On Mo, 25 Jun 2018 at 17:25:05 +0200, Jakob Curdes wrote:
7 Tage helfen einem bei der Datenschutzproblematik nicht weiter, wenn es ein
personenbezogenes Datum ist.
Sollten sie, weil Du argumentieren kannst dass Du ein berechtigtes Interesse
an der Speicherung der Daten hast um Missbrauch zu erkennen. Es kommt im
Wesentlichen auf die Begründung an, warum Daten verarbeitet und gespeichert
werden, jedenfalls ist das die Quintessenz die ich aus den DSGVO Diskussionen
und den diversen Texten mitbekommen habe.
Fast alle Mustertexte für Webseiten enthalten den passus, dass IP-Adressen
vollständig im Serverlog gespeichert werden um abuse zu erkennen. Bei der
Webseitenstatistik ist das ein anderer Fall, hier ist die IP-Adresse nicht
nötig und ein opt-out aus dem gesamten tracking muss möglich sein.
Solange Du also im Regelbetrieb keine Statistiken über die IP-Adressen in
Verbindung mit den Emailadressen erzeugst und dies auf einzelne Personen
zuordnest ist das okay, wenn ich die von mir konsultierten Quellen richtig
interpretiere.
Ich musste mich im Rahmen meines Fachkundenachweises mit den möglichen Begründungen für eine
Speicherung zwangsweise auseinandersetzen.
Die Frage, ob man dynamische IP-Adressen zur Gefahrenabwehr ohne Einwilligung zeitlich begrenzt
speichern darf, wird derzeit höchstrichterlich geklärt. Für die meisten anderen Zwecke sieht das
eher schwierig aus, jedenfalls ohne Einwilligung (die für Logfiles technisch kaum umsetzbar wäre).
S.z.B.
https://www.datenschutz-praxis.de/fachartikel/ip-adressen-pruefen-sie-speicherpraxis/
Und: es geht nicht nur ums Speichern, es geht auch um die Widerspruchs- und
Löschrechte.
Wenn jemand da Löschrechte geltend macht, und die hat er mit großer Wahrscheinlichkeit - wie soll
das denn bei einem Logfile praktiziert werden? Und wie verhindere ich das zukünftige Loggen der
(evtl. immer noch derselben Person zugeordneten) IP? Wenn es gar kein personenbezogenes Datum mehr
ist, fällt das alles weg.... ob die überall kursierenden Texte wirklich eine korrekte Umsetzung der
DSGVO beschreiben oder einfach nur den aktuellen Zustand auf dem Server, werden wir in einiger Zeit
genauer wissen.
Aber eigentlich wollte ich das Fass ja gar nicht aufmachen; wir haben uns hier schon vor einiger
Zeit entschieden, höchstens noch gekürzte IPs zu loggen, wie es auch alle großen Hoster machen, weil
uns das für unsere Zwecke in der Praxis ausreicht. Das muss im Endeffekt jeder für sich entscheiden.
Die Frage ist daher technisch zu verstehen, und ich habe ja auch schon einen guten Tip für ein Tool
bekommen.
JC
