Was wir mit Leserdaten machen
Dieser Beitrag, in dem es um eine allgemeine Anfrage zum Datenschutz ging, weckt bei manchen Lesern offensichtlich die Befürchtung, wir hätten was zu verbergen.
Florian Holzhauer, der das law blog technisch betreut, beantwortet deshalb die gestellten Fragen, soweit sie überhaupt für diese Seite passten.
Welche Daten speichern Sie beim Besuch Ihrer Website?
IP-Adresse, Benutzer-Browser / RSS-Reader sowie die Summe des Daten-Traffics und Anzahl der betrachteten Dateien. Ausserdem bei Kommentaren die Daten, die der Benutzer in die Kommentarfelder einträgt.
Geben Sie Daten an Dritte, wie z.B. Dienstleister, weiter oder werden die Daten gar von Dritten erhoben?
Nein.
Zu welchem Zweck erfolgt die Datenverarbeitung?
Reines Abusemanagement – um zu erkennen, wo ein RSS-Reder falsch konfiguriert ist oder jemand versucht die ganze Seite auf einmal zu spiegeln, damit eine Sperre eingerichtet werden kann.
Wie lange werden die Daten gespeichert?
Die Logfiles zwei Wochen, die IP-Adressen, die WordPress speichert, wenn jemand kommentiert, 30 Tage. Danach werden Logfiles gelöscht, die IP-Adresse bei WordPress durch eine wertlose falsche IP ersetzt. Ausnahme sind IP-Adressen, die massiv als Spammer aufgefallen sind. Soweit sie eine servergefährdende Last erzeugen, werden diese IP-Adressen auf einer Blacklist gespeichert.
Also eigentlich genau das, was zum stabilen Betrieb der Seite notwendig ist.
Ergänzungsfrage:
Wofür wird die beim Kommentieren angeforderte Mailadresse verwendet?
Die E-Mail-Adresse soll es nur etwas mühseliger machen, unter verschiedenen Namen zu kommentieren.
die fragen wurden kurz und bündig beantwortet und durch veröffentlichung im blog nicht nur einem fragesteller, sondern gleich allen usern zugänglich gemacht.
jetzt ist wohl jedermann informiert und zufrieden. allerdings wohl auch nicht zuletzt, weil es dazu keinerlei postanschriften bedurfte…
Ergänzung zur Ergänzungsfrage: Und warum ist die Angabe einer Mailadresse erforderlich? Nachdem sie ohnehin nicht verifiziert wird (ich habe zumindest noch nie eine Mail vom lawblog bekommen), kann man ohnehin irgendetwas eintragen, was einer Mailadresse ähnlich sieht.
Jetzt bin ich aber schockiert. Ich dachte bisher, dass die Daten direkt an Schäuble gehen ;) ^^
Das ist doch jetzt Satire? Oder kommentiert da jemand fälschlicherweise im Namen des Hausherrn?
Die Daten bleiben bei euch? Das ist doch schon ne ganze Weile total out!
> Die E-Mail-Adresse soll es nur etwas mühseliger machen,
> unter verschiedenen Namen zu kommentieren.
Wie ist die Erfahrung damit? Funktioniert das?
> 30 Tage. Danach werden Logfiles gelöscht,
> die IP-Adresse bei WordPress durch eine
> wertlose falsche IP ersetzt.
Könnte man die eMail-Adresse da gleich mitlöschen? Wenn jemand nach 30 Tagen seinen Namen ändert, ist das ja nicht mehr sonderlich interessant und da wird vermutlich auch nie mehr jemand danach schauen.
