäftsmäßigkeit auf
jeden Fall kein Zweifel bestehen!

Du kannst ja alles auf eine Seite schreiben, musst dann halt den Link
entsprechend umfassend bezeichnen (Impressum & Datenschutz & AGB).

> Oder wenn sie wenigstens nur auf der Startseite, nicht aber auf
> anderen Seiten ebenfalls verlinkt sein müssten.

Als Besucher möchtest Du diese Daten aber jederzeit einigermaßen bequem
auffinden können, zumal Dich Suchen sehr oft gar nicht auf die
Startseite führen und Links auf die Startseite in der Regel nicht
besonders klar bezeichnet sind.

> Kann also ein Webhoster, der z.B. die IP-Adressen 7 Tage speichert,
> auf eine vorherige ausdrückliche Genehmigung verzichten?

Bei 7 Tagen reicht es zur Zeit, dies in der Datenschutzerklärung zu
erwähnen.

>> Der Websitebetreiber muss sicherstellen, dass er die Daten klschen kann.
>
> Das dürfte für viele Webhoster eine Herausforderung werden.
>
> Als Betreiber müsste ich all sowas in dem Vertrag zur
> Auftragsverarbeitung abklären, richtig?

Wo sonst?


U.

[F. Werner]

Am 17.04.2018 um 17:24 schrieb Ulrich Maier:
> Am 17.04.2018 um 11:57 schrieb F. Werner:

>>> Man wird aber kaum einem Besucher als erstes die Einwilligung in
>>> die Datenschutzerklärung abverlangen wollen!

>> Warum nicht? Man verlangt ja auch als erstes die Einwilligung zur
>> Benutzung von Cookies (bzw. nimmt den Hinweis z. K.).

> Also, ich möchte es nicht. Auf die dauerhafte Speicherung von
> IP-Adressen büsste außerdem überaus deutlich hingewiesen werden!

Ich möchte das auch nicht. Aber durchführbar wäre es.

>> Ist eine Website mit Google-Anzeigen ein gegen Entgelt angebotenes
>> Telemedium?

> Sie ist auf jeden Fall geschäftsmäßig.

Also wohl nicht privat.

>>>> Das dürfte die Sorge des Auftragsverarbeiters sein. Hält er
>>>> sich nicht an die Vorschriften der DSGVO, wird er selbst zum
>>>> Verantwortlichen.

>>> Für den bloßen Internet-Zugangsdienst beraf es keiner
>>> A(D)V-Vereinbarung.

>> Und für einen Webhoster?

> Kommt drauf an, was das sein soll. Wenn es gemanagt wird, dann
> sicher.

Gemanagt wird so einer doch immer (also meine z. B.).

>>> IP-Adressen können personenbezogen sein. Aber nicht jede
>>> IP-Adresse ist personenbezogen, etwa die IP-Adresse, unter der
>>> BMW seine Webseiten anbietet. Die IP-Adresse, die Dir für Deinen
>>> privaten Zugang zugewiesen wird, ist dagegen in der Regel
>>> personenbezogen.

>> Na ja, das ist schon klar.

> Hmm - anderen war das weit weniger klar. Es war vielmehr höchst
> umstritten und ging deswegen bis zum BGH (Urt. v. 16.05.2017, Az. VI
> ZR 135/13)

Es ist aber doch eigentlich logisch. Mein Computer im Internet hier
weist auf eine Person hin. Mein Server im RZ dagegen zunächst auf eine
Maschine.

>>> Die im Impressum angebotene E-Mail-Adresse muss natürlich ohne
>>> vorherige Einwilligung nutzbar sein!

>> Und das Einverständnis zur Datenverarbeitung?

> Die E-Mailadresse im Impressum ist zur Kontaktaufnahme gesetzlich
> vorgeschrieben. Diesen Zugang kannst Du nicht einfach durch nicht
> genehme, zustimmungspflichtige Trickserein erschweren.

Vielleicht reicht es aus, sich mit DV einverstanden zu erklären, wenn
man eine E-Mail-Adresse einrichtet. Andererseits bedarf es eines
separaten Einverständnisses, weil man ja nicht weiß, was mit der E-Mail
passiert, die man jemandem sendet.

>>> PS: Was lernt man eigentlich als behördlicher
>>> Datenschutzbeauftragter?

>> Wenn das keine rhetorische Frage war: das Landesdatenschutzrecht
>> gilt für Landesbehörden und Kommunen, das BDSG für Bundesbehörden,
>> Unternehmen und Privatleute.

> Na ja - die hier behandelten Fragen sind schon ziemlich grundlegend
> und und solten auch einem behördlichen Datenschutzbeauftragten
> bekannt sein.

Ja, das war Teil der Prüfung. Im behördlichen Alltag spielen diese Dinge
aber eine sehr untergeordnete Rolle. Bei uns geht es eher um
Videoüberwachung, Kennwort-Herausgabe bei Krankheit, private DV auf
Dienstrechnern etc. Und natürlich um die vielen Fachverfahren, die eine
Verwaltung nutzt (Verarbeitungsverzeichnis, Folgenabschätzung).

FW

[F. Werner]

Am 17.04.2018 um 22:52 schrieb Andre Eiger:
> Am Tue, 17 Apr 2018 09:10:20 +0200 schrieb F. Werner:

>> Am 16.04.2018 um 09:31 schrieb Andreas Borutta:

>>> 4 Muss zu den Besuchsstatistiken (IP-Adressen) ein Passus in die
>>> Datenschutzerklärung?
>>
>> Ja, IP-Adressen gelten m. E. als personenbezogene Daten.

> Der logische Kurzschluss wird sofort klar, wenn ich als Besucher der
> seiner Webseite von Andreas Borutta verlange, mir Auskunft über die
> von ihm über mich gespeicherten personenbezogenen Daten zu geben. Er
> wird mir beim besten Willen nicht meine IP-Adresse(n) nennen können,
> von denen aus ich seine Webseite besucht habe, und verstößt damit
> gleich gegen die neue Auskunftspflicht ;-)

Warum sollte er das nicht können? Ich kann das, ohne irgendwelche
Programme zu installieren (Apache Protokoll).

FW

[Marc Haber]

Ulrich Maier <inv...@invalid.invalid> wrote:
>Bei 7 Tagen reicht es zur Zeit, dies in der Datenschutzerklärung zu
>erwähnen.

Wo steht das?

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

[Ulrich Maier]

Am 18.04.2018 um 08:30 schrieb F. Werner:

>>> Ja, IP-Adressen gelten m. E. als personenbezogene Daten.
>
>> Der logische Kurzschluss wird sofort klar, wenn ich als Besucher der
>> seiner Webseite von Andreas Borutta verlange, mir Auskunft über die
>> von ihm über mich gespeicherten personenbezogenen Daten zu geben. Er
>> wird mir beim besten Willen nicht meine IP-Adresse(n) nennen können,
>> von denen aus ich seine Webseite besucht habe, und verstößt damit
>> gleich gegen die neue Auskunftspflicht ;-)
>
> Warum sollte er das nicht können? Ich kann das, ohne irgendwelche
> Programme zu installieren (Apache Protokoll).

Nein, das kannst Du auch nicht. Weil Du die Zuordnung Person -
IP-Adresse nicht hast.

U.

[Ulrich Maier]

Am 18.04.2018 um 08:34 schrieb Marc Haber:
> Ulrich Maier <inv...@invalid.invalid> wrote:
>> Bei 7 Tagen reicht es zur Zeit, dies in der Datenschutzerklärung zu
>> erwähnen.
>
> Wo steht das?

In vielen kommentaren. U.

[Ulrich Maier]

Am 18.04.2018 um 08:28 schrieb F. Werner:

>>> Ist eine Website mit Google-Anzeigen ein gegen Entgelt angebotenes
>>> Telemedium?
>
>> Sie ist auf jeden Fall geschäftsmäßig.
>
> Also wohl nicht privat.

Ob Privat oder nicht, interessiert nicht. Es interessiert allein, ob
geschäftsmäßig.

>>>> IP-Adressen können personenbezogen sein. Aber nicht jede IP-Adresse
>>>> ist personenbezogen, etwa die IP-Adresse, unter der BMW seine
>>>> Webseiten anbietet. Die IP-Adresse, die Dir für Deinen
>>>>  privaten Zugang zugewiesen wird, ist dagegen in der Regel
>>>> personenbezogen.
>
>>> Na ja, das ist schon klar.
>
>> Hmm - anderen war das weit weniger klar. Es war vielmehr höchst
>> umstritten und ging deswegen bis zum BGH (Urt. v. 16.05.2017, Az. VI
>>  ZR 135/13)
>
> Es ist aber doch eigentlich logisch. Mein Computer im Internet hier
> weist auf eine Person hin. Mein Server im RZ dagegen zunächst auf eine
> Maschine.

Das problem ist die Bestimmbarkeit der Person aus der IP-Adresse. Woher
hast Du die Zuordnung Person - IP-Adresse?


U.

[F. Werner]

Am 18.04.2018 um 09:22 schrieb Ulrich Maier:

>>> Hmm - anderen war das weit weniger klar. Es war vielmehr höchst
>>> umstritten und ging deswegen bis zum BGH (Urt. v. 16.05.2017, Az.
>>> VI ZR 135/13)
>>
>> Es ist aber doch eigentlich logisch. Mein Computer im Internet
>> hier weist auf eine Person hin. Mein Server im RZ dagegen zunächst
>> auf eine Maschine.
>
> Das problem ist die Bestimmbarkeit der Person aus der IP-Adresse.
> Woher hast Du die Zuordnung Person - IP-Adresse?

Ich denke vom Provider...

FW

[F. Werner]

Am 18.04.2018 um 09:19 schrieb Ulrich Maier:

>> Warum sollte er das nicht können? Ich kann das, ohne irgendwelche
>> Programme zu installieren (Apache Protokoll).

> Nein, das kannst Du auch nicht. Weil Du die Zuordnung Person -
> IP-Adresse nicht hast.

Rufe zu einer bestimmten Zeit meinen Server auf und ich sage Dir, welche
IP-Adresse Du hast.

Anderenfalls könnte die Staatsanwaltschaft die IP-Adresse von Deinem
Provider abrufen. Deshalb ist niemand anonym im Internet unterwegs.

FW

[Ulrich Maier]

Die sagt der Dir aber nicht ohne Weiteres! Genau deswegen ist es ja die
Frage, ob die Person als aus der IP-Adresse bestimmbar gilt (dann
personenbezogenes Datum) oder nicht (dann kein personenbezogenes Datum).

Der BGH hat in dem genannten Urteil entschieden, dass sie als bestimmbar
gelte, also als personenbezogenes Datum. Lies dort nach!

Ulrich

[Stefan Froehlich]

Ja, soweit ist das schon klar. Nun schreibt mir aber evt. in ein
paar Wochen jemand, dass er meine Webseite besucht hat und ich doch
bitte umgehend alles, was er auf meinem Server an Spuren
hinterlassen hat, löschen möge, inklusive der IP-Adressen.

Diese befinden sich zweifellos noch in den Logfiles, aber ich habe
genau gar keine Möglichkeit herauszufinden, um welche der vielen
tausend Adressen es sich handelt, weil bei mir keine Verknüpfung zum
Benutzer vorhanden ist.

Servus,
Stefan

--
http://kontaktinser.at/ - die kostenlose Kontaktboerse fuer Oesterreich
Offizieller Erstbesucher(TM) von mmeike

Stefan - Von Verführern für Verführer: Verstreben weil es liebt!
(Sloganizer)

[Helmut Richter]

On Wed, 18 Apr 2018, Ulrich Maier wrote:

> > Ich denke vom Provider...
>
> Die sagt der Dir aber nicht ohne Weiteres! Genau deswegen ist es ja die Frage,
> ob die Person als aus der IP-Adresse bestimmbar gilt (dann personenbezogenes
> Datum) oder nicht (dann kein personenbezogenes Datum).
>
> Der BGH hat in dem genannten Urteil entschieden, dass sie als bestimmbar
> gelte, also als personenbezogenes Datum. Lies dort nach!

Ich habe das Urteil so zur Kenntnis genommen, halte es – aus meinem
Laienverstand – aber für fragwürdig. Nachdem die Bestimmung nicht nur
von zweifelhafter Durchführbarkeit und bei Gelingen von zweifelhafter
Aussagekraft ist, hätte ich es für richtiger gehalten, nicht das
zufällige Speichern von vielleicht zuordenbaren Daten zu verbieten,
sondern lieber das Zuordnen, z.B. durch Führen von Listen mit solchen
Zuordnungen, die man irgendwie erfahren hat.

Ich denke, dass einem ständig Daten begegnen, die bei Allwissenheit
(nicht philosophisch-theologisch gemeint, sondern als Zugriff auf alle
Daten, die einem bei der Zuordnung helfen können) Personen zuordenbar
wären, und man kann gar nicht vermeiden, irgendwelche davon zu speichern.

Wer in seinem Serverprotokoll IP-Adressen speichert und keiner Person
zuordnet, weil er nicht kann oder es einfach nicht tut, warum handelt
der unrechtmäßig, während der Betreiber einer Suchmaschine, der seine
Kunden an Cookies, verwendeter Hardware, Software, Tippgeschwindigkeit
und -rhythmus ohne weiteres wiedererkennt und den Inhalt mitliest, der
auf im realen Leben benutzte Personennamen schließen lässt, offenbar
einwandfrei handelt?

--
Helmut Richter

[Wolfgang Jäth]

Am 18.04.2018 um 15:09 schrieb Ulrich Maier:
>
>>>>> Hmm - anderen war das weit weniger klar. Es war vielmehr höchst
>>>>> umstritten und ging deswegen bis zum BGH (Urt. v. 16.05.2017, Az.
>>>>> VI ZR 135/13)
>>>>
>>>> Es ist aber doch eigentlich logisch. Mein Computer im Internet
>>>> hier weist auf eine Person hin. Mein Server im RZ dagegen zunächst
>>>> auf eine Maschine.
>>>
>>> Das problem ist die Bestimmbarkeit der Person aus der IP-Adresse.
>>> Woher hast Du die Zuordnung Person - IP-Adresse?
>>
>> Ich denke vom Provider...
>
> Die sagt der Dir aber nicht ohne Weiteres! Genau deswegen ist es ja die
> Frage, ob die Person als aus der IP-Adresse bestimmbar gilt (dann
> personenbezogenes Datum) oder nicht (dann kein personenbezogenes Datum).

§ 3 Abs. 6 BDSG:
| Anonymisieren ist das Verändern personenbezogener Daten derart, dass
| die Einzelangaben über persönliche oder sachliche Verhältnisse nicht
| mehr *oder* *nur* *mit* *einem* *unverhältnismäßig* *großen* *Aufwand*
| *an* *Zeit* [Hervorhebung von mir], Kosten und Arbeitskraft einer
| bestimmten oder bestimmbaren natürlichen Person zugeordnet werden
| können.

Jetzt überleg mal, mit welchem Zeit- und Arbeitsaufwand *Du* eine
beliebige IP-Adresse aus dem Log einer bestimmten Person zuordnen kannst.

> Der BGH hat in dem genannten Urteil entschieden, dass sie als bestimmbar
> gelte, also als personenbezogenes Datum. Lies dort nach!

Ist es prinzipiell(!) auch. Allerdings ist nicht alles, was ein
personenbezogenes Datum sein *kann*, auch *immer* ein personenbezogenes
Datum. Auch dein Nachname, Maier, oder dein Alter, Geschlecht, usw.
sind personenbezogene Daten - allerdings *nur*, sofern sie sich einer
"bestimmte oder bestimmbare Person" *bezieht* (§ 3 Abs. 1 BDSG). *Ohne*
die Möglichkeit, einen solchen Bezug herzustellen, sind sie es *nicht*.

Wolfgang
--
If I could, I would wish for ONE news INDEED being a fake, namely for
the news of this immature cockalorum in fact became President of the
United States.

[Wolfgang Jäth]

Am 18.04.2018 um 15:15 schrieb Stefan Froehlich:
> On Wed, 18 Apr 2018 14:32:44 F. Werner wrote:
>> Am 18.04.2018 um 09:19 schrieb Ulrich Maier:
>> >> Warum sollte er das nicht können? Ich kann das, ohne
>> >> irgendwelche Programme zu installieren (Apache Protokoll).
>
>> > Nein, das kannst Du auch nicht. Weil Du die Zuordnung Person -
>> > IP-Adresse nicht hast.
>
>> Rufe zu einer bestimmten Zeit meinen Server auf und ich sage Dir,
>> welche IP-Adresse Du hast.
>
>> Anderenfalls könnte die Staatsanwaltschaft die IP-Adresse von
>> Deinem Provider abrufen. Deshalb ist niemand anonym im Internet
>> unterwegs.
>
> Ja, soweit ist das schon klar. Nun schreibt mir aber evt. in ein
> paar Wochen jemand, dass er meine Webseite besucht hat und ich doch
> bitte umgehend alles, was er auf meinem Server an Spuren
> hinterlassen hat, löschen möge, inklusive der IP-Adressen.
>
> Diese befinden sich zweifellos noch in den Logfiles, aber ich habe
> genau gar keine Möglichkeit herauszufinden, um welche der vielen
> tausend Adressen es sich handelt, weil bei mir keine Verknüpfung zum
> Benutzer vorhanden ist.

