Feature-Request: IP Anonymisierung bei Webhosting

  • War nicht unbedingt auf das Thread hier bezogen, sondern die ganze Panik um das Thema 🤗🤗

    Na dann ist gut.

    Edit: oder was ist, wenn jemand das WordPress Backend hackt und die Seite nun nutzt um Warez anzubieten. Wer haftet in dem Fall? Irgen ne 3stellige IP aus Ostfriesland?


    Soweit ich weiß, grundsätzlich erst einmal der Seitenbetreiber bzw dessen Versicherung, sofern er sein WP unzureichend abgesichert hat. Der kann dann versuchen die 3stellige IP haftbar zu machen. Oder eine 4stellige IP eines TOR-Knotens in Timbuktu und hoffen dass ihn nicht noch Irgendwer ein Strickt daraus dreht weil er sie noch hat.

    Aber über sowas muss ich mir keine Gedanken machen, bin weder Jurist noch hab ich eine Pflicht zur Vorastdatenspeicherung. Von daher mach ich mir eben darüber Gedanken, was ich in den DSB behaupte und wie ich verhindere gehackt zu werden.

  • Laut DSGVO (oder einer zuvor beschlossenen Regelung) zählen auch IP-Adressen zu personenbezogenen Daten. Das ist ja ganz wunderbar, denn für die Speicherung selbiger in einer Log kann ich mir eben nicht zuvor eine Zustimmung einholen (wie auch...). Wenn diese nun anonymisiert wären (z.B. in Form eines nicht rekonstruierbaren Hash), dann müssten ich (und viele, viele andere Webseiten-Betreiber) sich nur um die konforme Speicherung von Daten in den eigenen Scripten kümmern.


    Das schlimme ist ja auch, dass (nach meinem Wissensstand) selbst private Blogs DSGVO konform umgesetzt werden müssen, da die Besucher von solchen Seiten ihre Daten (IP-Adresse) an Netcup übermitteln. Netcup wiederum ist ein kommerzielles Unternehmen.

    • IP-Adressen zählen nicht erst seit DSGVO zu den personenbezogenen Daten.
    • In der DSGVO fällt so gut wie jede vorstellbare Aktion im Zusammenhang mit personenbezogenen Daten unter den Sammelbegriff „Verarbeitung“/„Processing“. Es geht da bei Weitem nicht nur um „Speicherung“.
    • Daneben lese ich immer wieder, dass man für jedwede Verarbeitung im Sinne der DSGVO die Zustimmung des Betroffenen einholen müsse. Das ist Blödsinn. Es gibt noch ein halbes Dutzend weiterer Rechtsgrundlagen, bspw. das Vorliegen von berechtigtem Interesse. Und die Abwehr von Cyberangriffen auf den eigenen Server zählt ja wohl eindeutig in diese Kategorie (siehe auch Muster-Vorlagen von diversen staatlichen Stellen).
    • Hashen von etwas ist Pseudonymisieren (wurde auch mehrfach angesprochen)
    • Wenn ein „privater“ Blog personenbezogene Daten zu nicht ausschließlich persönlich/familiären Zwecken verarbeitet, muss er die DSGVO umsetzen – völlig egal, was netcup noch darüber hinaus macht und auch völlig egal, ob man selbst eine Privatperson oder ein Unternehmen ist. Das war faktisch schon jahrelang vorher der Fall, bspw. im deutschen BDSG oder österreichischen DSG2000 und ist nichts Neues. Wie extrem strikt die Begriffe „persönlich/familiäre Zwecke“ gesehen werden, lässt sich bspw. aus der Kommentarliteratur zum BDSG entnehmen. In der Regel fällt ein öffentlich abrufbarer Blog nicht mehr in die Kategorie „persönlich/familiäre Zwecke“. Absolute Rechtssicherheit schafft aber erst eine Klärung durch einen Anwalt, der sich im Datenschutzrecht auskennt und selbst dann gibt es dank ungenauer Floskeln in der DSGVO noch viele Fragezeichen.
  • Ich hingegen kann, als einfacher Betreiber größtenteils statischer Webseiten, mit den IPs im Grunde nichts anfangen; habe demnach eigentlich kein Recht dazu IPs grundsätzlich immer zu speichern/speichern zu lassen. Nur bei bedarf z.B. zur Absicherung des Backendes/Kontaktformulars, sehe ich die Speicherung als DSGVo-Konform an; geschieht dann aber nicht über die Logs. Die restlichen Daten aus den Logs brauche ich dennoch.