Was die Angabe einer Mail-Adresse mit der Verhinderung von Sockpuppet-Bildung zu tun haben soll, frage ich mich auch. Ich kann doch einfach IRGENDEINE beliebige Mail-Adresse in das entsprechende Feld schreiben :)
Anwendungsbeispiel:
Irgendwann einmal wird der Fall eintreten, dass irgendein Staatsanwalt oder sonstiger Bedarfsträger irgendeinen satirischen Userkommentar mißversteht. Siehe den Fall Holger Voss (http://de.wikipedia.org/wiki/Holger_Voss)
Wenn zu diesem Zeitpunkt der Kommentator nicht mehr identifizierbar ist, erspart das allen Beteiligten eine Menge Arbeit.
udo vetter, die datenkrake ;-)
Das bedeutet das die logs auf dem server nach 2 wochen gelöscht werden?
@13: Nein, das bedeutet nur, dass die Logfiles 2 Wochen gespeichert werden. Unterscheidet sich also maßgeblich von einer Löschung der Logfiles nach 2 Wochen …
Na sowas!
Die Daten, die ich in dieses Kommentarfeld eingegeben habe, werden gespeichert?! Ich bin entsetzt! Unverschämtheit!!!EINSELF!!!
:-D
gut wäre es die Kommentare garnicht zu speichern :-)
na, dann link ins impressum und feddich, herr alexander a.
.~.
Man fragt sich allerdings ein bischen, warum diese Seite keine generelle Datenschutzbelehrung hat. Müßte sie eigentlich…
Nun wird von einem großen Teil der Literatur vertreten, dass die IP ein personenbezogenes Datum ist. Ist die Speicherung von IP-Adressen also auch im lawblog rechtswidrig?
Nur jemand, der was zu verbergen hat, versucht dem Eindruck entgegenzuwirken, dass er was zu verbergen hat.
@19: Vermutlich schon. Für Telemedien greifen nur Erlaubnistatbestände im TMG oder solche, die sich ausdrücklich auf Telemedien beziehen (§ 12 I TMG). In § 15 TMG (das ist derjenige, der sich auf Nutzungsdaten bezieht – dazu zählt auch die IP-Adresse) finde ich spontan keinen Erlaubnistatbestand, der auf das Lawblog zutreffen würde und der die Speicherung von IP-Adressen über das technisch notwendige Maß hinaus erlauben würde. Zum Trost: Google hält sich auch nicht dran (und wahrscheinlich sonst auch kaum jemand). Die zuständigen Aufsichtsbehörden halten sich, vorsichtig formuliert, hier *sehr* zurück.
Daß der Auskunftsanspruch nach §13 VII TMG nicht die Angabe einer postalischen Anschrift erfordert, wird in der Literatur übrigens auch nicht ernsthaft bestritten. Wozu auch, wenn der Anfragende eine elektronische Auskunft verlangt? Das ändert natürlich nichts daran, daß der Anfragende glaubhaft machen muß, daß das Pseudonym, zu dem er die gespeicherten Daten haben will, wirklich ihm zugeordnet ist bzw. war (was nicht immer ganz einfach ist).
"Ist die Speicherung von IP-Adressen also auch im lawblog rechtswidrig?"
Ob eine IP-Adresse ein personenbezogenes Datum ist, ist immer noch umstritten. Die noch h.M. spricht von einem "relativ personenbezogenen Datum" und verneint dies je nach verabeitender Stelle. Diese Meinung würde beim lawblog kein personenbezogenes Datum annehmen.
Die immer stärker werdende a.A. (der ich auch angehöre und sie bekanntlich seit langem forciere) stuft eine IP ausnahmslos als personenbezogenes Datum ein. Evt. Ungerechtigkeiten löse ich dabei durch extensive Auslegung von Erlaubnistatbeständen.
Ich will den Streit hier nicht erneut führen, die Meinungen kennt ihr, überlegt euch, was euch gefällt.
Erst wenn man die IP als personenbezogenes Datum einstuft, greifen dann die Überlegungen von Kommentator Nr.21. Das Google-Beispiel ist insofern gut gewählt, denn Google vertrit vehement (aus gutem Grund) die Auffassung, eine IP ist nicht personenbezogen.