Zum ersten kann er viel verlangen; aber auch /du/ berechtigtes
Interesse, die Funktionalität deiner Website aufrecht zu erhalten, und
dazu gehören i. d. R. die Logfiles.

Hint: Datenschutz ist *immer* eine Güterabwägung. Eine der im BDSG am
häufigsten vorkommende Formulierungen lautet sinngemäß "sofern dem keine
berechtigten Interessen entgegenstehen".

Zum zweiten liegen die Daten im Logfile, wie du richtig einwendest, in
einer Form vor, die es dem betreffenden Websitebetreiber "nicht mehr
oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und
Arbeitskraft" (§ 3 Abs. 6 BDSG) ermöglichen, sie einer bestimmten oder
bestimmbaren natürlichen Person zuordnen zu können. Und gemäß dieser
Definition gelten sie somit als anonymisiert. Wie gesagt, der Benutzer kann
viel verlangen ...

[Andre Eiger]

Am Wed, 18 Apr 2018 14:32:44 +0200 schrieb F. Werner:

> Am 18.04.2018 um 09:19 schrieb Ulrich Maier:
>
>>> Warum sollte er das nicht können? Ich kann das, ohne irgendwelche
>>> Programme zu installieren (Apache Protokoll).
>
>> Nein, das kannst Du auch nicht. Weil Du die Zuordnung Person -
>> IP-Adresse nicht hast.
>
> Rufe zu einer bestimmten Zeit meinen Server auf und ich sage Dir, welche
> IP-Adresse Du hast.

Du kannst zwar das Server-Log beobachten und sehen, von welchen IP-
Adressen gerade Verbindungen aufgebaut werden, nur weißt *Du* nicht von
wem!

> Anderenfalls könnte die Staatsanwaltschaft die IP-Adresse von Deinem
> Provider abrufen. Deshalb ist niemand anonym im Internet unterwegs.
>

Jetz mach's mal konkret. Hier ein paar Zeilen aus dem Access-Log eines
Apache2-Servers. Es tauchen zwei IP-Adressen auf. Welche Personen kannst
Du zuordnen?

198.20.69.98 - - [13/Apr/2018:04:31:12 +0200] "GET / HTTP/1.1" 200 2951
"-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like
Gecko) Chrome/34.0.1847.137 Safari/537.36"
95.88.36.91 - - [13/Apr/2018:18:17:04 +0200] "GET / HTTP/1.1" 200 3011
"-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:59.0) Gecko/20100101
Firefox/59.0"
95.88.36.91 - - [13/Apr/2018:18:17:05 +0200] "GET /favicon.ico HTTP/1.1"
404 541 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:59.0)
Gecko/20100101 Firefox/59.0"

Offensichtlich keine. Klar, Du könntest versuchen, z.B. bei https://
centralops.net/co/ den Provider zu identifizieren. Der wäre vielleicht
dazu in der Lage.

Ich verrate Dir mal was: 52000817 ist meine Kundennummer. Bei einer
Firma, die ich jetzt nicht nenne. Die Zahl 52000817 ist also prinzipiell
personenbeziehbar, weil diese Firma dieser Zahl meinen Namen, meine
Adresse und noch einiges mehr zuordnen kann.
Nach der von Dir vertretenen Logik verstößt Du ab jetzt gegen
Datenschutzbestimmungen, wenn Du irgendwo auf Deinem Rechner diese Zahl
speicherst.
Klar kannst Du nicht herausfinden, um welche Firma es sich handelt. Aber
das können u.a. meine Bank mit Blick in die Überweisungen, das Finanzamt
durch Zugriff auf alle Rechnungen, und natürlich die einschlägigen
Dienste.

--

[Rupert Haselbeck]

Andre Eiger schrieb:

> Am Wed, 18 Apr 2018 14:32:44 +0200 schrieb F. Werner:
>> Am 18.04.2018 um 09:19 schrieb Ulrich Maier:
>>>> Warum sollte er das nicht können? Ich kann das, ohne irgendwelche
>>>> Programme zu installieren (Apache Protokoll).
>>
>>> Nein, das kannst Du auch nicht. Weil Du die Zuordnung Person -
>>> IP-Adresse nicht hast.
>>
>> Rufe zu einer bestimmten Zeit meinen Server auf und ich sage Dir, welche
>> IP-Adresse Du hast.
>
> Du kannst zwar das Server-Log beobachten und sehen, von welchen IP-
> Adressen gerade Verbindungen aufgebaut werden, nur weißt *Du* nicht von
> wem!

Dann sind es zu diesem Zeitpunkt für diesen Serverbetreiber bzw. den hier
Verantwortlichen keine personenbezogenen Daten. Sie sind grundsätzlich wohl
personenbeziehbar, aber es bedarf dazu weiterer Informationen, welche der
Betroffene bzw. der Auskunftheischende dem Verantwortlichen zur Verfügung
stellen müsste, damit letzterer seiner Pflicht nachkommen könnte. Denn der
Verantwortliche darf keine Information über Dritte mitteilen und müsste also
sicherstellen können, dass die Daten dem Anfragenden zuzuordnen sind

>> Anderenfalls könnte die Staatsanwaltschaft die IP-Adresse von Deinem
>> Provider abrufen. Deshalb ist niemand anonym im Internet unterwegs.

Ja, natürlich kann das die Staatsanwaltschaft, sofern die gesetzlichen
Voraussetzungen vorliegen. Das tut hier aber nichts zur Sache

> Jetz mach's mal konkret. Hier ein paar Zeilen aus dem Access-Log eines
> Apache2-Servers. Es tauchen zwei IP-Adressen auf. Welche Personen kannst
> Du zuordnen?
>
> 198.20.69.98 - - [13/Apr/2018:04:31:12 +0200] "GET / HTTP/1.1" 200 2951
> "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like
> Gecko) Chrome/34.0.1847.137 Safari/537.36"
> 95.88.36.91 - - [13/Apr/2018:18:17:04 +0200] "GET / HTTP/1.1" 200 3011
> "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:59.0) Gecko/20100101
> Firefox/59.0"
> 95.88.36.91 - - [13/Apr/2018:18:17:05 +0200] "GET /favicon.ico HTTP/1.1"
> 404 541 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:59.0)
> Gecko/20100101 Firefox/59.0"
>
> Offensichtlich keine. Klar, Du könntest versuchen, z.B. bei https://
> centralops.net/co/ den Provider zu identifizieren. Der wäre vielleicht
> dazu in der Lage.

Das ist völlig unerheblich. Der Verantwortliche ist nicht verpflichtet, aus
dem Gesichtspunkt der Datensparsamkeit auch nicht berechtigt, Daten nur zu
dem Zweck der Auskunfterteilung zu erheben. Er braucht nur diejenigen Daten
zu übermitteln, welche dem Anfragenden zuzuordnen sind. Und mehr darf er
auch nicht

MfG
Rupert

[Rupert Haselbeck]

Wolfgang Jäth schrieb:

> Zum zweiten liegen die Daten im Logfile, wie du richtig einwendest, in
> einer Form vor, die es dem betreffenden Websitebetreiber "nicht mehr
> oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und
> Arbeitskraft" (§ 3 Abs. 6 BDSG) ermöglichen, sie einer bestimmten oder
> bestimmbaren natürlichen Person zuordnen zu können. Und gemäß dieser
> Definition gelten sie somit als anonymisiert. Wie gesagt, der Benutzer
> kann viel verlangen ...

Du redest vom bisherigen REchtszustand. Alle anderen unterhalten sich über
die Rechtslage nach der DSGVO, welche alle diejenigen Regelungen des BDSG
unwirksam werden lässt, welche dazu nicht konform sind.
Um hier beizutragen, müsstest du dich an der DSGVO und der danach erlassenen
nationalen Datenschutzgesetzgebung orientieren.
Die DSGVO gibt sehr weitgehende Auskunftsrechte und Vorab-
Informationspflichten

MfG
Rupert

[Ulrich Maier]

Am 18.04.2018 um 17:26 schrieb Helmut Richter:
> On Wed, 18 Apr 2018, Ulrich Maier wrote:
>
>>> Ich denke vom Provider...
>>
>> Die sagt der Dir aber nicht ohne Weiteres! Genau deswegen ist es ja die Frage,
>> ob die Person als aus der IP-Adresse bestimmbar gilt (dann personenbezogenes
>> Datum) oder nicht (dann kein personenbezogenes Datum).
>>
>> Der BGH hat in dem genannten Urteil entschieden, dass sie als bestimmbar
>> gelte, also als personenbezogenes Datum. Lies dort nach!
>
> Ich habe das Urteil so zur Kenntnis genommen, halte es – aus meinem
> Laienverstand – aber für fragwürdig. Nachdem die Bestimmung nicht nur
> von zweifelhafter Durchführbarkeit und bei Gelingen von zweifelhafter
> Aussagekraft ist, hätte ich es für richtiger gehalten, nicht das
> zufällige Speichern von vielleicht zuordenbaren Daten zu verbieten,
> sondern lieber das Zuordnen, z.B. durch Führen von Listen mit solchen
> Zuordnungen, die man irgendwie erfahren hat.

Gemäß § 3 Absatz 1 BDSG sind "Personenbezogene Daten ... Einzelangaben
über persönliche oder sachliche Verhältnisse einer bestimmten oder
bestimmbaren natürlichen Person...".

In der DSGVO Artikel 4 Nr. 1 heißt es analog: "Personenbezogene Daten
alle Informationen, die sich auf eine identifizierte oder
identifizierbare natürliche Person ... beziehen".

Die IP-Adresse alleine ist also noch nichts, erst im Kontext wird sie
zur Information. Also: IP-Adresse x besuchte am y um z Uhr die
Pornoseite XYZ. Wie Du Dich vielleicht erinnerst, wurden solche
Informationen für Abmahnunegen von Pornoseiten-Besuchern benutzt (ja, es
war illegal, die Kanzlei existiert nicht mehr). Aber es ist passiert.
Besucher anderer Portale werden aus anderen Gründen gerne anonym bleiben
wollen.

Ulrich

[Ulrich Maier]

Am 18.04.2018 um 21:30 schrieb Rupert Haselbeck:

>> Du kannst zwar das Server-Log beobachten und sehen, von welchen IP-
>> Adressen gerade Verbindungen aufgebaut werden, nur weißt *Du* nicht von
>> wem!
>
> Dann sind es zu diesem Zeitpunkt für diesen Serverbetreiber bzw. den hier
> Verantwortlichen keine personenbezogenen Daten.

Das zitierte BGH-Urteil sieht es anders, Ulrich.

[Ulrich Maier]

Am 18.04.2018 um 18:20 schrieb Wolfgang Jäth:

> § 3 Abs. 6 BDSG:
> | Anonymisieren ist das Verändern personenbezogener Daten derart, dass
> | die Einzelangaben über persönliche oder sachliche Verhältnisse nicht
> | mehr *oder* *nur* *mit* *einem* *unverhältnismäßig* *großen* *Aufwand*
> | *an* *Zeit* [Hervorhebung von mir], Kosten und Arbeitskraft einer
> | bestimmten oder bestimmbaren natürlichen Person zugeordnet werden
> | können.
>
> Jetzt überleg mal, mit welchem Zeit- und Arbeitsaufwand *Du* eine
> beliebige IP-Adresse aus dem Log einer bestimmten Person zuordnen kannst.

Es kostet Dich (bzw. Deinen Anwalt) einen Brief ans Gericht und einen
zweiten an den Provider. Es entstehen nicht einmal Kosten, da diese vom
Beschuldigten ersetzt werden (wenn tatsächlich Fehlverhalten vorliegt).
Der BGH sah darin keinen unverhältmäßigen Aufwand! Tatsächlich wird
dieser Weg täglich vielfach beschritten.

U.

[Wolfgang Jäth]

Am 18.04.2018 um 22:48 schrieb Ulrich Maier:
>
> Am 18.04.2018 um 18:20 schrieb Wolfgang Jäth:
>
>> § 3 Abs. 6 BDSG:
>> | Anonymisieren ist das Verändern personenbezogener Daten derart, dass
>> | die Einzelangaben über persönliche oder sachliche Verhältnisse nicht
>> | mehr *oder* *nur* *mit* *einem* *unverhältnismäßig* *großen* *Aufwand*
>> | *an* *Zeit* [Hervorhebung von mir], Kosten und Arbeitskraft einer
>> | bestimmten oder bestimmbaren natürlichen Person zugeordnet werden
>> | können.
>>
>> Jetzt überleg mal, mit welchem Zeit- und Arbeitsaufwand *Du* eine
>> beliebige IP-Adresse aus dem Log einer bestimmten Person zuordnen kannst.
>
> Es kostet Dich (bzw. Deinen Anwalt) einen Brief ans Gericht und einen
> zweiten an den Provider.

Und du glaubst wirklich, das Gericht würrde dir dann so ohne weiteres
mitteilen, unter welcher IP Kunde K, der von dir Löschung verlangt, sich
seinerzeit für deine Website interessiert hat, damit du gezielt diese IP
aus dem Log entfernen kannst????ßßßscharfesSscharfesS

Ich glaube, du hast den Sinn und Zweck von Gerichten nicht ganz verstanden.

> Es entstehen nicht einmal Kosten, da diese vom
> Beschuldigten ersetzt werden (wenn tatsächlich Fehlverhalten vorliegt).

Hö? Welcher Straftat o. ä. hätte sich denn deiner Meinung nach K durch
die Einforderung des ihm unter Umständen durchaus zustehenden Rechtes
auf Löschung seiner Daten schuldig gemacht haben können?

> Der BGH sah darin keinen unverhältmäßigen Aufwand! Tatsächlich wird
> dieser Weg täglich vielfach beschritten.

Wegen eines simplen Löschungsersuchens gemäß § 35 Abs. 2 Satz 3 BGB? Das
Kraut, das du rauchst, möchte ich auch haben.

[Ulrich Maier]

Am 19.04.2018 um 07:36 schrieb Wolfgang Jäth:
> Am 18.04.2018 um 22:48 schrieb Ulrich Maier:
>>
>> Am 18.04.2018 um 18:20 schrieb Wolfgang Jäth:
>>
>>> § 3 Abs. 6 BDSG:
>>> | Anonymisieren ist das Verändern personenbezogener Daten derart, dass
>>> | die Einzelangaben über persönliche oder sachliche Verhältnisse nicht
>>> | mehr *oder* *nur* *mit* *einem* *unverhältnismäßig* *großen* *Aufwand*
>>> | *an* *Zeit* [Hervorhebung von mir], Kosten und Arbeitskraft einer
>>> | bestimmten oder bestimmbaren natürlichen Person zugeordnet werden
>>> | können.
>>>
>>> Jetzt überleg mal, mit welchem Zeit- und Arbeitsaufwand *Du* eine
>>> beliebige IP-Adresse aus dem Log einer bestimmten Person zuordnen kannst.
>>
>> Es kostet Dich (bzw. Deinen Anwalt) einen Brief ans Gericht und einen
>> zweiten an den Provider.
>
> Und du glaubst wirklich, das Gericht würrde dir dann so ohne weiteres
> mitteilen,

Nein, natürlich nicht.

Aber Du argumentierst, dass die IP-Adresse als Anonymisierung kein
personengeschütztes Datum sei. Und das ist eben Unsinn.

> unter welcher IP Kunde K, der von dir Löschung verlangt, sich
> seinerzeit für deine Website interessiert hat, damit du gezielt diese IP
> aus dem Log entfernen kannst?

Wenn der Webseitenbetreiber die IP-Adressen nicht zuordnen kann, wird er
auf ein entsprechendes Löschungsbegehren hin wohl alle IP-Adressen
löschen müssen (zumindest soweit er nicht nachweisen kann, dass sie
nicht personenbezogen sind bzw. ihm eine Einwilligung vorliegt).

> Das Kraut, das du rauchst, möchte ich auch haben.

