Logging für Webhosting 4000 deaktiveren?

    Im Webhosting 4000 werden Zugriffe auf den Server bzw. auf die Domains automatisch geloggt und bis zu 14 Tage aufbewahrt. Das Problem daran ist, dass damit auch die vollständigen IP Adressen abgespeichert werden. Meinem Verständnis nach ist das in Bezug auf den Datenschutz problematisch, da anlassloses Speichern von IP Adressen nicht erlaubt ist.


    Hierzu ein paar Fragen:

    • Ist mein Verständnis falsch und das Speichern ist doch kein Problem?
    • Können die Logs deaktiviert werden?
    • Kann alternativ die IP Adresse anonymisiert/weggelassen werden?

    Nein, nein, und leider auch nein. Ich habe das gelöst, indem ich einen Server als Reverse Proxy vorgeschaltet habe, der keine Logs speichert. In den Logs des Webhostings landet dann nur die Adresse von meinem Reverse Proxy. Meine Datenschutzbeauftragt:innen hat das OK für diese Speicherung bei der Datenschutzabteilung des einzigen betroffenen Clients eingeholt.

    Zitat von KorbenDose

    Meinem Verständnis nach ist das in Bezug auf den Datenschutz problematisch, da anlassloses Speichern von IP Adressen nicht erlaubt ist.

    Ganz so klar ist das noch nicht.

    Speichern von ip-Adressen kann auch durchaus erlaubt sein, wenn dies "notwendig" ist.

    Logfiles sind da immer noch in einer Grauzone und es gibt m.W. noch keine abschließenden Gerichtsurteile dazu.

    Gibt aber durchaus auch Einzelurteile, die besagen, dass Serverlogs für 7 Tage OK sind. Man sollte darauf aber in der Datenschutzerklärung hinweisen.

    Ich habe die Apache-Logs meiner Server auch alle auf 7 Tage eingestellt.

    So verstehe ich das auch mit der Notwendigkeit. Es scheint aber wohl so zu sein, dass pauschales Speichern aller eingehenden IP Adressen keine Notwendigkeit begründet. Gut möglich, dass die Rechtsprechung dazu noch nicht einig ist.


    Wie kann ich denn die Speicherdauer reduzieren? Ich habe die Einstellung nicht gefunden.

    Zitat von KorbenDose
    Wie kann ich denn die Speicherdauer reduzieren? Ich habe die Einstellung nicht gefunden.

    Beim Webhosting? Ich glaube nicht, dass das dort geht.

    Ich habe ja nur Server und dort kann ich alles selbst konfigurieren.


    Aber auf dem Webhosting ist das ja eigentlich nicht deine Verantwortung, insbesondere wenn du darauf keinen Einfluss hast,

    Da müsste dann der Provider den Kopf hinhalten, denn der speichert ja die IPs

    Ja, so geht in Deutschland Datenschutz. Man schleudert dem Besucher trotz Do-Not-Track Header Cookie-Banner entgegen und speichert Daten, die man nicht braucht, weil man das nicht abschalten kann. Dafür schließt man dann einen Auftragsdatenverarbeitungsvertrag mit dem Webhoster ab und packt eine Datenschutzerklärung auf die Webseite, die genausowenig jemand liest wie die Cookiebanner. Wer tatsächlichen Datenschutz betreibt, indem keine Daten erhoben werden, und folglich weder Cookiebanner noch Datenschutzerklärung braucht, kann sich schon mal auf Anwaltspost einstellen.

    Ist schon ein paar Jahre her dass ich das ich es eingestellt habe, man kann beim Webhosting in Plesk die Protokollrotation beeinflussen, das geht unter Protokolle:

    Protokollrotation.png


    Ich habe es auch nochmal geprüft im entsprechenden Logs-Ordner für die Domain, dort lag auch nur was hier eingestellt wurde.


    Edit: Ist natürlich nicht komplett abgeschaltet aber deutlich weniger als default wenn ich das richtig in Erinnerung habe.

    Danke, ich habe das jetzt auch so eingestellt. Das scheint aktuell die einzige Möglichkeit zu sein, dem Datenschutz einigermaßen gerecht zu werden. Mir wäre allerdings lieber, die Logs entweder ganz auszuschalten oder anonymisiert länger aufzubewahren, damit man damit auch etwas anfangen kann. 1 Tag ist schon recht kurz.


    Zitat von aRaphael
    Aber auf dem Webhosting ist das ja eigentlich nicht deine Verantwortung, insbesondere wenn du darauf keinen Einfluss hast,

    Da müsste dann der Provider den Kopf hinhalten, denn der speichert ja die IPs

    Gut möglich, dass das so ist. Ich bin mir da allerdings nicht sicher und möchte in der Hinsicht lieber kein Risiko eingehen. Der Nutzen der Logs ist für mich nicht groß genug, da ich selber die für mich relevanten Informationen logge.