Eine Ergänzung zu meinem Kommentar unter 22 dann doch: Die extensive Auslegung. Ein speichern von IPs in Logfiles ist bei mir dennoch zulässig, weil ich den §11 III TMG anwende. Ich sehe den Webserver-Dienst (Apache, IIS etc.) als Telemedium, das "überwiegend in der Übertragung von Signalen über Telekommunikationsnetze" besteht, so dass der §11 III TMG Anwendung finden kann, somit die Datenschutzbestimmungen des TMG nur eingeschränkt.
ich versteh das Genörgel nicht. Wer anonym bleiben will, behält seine Daten einfach für sich. Herr Vetter zwingt doch niemanden, auf dieser Seite (eine unter zig Millionen im Netz-bei spiegel Online kommt doch auch niemand auf die Idee, nachzufragen) auf Teufel komm raus (paranoide) Kommentare abzugeben. Zieht den Stecker aus der (Netz)dose und gut ist
Dem Kommentar Nr. 22 (Jens) stimme ich voll und ganz zu, Nr. 21 basiert auf meiner Auffassung, daß IP-Adressen eben personenbezogene Daten sind.
Die Überlegungen aus Nr. 23 gehen mir allerdings zu weit, weil bei dieser Auslegung kaum noch Telemedien übrig bleiben, für die die Datenschutzbestimmungen des TMG voll zur Geltung kommen.
Meines Erachtens hat der Gesetzgeber beim TMG ziemlich schlampig gearbeitet; manche Diskussion könnte man sich sonst sparen. (Eigentlich trifft dies auf jedes technikbezogene Gesetz zu, mit dem ich mich in den letzten Jahren befaßt habe).
Kann man da nicht originellere Antworten auf so dämliche Fragen geben? Beispielsweise "und machmal schreibe ich die Zahlen ihrer IP-Adresse auf eine Voodoo-Puppe, die ich anschliessend mit einem in meinem Blut getränkten Dolch durchstosse". Das ist die einzig richtige Auskunft zum Thema "Datenschutz".
Freiheit den Zahlen!
Witzig:
Speichert der Staat irgendwelche Daten, tobt hier im Forum heise.de-mäßig der Mob!
Die Anfrage von Alexander A. wird hier mit hämischen Kommentaren bedacht.
Dabei ist die Frage was Udo Vetter für Daten erhebt, speichert, weiterverabeitet etc. doch ganz interessant.
Äh, wer ist denn dieser Florian Holzhauer? Und sehe ich das richtig, dass er Zugriff auf die Daten hat? Und müsste dann die Antwort auf die Frage "Geben Sie Daten an Dritte, wie z.B. Dienstleister, weiter" nicht lauten: Ja, die Daten werden von Udo Vetter an Florian Holzhauer weitergegeben?
"Der einzige Grund für irgendeine Form von Logging ist das reine Abusehandling, und niemand wäre glücklicher als ich wenn sowas nicht nötig wäre."
"Der einzige Grund für irgendeine Form von Vorratsdatenspeicherung ist die Terrorismusbekämpfung, und niemand wäre glücklicher als ich wenn sowas nicht nötig wäre"
Ich weiß einfach nicht mehr, welches der beiden Zitate jetzt von Schäuble und welches vom Webmaster kommt.
SCNR :)
@28: Nö. Die Daten habe nur ich, sonst niemand. Udo hat keinen Zugriff auf die Logfiles. :-)
um es mit captain malcolm reynolds zu sagen: "why are we still talking about this?"
irgendwas wird nun mal gespeichert, und das hat auch seinen grund. und wenn die daten SCHON nach so kurzer zeit gelöscht werden, ist doch alles blendend! ich hab echt manchmal das gefühl, die kommentatoren hier halten den Uwe für eine mischung aus messias, parallel-APO und cyber-terroristen, und sind dann enttäuscht, wenn sich rausstellt, wie normal auch im lawblog alles abläuft.
Also das mit der E-Mail Addresse versteh ich auch nicht so recht, finde es bessser wenn Seiten gleich drauf verzichten. Allerdings ist das mit WordPress wohl gar nicht so einfach.