Dein Selbstbewusstsein angesichts der Tatsache, dass Dir zu fast jedem
Deiner fantasievollen Postings erklärt wird, dass sie falsch oder Unsinn
sind, ist bemerkenswert.

Ulrich

[Wolfgang Jäth]

Am 19.04.2018 um 10:09 schrieb Ulrich Maier:
>
>>> Am 18.04.2018 um 18:20 schrieb Wolfgang Jäth:
>>>
>>>> § 3 Abs. 6 BDSG:
>>>> | Anonymisieren ist das Verändern personenbezogener Daten derart, dass
>>>> | die Einzelangaben über persönliche oder sachliche Verhältnisse nicht
>>>> | mehr *oder* *nur* *mit* *einem* *unverhältnismäßig* *großen* *Aufwand*
>>>> | *an* *Zeit* [Hervorhebung von mir], Kosten und Arbeitskraft einer
>>>> | bestimmten oder bestimmbaren natürlichen Person zugeordnet werden
>>>> | können.
>>>>
>>>> Jetzt überleg mal, mit welchem Zeit- und Arbeitsaufwand *Du* eine
>>>> beliebige IP-Adresse aus dem Log einer bestimmten Person zuordnen kannst.
>>>
>>> Es kostet Dich (bzw. Deinen Anwalt) einen Brief ans Gericht und einen
>>> zweiten an den Provider.
>>
>> Und du glaubst wirklich, das Gericht würrde dir dann so ohne weiteres
>> mitteilen,
>
> Nein, natürlich nicht.
>
> Aber Du argumentierst, dass die IP-Adresse als Anonymisierung kein
> personengeschütztes Datum sei. Und das ist eben Unsinn.

Richtig, es ist Unsinn, dass ich so argumentieren würde;
personengeschützte Daten gibt es nämlich überhaupt nicht, sondern
höchstens personenbezogene.

Und genau das habe ich auch ausgesagt: Die IP-Adresse *im* *Log-File*
liegt nur in anonymisierter Form vor, d. h. dem Log-File-Betreiber ist
es, wenn überhaupt, dann nur unter übermäßigen Aufwand möglich, einen
*Personenbezug* her zu stellen. Und meine Aussage bezieht sich auch
*nur* auf das Vorkommen in üblichen Logfiles, nicht auf beliebige
Vorkommen von IP-Adressen generell, wie du das sinnentstellend behauptest.

>> Das Kraut, das du rauchst, möchte ich auch haben.
>
> Dein Selbstbewusstsein angesichts der Tatsache, dass Dir zu fast jedem
> Deiner fantasievollen Postings erklärt wird, dass sie falsch oder Unsinn
> sind, ist bemerkenswert.

Ja, klar; schick mir einfach mal ein bisschen von dem Kraut.

[Ulrich Maier]

Am 19.04.2018 um 13:43 schrieb Wolfgang Jäth:

> Und genau das habe ich auch ausgesagt: Die IP-Adresse *im* *Log-File*
> liegt nur in anonymisierter Form vor, d. h. dem Log-File-Betreiber ist
> es, wenn überhaupt, dann nur unter übermäßigen Aufwand möglich, einen
> *Personenbezug* her zu stellen.

Du kannst gerne weiterfantasieren.

"Die dynamische IP-Adresse, die von einem Anbieter von
Online-Mediendiensten beim Zugriff einer Person auf eine Internetseite,
die dieser Anbieter allgemein zugänglich macht, gespeichert wird, stellt
für den Anbieter ein personenbezogenes Datum dar."

Wie diese Entscheidung des BGH in Deinem Sinne verstanden werden kann,
wird Dein Geheimnis bleiben.

Ulrich

[Rupert Haselbeck]

Ulrich Maier schrieb:

> Wenn der Webseitenbetreiber die IP-Adressen nicht zuordnen kann, wird er
> auf ein entsprechendes Löschungsbegehren hin wohl alle IP-Adressen
> löschen müssen (zumindest soweit er nicht nachweisen kann, dass sie
> nicht personenbezogen sind bzw. ihm eine Einwilligung vorliegt).

Wie kommst du denn auf derartige Vorstellungen? Kannst du das irgendwie am
Gesetz festmachen?

Wenn der Webseitenprovider zu keiner Zuordnung zu natürlichen Personen in
der Lage ist, dann lässt sich vortrefflich darüber sinnieren, ob die IP-
Adressen in seiner Hand für ihn personenbezogene Daten sein können :->

> Dein Selbstbewusstsein angesichts der Tatsache, dass Dir zu fast jedem
> Deiner fantasievollen Postings erklärt wird, dass sie falsch oder Unsinn
> sind, ist bemerkenswert.

Sowas ausgerechnet von dir - stark...

MfG
Rupert

[Ulrich Maier]

Am 19.04.2018 um 18:40 schrieb Rupert Haselbeck:
> Ulrich Maier schrieb:
>
>> Wenn der Webseitenbetreiber die IP-Adressen nicht zuordnen kann, wird er
>> auf ein entsprechendes Löschungsbegehren hin wohl alle IP-Adressen
>> löschen müssen (zumindest soweit er nicht nachweisen kann, dass sie
>> nicht personenbezogen sind bzw. ihm eine Einwilligung vorliegt).
>
> Wie kommst du denn auf derartige Vorstellungen? Kannst du das irgendwie am
> Gesetz festmachen?

Was bleibt übrig, wenn er personenbezogene Daten speichert und diese
nicht gezielt löschen kann? Welche mildere Lösung schlägst Du vor, die
Forderung des Besuchers nach Löschung seiner IP-Adressen zu realisieren?

> Wenn der Webseitenprovider zu keiner Zuordnung zu natürlichen Personen in
> der Lage ist, dann lässt sich vortrefflich darüber sinnieren, ob die IP-
> Adressen in seiner Hand für ihn personenbezogene Daten sein können

Wo hast Du denn das her, dass es auf die Bezugsperson ankommt, ob Daten
personenbeziehbar sind? Wenn die Daten beschlagnahmt und dann die
Verwender der IP-Adressen bei den Providern abgefragt werden, ist der
Bezug hergestellt.

Ulrich

[Rupert Haselbeck]

Ulrich Maier schrieb:

> Am 19.04.2018 um 18:40 schrieb Rupert Haselbeck:
>> Ulrich Maier schrieb:
>>
>>> Wenn der Webseitenbetreiber die IP-Adressen nicht zuordnen kann, wird er
>>> auf ein entsprechendes Löschungsbegehren hin wohl alle IP-Adressen
>>> löschen müssen (zumindest soweit er nicht nachweisen kann, dass sie
>>> nicht personenbezogen sind bzw. ihm eine Einwilligung vorliegt).
>>
>> Wie kommst du denn auf derartige Vorstellungen? Kannst du das irgendwie
>> am Gesetz festmachen?
>
> Was bleibt übrig, wenn er personenbezogene Daten speichert und diese
> nicht gezielt löschen kann? Welche mildere Lösung schlägst Du vor, die
> Forderung des Besuchers nach Löschung seiner IP-Adressen zu realisieren?

Mit welcher gesetzlichen Regelung begründet der Besucher denn seinen
angeblichen Anspruch auf Löschung? Welcher Paragraf schafft den
Löschungsanspruch? Kann denn da jeder bei jedem anklopfen und rufen "Lösche
meine Daten!"?
Was ist, wenn die speichernde Stelle die Daten aufgrund gesetzlicher
Regelung nicht löschen darf?

>> Wenn der Webseitenprovider zu keiner Zuordnung zu natürlichen Personen in
>> der Lage ist, dann lässt sich vortrefflich darüber sinnieren, ob die IP-
>> Adressen in seiner Hand für ihn personenbezogene Daten sein können
>
> Wo hast Du denn das her, dass es auf die Bezugsperson ankommt, ob Daten
> personenbeziehbar sind? Wenn die Daten beschlagnahmt und dann die
> Verwender der IP-Adressen bei den Providern abgefragt werden, ist der
> Bezug hergestellt.

Na also. Schaffst du die Kurve also doch noch, wenn man ein wenig
anschiebt...

MfG
Rupert

[Ulrich Maier]

Am 19.04.2018 um 19:10 schrieb Rupert Haselbeck:

>>>> Wenn der Webseitenbetreiber die IP-Adressen nicht zuordnen kann, wird er
>>>> auf ein entsprechendes Löschungsbegehren hin wohl alle IP-Adressen
>>>> löschen müssen (zumindest soweit er nicht nachweisen kann, dass sie
>>>> nicht personenbezogen sind bzw. ihm eine Einwilligung vorliegt).
>>>
>>> Wie kommst du denn auf derartige Vorstellungen? Kannst du das irgendwie
>>> am Gesetz festmachen?
>>
>> Was bleibt übrig, wenn er personenbezogene Daten speichert und diese
>> nicht gezielt löschen kann? Welche mildere Lösung schlägst Du vor, die
>> Forderung des Besuchers nach Löschung seiner IP-Adressen zu realisieren?
>
> Mit welcher gesetzlichen Regelung begründet der Besucher denn seinen
> angeblichen Anspruch auf Löschung?

Er braucht keinen.

> Welcher Paragraf schafft den Löschungsanspruch?

Sind wir hier in einer Prüfung? Weißt Du es wirklich nicht?

>>> Wenn der Webseitenprovider zu keiner Zuordnung zu natürlichen Personen in
>>> der Lage ist, dann lässt sich vortrefflich darüber sinnieren, ob die IP-
>>> Adressen in seiner Hand für ihn personenbezogene Daten sein können
>>
>> Wo hast Du denn das her, dass es auf die Bezugsperson ankommt, ob Daten
>> personenbeziehbar sind? Wenn die Daten beschlagnahmt und dann die
>> Verwender der IP-Adressen bei den Providern abgefragt werden, ist der
>> Bezug hergestellt.
>
> Na also. Schaffst du die Kurve also doch noch, wenn man ein wenig
> anschiebt...

Das ist schon ein sehr starker Abgang nach Offenbarung derartiger
Wissenslücken!

Ulrich

[Andre Eiger]

Exakt, mein Reden: Andreas Borutta als Betreiber der Webseite kann die IP-
Adressen in seinem Apache-Server-Log keiner Person zuordnen. Für ihn sind
es keine personenbeziehbare Daten. Logischerweise kann und muss er dem
Anfrager nicht mitteilen, unter welcher IP-Adresse dieser wann auf die
Webseite zugegriffen hat.
Wenn man aber diese IP-Adressen als personenbezogene Daten interpretiert,
wie es Ulrich Maier mit Bezug auf ein einschlägiges BGH-Urteil tut, folgt
daraus nach der neuen DSGV ein Auskunftsrecht des Anfragers, das Andreas
Borutta unmöglich erfüllen kann. Das nenne ich einen logischen
Kurzschluss.

--

[Ulrich Maier]

Am 19.04.2018 um 20:13 schrieb Andre Eiger:

>>> Offensichtlich keine. Klar, Du könntest versuchen, z.B. bei https://
>>> centralops.net/co/ den Provider zu identifizieren. Der wäre vielleicht
>>> dazu in der Lage.
>>
>> Das ist völlig unerheblich. Der Verantwortliche ist nicht verpflichtet,
>> aus dem Gesichtspunkt der Datensparsamkeit auch nicht berechtigt, Daten
>> nur zu dem Zweck der Auskunfterteilung zu erheben. Er braucht nur
>> diejenigen Daten zu übermitteln, welche dem Anfragenden zuzuordnen sind.
>> Und mehr darf er auch nicht
>
> Exakt, mein Reden: Andreas Borutta als Betreiber der Webseite kann die IP-
> Adressen in seinem Apache-Server-Log keiner Person zuordnen. Für ihn sind
> es keine personenbeziehbare Daten.

Wie ich bereits erklärte: Für die Personenbeziehbarkeit kommt es nicht
auf die Bezugsperson an!

> Logischerweise kann

Das ist das Problem des Anbieters.

> und muss er dem Anfrager nicht

Das kannst Du durch eine Norm oder ggf. ein Urteil belegen?

> mitteilen, unter welcher IP-Adresse dieser wann auf die Webseite zugegriffen hat. Wenn man aber diese IP-Adressen als personenbezogene Daten interpretiert, wie es Ulrich Maier mit Bezug auf ein einschlägiges BGH-Urteil tut,

Das ist zumindest keine schlechte Vorgehensweise...

(Dass die Frage lange Zeit umstritten war, hatte ich erwähnt. Sie ist
aber nun entschieden.)

> folgt daraus nach der neuen DSGV ein Auskunftsrecht des Anfragers, das Andreas
> Borutta unmöglich erfüllen kann. Das nenne ich einen logischen
> Kurzschluss.

Nein. Der Webseitenbetreiber braucht die IP-Adressen einfach nicht zu
speichern!

Ulrich

[Andre Eiger]

Ja, unbestritten. Natürlich dürfte das BGH-Urteil in einem konkreten
Verfahren eine hohe Relevanz haben. Allerdings halte ich den BGH nicht
für unfehlbar. Vor dem Hintergrund der DSGVO erscheint mir die pauschale
Bewertung von IP-Adressen als personenbezogene Daten fragwürdiger denn je.

> (Dass die Frage lange Zeit umstritten war, hatte ich erwähnt. Sie ist
> aber nun entschieden.)
>
>> folgt daraus nach der neuen DSGV ein Auskunftsrecht des Anfragers, das
>> Andreas Borutta unmöglich erfüllen kann. Das nenne ich einen logischen
>> Kurzschluss.
>
> Nein. Der Webseitenbetreiber braucht die IP-Adressen einfach nicht zu
> speichern!

Das hört sich einfach an, da sie aber für die technische Verbindung
zwischen Server und Browser benutzt werden, ist eine wenn auch nur
kurzzeitige Speicherung auf dem Server unumgänglich. Lässt sich aus dem
BGH-Urteil eine Karenzzeit ableiten, und wenn ja, wie lange? Und den
Gedanken muss man ja auch noch auf alle weiteren IP-Verbindungen im
Internet ausdehnen.

So lassen sich völlig krude Sachverhalte konstruieren: Wenn Du meine
private Webseite aufrufst, die ich bei mir zu Hause betreibe, dann
speichert Dein Browser in seinem Cache die dynamische IP-Adresse, die mir
mein Provider gerade zugewiesen hat. Ein Datenschutzthema?

Damit ein Server auf keinen Fall die vom Provider dem Anschlussinhaber
zugewiesene dynamische IP-Adresse mitbekommt und nach der aktuellen
Interpretation des BGH dem Serverbetreiber ein Datenschutzthema mit allen
damit verbundenen Pflichten beschert, wären ein Anonymisierungsnetzwerk
wie TOR oder ein VPN-Provider nötig.

--

[Ulrich Maier]

Da musst Du Dir dann aber schon gute Gründe zurechtlegen. Dem BGH-Urteil
liegt u.a. auch eine Anfrage beim EuGH zugrunde...

>> (Dass die Frage lange Zeit umstritten war, hatte ich erwähnt. Sie ist
>> aber nun entschieden.)
>>
>>> folgt daraus nach der neuen DSGV ein Auskunftsrecht des Anfragers, das
>>> Andreas Borutta unmöglich erfüllen kann. Das nenne ich einen logischen
>>> Kurzschluss.
>>
>> Nein. Der Webseitenbetreiber braucht die IP-Adressen einfach nicht zu
>> speichern!
>
> Das hört sich einfach an, da sie aber für die technische Verbindung
> zwischen Server und Browser benutzt werden, ist eine wenn auch nur
> kurzzeitige Speicherung auf dem Server unumgänglich.

Beim Löschungsbegehren eines Betroffenen geht es ja auch nicht um die
kurzfristige, technisch bedingte Speicherung während der Session, nicht
einmal um eine eventuell darüber hinausgehende Speicherung von einigen
Tagen, um ggf. auf Unregelmäßigkeiten reagieren zu können, sondern um
eine techisch überhaupt nicht mehr erforderliche langfristige Speicherung.

> Lässt sich aus dem BGH-Urteil eine Karenzzeit ableiten, und wenn ja, wie lange?

Die Frist, die für die geforderte Löschung zur Verfügung steht, ist
sicher (deutlich) größer als die technisch erwünschte Speicherdauer der
Logfiles von einigen Tagen. (Viele Speichern überhaupt nicht und
aktivieren die Logs erst, wenn tatsächlich Probleme auftreten.)

> So lassen sich völlig krude Sachverhalte konstruieren: Wenn Du meine
> private Webseite aufrufst, die ich bei mir zu Hause betreibe, dann
> speichert Dein Browser in seinem Cache die dynamische IP-Adresse, die mir
> mein Provider gerade zugewiesen hat. Ein Datenschutzthema?

