Mailserver und Logs davon sind ja auch noch so eine Sache.
DS-GVO betrifft so gut wie jeden
- Martha
- Erledigt
-
-
Eben. Und schnell ist was übersehen. Lieber schalte ich einen weniger wichtigen Dienst vorübergehend ab, bevor ich das alles irgendwie husch-husch mach und dann die dicke Rechnung kommt.
-
Bei einem Mailserver ist das ganze ja wiederum anders zu bewerten. Tracking ist hier auf einer anderen Ebene halt möglich (man weiss halt welcher User sich wann wo wie usw. angemeldet hat) Dies betrifft in Diesem Fall ja zuerst direkt die eigenen Kunden. Dazu kommt dann noch, das man auch sehen kann, wer mit wem schreibt. Personenbezogene Informationen in einer Mail müssen verschlüsselt werden, dies muss aber der User selber machen. Der Server selber hat natürlich valide SSL Zertifikate.
-
Mailserver und Logs davon sind ja auch noch so eine Sache.
Wenn ein Abmahnanwalt nicht gleichzeitig dein Administrator ist und Zugriff auf die Logs hat, sehe ich das nicht allzu schlimm.
-
Finde das ganze Thema jetzt auch nicht sooo kritisch. Habe nur private Anwendungen laufen und nur wenige merkbare Änderungen vorgenommen:
- Access Logs werden nur noch 7 Tage aufgehoben
- Websites mit Formularen haben eine genaue Beschreibung bekommen, was mit den Daten gemacht wird und wie lange diese aufgehoben werden
- Piwik entsorgt
- Projekte mit Benutzeraccounts: Da haben alle User eine entsprechende Info bekommen mit der Aufforderung die Infos zum Datenschutz zu lesen und zu akzeptieren. Erhalte ich keine Rückmeldung lösche ich den Account.
- Formulare welche anonym genutzt werden können um eine entsprechende "Ich hab die Infos zur Datennutzung gelesen und bin einverstanden" Checkbox erweitert
Werbung und externe Assets hatte ich sowieso noch nie eingebunden. Auch Kommentarfunktionen habe ich mir in meinem Blog von Anfang an geschenkt.
Ein einziges Projekt muss ich aus Zeitgründen, da es schon ewig "unbeaufsichtigt" ist und ich keine Zeit habe es "hübsch" zu machen, wohl erst mal ausknipsen. Der Rest müsste so passen.
-
Auf die Logs habe nur ich Zugriff. Ich werde die halt nach einer gewissen Zeit löschen. Nur hatte ich schon einmal bei einem Kunden einen Abuse Fall und musste da auch in den Logs nachschauen. Deswegen werden die eine gewisse Zeit aufgehoben.
-
Kunden einen Abuse Fall und musste da auch in den Logs nachschauen.
Was ja in die "übergeordnetes Interesse" (oder wie das genau hieß) Klausel fällt.
-
Auch ganz interessant: https://www.heise.de/newsticke…t-abschalten-4040471.html
Um einige ist es sicher nicht schade, aber wenn selbst solche Spieleentwickler den lukrativen EU-Markt verlassen, dann scheint ja schon eine gewisse Angst vorzuherrschen...
Die EU dürfte für Internetstartups so gut wie tot sein, in den USA haben es die Leute 10x leichter.
-
Meine Logs kann auch NUR ich lesen und per Logrotate sind die eh irgendwann weg. Die Vereinbarung mit meinen Mailusern bereite ich gerade vor. Meien Datenschutzerklärung war bisher schon recht detailliert, ich glaub, da hab ich ne gute Basis. Und auch ich werde bei Ausbleiben der Erklärung die betroffenen Accounts komplett löschen.
Ich hab aber auch den Anspruch, dass es bei nemgrößeren Projekt einer Prüfung standhalten sollte... zumindest zu nem vertretbaren Aufwand. Die Kommentarfunktion im Wordpress erfordert schon keine Namen oder Mailadressen mehr und man muss ein Häkchen setzen. So ungefähr will ich das bei Piwigo dann auch haben. Da gibts außer meinem eh keine Userkonten.
-
Was ja in die "übergeordnetes Interesse" (oder wie das genau hieß) Klausel fällt.