    Auch wenn man statische Webseiten hat, können Angreifer bspw. mit entsprechenden GET-Requests oder POSTs den darunterliegenden Webserver angreifen. Darüber hinaus sehe ich keinen Grund, IP-Adressen, die bspw. versuchen, wp-login.php abzufragen (obwohl es dafür keinerlei Gründe gibt) oder nach Dateien suchen, die es auf dem Webserver gar nicht gibt, dauerhaft zu blockieren.


    Im Rahmen des berechtigten Interesses von dir als Serverbetreiber/Anbieter des Contents hast du schon ein Recht, IP-Adressen hierzu zu speichern. Man stelle sich vor, jemand greift munter jeden Tag Webserver an und widerspricht dann der Speicherung seiner IP-Adresse in entsprechenden Firewall-Regeln. Dass das nicht so sinnvoll sein kann, erkennt man hoffentlich schnell.

  • IP Adressen sind erst dann und nur dann personenbezoegene Daten, wenn Du die Verknüpfung zu einer Person hast;

    ansonsten sind es einfach nur Nummern; ohne Bezug zu einer Person sind Telephonnummern ebenfalls keine personenbezogenen Daten;


    bei IPv6 wirds dann etwas komplizierter den Personenbezug herzustellen ..., hängt von der Paranoia der Users ab ...:D

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G8 xRAM; RS 500 SSD G8; S 1000 G7; VPS 200 G8 Akt.; Webhost. 1000 m. 75%

  • Wie lange darf ich die IPs (nicht anonymisiert) jetzt speichern, wenn ich sie nicht mit anderen Daten verknüpfe? 7 Tage oder länger?

    Solange es für deinen definierten Verarbeitungszweck notwendig ist, wie Mordor schon schrieb.


    Und wie in meinem Beispiel schon genannt: Wenn du bspw. illegale Zugriffe auf einen Webserver blockst, wirst du die IP-Adresse logischerweise „für immer“ blockieren wollen. Es wäre absolut unsinnig, nach 7 Tagen IP-Adressen wieder aus den Firewall-Regeln zu entfernen, weil das irgendwo im Internet steht. Es wäre technisch auch unsinnig, diese IP-Adressen zu anonymisieren, sodass die Firewall dann gar nichts mehr damit anfangen kann.


    Eine FAQ zu dem Thema „Aufbewahrungsfristen und Löschung nach EU-Datenschutz-Grundverordnung“ findet sich bspw. bei der WKO.


    Aber: Bevor Panik ausbricht, sollte beachtet werden, dass einige Aspekte der DSGVO von Land zu Land unterschiedlich sind (siehe bspw. Zusatzregelungen im BDSG und anderen Datenschutzgesetzen in Deutschland) und einige Aspekte der DSGVO erst ab einer bestimmten Mitarbeiteranzahl gelten (bspw. Bestellung DSB).


    Von daher: Keine Panik und nicht alles glauben, was irgendwo im Internet steht. Selbst Anwälte, die seit Jahren im Datenschutzrecht tätig sind, widersprechen sich teilweise oder warten die ersten Urteile ab, um mehr Rechtssicherheit zu schaffen. Eine Panikreaktion gem. „Ich darf gar nichts mehr“ hilft niemandem weiter. Wenn man die notwendigen Angaben gem. Artikel 13 und unter Umständen Artikel 14 der DSGVO bereitstellt und weiß, welche personenbezogenen Daten man eigentlich wofür verarbeitet, hat man schon viel „richtig“ gemacht.