Ja. Aber wie lange wird die Adresse gespeichert!? Wenn sie langfristig
gespeichert bleibt, ist bei dem Brwoser etwas nicht richtig konfiguriert.


Ulrich

[Rupert Haselbeck]

Andre Eiger schrieb:

> Wenn man aber diese IP-Adressen als personenbezogene Daten interpretiert,
> wie es Ulrich Maier mit Bezug auf ein einschlägiges BGH-Urteil tut, folgt
> daraus nach der neuen DSGV ein Auskunftsrecht des Anfragers, das Andreas
> Borutta unmöglich erfüllen kann. Das nenne ich einen logischen
> Kurzschluss.

Ach was. Man sollte sich einfach nur die Mühe machen, den Kontext von
Entscheidungen zur Kenntnis zu nehmen (und zu verstehen...).
Und man sollte sich überdies der Mühe unterziehen, nicht am blanken
Gesetzestext haften zu wollen, sondern die Systematik des Gesetzes mit in
Betracht zu ziehen.
Ja, und man sollte allmählich die DSGVO und die daran angepassten nationalen
Gesetze zur Kenntnis zu nehmen.
Wer behauptet eigentlich, es sei unzulässig, (nach bisheriger oder auch nach
neuer Rechtslage) die IP-Adressen von Clients zu speichern, welche sich an
einen Server wenden, um dort Daten abzurufen? Welche Vorschrift gewährt für
diesen Fall einen Löschungsanspruch?
Selbst die DSGVO gewährt nur einen Anspruch auf Überlassung einer Kopie der
gespeicherten Daten einer natürlichen Person. Aber auch dort gibt es nur
einen Anspruch, soweit solche Daten identifizierbar sind. Und solange
dadurch nit die Interessen Dritter beeinträchtigt werden. Und noch ein paar
Kleinigkeiten mehr...

MfG
Rupert

[Rupert Haselbeck]

Ulrich Maier schrieb:

>> Mit welcher gesetzlichen Regelung begründet der Besucher denn seinen
>> angeblichen Anspruch auf Löschung?
>
> Er braucht keinen.

Aha. Na dann ist das Problem ja gelöst. Wer keinen Anspruch braucht, der
wird auch keinen geltend machen können

>> Welcher Paragraf schafft den Löschungsanspruch?
>
> Sind wir hier in einer Prüfung? Weißt Du es wirklich nicht?

Warum frage ich dich denn wohl danach?
Du behauptest, es gebe einen Löschungsanspruch. Da muß es dir doch
leichtfallen, uns die gesetzliche Vorschrift zu nennen, welche diesen
Anspruch begründen kann

>> Na also. Schaffst du die Kurve also doch noch, wenn man ein wenig
>> anschiebt...
>
> Das ist schon ein sehr starker Abgang nach Offenbarung derartiger
> Wissenslücken!

Ja. Du solltest jetzt aber noch zu verstehen versuchen, worin die
Unterschiede bestehen.
Ach ja, ein Tip dazu: Weder der nationale noch der europäische Normengeber
wollen und können unmögliche Pflichten normieren

MfG
Rupert

[Ulrich Maier]

Am 19.04.2018 um 22:50 schrieb Rupert Haselbeck:

>> Wenn man aber diese IP-Adressen als personenbezogene Daten interpretiert,
>> wie es Ulrich Maier mit Bezug auf ein einschlägiges BGH-Urteil tut, folgt
>> daraus nach der neuen DSGV ein Auskunftsrecht des Anfragers, das Andreas
>> Borutta unmöglich erfüllen kann. Das nenne ich einen logischen
>> Kurzschluss.
>
> Ach was. Man sollte sich einfach nur die Mühe machen, den Kontext von
> Entscheidungen zur Kenntnis zu nehmen (und zu verstehen...).
> Und man sollte sich überdies der Mühe unterziehen, nicht am blanken
> Gesetzestext haften zu wollen, sondern die Systematik des Gesetzes mit in
> Betracht zu ziehen.

Das dieser Diskussion zurgunde liegenden BGH-Urteil ist allerdings alles
andere als das Ergebnis eines am Gesetzestext Haftens.

> Ja, und man sollte allmählich die DSGVO und die daran angepassten nationalen
> Gesetze zur Kenntnis zu nehmen.
> Wer behauptet eigentlich, es sei unzulässig, (nach bisheriger oder auch nach
> neuer Rechtslage) die IP-Adressen von Clients zu speichern, welche sich an
> einen Server wenden, um dort Daten abzurufen?

Soweit sich dadurch natürliche Personen identifizieren lassen:
Vielleicht das zitierte BGH-Urteil?

> Welche Vorschrift gewährt für diesen Fall einen Löschungsanspruch?

Soweit es sich um ein personenbezogenes Datum handelt: Art. 17 DSGVO

> Selbst die DSGVO gewährt nur einen Anspruch auf Überlassung einer Kopie der
> gespeicherten Daten einer natürlichen Person.

Nein. Sie gewährt einen Anspruch auf Löschung, s.o.

Das mit der Kopie ist etwas ganz Anderes und auf IP-Adressen nicht
einmal sinnvoll anwendbar.

> Aber auch dort gibt es nur einen Anspruch, soweit solche Daten identifizierbar sind.

Da Du auch sonst genau formulierst: Soweit durch die Daten (Information)
eine natürliche Person identifizierbar ist.

> Und solange dadurch nit die Interessen Dritter beeinträchtigt werden. Und noch ein paar
> Kleinigkeiten mehr...

Interesse reicht allerdings nicht! Es müssen schon ziemlich triftige
Gründe vorliegen.

Ulrich

[Ulrich Maier]

Am 19.04.2018 um 23:10 schrieb Rupert Haselbeck:
> Ulrich Maier schrieb:
>
>>> Mit welcher gesetzlichen Regelung begründet der Besucher denn seinen
>>> angeblichen Anspruch auf Löschung?
>>
>> Er braucht keinen.

... Grund. Ja das Wort fehlte.

> Aha. Na dann ist das Problem ja gelöst. Wer keinen Anspruch braucht, der
> wird auch keinen geltend machen können

Dass es nicht der "Anspruch" sein konnte, ergibt sich aus der
Satzkonstruktion. Aber offenbar gehen Dir diesmal tatsächlich die
Argumente aus.

>>> Welcher Paragraf schafft den Löschungsanspruch?
>>
>> Sind wir hier in einer Prüfung? Weißt Du es wirklich nicht?
>
> Warum frage ich dich denn wohl danach?
> Du behauptest, es gebe einen Löschungsanspruch. Da muß es dir doch
> leichtfallen, uns die gesetzliche Vorschrift zu nennen, welche diesen
> Anspruch begründen kann

Wenn Du die Normen nicht kennst, solltest Du vielleicht etwas
zurückhaltender formulieren.

Artikel 3 DSGVO, § 35 BDSG.

>>> Na also. Schaffst du die Kurve also doch noch, wenn man ein wenig
>>> anschiebt...
>>
>> Das ist schon ein sehr starker Abgang nach Offenbarung derartiger
>> Wissenslücken!
>
> Ja. Du solltest jetzt aber noch zu verstehen versuchen, worin die
> Unterschiede bestehen.
> Ach ja, ein Tip dazu: Weder der nationale noch der europäische Normengeber
> wollen und können unmögliche Pflichten normieren

Natürlich nicht. Allerdings wurde bisher keine unmögliche Pflicht genannt.

Ulrich

[Andreas Borutta]

Andre Eiger schrieb:

> Am Thu, 19 Apr 2018 20:33:28 +0200 schrieb Ulrich Maier:

>> [...] Der Webseitenbetreiber braucht die IP-Adressen einfach nicht zu

>> speichern!
>
> Das hört sich einfach an, da sie aber für die technische Verbindung
> zwischen Server und Browser benutzt werden, ist eine wenn auch nur
> kurzzeitige Speicherung auf dem Server unumgänglich.

Weiter oben im Thread wurden als Beispiele für eine minimale
Datenschutzerklärung zwei Sites von mit Datenschutz befassten Behörden
genannt.

Eine war: <https://www.datenschutz-bayern.de/ODSP.htm>

Dort heißt es:

| Protokollierung
|
| Auf dem Webserver des Bayerischen Landesbeauftragten für den
| Datenschutz werden keine IP-Adressen oder andere personenbezogenen
| Daten protokolliert.

Ich bin technisch zur Administration von Webseiten nicht kundig.

Wenn ich die Aussage richtig verstehe, dann hat der Website-Betreiber
einen Weg gefunden, /gar keine/ IP-Adressen zu protokollieren.

Falls hier jemand mit entsprechenden Kenntnissen mitliest:
Ist das glaubwürdig?
Kann ein (Apache-)Server so konfiguriert werden?

Angenommen das geht, dann könnte man seinen Webhoster bitten, dies
ebenso zu handhaben und sich dies in einem Vertrag zur
Auftragsverarbeitung schriftlich bestätigen lassen. Oder ist der
Webhoster durch Gesetze zur Protokollierung verpflichtet?

Was Anderes:
Erstaunt war ich über den Disclaimer in der Datenschutzerklärung des
"Bayerischen Landesbeauftragte für den Datenschutz" zu externen Links.

Ist sowas nötig oder Quatsch?

Andreas
--
http://fahrradzukunft.de

[Rupert Haselbeck]

Ulrich Maier schrieb:

> Dass es nicht der "Anspruch" sein konnte, ergibt sich aus der
> Satzkonstruktion. Aber offenbar gehen Dir diesmal tatsächlich die
> Argumente aus.

Aha...

> Wenn Du die Normen nicht kennst, solltest Du vielleicht etwas
> zurückhaltender formulieren.
>
> Artikel 3 DSGVO, § 35 BDSG.

Aha...
Du solltest diese Normen einfach mal lesen. Dort ist mitnichten von den
Dingen die Rede, wie du sie dir vorzustellen scheinst

> Natürlich nicht. Allerdings wurde bisher keine unmögliche Pflicht genannt.

Allmählich fürchte ich, dass ich die Diskussion wohl besser beenden sollte.
Du scheinst ja noch nichtmal die Grundlagen des Rechts zu beherrschen

MfG
Rupert

[Ulrich Maier]

Am 19.04.2018 um 23:55 schrieb Andreas Borutta:
> Andre Eiger schrieb:
>> Am Thu, 19 Apr 2018 20:33:28 +0200 schrieb Ulrich Maier:
>
>>> [...] Der Webseitenbetreiber braucht die IP-Adressen einfach nicht zu
>>> speichern!
>>
>> Das hört sich einfach an, da sie aber für die technische Verbindung
>> zwischen Server und Browser benutzt werden, ist eine wenn auch nur
>> kurzzeitige Speicherung auf dem Server unumgänglich.
>
> Weiter oben im Thread wurden als Beispiele für eine minimale
> Datenschutzerklärung zwei Sites von mit Datenschutz befassten Behörden
> genannt.
>
> Eine war: <https://www.datenschutz-bayern.de/ODSP.htm>
>
> Dort heißt es:
>
> | Protokollierung
> |
> | Auf dem Webserver des Bayerischen Landesbeauftragten für den
> | Datenschutz werden keine IP-Adressen oder andere personenbezogenen
> | Daten protokolliert.
>
> Ich bin technisch zur Administration von Webseiten nicht kundig.
>
> Wenn ich die Aussage richtig verstehe, dann hat der Website-Betreiber
> einen Weg gefunden, /gar keine/ IP-Adressen zu protokollieren.
>
> Falls hier jemand mit entsprechenden Kenntnissen mitliest:
> Ist das glaubwürdig?

Du wirst doch nicht unterstellen wollen, dass der Bayerische
Landesbeauftragte die Unwahrheit sagt!

Ja. Es wurde einfach die Protokollierung abgeschaltet :-)

Oft findet man den zusätzlichen Hinweis: Die Protokollierung wird nur
eingeschalten, wenn Probleme analysiert werden müssen (z. B. nach
Angriffen).

Etwas ganz anderes ist, dass der Webserver die IP-Adresse des Besuchers
speichern muss, um ihm seine Antwort an diese Adresse zusenden zu
können. Danach braucht er aber die IP-Adresse nicht mehr.

> Kann ein (Apache-)Server so konfiguriert werden?

Wohl jeder Webserver.

> Angenommen das geht, dann könnte man seinen Webhoster bitten, dies
> ebenso zu handhaben und sich dies in einem Vertrag zur
> Auftragsverarbeitung schriftlich bestätigen lassen.

Es gibt drei vertretbare Varianten:

a. Protokoll abschalten.
b. Protokoll abschalten und nur zu Problemanalysen anschalten.
c. Protokoll anschalten und nach einer Woche löschen.

Was man tut, sollte man in der Datenschutzerklärung erklären. Mit (c)
ist das risiko verbunden, dass das Löschen versäumt wird. Für die
Protokollierung gibt es in der Regel keinen vernünftigen Grund.

> Was Anderes:
> Erstaunt war ich über den Disclaimer in der Datenschutzerklärung des
> "Bayerischen Landesbeauftragte für den Datenschutz" zu externen Links.
>
> Ist sowas nötig oder Quatsch?

Sinnvoll. Die Datenschutzbehörde möchte klarstellen, dass sich die Leser
nur auf die Texte der Behörde berufen können.


Ulrich

[Ulrich Maier]

Am 20.04.2018 um 00:00 schrieb Rupert Haselbeck:

> Ulrich Maier schrieb:
>
>> Dass es nicht der "Anspruch" sein konnte, ergibt sich aus der
>> Satzkonstruktion. Aber offenbar gehen Dir diesmal tatsächlich die
>> Argumente aus.
>
> Aha...
>
>> Wenn Du die Normen nicht kennst, solltest Du vielleicht etwas
>> zurückhaltender formulieren.
>>
>> Artikel 3 DSGVO, § 35 BDSG.
>
> Aha...
> Du solltest diese Normen einfach mal lesen. Dort ist mitnichten von den
> Dingen die Rede, wie du sie dir vorzustellen scheinst

Artikel 17 DSGVO ;-)

§ 35 BDSG stimmt.

Wie aus der 17 eine 3 wurde, kann ich mir beim besten Willen nicht erklären.

Und um eine weitere Schleife zu ersparen: Bitte begründe, warum sich
daraus kein Anspruch auf Löschen ergibt.

>> Natürlich nicht. Allerdings wurde bisher keine unmögliche Pflicht genannt.
>
> Allmählich fürchte ich, dass ich die Diskussion wohl besser beenden sollte.
> Du scheinst ja noch nichtmal die Grundlagen des Rechts zu beherrschen

Erklär doch bitte einmal.

Ulrich

[Helmut Richter]

On Thu, 19 Apr 2018, Andreas Borutta wrote:

> Wenn ich die Aussage richtig verstehe, dann hat der Website-Betreiber
> einen Weg gefunden, /gar keine/ IP-Adressen zu protokollieren.
>
> Falls hier jemand mit entsprechenden Kenntnissen mitliest:
> Ist das glaubwürdig?
> Kann ein (Apache-)Server so konfiguriert werden?
>
> Angenommen das geht, dann könnte man seinen Webhoster bitten, dies
> ebenso zu handhaben und sich dies in einem Vertrag zur
> Auftragsverarbeitung schriftlich bestätigen lassen. Oder ist der
> Webhoster durch Gesetze zur Protokollierung verpflichtet?

Wenn der Webseitenbetreiber (also derjenige, der Inhalte erstellt,
Datenschutzerklärungen verfasst und als Verantwortlicher im Impressum
steht) und Hoster/Provider voneinander verschieden sind und der Hoster
dem Betreiber keine Protokolldaten zur Verfügung stellt, dann *hat* ja
der Betreiber gar keine personenbezogenen Daten, über die er Auskunft
erteilen kann. Allenfalls der Hoster hat welche, je nachdem ob und wie
dauerhaft er sie protokolliert. Eine mögliche Datenschutzerklärung
wäre dann "Dem Betreiber des Web-Angebots hat keinen Zugriff auf
personenbezogene Daten der Nutzer des Web-Angebots." Reicht das aus?
Oder haftet der Betreiber für die datenschutzkonforme Arbeit des
Hosters, der in seinem Auftrag tätig ist? Falls ja, wie kann er das
kontrollieren?