28. (Falscher Name): Florian Holzhauer ist der, der für die technische Seite des lawblog verantwortlich ist. Das ein Admin Zugriff auf die Daten hat, lässt sich nur schwer vermeiden (und wäre auch ziemlich kontraproduktiv).
Und zu der Emailadresse: So kann zumindest der Herr Vetter noch die Kommentatoren auseinanderhalten. Irgendein Schlingel postet hier nämlich ebenfalls unter dem Namen Henrik (Frechheit! :D). Und es soll hier ja tatsächlich Leute geben, die einen gebräuchlicheren Vornamen haben.
@25:
"weil bei dieser Auslegung kaum noch Telemedien übrig bleiben"
Ja, das kann man als Problem oder als Vorzug auffassen :) Jedenfalls bleiben Vorzugsweise Webseiten übrig, Webserver und Mailserver fallen raus. Aber: Denke an das TKG. Was du aus dem TMG ausschliesst, kann dennoch in das TKG fallen oder zumindest vom BDSG weiter erfasst sein. Es entstehen also keine Schutzlücken für Betroffene. Nur der Admin wird erstmal entlastet.
"Meines Erachtens hat der Gesetzgeber beim TMG ziemlich schlampig gearbeitet"
Das ist, angesichts des abgelieferten Schrotts, noch sehr nett ausgedrückt.
Ja, Wolfgang!
@35 danielj:
soll ich das als beleidigung auffassen? sie sind ein idiot.
ich glaube, godwin muss sein gesetz umschreiben. es ist heute nicht mehr hitler.
@36 / martin
Und Sie sind entweder extrem dünhäutig und/oder es mangelt Ihnen an Umgangsformen.
@34:
Ich verstehe, worauf du hinauswillst. Allerdings widerspricht das dem in der Literatur vorherrschenden "Schichtenmodell", wenn ich mich nicht irre. Das macht deine Argumentation nicht abwegig, allerdings scheint mir eine Abgrenzung, bei der im TKG das "Daten von A nach B schubsen" und im TMG das "auf den Daten einen Dienst aufbauen" bzw. "sinnvolle Daten zum Schubsen aufbereiten" geregelt ist, sinniger. Und damit wären dann Webserver und Anwendung als Einheit zu betrachten, was ich auch aus technische Sicht für eingängiger halte.
Auch frage ich mich, was Du gewinnst, wenn Du den Webserver Richtung Telekommunikation schiebst: So viel freizügiger sind die Regeln doch dort auch nicht. Mal von der VDS abgesehen, die du aber wohl auch nicht auf Webserver ausweiten willst :-)
Was mir nicht klar ist: Was meinst du mit "Webseiten"? Eine Seite verarbeitet keine Daten, bleibt also evtl. noch eine Anwendung – ein Blog zum Beispiel. Darauf willst du hinaus, oder?
(Entschuldige die Ausdrucksweise, aber nach Feierabend erlaube ich mit das "Daten schubsen" :-))
Erstaunlich, dass eine Webseite von einem Anwalt die gesetzlich vorgeschriebenen Datenschutzhinweise (§ 13 Abs. 1 TMG) erst auf ausdrückliche Anfrage einstellt und das auch noch zugibt!
http://www.gesetze-im-internet.de/tmg/__13.html
Diese Informationen benötigen eigentlich eine Ergänzung im Bereich Geben Sie Daten an Dritte, wie z.B. Dienstleister, weiter oder werden die Daten gar von Dritten erhoben?, denn es werden sowohl Google+ Buttons als auch die api und Grafiken von flattr für die flattrbuttons direkt eingebunden, bei denen deren Bestimmungen zur Speicherung gelten.
Schön (je nach Ansicht auch Pflicht) wäre auch eine Opt-In-Lösung wie die, die heise unter der MIT Lizenz veröffentlicht hat: http://www.heise.de/extras/socialshareprivacy/