--
Helmut Richter

[Wolfgang Jäth]

Am 19.04.2018 um 18:01 schrieb Ulrich Maier:
>
> Am 19.04.2018 um 13:43 schrieb Wolfgang Jäth:
>
>> Und genau das habe ich auch ausgesagt: Die IP-Adresse *im* *Log-File*
>> liegt nur in anonymisierter Form vor, d. h. dem Log-File-Betreiber ist
>> es, wenn überhaupt, dann nur unter übermäßigen Aufwand möglich, einen
>> *Personenbezug* her zu stellen.
>
> Du kannst gerne weiterfantasieren.
>
> "Die dynamische IP-Adresse, die von einem Anbieter von
> Online-Mediendiensten beim Zugriff einer Person auf eine Internetseite,
> die dieser Anbieter allgemein zugänglich macht, gespeichert wird, stellt
> für den Anbieter ein personenbezogenes Datum dar."

<seufz> Und so was Sinnentstelltes kommt dann eben heraus, wenn man halt
nur halb liest und/oder zitiert. </seufz>

Ich darf mal den *Originaltext* in *voller* entscheidender Länge
zitieren (EuGH-Urteil Az. C-582/14, NJW 2016, vom 19. Oktober 2016,
Berichtigt durch Beschluss vom 6. Dezember 2016, auf das das BGH-Urteil
basiert, aus welchem du offensichtlich zu zitieren versuchst):

| Das vorlegende Gericht weist in seiner Vorlageentscheidung zwar darauf
| hin, dass das deutsche Recht es dem Internetzugangsanbieter nicht
| erlaube, dem Anbieter von Online-Mediendiensten die zur
| Identifizierung der betreffenden Person erforderlichen
| Zusatzinformationen direkt zu übermitteln, doch gibt es offenbar –
| vorbehaltlich der vom vorlegenden Gericht insoweit vorzunehmenden
| Prüfungen – für den Anbieter von Online-Mediendiensten rechtliche
| Möglichkeiten, die es ihm erlauben, sich insbesondere im Fall von
| Cyberattacken an die zuständige Behörde zu wenden, damit diese die
| nötigen Schritte unternimmt, um die fraglichen Informationen vom
| Internetzugangsanbieter zu erlangen und die Strafverfolgung
| einzuleiten.
|
| Der Anbieter von Online-Mediendiensten verfügt somit offenbar [*unter*
| *bestimmten* *Umständen*; Anmerkung von mir] über Mittel, die
| vernünftigerweise eingesetzt werden könnten, um mit Hilfe Dritter, und
| zwar der zuständigen Behörde und dem Internetzugangsanbieter, die
| betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu
| lassen.
|
| Nach alledem ist auf die erste Frage zu antworten, dass Art. 2 Buchst.
| a der Richtlinie 95/46 dahin auszulegen ist, dass eine dynamische

| IP-Adresse, die von einem Anbieter von Online-Mediendiensten beim

| Zugriff einer Person auf eine Website, die dieser Anbieter allgemein
| zugänglich macht, gespeichert wird, für den Anbieter ein
| personenbezogenes Datum im Sinne der genannten Bestimmung darstellt,
| *wenn* *er* *über* *rechtliche* *Mittel* *verfügt*, *die* *es* *ihm*
| *erlauben*, *die* *betreffende* *Person* *anhand* *der*
| *Zusatzinformationen*, *über* *die* *der* *Internetzugangsanbieter*
| *dieser* *Person* *verfügt*, *bestimmen* *zu* *lassen*. [Hervorhebung
| von mir]

Und dieser letzte Satz findet sich auch fast wörtlich (und insbesondere
inklusive dem letzten Halbsatz) wieder im BGH-Urteil Az. VI ZR 135/13, vom
16.05.2017.

M. a. W. handelt es sich bei der IP-Adresse *nur* *unter* bestimmten*
*Umständen* um ein personenbezogenes Datum. Aber nix anderes hab ich die
ganze Zeit gesagt. Aber wie gesagt, wenn man beim Zitieren die
(entscheidende) Hälfte weg lässt ...

Wolf 'ob aus Absicht oder Dum^WUnverständnis, lass ich mal dahin
gestellt, sind doch beide Alternativen eh schlimm genug' gang, und jetzt
ist EOD für mich

[Andreas Borutta]

Ulrich Maier schrieb:

> Am 19.04.2018 um 23:55 schrieb Andreas Borutta:

>> Eine war: <https://www.datenschutz-bayern.de/ODSP.htm>
>>
>> Dort heißt es:
>>
>>| Protokollierung
>>|
>>| Auf dem Webserver des Bayerischen Landesbeauftragten für den
>>| Datenschutz werden keine IP-Adressen oder andere personenbezogenen
>>| Daten protokolliert.
>>
>> Ich bin technisch zur Administration von Webseiten nicht kundig.
>>
>> Wenn ich die Aussage richtig verstehe, dann hat der Website-Betreiber
>> einen Weg gefunden, /gar keine/ IP-Adressen zu protokollieren.
>>
>> Falls hier jemand mit entsprechenden Kenntnissen mitliest:
>> Ist das glaubwürdig?
>
> Du wirst doch nicht unterstellen wollen, dass der Bayerische
> Landesbeauftragte die Unwahrheit sagt!
>
> Ja. Es wurde einfach die Protokollierung abgeschaltet :-)
>
> Oft findet man den zusätzlichen Hinweis: Die Protokollierung wird nur
> eingeschalten, wenn Probleme analysiert werden müssen (z. B. nach
> Angriffen).
>
> Etwas ganz anderes ist, dass der Webserver die IP-Adresse des Besuchers
> speichern muss, um ihm seine Antwort an diese Adresse zusenden zu
> können. Danach braucht er aber die IP-Adresse nicht mehr.

OK, dann scheint es um eine Begriffsbestimmung von "Protokollierung"
zu gehen.

Ich ging davon aus, dass jedewede Speicherung einer IP-Adresse,
unabhängig von der Dauer, eine Protokollierung darstellt.

>> Kann ein (Apache-)Server so konfiguriert werden?
>
> Wohl jeder Webserver.
>
>> Angenommen das geht, dann könnte man seinen Webhoster bitten, dies
>> ebenso zu handhaben und sich dies in einem Vertrag zur
>> Auftragsverarbeitung schriftlich bestätigen lassen.
>
> Es gibt drei vertretbare Varianten:
>
> a. Protokoll abschalten.
> b. Protokoll abschalten und nur zu Problemanalysen anschalten.
> c. Protokoll anschalten und nach einer Woche löschen.
>
> Was man tut, sollte man in der Datenschutzerklärung erklären. Mit (c)
> ist das risiko verbunden, dass das Löschen versäumt wird. Für die
> Protokollierung gibt es in der Regel keinen vernünftigen Grund.

OK, dann geht es also (für mich) darum, die Art des
"Protokollierens"/"Speicherns" mit dem Webhoster in einem Vertrag zur
Auftragsdatenverarbeitung zu klären.

Sind Euch vielleicht empfehlenswerte und frei verfügbare Verträge
bekannt, wo es speziell um diese Feinheiten rund um IP-Adressen geht?
Ich freue mich auch über die Zusendung per PM.

>> Was Anderes:
>> Erstaunt war ich über den Disclaimer in der Datenschutzerklärung des
>> "Bayerischen Landesbeauftragte für den Datenschutz" zu externen Links.
>>
>> Ist sowas nötig oder Quatsch?
>
> Sinnvoll. Die Datenschutzbehörde möchte klarstellen, dass sich die Leser
> nur auf die Texte der Behörde berufen können.

Ist das keine Selbstverständlichkeit bei allen Websites mit Links,
dass für die Inhalte externer Links der Betreiber dieser anderen
Website verantwortlich ist?

Gibt es in der DSGVO Vorgaben, die eine solche explizite Distanzierung
zwingend notwendig machen?

Falls ja: ist dann auch eine eindeutige Unterscheidbarkeit von
internen und externen Links erforderlich? Im Beispiel wird ja die
längliche textuelle Form "(externer Link)" gewählt.


Was Anderes:
Auf <https://www.datenschutz-bayern.de/ODSP.htm> gibt es einen Passus
zu sog. "Aktiven Komponenten".

Muss so etwas laut DSGVO in die Datenschutzerklärung?

Der Sinn der DSGVO liegt in meinem bisherigen Verständnis doch darin,
über den Umgang mit übermittelten Daten zu informieren.
Wenn eine Webtechnik keine Daten nach außen übermittelt, muss sie dann
trotzdem im Kontext Datenschutz erwähnt werden?


Andreas
--
http://fahrradzukunft.de

[Andreas Borutta]

Wolfgang Jäth schrieb:

> Ich darf mal den *Originaltext* in *voller* entscheidender Länge
> zitieren (EuGH-Urteil Az. C-582/14, NJW 2016, vom 19. Oktober 2016,
> Berichtigt durch Beschluss vom 6. Dezember 2016, auf das das BGH-Urteil
> basiert, aus welchem du offensichtlich zu zitieren versuchst):

[...]

Erstmal Dir, Wolfgang, und allen anderen, die hier im Thread etwas
beitragen meinen herzlichen Dank.

Es betrübt mich, dass es zu persönlichen Differenzen zwischen einigen
Postern gekommen ist.

Ich bin der Überzeugung, dass sich diese Differenzen sachlich und
freundlich klären lassen. Das fände ich jedenfalls schön :)



Andreas
--
http://fahrradzukunft.de

[Ulrich Maier]

Am 20.04.2018 um 07:58 schrieb Helmut Richter:
> On Thu, 19 Apr 2018, Andreas Borutta wrote:
>
>> Wenn ich die Aussage richtig verstehe, dann hat der Website-Betreiber
>> einen Weg gefunden, /gar keine/ IP-Adressen zu protokollieren.
>>
>> Falls hier jemand mit entsprechenden Kenntnissen mitliest:
>> Ist das glaubwürdig?
>> Kann ein (Apache-)Server so konfiguriert werden?
>>
>> Angenommen das geht, dann könnte man seinen Webhoster bitten, dies
>> ebenso zu handhaben und sich dies in einem Vertrag zur
>> Auftragsverarbeitung schriftlich bestätigen lassen. Oder ist der
>> Webhoster durch Gesetze zur Protokollierung verpflichtet?
>
> Wenn der Webseitenbetreiber (also derjenige, der Inhalte erstellt,
> Datenschutzerklärungen verfasst und als Verantwortlicher im Impressum
> steht) und Hoster/Provider voneinander verschieden sind und der Hoster
> dem Betreiber keine Protokolldaten zur Verfügung stellt, dann *hat* ja
> der Betreiber gar keine personenbezogenen Daten, über die er Auskunft
> erteilen kann. Allenfalls der Hoster hat welche, je nachdem ob und wie
> dauerhaft er sie protokolliert. Eine mögliche Datenschutzerklärung
> wäre dann "Dem Betreiber des Web-Angebots hat keinen Zugriff auf
> personenbezogene Daten der Nutzer des Web-Angebots." Reicht das aus?

Nein. Der Auftragsverarbeiter ist dem Webseitenbetreiber (dem
"Verantwortlichen") zuzurechnen. Auskunftpflichtig und verantwortlich
ist der Webseitenbetreiber (der Verantwortliche).

Ulrich

[Ulrich Maier]

Am 20.04.2018 um 08:48 schrieb Wolfgang Jäth:

> <seufz> Und so was Sinnentstelltes kommt dann eben heraus, wenn man halt
> nur halb liest und/oder zitiert. </seufz>
>
> Ich darf mal den *Originaltext* in *voller* entscheidender Länge
> zitieren (EuGH-Urteil Az. C-582/14, NJW 2016, vom 19. Oktober 2016,
> Berichtigt durch Beschluss vom 6. Dezember 2016, auf das das BGH-Urteil
> basiert, aus welchem du offensichtlich zu zitieren versuchst):
>
> | Das vorlegende Gericht weist in seiner Vorlageentscheidung zwar darauf
> | hin, dass das deutsche Recht es dem Internetzugangsanbieter nicht
> | erlaube, dem Anbieter von Online-Mediendiensten die zur
> | Identifizierung der betreffenden Person erforderlichen
> | Zusatzinformationen direkt zu übermitteln, doch gibt es offenbar –
> | vorbehaltlich der vom vorlegenden Gericht insoweit vorzunehmenden
> | Prüfungen – für den Anbieter von Online-Mediendiensten rechtliche
> | Möglichkeiten, die es ihm erlauben, sich insbesondere im Fall von
> | Cyberattacken an die zuständige Behörde zu wenden, damit diese die
> | nötigen Schritte unternimmt, um die fraglichen Informationen vom
> | Internetzugangsanbieter zu erlangen und die Strafverfolgung
> | einzuleiten.
> |
> | Der Anbieter von Online-Mediendiensten verfügt somit offenbar [*unter*
> | *bestimmten* *Umständen*; Anmerkung von mir] über Mittel, die
> | vernünftigerweise eingesetzt werden könnten, um mit Hilfe Dritter, und
> | zwar der zuständigen Behörde und dem Internetzugangsanbieter, die
> | betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu

> | lassen...

Auch hier zu kurz gesprungen. Statt die Antwort des EuGH selbst
auszulegen, hättest Du die Bewertung des BGH konsultieren sollen.

Der BGH geht in seinem Urteil natürlich auch auf diese Frage ein (RZ 26)
und beantwortet sie positiv: "Denn die Beklagte verfügt über rechtliche
Mittel, die vernünftigerweise eingesetzt werden können, um mit Hilfe
Dritter, und zwar der zuständigen Behörde und des
Internetzugangsanbieters, die betreffende Person anhand der
gespeicherten IP-Adressen bestimmen zu lassen...".

Ulrich

[Ulrich Maier]

Am 20.04.2018 um 09:16 schrieb Andreas Borutta:

> Sind Euch vielleicht empfehlenswerte und frei verfügbare Verträge
> bekannt, wo es speziell um diese Feinheiten rund um IP-Adressen geht?
> Ich freue mich auch über die Zusendung per PM.

Wenn Du bei einem vernünftigen Webhoster bist, wird er Dir den Abschluss
eines Vertrags über Auftragsverarbeitung anbieten. Sprich ihn an. Er
sollte das vorbereitet haben.

>>> Erstaunt war ich über den Disclaimer in der Datenschutzerklärung des
>>> "Bayerischen Landesbeauftragte für den Datenschutz" zu externen Links.
>>>
>>> Ist sowas nötig oder Quatsch?
>>
>> Sinnvoll. Die Datenschutzbehörde möchte klarstellen, dass sich die Leser
>> nur auf die Texte der Behörde berufen können.
>
> Ist das keine Selbstverständlichkeit bei allen Websites mit Links,
> dass für die Inhalte externer Links der Betreiber dieser anderen
> Website verantwortlich ist?

Wenn auf einen externen Kommentar verwiesen wird, könnte darin durchaus
eine Aneignung der Überlegungen gesehen werden. Durch die Bestimmung
wird das von vornherein ausgeschlossen.

> Gibt es in der DSGVO Vorgaben, die eine solche explizite Distanzierung
> zwingend notwendig machen?

Das hat mit Datenschutz nichts zu tun.

> Was Anderes:
> Auf <https://www.datenschutz-bayern.de/ODSP.htm> gibt es einen Passus
> zu sog. "Aktiven Komponenten".
>
> Muss so etwas laut DSGVO in die Datenschutzerklärung?

Nein. Aber die Aussage ist für den Leser stärker.


Ulrich

[Stefan Froehlich]

On Thu, 19 Apr 2018 23:55:39 Andreas Borutta wrote:
> | Protokollierung
> |
> | Auf dem Webserver des Bayerischen Landesbeauftragten für den
> | Datenschutz werden keine IP-Adressen oder andere personenbezogenen
> | Daten protokolliert.
>

> Wenn ich die Aussage richtig verstehe, dann hat der
> Website-Betreiber einen Weg gefunden, /gar keine/ IP-Adressen zu
> protokollieren.
>
> Falls hier jemand mit entsprechenden Kenntnissen mitliest:
> Ist das glaubwürdig?
> Kann ein (Apache-)Server so konfiguriert werden?

Relativ trivial. Man kann das Log komplett abschalten, oder man
entfernt (beim Apache) das %h aus dem gerne verwendeten:

| LogFormat "%h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" combined

Diverse Auswertungsprogramme werden darüber eher mäßig erfreut sein.

Und irgendwie scheint mir generell bei der DSGVO ein wenig das Kind
mit dem Bade ausgeschüttet worden zu sein.

Servus,
Stefan

--
http://kontaktinser.at/ - die kostenlose Kontaktboerse fuer Oesterreich
Offizieller Erstbesucher(TM) von mmeike

Stefan: die Spannung zu fühlen!
(Sloganizer)

[Ulrich Maier]

Am 20.04.2018 um 11:06 schrieb Stefan Froehlich:

> Und irgendwie scheint mir generell bei der DSGVO ein wenig das Kind
> mit dem Bade ausgeschüttet worden zu sein.

Vielleicht nicht gerade im Hinblick auf die IP-Adressen, aber ansonsten
wird Dir da mancher zustimmen! Zum Beispiel bei den weitreichenden
Betroffenenrechten oder der Datenübertragbarkeit, die manches große
Unternehmen mehrstellige Millionenbeträge kosten.

U.

[Stefan Froehlich]

Nun, gerade das war ja der Sinn der Übung und durchaus
argumentierbar.

Die Strafdrohungen erreichen aber nicht nur bei Großunternehmen (mit
2 bzw. 4% des Jahresumsatzes) mehrstellige Millionenbeträge, sondern
auch bei Betreibern kleinster Webseiten stehen als untere Obergrenze
10 bzw. 20 Mio. Euro im Raum - und das halte ich (auch wenn die
Höchststrafe dort in der Praxis wohl kaum verhängt werden wird) für
vollkommen absurd.

Dazu zeigt ja auch die Entwicklung dieses Threads, dass man als
Privatperson guten Gewissens kaum noch datenerfassende Webseiten
betreiben darf, wenn sich die Auslegung der DSGVO auch unter
ambitonierten Laien schon dermaßen schwierig gestaltet.

Servus,
Stefan

--
http://kontaktinser.at/ - die kostenlose Kontaktboerse fuer Oesterreich
Offizieller Erstbesucher(TM) von mmeike

Nur veredeln ist wunderbarer als satteln! Stefan: Wenn die Profis kommen!
(Sloganizer)

[Ulrich Maier]

Am 20.04.2018 um 13:10 schrieb Stefan Froehlich:

> Dazu zeigt ja auch die Entwicklung dieses Threads, dass man als
> Privatperson guten Gewissens kaum noch datenerfassende Webseiten
> betreiben darf, wenn sich die Auslegung der DSGVO auch unter
> ambitonierten Laien schon dermaßen schwierig gestaltet.

Es gibt zig Muster-Datenschutzerklärungen. Man muss sie nur lesen und
beherzigen - sie allein auf die Webseite setzen, genügt natürlich nicht.
Jemand, der eine Webseite entwickeln und betreiben kann, kann auch die
Datenschutzerklärung verstehen und einbinden. Natürlich werden die
Kleinen wieder die ersten sein, die Ziel der Abmahnhaie werden :-(

Das eigentliche Problem der neuen DSVGO sind aber nicht die
Webauftritte, sondern der interne Umgang mit den personenbezogenen Daten.

U.

[Rupert Haselbeck]

Stefan Froehlich schrieb:

> On Thu, 19 Apr 2018 23:55:39 Andreas Borutta wrote:
>> | Protokollierung
>> |
>> | Auf dem Webserver des Bayerischen Landesbeauftragten für den
>> | Datenschutz werden keine IP-Adressen oder andere personenbezogenen
>> | Daten protokolliert.
>>
>
>> Wenn ich die Aussage richtig verstehe, dann hat der
>> Website-Betreiber einen Weg gefunden, /gar keine/ IP-Adressen zu
>> protokollieren.
>>
>> Falls hier jemand mit entsprechenden Kenntnissen mitliest:
>> Ist das glaubwürdig?
>> Kann ein (Apache-)Server so konfiguriert werden?
>
> Relativ trivial. Man kann das Log komplett abschalten, oder man
> entfernt (beim Apache) das %h aus dem gerne verwendeten:
>
> | LogFormat "%h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\""
> | combined
>
> Diverse Auswertungsprogramme werden darüber eher mäßig erfreut sein.

Vor allem geht damit jeglicher Nutzen der Logs völlig verloren

> Und irgendwie scheint mir generell bei der DSGVO ein wenig das Kind
> mit dem Bade ausgeschüttet worden zu sein.

So schlimm ist das nicht. Übrigens wurde, in der hier schon angesprochenen
BGH-Entscheidung, ausdrücklich entschieden, dass die IP-Adressen sehr wohl
gespeichert werden dürfen, falls nämlich ihre Erhebung und Verwendung
erforderlich ist, um die generelle Funktionsfähigkeit der angebotenen
Dienste zu gewährleisten. Dies, weil/obgleich der EuGH der arg seltsamen
Ansicht ist, es handle sich um personenbezogene Daten.

MfG
Rupert

[Arno Welzel]

Andre Eiger:

> Am Tue, 17 Apr 2018 09:10:20 +0200 schrieb F. Werner:
>
>> Am 16.04.2018 um 09:31 schrieb Andreas Borutta:
>>
>>> 4 Muss zu den Besuchsstatistiken (IP-Adressen) ein Passus in die
>>> Datenschutzerklärung?
>>
>> Ja, IP-Adressen gelten m. E. als personenbezogene Daten.
>>
> Der logische Kurzschluss wird sofort klar, wenn ich als Besucher der
> seiner Webseite von Andreas Borutta verlange, mir Auskunft über die von
> ihm über mich gespeicherten personenbezogenen Daten zu geben. Er wird mir
> beim besten Willen nicht meine IP-Adresse(n) nennen können, von denen aus
> ich seine Webseite besucht habe, und verstößt damit gleich gegen die neue
> Auskunftspflicht ;-)

Personenbeziehbarkeit sagt nichts darüber aus, *wer* die Daten einer
Person zuordnen kann. Und die Einstufung von IP-Adressen juristisch
entschieden worden, siehe BGH-Urteil vom 16.05.2017, Az. VI ZR 135/13.

> Art.15 – EU-DSGVO – Auskunftsrecht der betroffenen Person
> ...
> 3. Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die
> Gegenstand der Verarbeitung sind, zur Verfügung.

Dazu muss die Person eben auch benennen könne, anhand welches Kriteriums
man diese Daten zuordnen kann.

Das fängt schon mit der eigenen Indentität an, die man auch nachweisen
muss. Nur weil jemand sich bei mir per E-Mail als "Andre Eiger"
vorstellt und gerne alle Daten von mir hätte, die ich über "Andre Eiger"
gespeichert habe, würde ich das sicher nicht tun, sondern um einen
Nachweis der Identität bitten - was vermutlich auf Post-Ident o.Ä.
hinauslaufen würde. Denn ich will ja nicht Dritten gegenüber
unberechtigt Daten eines "Andre Eiger" offenlegen.

Dann stellt sich als nächstes die Frage, um welche Daten es geht. Wenn
ich eine Website betreibe und die Person wissen möchte, welche Besuche
auf meiner Website protokolliert wurden, würde ich nachfragen, anhand
welcher IP-Adressen ich die Besuche zuordnen kann hätte auch gerne einen
Nachweis vom Provider, der die Zuteilung der Adressen inkl. Zeiträumen
in den letzten 7 Tagen bestätigt - einerseits speichere ich nichts
länger als 7 Tage und andererseits kann eine IP-Adresse im Laufe einer
Woche durchaus an unterschiedlichen Kunden zugewiesen worden sein.


--
Arno Welzel
https://arnowelzel.de
https://de-rec-fahrrad.de
http://fahrradzukunft.de

[Arno Welzel]

F. Werner:

> Am 18.04.2018 um 09:19 schrieb Ulrich Maier:
>

>>> Warum sollte er das nicht können? Ich kann das, ohne irgendwelche
>>> Programme zu installieren (Apache Protokoll).
>
>> Nein, das kannst Du auch nicht. Weil Du die Zuordnung Person -
>> IP-Adresse nicht hast.
>
> Rufe zu einer bestimmten Zeit meinen Server auf und ich sage Dir, welche
> IP-Adresse Du hast.

Ja - wenn Du die exakte Zeit vom Aufrufer hast. Sonst nicht. Und selbst
mit exakter Zeit wird's schwierig, wenn der Server mehrere Zugriffe pro
Sekunde hat (bei mir aktuell auf manchen Websites etwa 2-3 pro Sekunde
mit unterschiedlichen IP-Adressen).

[Arno Welzel]

Andre Eiger:

[...]

> Ja, unbestritten. Natürlich dürfte das BGH-Urteil in einem konkreten
> Verfahren eine hohe Relevanz haben. Allerdings halte ich den BGH nicht
> für unfehlbar. Vor dem Hintergrund der DSGVO erscheint mir die pauschale
> Bewertung von IP-Adressen als personenbezogene Daten fragwürdiger denn je.

Um so unsinniger ist deren Speicherung, da man im Zweifelsfall ja
sowieso keine Person zuordnen kann, wenn es zu einem Problem kommt.

Oder kann man die IP-Adresse am Ende doch nutzen, um damit z.B. eine
Anzeige zu stellen, wenn jemand z.B. strafbare Inhalte in einem Forum
veröffentlicht hat?

[...]

>> Nein. Der Webseitenbetreiber braucht die IP-Adressen einfach nicht zu
>> speichern!
>
> Das hört sich einfach an, da sie aber für die technische Verbindung
> zwischen Server und Browser benutzt werden, ist eine wenn auch nur
> kurzzeitige Speicherung auf dem Server unumgänglich. Lässt sich aus dem
> BGH-Urteil eine Karenzzeit ableiten, und wenn ja, wie lange? Und den
> Gedanken muss man ja auch noch auf alle weiteren IP-Verbindungen im
> Internet ausdehnen.

Es geht explizit um die *Protokollierung* von Daten und nicht darum dass
ein Serverdienst Verbindungsanfragen beantwortet - dazu muss der Server
nämlich exakt gar nichts in einem Protokoll nichts speichern und die
Kenntnis der IP-Adresse durch den Server-Prozess endet in dem
Augenblick, in dem der Besucher die Verbindung beendet hat.

> So lassen sich völlig krude Sachverhalte konstruieren: Wenn Du meine
> private Webseite aufrufst, die ich bei mir zu Hause betreibe, dann
> speichert Dein Browser in seinem Cache die dynamische IP-Adresse, die mir
> mein Provider gerade zugewiesen hat. Ein Datenschutzthema?

Nein, da Du ja freiwillig deinen Server betreibst und ihn absichtlich
erreichbar machst. Daher musst Du auch damit rechnen, dass man deine
IP-Adresse kennt.

Umgekehrt wird aber nicht jeder Besucher damit rechnen, dass Du seine
Besuche dauerhaft protokollierst oder ihm z.B. einen Cookie sendest,
anhand dessen er auch nach Wochen oder Monaten auf deinem Server
wiedererkannt wird, so dass Du eine detaillierte Historie aller
Aktivitäten auf dem Server erstellen kannst.

> Damit ein Server auf keinen Fall die vom Provider dem Anschlussinhaber
> zugewiesene dynamische IP-Adresse mitbekommt und nach der aktuellen
> Interpretation des BGH dem Serverbetreiber ein Datenschutzthema mit allen
> damit verbundenen Pflichten beschert, wären ein Anonymisierungsnetzwerk
> wie TOR oder ein VPN-Provider nötig.

Du hast das Thema offenbar nicht wirklich verstanden.

[Andre Eiger]

Natürlich sind Auskunfts- und Löschungsbegehren schnell und korrekt
beantwortet, wenn die IP-Adresse nur flüchtig während der Session
gespeichert wird.
Das ist jedoch nicht der Punkt. Die Frage ist vielmehr, ob die IP-Adresse
im Zusammenhang mit einer Webseite stets und unter allen Umständen als
personenbezogenes Datum gilt. Wenn man diese Frage bejaht, zieht selbst
eine flüchtige Speicherung einen Rattenschwanz an Verpflichtungen für den
Webseiten-Betreiber nach sich, unter anderem diese Datenschutzerklärung
oder die Notwendigkeit eines eigenen Vertrages zur
Auftragsdatenverarbeitung mit dem Web-Hoster.
Meiner Ansicht nach ist das aber weder die Intention des Gesetzgebers
noch des genannten BGH-Urteils.
Und weil es für den Betreiber einer simplen Webseite eben nicht möglich
ist, unter normalen Umständen mit der IP-Adresse irgendeinen
Personenbezug herzustellen, halte ich diese Regelungen unter diesen
Umständen für nicht anwendbar.

>> So lassen sich völlig krude Sachverhalte konstruieren: Wenn Du meine
>> private Webseite aufrufst, die ich bei mir zu Hause betreibe, dann
>> speichert Dein Browser in seinem Cache die dynamische IP-Adresse, die
>> mir mein Provider gerade zugewiesen hat. Ein Datenschutzthema?
>
> Ja. Aber wie lange wird die Adresse gespeichert!? Wenn sie langfristig
> gespeichert bleibt, ist bei dem Brwoser etwas nicht richtig
> konfiguriert.

Auch wenn das Beispiel etwas skurril ist, gängige Browser wie Firefox,
Chrome oder der IE halten per default ihren Cache auf der Festplatte. 50
MByte sind nicht ungewöhnlich. Wie lange die Daten da drin bleiben, ist
schwer zu sagen, aber das ist alles andere als flüchtig, eher Monate als
Tage.

--

[Stefan Schmitz]

Am Freitag, 20. April 2018 00:21:35 UTC+2 schrieb Ulrich Maier:

> Artikel 17 DSGVO ;-)

> Und um eine weitere Schleife zu ersparen: Bitte begründe, warum sich
> daraus kein Anspruch auf Löschen ergibt.

Welche der Voraussetzungen a)-f) liegt denn vor?

[Andre Eiger]

Am Fri, 20 Apr 2018 22:23:28 +0200 schrieb Arno Welzel:

> Andre Eiger:
>
> [...]
>> Ja, unbestritten. Natürlich dürfte das BGH-Urteil in einem konkreten
>> Verfahren eine hohe Relevanz haben. Allerdings halte ich den BGH nicht
>> für unfehlbar. Vor dem Hintergrund der DSGVO erscheint mir die
>> pauschale Bewertung von IP-Adressen als personenbezogene Daten
>> fragwürdiger denn je.
>
> Um so unsinniger ist deren Speicherung, da man im Zweifelsfall ja
> sowieso keine Person zuordnen kann, wenn es zu einem Problem kommt.
>
> Oder kann man die IP-Adresse am Ende doch nutzen, um damit z.B. eine
> Anzeige zu stellen, wenn jemand z.B. strafbare Inhalte in einem Forum
> veröffentlicht hat?

Über Sinn oder Unsinn einer Speicherung im Log der Serversoftware habe
ich nicht spekuliert.
Ich finde die Frage interessant, ob eine IP-Adresse im Zusammenhang mit
einer Webseite prinzipiell immer ein personenbezogenes Datum ist oder ob
das vom Kontext abhängig ist. In ersterem Fall treffen den Betreiber
ziemlich viele Verpflichtungen, selbst wenn es sich um eine simple
statische Webseite ohne jede Interaktionsmöglichkeit handelt, oder die
Login-Seite meiner privaten Nextcloud. Selbst der SSH-Server bei mir zu
Hause speichert IP-Adressen mit Datum und Uhrzeit im Log. Bei strenger
Auslegung verarbeite ich die ganze Zeit personenbezogene Daten.

> [...]
>>> Nein. Der Webseitenbetreiber braucht die IP-Adressen einfach nicht zu
>>> speichern!
>>
>> Das hört sich einfach an, da sie aber für die technische Verbindung
>> zwischen Server und Browser benutzt werden, ist eine wenn auch nur
>> kurzzeitige Speicherung auf dem Server unumgänglich. Lässt sich aus dem
>> BGH-Urteil eine Karenzzeit ableiten, und wenn ja, wie lange? Und den
>> Gedanken muss man ja auch noch auf alle weiteren IP-Verbindungen im
>> Internet ausdehnen.
>
> Es geht explizit um die *Protokollierung* von Daten und nicht darum dass
> ein Serverdienst Verbindungsanfragen beantwortet - dazu muss der Server
> nämlich exakt gar nichts in einem Protokoll nichts speichern und die
> Kenntnis der IP-Adresse durch den Server-Prozess endet in dem
> Augenblick, in dem der Besucher die Verbindung beendet hat.

Wieso geht es explizit nur um die Protokollierung? Wenn die flüchtige
Speicherung für die Dauer der Verbindung zum Zwecke der Datenübertragung
nicht unter das Datenschutzgesetz fällt, wäre das natürlich eine
erhebliche Erleichterung: Dann würde ich mit dem Abschalten des Webserver-
Logs bzw. dem Entfernen der IP-Adresse aus demselben keine
personenbezogenen Daten mehr verarbeiten und könnte mir ganzen daran
hängenden Vorschriften schenken.
Bei dem Datenschutz-Drama, das um IP-Adressen gemacht wird, fände ich
Näheres dazu interessant.

>> So lassen sich völlig krude Sachverhalte konstruieren: Wenn Du meine
>> private Webseite aufrufst, die ich bei mir zu Hause betreibe, dann
>> speichert Dein Browser in seinem Cache die dynamische IP-Adresse, die
>> mir mein Provider gerade zugewiesen hat. Ein Datenschutzthema?
> Nein, da Du ja freiwillig deinen Server betreibst und ihn absichtlich
> erreichbar machst. Daher musst Du auch damit rechnen, dass man deine
> IP-Adresse kennt.

Ja absolut. Allerdings, wenn meine IP-Adresse als personenbezogenes Datum
gilt, dann müsste das Offerieren der Webseite im Lichte der DSVGO bereits
als Zustimmung meinerseits zur "Verarbeitung" gelten. Diese
Interpretation ergibt sich aber eher aus dem technischen Sachverhalt,
oder?
Ich habe das konstruierte Beispiel übrigens nur gebracht, weil manche
Datenschutzverstöße durch Speichern von IP-Adressen immer nur bei anderen
suchen.

> Umgekehrt wird aber nicht jeder Besucher damit rechnen, dass Du seine
> Besuche dauerhaft protokollierst oder ihm z.B. einen Cookie sendest,
> anhand dessen er auch nach Wochen oder Monaten auf deinem Server
> wiedererkannt wird, so dass Du eine detaillierte Historie aller
> Aktivitäten auf dem Server erstellen kannst.

Nein, es geht um simple Webseiten, keine Cookies, keine Profile, nur
laufendes Apache2-Access-Log. Einzig die IP-Adresse wäre
personenbeziehbar, jedoch nur durch andere, für mich sind sie anonym.

>> Damit ein Server auf keinen Fall die vom Provider dem Anschlussinhaber
>> zugewiesene dynamische IP-Adresse mitbekommt und nach der aktuellen
>> Interpretation des BGH dem Serverbetreiber ein Datenschutzthema mit
>> allen damit verbundenen Pflichten beschert, wären ein
>> Anonymisierungsnetzwerk wie TOR oder ein VPN-Provider nötig.
>
> Du hast das Thema offenbar nicht wirklich verstanden.

Du etwa?

--

[Andre Eiger]

Am Fri, 20 Apr 2018 21:54:12 +0200 schrieb Arno Welzel:

> Andre Eiger:
>
>> Am Tue, 17 Apr 2018 09:10:20 +0200 schrieb F. Werner:
>>
>>> Am 16.04.2018 um 09:31 schrieb Andreas Borutta:
>>>
>>>> 4 Muss zu den Besuchsstatistiken (IP-Adressen) ein Passus in die
>>>> Datenschutzerklärung?
>>>
>>> Ja, IP-Adressen gelten m. E. als personenbezogene Daten.
>>>
>> Der logische Kurzschluss wird sofort klar, wenn ich als Besucher der
>> seiner Webseite von Andreas Borutta verlange, mir Auskunft über die von
>> ihm über mich gespeicherten personenbezogenen Daten zu geben. Er wird
>> mir beim besten Willen nicht meine IP-Adresse(n) nennen können, von
>> denen aus ich seine Webseite besucht habe, und verstößt damit gleich
>> gegen die neue Auskunftspflicht ;-)
>
> Personenbeziehbarkeit sagt nichts darüber aus, *wer* die Daten einer
> Person zuordnen kann. Und die Einstufung von IP-Adressen juristisch
> entschieden worden, siehe BGH-Urteil vom 16.05.2017, Az. VI ZR 135/13.

So allgemein gesehen sind verdammt viele Daten durch irgendwen
personenbeziehbar. Interessant wäre für mich, wie weit oder wie eng man
den Kontext fassen muss. Selbst die Seriennummern auf meinen alten RAM-
Riegeln im Elektro-Schrottcontainer wären personenbeziehbar, da sie beim
Kauf bei Atelco zum Zwecke der Reklamationsbearbeitung auf der Rechnung
erfasst wurden. Hat jetzt der Wertstoffhof ein Datenschutzthema?

>> Art.15 – EU-DSGVO – Auskunftsrecht der betroffenen Person ...
>> 3. Der Verantwortliche stellt eine Kopie der personenbezogenen Daten,
>> die Gegenstand der Verarbeitung sind, zur Verfügung.
>
> Dazu muss die Person eben auch benennen könne, anhand welches Kriteriums
> man diese Daten zuordnen kann.

...

> Dann stellt sich als nächstes die Frage, um welche Daten es geht. Wenn
> ich eine Website betreibe und die Person wissen möchte, welche Besuche
> auf meiner Website protokolliert wurden, würde ich nachfragen, anhand
> welcher IP-Adressen ich die Besuche zuordnen kann

Ja, stimmt. Anders kann's nicht gehen. Der Anfrager müsste die IP-Adresse
(n) und Zeiträume nennen.

--

[Marc Haber]

Andreas Borutta <bor...@gmx.de> wrote:
>Wenn ich die Aussage richtig verstehe, dann hat der Website-Betreiber
>einen Weg gefunden, /gar keine/ IP-Adressen zu protokollieren.
>
>Falls hier jemand mit entsprechenden Kenntnissen mitliest:
>Ist das glaubwürdig?
>Kann ein (Apache-)Server so konfiguriert werden?

Freilich. Was interessanterwiese nicht ohne aufwendige Zusatzdinge wie
Pipes geht, ist dem Apache selbst zu sagen, dass er bitte das letzte
Oktett der IP-Adresse ausnullen soll. Da war ich völlig baff, als ich
letzte woche nach dem "ganz sicher" existierenden Modul gesucht habe
und nur fand "lass apache die Logs an dieses nette kleine sed-Dings
pipen" (was für unter hoher Last stehende Websites völlig
ausgeschlossen ist).

Stefan hat ja die praktische Anwendung schon beschrieben

Grüße
Marc

--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

[Marc Haber]

Ulrich Maier <inv...@invalid.invalid> wrote:
>Ja. Es wurde einfach die Protokollierung abgeschaltet :-)
>
>Oft findet man den zusätzlichen Hinweis: Die Protokollierung wird nur
>eingeschalten, wenn Probleme analysiert werden müssen (z. B. nach
>Angriffen).

Dann ist es halt zu spät.

Grüpße

[Thomas Hochstein]

Andreas Borutta schrieb:

> Gilt dies für jedes Medium, in welchem ich eine Mailadresse angebe.
>
> In einem gedruckten Brief.
> In einer Mail.
> In einer als Mailanhang versendeten Datei.
>
> Muss überall so ein Disclaimer dazu?

Es gilt dann, wenn Du Daten erhebst und verarbeitest.

Zum Beispiel, wenn Du bei einem neuen Arzt anrufst, um einen Termin zu
vereinbaren und dort dann schon einmal Dein Name und eine
Rückrufnummer abgefragt werden.

> Wenn nein: warum dann auf einer Website?
> Ist das eindeutig geregelt?

Du kannst Dir ja die DSGVO und das BDSG-neu einmal durchlesen.

-thh

[Thomas Hochstein]

Andreas Borutta schrieb:

> Also hat diese Praxis Abmahnpotential, selbst wenn in der
> Datenschutzerklärug auf das Speichern hingewiesen wird?

Mich würde ja das Bußgeld mehr belasten als die Abmahngefahr.

> Oder macht es sich am "dauerhaft" fest?
>
> Kann also ein Webhoster, der z.B. die IP-Adressen 7 Tage speichert,
> auf eine vorherige ausdrückliche Genehmigung verzichten?

Das hängt davon ab, auf welcher Rechtsgrundlage und mit welchem Zweck
er die Daten speichert.

-thh

[Thomas Hochstein]

Arno Welzel schrieb:

> Personenbeziehbarkeit sagt nichts darüber aus, *wer* die Daten einer
> Person zuordnen kann.

Diesen absoluten Begriff der Personenbeziehbarkeit halte ich für
falsch, weil er zu einer uferlosen Entgrenzung des Begriffs
personenbezogener Daten führt. Es gibt kaum Daten, die nicht
irgendjemand einer Person zuordnen könnte.

Nachvollziehbarer - und m.E. auch richtiger - ist es daher, darauf
abzustellen, ob der Datenverarbeiter die Daten mit vertretbarem
Aufwand - selbst oder unter Hinzuziehung Dritter - einer Person
zuordnen kann, also den relativen Begriff der Personenbeziehbarkeit zu
nutzen.

-thh

[Thomas Hochstein]

Ulrich Maier schrieb:

> TMG § 5: "Diensteanbieter haben für geschäftsmäßige, in der Regel gegen
> Entgelt angebotene Telemedien ..."

Relevant ist regelmäßig für "private" Angebote die Impressumspflicht
aus § 55 RStV.

>>> 3 Muss mit dem Provider ein "Vertrag zur Auftragsverabreitung nach §
>>> 28 DSGVO" geschlossen werden (weil er IP-Adressen loggt)?
>> Das dürfte die Sorge des Auftragsverarbeiters sein. Hält er sich nicht
>> an die Vorschriften der DSGVO, wird er selbst zum Verantwortlichen.
>
> Für den bloßen Internet-Zugangsdienst beraf es keiner A(D)V-Vereinbarung.

Es geht, AFAIS, um den Betrieb einer Webseite. Der Hostingprovider,
der den Webserver betriebt, wird ggf. ein Logfile haben, in dem
typischerweise auch die IP-Adressen der Besucher erfasst werden. Der
Hostingprovider ist insofern im Zweifel Auftragnehmer für den
Webseitenbetreiber.

-thh

[Thomas Hochstein]

Ulrich Maier schrieb:

> Das problem ist die Bestimmbarkeit der Person aus der IP-Adresse. Woher
> hast Du die Zuordnung Person - IP-Adresse?

Das ist die Frage nach der absoluten oder relativen Bestimmbarkeit.

Wie gesagt, für die DSGVO ist das m.W. aber mittlerweile geklärt.

[Thomas Hochstein]

F. Werner schrieb:

> Meines Wissens gibt es eine Goldene Keycard im Datenschutzrecht: die
> Einwilligung. Wenn man zu Beginn des Besuchs fragt, ob man einverstanden
> ist, dass die und die Daten erhoben und zu dem und dem Zweck verarbeitet
> werden, sollte das m. E. genügen.

Das ist einerseits richtig. Andererseits muss die Zustimmung AFAIS
nunmehr explizit erklärt werden, und die Crux ist, dass bspw.
IP-Adressen u.ä. bereits geloggt (oder externe CSS-Dateien oder
Schriften eingebunden) werden, bevor der Nutzer seine Zustimmung
erteilen kann. Schließlich sollte man die Informations- und
Löschungsrechte im Blick behalten.

Die Einwilligung macht im Übrigen eine Datenschutzerklärung nicht
überflüssig; im Gegenteil muss bei der Einwilligung klar sein, worin
eingewilligt wurde.

>> 1 privat (Beispiel: <http://borumat.de>) Wann eine Website im
>> rechtlichen Sinne genau als "privat" und "nicht privat" eingestuft
>> wird, weiß ich nicht. Das wäre eine eigene Frage.
>
> Ich denke, wenn man Geld damit einnimmt (z. B. Google-Anzeigen
> schaltet), ist sie nicht mehr privat.

Das ist - datenschutzrechtlich - ohnehin irrelevant. (Für die
Impressumspflicht weitgehend auch.)

>> 1 Darf die Datenschutzerklärung Teil der Seite "Impressum" sein?
>
> Ich wüsste nicht, warum nicht. Das Impressum muss ja schnell und einfach
> erreichbar sein.

Weil man sie dort nicht sucht, zum Beispiel.

Darf denn umgekehrt das Impressum Teil der Seite
"Datenschutzerklärung" sein?

>> 3 Muss mit dem Provider ein "Vertrag zur Auftragsverabreitung nach §
>> 28 DSGVO" geschlossen werden (weil er IP-Adressen loggt)?
>
> Das dürfte die Sorge des Auftragsverarbeiters sein. Hält er sich nicht
> an die Vorschriften der DSGVO, wird er selbst zum Verantwortlichen.

So einfach dürfte das wohl nicht sein.

>> 5 Muss bei der Angabe einer Mail-Adresse im Impressum als Mittel zur
>> Kontaktaufnahme irgendwas in die Datenschutzerklärung?
>
> Das übliche denke ich: "Folgende Daten werden zu folgendem Zweck so und
> so verarbeitet. Wenn Sie nicht einverstanden sind, schreiben Sie mir nicht."

Letzteres genügt AFAIS gerade nich mehr.

-thh
--
Freie juristische Online-Ressourcen: <https://th-h.de/law/lawlinks/>
Gesetzestexte, Rechtsprechung und Fundstellen: <http://dejure.org/>
Gesetze und Verordnungen (deutsches Bundesrecht): <http://buzer.de/>
Freie Rechtsprechungs-Dokumentation (Urteile): <http://openjur.de/>

[Thomas Hochstein]

Andreas Borutta schrieb:

> Da sie personenbezogen sein können: Muss daher ein entsprechender
> Passus in die Datenschutzerklärung?

Das ist AFAIS durch die Erwägungsgründe zur DSGVO nunmehr dergestalt
geklärt, dass IP-Adressem grundsätzlich als personenbezogene Daten zu
betrachten sind.

> Weiterhin:
> Muss man dem Besucher anbieten, dass
> a sein IP-Adresse auf Wunsch nicht (mehr) gespeichert wird (falls das
> spezifisch technisch überhaupt geht)?

Man muss vor allem einen Rechtfertigungsgrund für die Datenspeicherung
haben oder das Einverständnis des Nutzers _vor_ der Speicherung
heribeiführen. Da liegt das eigentliche Problem.

Ob die Nichtspeicherung angeboten werden muss, dürfte dann davon
abhängen, auf welcher Rechtsgrundlage die Daten gespeichert werden;
das entsprechende Interessse muss dann mit dem Nutzerinteresse
abgewogen werden.

Nicht vergessen: Die Datenschutzerklärung muss AFAIS nicht nur
enthalten, welche personenbezogenen Daten erhobenm werden, sondern
auch wozu und auf welcher Rechtsgrundlage.

> b seine bereits gespeicherten IP-Adresse auf Wunsch gelöscht wird?

Grundsätzlich hat der Nutzer einen Löschungsanspruch. Ob diesem
nachzukommen ist, hängt davon ab, auf welcher Rechtsgrundlage die
Daten gespeichert wurden.

(Zum Beispiel hat der Kunde eines Unternehmens, das gesetzlichen
Aufbewahrungspflichten unterliegt, keinen Anspruch auf Löschung der
Bestellvorgänge, bis die Aufbewahrungspflicht abgelaufen ist.)

>> Die im Impressum angebotene E-Mail-Adresse muss natürlich ohne vorherige
>> Einwilligung nutzbar sein!
>
> Muss also zu einer Mailadresse als Kontaktangebot gar keine
> Information in die Datenschutzerklärung?

Das hängt doch nun wirklich davon ab, welche personenbezogenen Daten
Du erhebst, wenn jemand Dir eine Mail schreibt.

[Thomas Hochstein]

Ulrich Maier schrieb:

> Am 18.04.2018 um 08:34 schrieb Marc Haber:
>> Ulrich Maier <inv...@invalid.invalid> wrote:
>>> Bei 7 Tagen reicht es zur Zeit, dies in der Datenschutzerklärung zu
>>> erwähnen.
>> Wo steht das?
>
> In vielen kommentaren. U.

Wenn das möglich ist, wäre eine zitierfährige (und damit prüffähige)
Quellenangabe sehr hilfreich.

[Arno Welzel]

Andre Eiger:

> Am Thu, 19 Apr 2018 22:49:09 +0200 schrieb Ulrich Maier:

[...]

>> Ja. Aber wie lange wird die Adresse gespeichert!? Wenn sie langfristig
>> gespeichert bleibt, ist bei dem Brwoser etwas nicht richtig
>> konfiguriert.
> Auch wenn das Beispiel etwas skurril ist, gängige Browser wie Firefox,
> Chrome oder der IE halten per default ihren Cache auf der Festplatte. 50
> MByte sind nicht ungewöhnlich. Wie lange die Daten da drin bleiben, ist
> schwer zu sagen, aber das ist alles andere als flüchtig, eher Monate als
> Tage.

Im Zusammenhang mit IP-Adressen aber irrelevant, da der Browser ja dem
Nutzer selbst gehört. Und über sich selber darf er speichern, was er will.

[Arno Welzel]

Marc Haber:

> Andreas Borutta <bor...@gmx.de> wrote:
>> Wenn ich die Aussage richtig verstehe, dann hat der Website-Betreiber
>> einen Weg gefunden, /gar keine/ IP-Adressen zu protokollieren.
>>
>> Falls hier jemand mit entsprechenden Kenntnissen mitliest:
>> Ist das glaubwürdig?
>> Kann ein (Apache-)Server so konfiguriert werden?
>
> Freilich. Was interessanterwiese nicht ohne aufwendige Zusatzdinge wie
> Pipes geht, ist dem Apache selbst zu sagen, dass er bitte das letzte
> Oktett der IP-Adresse ausnullen soll. Da war ich völlig baff, als ich

Wenn es nur darum geht, gar nicht mehr zu loggen, geht es unter
unixoiden Systemen viel einfacher:

CustomLog "/dev/null" common

Schon gibt es kein Logfile mit den Zugriffen mehr - also gar keins.

> letzte woche nach dem "ganz sicher" existierenden Modul gesucht habe
> und nur fand "lass apache die Logs an dieses nette kleine sed-Dings
> pipen" (was für unter hoher Last stehende Websites völlig
> ausgeschlossen ist).

Auch das geht einfacher, wenn man die IP-Adressen nicht braucht, sondern
nur sehen will, wieviele Zugriffe man insgesamt hat:

LogFormat "127.0.0.1 - - %t \"%r\" %>s %b" anonym
CustomLog /var/log/apache2/access.log anonym

Statt /var/log/apache2/access.log natürlich die Datei, die man
tatsächlich nutzen will.

Statt externem Script kann man in Apache auch dieses Modul nutzen, womit
ich aber selber noch keine Erfahrungen gesammelt habe:

<https://github.com/webfactory/mod_log_ipmask>

[Arno Welzel]

Andre Eiger:

> Am Fri, 20 Apr 2018 22:23:28 +0200 schrieb Arno Welzel:

[...]

>> Es geht explizit um die *Protokollierung* von Daten und nicht darum dass
>> ein Serverdienst Verbindungsanfragen beantwortet - dazu muss der Server
>> nämlich exakt gar nichts in einem Protokoll nichts speichern und die
>> Kenntnis der IP-Adresse durch den Server-Prozess endet in dem
>> Augenblick, in dem der Besucher die Verbindung beendet hat.
>
> Wieso geht es explizit nur um die Protokollierung? Wenn die flüchtige

Weil nur die Protokollierung eine Speicherung im Sinne der Gesetze ist.
Die reine Kenntnisnahme durch einen Serverprozess, der diese Information
nirgends dauerhaft ablegt, ist keine Speicherung.

[...]

>> Du hast das Thema offenbar nicht wirklich verstanden.
>
> Du etwa?

Ja.

[Marc Haber]

Arno Welzel <use...@arnowelzel.de> wrote:
>Marc Haber:
>> Andreas Borutta <bor...@gmx.de> wrote:
>>> Wenn ich die Aussage richtig verstehe, dann hat der Website-Betreiber
>>> einen Weg gefunden, /gar keine/ IP-Adressen zu protokollieren.
>>>
>>> Falls hier jemand mit entsprechenden Kenntnissen mitliest:
>>> Ist das glaubwürdig?
>>> Kann ein (Apache-)Server so konfiguriert werden?
>>
>> Freilich. Was interessanterwiese nicht ohne aufwendige Zusatzdinge wie
>> Pipes geht, ist dem Apache selbst zu sagen, dass er bitte das letzte
>> Oktett der IP-Adresse ausnullen soll. Da war ich völlig baff, als ich
>
>Wenn es nur darum geht, gar nicht mehr zu loggen,

Darum geht es mir im oben zitierten Text ausdrücklich nicht. Ich
möchte durchaus weiterhin wissen, woher meine Besucher wenigstens
ungefähr kommen.

>> letzte woche nach dem "ganz sicher" existierenden Modul gesucht habe
>> und nur fand "lass apache die Logs an dieses nette kleine sed-Dings
>> pipen" (was für unter hoher Last stehende Websites völlig
>> ausgeschlossen ist).
>
>Auch das geht einfacher, wenn man die IP-Adressen nicht braucht, sondern
>nur sehen will, wieviele Zugriffe man insgesamt hat:

Will man vielleicht nicht.

Vielen Dank dafür dass Du mir Dinge erzählst, die ich schon weiß. Das
ist sehr hilfreich, mein Tag ist eh viel zu lang.

[Stefan Froehlich]

On Sat, 21 Apr 2018 15:24:25 Thomas Hochstein wrote:
> >> 5 Muss bei der Angabe einer Mail-Adresse im Impressum als
> >> Mittel zur Kontaktaufnahme irgendwas in die
> >> Datenschutzerklärung?

> > Das übliche denke ich: "Folgende Daten werden zu folgendem Zweck
> > so und so verarbeitet. Wenn Sie nicht einverstanden sind,
> > schreiben Sie mir nicht."

> Letzteres genügt AFAIS gerade nich mehr.

Wenn mir jemand eine Email schreibt, dann werden diverse Daten erst
einmal zwingend in meiner Inbox gespeichert (wobei natürlich der
Absender in der Hand hat, welche Daten das konkret sind). Und da
meine Mails gesichert werden, sind die gleichen Daten dann auch
zwingend im Backup enthalten.

Kommt jetzt jemand und verlangt die Löschung eben dieser Daten,
wie sollte ich vorgehen? Alle zwischenzeitlich erstellten Backups
vernichten?

Servus,
Stefan

--
http://kontaktinser.at/ - die kostenlose Kontaktboerse fuer Oesterreich
Offizieller Erstbesucher(TM) von mmeike

Freude mit Stefan, lüstern und fehement!
(Sloganizer)

[Arno Welzel]

Thomas Hochstein:

> Arno Welzel schrieb:
>
>> Personenbeziehbarkeit sagt nichts darüber aus, *wer* die Daten einer
>> Person zuordnen kann.
>
> Diesen absoluten Begriff der Personenbeziehbarkeit halte ich für
> falsch, weil er zu einer uferlosen Entgrenzung des Begriffs
> personenbezogener Daten führt. Es gibt kaum Daten, die nicht
> irgendjemand einer Person zuordnen könnte.

Eben - deswegen muss man bei jeglicher *Speicherung* von Daten genau
diese Frage bedenken.

> Nachvollziehbarer - und m.E. auch richtiger - ist es daher, darauf
> abzustellen, ob der Datenverarbeiter die Daten mit vertretbarem
> Aufwand - selbst oder unter Hinzuziehung Dritter - einer Person
> zuordnen kann, also den relativen Begriff der Personenbeziehbarkeit zu
> nutzen.

Siehe dazu auch:
<http://www.deutscheranwaltspiegel.de/relativ-oder-absolut/>

Zitat:

Nach Einschätzung des Generalanwalts unterfallen Daten auch bereits dann
dem Datenschutz, wenn nur ein Dritter in der Lage wäre, den Bezug zu
einer Person herzustellen. Damit erteilt er dem relativen Ansatz eine
Absage, sieht aber auch die Problematik einer uferlosen Reichweite des
Datenschutzes. Somit schlägt er letztlich einen Mittelweg ein: Es sei
nicht jedes Wissen eines hypothetischen, unbekannten und unerreichbaren
Dritten relevant. Zu beachten sei allerdings zumindest das Wissen auch
solcher Akteure, die "vernünftigerweise durchführbar oder praktikabel"
die Zusatzinformationen zum Personenbezug liefern könnten.

Folgte der Gerichtshof den Schlussanträgen des Generalanwalts, wären
IP-Adressen als personenbezogene Daten anzusehen. Hostanbieter,
Tracking-Provider, App-Anbieter, aber letztlich auch jeder Homepage-
oder Webshopbetreiber müssten ihren Umgang mit IP-Adressen kritisch
hinterfragen und eigene Interessen genauer definieren. Einige
Geschäftsmodelle müssten sich gar neu erfinden.

(Zitat Ende)

[Arno Welzel]

Andre Eiger:

> Am Fri, 20 Apr 2018 21:54:12 +0200 schrieb Arno Welzel:

[...]

>> Personenbeziehbarkeit sagt nichts darüber aus, *wer* die Daten einer
>> Person zuordnen kann. Und die Einstufung von IP-Adressen juristisch
>> entschieden worden, siehe BGH-Urteil vom 16.05.2017, Az. VI ZR 135/13.
>
> So allgemein gesehen sind verdammt viele Daten durch irgendwen
> personenbeziehbar. Interessant wäre für mich, wie weit oder wie eng man
> den Kontext fassen muss. Selbst die Seriennummern auf meinen alten RAM-
> Riegeln im Elektro-Schrottcontainer wären personenbeziehbar, da sie beim
> Kauf bei Atelco zum Zwecke der Reklamationsbearbeitung auf der Rechnung
> erfasst wurden. Hat jetzt der Wertstoffhof ein Datenschutzthema?

Möglicherweise könnte er verpflichtet sein, die Nummern beim
Wareneingang unkenntlich zu machen.

[Andre Eiger]

Am Sat, 21 Apr 2018 20:43:37 +0200 schrieb Arno Welzel:

> Andre Eiger:
>
>> Am Thu, 19 Apr 2018 22:49:09 +0200 schrieb Ulrich Maier:
> [...]
>>> Ja. Aber wie lange wird die Adresse gespeichert!? Wenn sie langfristig
>>> gespeichert bleibt, ist bei dem Brwoser etwas nicht richtig
>>> konfiguriert.
>> Auch wenn das Beispiel etwas skurril ist, gängige Browser wie Firefox,
>> Chrome oder der IE halten per default ihren Cache auf der Festplatte.
>> 50 MByte sind nicht ungewöhnlich. Wie lange die Daten da drin bleiben,
>> ist schwer zu sagen, aber das ist alles andere als flüchtig, eher
>> Monate als Tage.
>
> Im Zusammenhang mit IP-Adressen aber irrelevant, da der Browser ja dem
> Nutzer selbst gehört. Und über sich selber darf er speichern, was er
> will.

Es ging um die Situation, wenn jemand eine Webseite aufruft, die ich zu
Hause hoste und somit unter der dynamischen IP-Adresse zu erreichen ist,
die mir mein Internet-Provider gerade zugewiesen hat. Dann speichert
derjenige personenbezogene Daten von mir auf seinem Computer.

--

[Ulrich Maier]

Habe ich oft gelesen, aber nicht festgehalten. Es dürfte aber bereits -
wenn und soweit technisch tatsächlich geboten - durch die Interessen des
Webseitenbeteribers gedeckt sein (DSGVO: Art. 6 Abs. 1 lit f, ergänzend
Erwägungsgrund 47).

Ulrich

[Ulrich Maier]

Am 21.04.2018 um 15:24 schrieb Thomas Hochstein:

> Nachvollziehbarer - und m.E. auch richtiger - ist es daher, darauf
> abzustellen, ob der Datenverarbeiter die Daten mit vertretbarem
> Aufwand - selbst oder unter Hinzuziehung Dritter - einer Person
> zuordnen kann, also den relativen Begriff der Personenbeziehbarkeit zu
> nutzen.

Ist mir zu eng. Für mich wäre zum Beispiel auch relevant, ob die
Information etwa in einem Zivil-/Ermittlungs-/Strafverfahren gegen mich
verwandt werden könnte. (Beispiel aus dem Zivilrecht: Betrügerische
Abmahnung von Pornoseitenbesuchern vor einigen Jahren)

(Vielleicht bin ich krimineller veranlagt.)

Ulrich

[Ulrich Maier]

Am 21.04.2018 um 00:26 schrieb Andre Eiger:

> So allgemein gesehen sind verdammt viele Daten durch irgendwen
> personenbeziehbar. Interessant wäre für mich, wie weit oder wie eng man
> den Kontext fassen muss. Selbst die Seriennummern auf meinen alten RAM-
> Riegeln im Elektro-Schrottcontainer wären personenbeziehbar, da sie beim
> Kauf bei Atelco zum Zwecke der Reklamationsbearbeitung auf der Rechnung
> erfasst wurden. Hat jetzt der Wertstoffhof ein Datenschutzthema?

Wenn er die Seriennummern mit Datum und Hersteller etc. erfassen würde:
Möglicherweise.

Wenn er den Schrott nur wie vorgesehen verarbeitet: Nein
(Interessenabwägung, Treu und Glaube)

> Ja, stimmt. Anders kann's nicht gehen. Der Anfrager müsste die IP-Adresse
> (n) und Zeiträume nennen.

Die IP-Adresse alleine ist kein Datum im Sinne des BDSG/DSGVO. Es sind
>Informationen< wie "IP-Adresse hat am.. um ... die Seite xyz besucht".

Ulrich

[Ulrich Maier]

Am 21.04.2018 um 21:27 schrieb Marc Haber:

> Vielen Dank dafür dass Du mir Dinge erzählst, die ich schon weiß. Das
> ist sehr hilfreich, mein Tag ist eh viel zu lang.

Die Zeit zum Antworten hattest Du immerhin noch!

[Arno Welzel]

Marc Haber:

> Arno Welzel <use...@arnowelzel.de> wrote:
>> Marc Haber:

[...]

>>> letzte woche nach dem "ganz sicher" existierenden Modul gesucht habe
>>> und nur fand "lass apache die Logs an dieses nette kleine sed-Dings
>>> pipen" (was für unter hoher Last stehende Websites völlig
>>> ausgeschlossen ist).
>>
>> Auch das geht einfacher, wenn man die IP-Adressen nicht braucht, sondern
>> nur sehen will, wieviele Zugriffe man insgesamt hat:
>
> Will man vielleicht nicht.
>
> Vielen Dank dafür dass Du mir Dinge erzählst, die ich schon weiß. Das
> ist sehr hilfreich, mein Tag ist eh viel zu lang.

Gern geschehen. Vielen Dank, dass Du mir den Anlass dazu gegeben hast
mit deiner Anmerkun, dass Du das Modul nicht gefunden hast, sondern nur
"dieses nett kleine sed-Dings".

Das nächste Mal schreibe einfach, was Du schon weißt, dann spare ich mir
die Mühe - Danke.

[Ulrich Maier]

Am 21.04.2018 um 11:56 schrieb Marc Haber:
> Ulrich Maier <inv...@invalid.invalid> wrote:
>> Ja. Es wurde einfach die Protokollierung abgeschaltet :-)
>>
>> Oft findet man den zusätzlichen Hinweis: Die Protokollierung wird nur
>> eingeschalten, wenn Probleme analysiert werden müssen (z. B. nach
>> Angriffen).
>
> Dann ist es halt zu spät.

Nicht notwendig zu spät. Auf jeden Fall besucherfreundlicher.

Ulrich

[Ulrich Maier]

Am 21.04.2018 um 15:24 schrieb Thomas Hochstein:

> Ulrich Maier schrieb:
>
>> TMG § 5: "Diensteanbieter haben für geschäftsmäßige, in der Regel gegen
>> Entgelt angebotene Telemedien ..."
>
> Relevant ist regelmäßig für "private" Angebote die Impressumspflicht
> aus § 55 RStV.

Ja. Aber konstruiere mal einen Fall, der zur Impressumspflicht nach § 55
RStV aber nicht nach § 5 TMG führt!

>>>> 3 Muss mit dem Provider ein "Vertrag zur Auftragsverabreitung nach §
>>>> 28 DSGVO" geschlossen werden (weil er IP-Adressen loggt)?
>>> Das dürfte die Sorge des Auftragsverarbeiters sein. Hält er sich nicht
>>> an die Vorschriften der DSGVO, wird er selbst zum Verantwortlichen.
>>
>> Für den bloßen Internet-Zugangsdienst beraf es keiner A(D)V-Vereinbarung.
>
> Es geht, AFAIS, um den Betrieb einer Webseite.

Ja. Ich wollte nur darauf hinweisen, weil das nicht immer klar getrennt
wird.

> Der Hostingprovider,der den Webserver betriebt, wird ggf. ein Logfile haben, in dem

> typischerweise auch die IP-Adressen der Besucher erfasst werden. Der
> Hostingprovider ist insofern im Zweifel Auftragnehmer für den
> Webseitenbetreiber.

Ja, und der Webseitenbetreiber ist gut beraten, mit seinem
Hostingbetreiber einen AV-Vertrag abzuschließen. Mit Wirksamwerden der
DSGVO braucht m.E. nun aber auch der Hostingprovider einen schriftlchen
(!) AV-Vertrag (Artikel 28 Absatz 2).

Tun das 1&1, Strato & Co.?

Ulrich

[Ulrich Maier]

Am 21.04.2018 um 15:24 schrieb Thomas Hochstein:

Der Webhoster muss mit dem Webseitenbetreiber einen (schriftlichen!)
AV-Vertrag abschließen, in dem das zu regeln ist. Gegenüber Dritten ist
aber der Webseitenbetreiber als "Verantwortlicher" auskunftpflichtig und
verantwortlich.

Ulrich