Jupp. Das ist, wenn ich mich nicht irre, unter 6.1 a-f (einer der Punkte). Das ist ja das gleiche wie bei Apache Logsfiles mit allen IPs. Die Frage ist halt immer, ab wann muss man das ganze anonymisieren (bei Apache Logs aind das 7-14 Tage).
-
Meine Logs kann auch NUR ich lesen und per Logrotate sind die eh irgendwann weg. Die Vereinbarung mit meinen Mailusern bereite ich gerade vor.....
Ich hab aber auch den Anspruch, dass es bei nemgrößeren Projekt einer Prüfung standhalten sollte... zumindest zu nem vertretbaren Aufwand. Die Kommentarfunktion im Wordpress erfordert schon keine Namen oder Mailadressen mehr und man muss ein Häkchen setzen. So ungefähr will ich das bei Piwigo dann auch haben. Da gibts außer meinem eh keine Userkonten.
So ähnlich ist das bei mir ja auch. Ich habe keinen reinen Mailuser. Nur von den Kunden die Accounts. Ich werde die Erklärung mit in die AV Verträge aufnehmen. Die User lege ich alle, wenn überhaupt, selber an und kenne diese auch persöhnlich.
Ich entferne gerade das Mail Feld für Kommentare und suche gerade das Plugin für die Checkbox. Ich denke dann bin ich von meinen Seiten aus auf der guten Seite. Eine Datenschutzerklärung habe ich auch schon zusammen.
Ich habe zum Glück nicht mehr die großen Kunden mehr. Mein online Händler hat keinen Shop oder so laufen (das liegt alles woanders) und hat auch einen guten Anwalt, der Ihm das Impressum usw. erstellt.
Der Rest sind fast nur noch ein paar Private Kunden aus dem Bekanntenkreis (statische Seiten und Mailaccounts).
-
Wie sieht es eigentlich mit einem Webhosting von netcup aus, was die Mails angeht? Soweit dass ich jedem eine Datenschutzerklärung in die Mailsignatur packen muss, dass der gegenüber weiß, dass seine Mailadresse + Antwort auf den netcup Servern gespeichert wird sind wir noch nicht, oder?
Beim eigenen Mailserver muss ich nur die Logs nach 14 Tagen löschen und den Usern klar machen, dass die IPs temponär sowie die Mails dauerhaft gespeichert werden, oder?
-
Was mir noch heute durch den Kopf ging ist das Thema Schufa: DER Datenhai schlechthin. Sammelt und speichert alles ohne die Einwilligung des Betroffenen. Aus meiner Sicht hochgradig illegal nach DSGVO...
-
Wie sieht es aus mit s.g. Clan-Seiten ?
Aus meiner Sicht sind die für einen beschränkten Nutzerkreis
und somit gleichzusetzen mit familiären Hompages
-
Was mir noch heute durch den Kopf ging ist das Thema Schufa
-
Wie sieht es da künftig mit bspw. einem analogen Anmeldeformular für Schule und co. aus? Da werden ja unter anderem auch Daten wie die Religionszugehörigkeit, aber auch E-Mail/Telefonnummer/Adresse und noch viel mehr abgefragt. Müssen dann künftig einem simplen, zweiseitigen A4 Bogen zehn Seiten Datenschutzerklärung angehängt werden, um der DSVGO gerercht zu werden?
Oder was passiert mit QR-Codes, die automatisch auf einen Dateidownload o.Ä. verweisen und eventuell noch einmal durch einen (externen) URL-Shortener geschleust werden? Beim Direktlink auf eine .pdf gibt es ja keine richtige Möglichkeit auf die Datenverarbeitung hinzuweisen, außer eine Seite zwischenzuschalten, die in meinen Augen jedoch wieder den Sinn (direkter, einfacher Link ohne X Sachen durchzuklicken und zu suchen) zerstört.
Muss man hier künftig die Datenschutzerklärung danebendrucken?!Ja mir ist durchaus bewusst, dass das vermutlich nicht so streng gesehen wird und es niemanden juckt, worüber ich auch sehr froh wäre, aber trotzdem frage ich mich, was der Gesetzgeber sich zu solchen Dingen denkt... Ich will doch nicht künftig alles, was irgendwie digital ist (und sei es nur ein Link auf nem Schreiben) mit Hinweisen zum Datenschutz zukleistern müssen...
-
Ich will doch nicht künftig alles, was irgendwie digital ist (und sei es nur ein Link auf nem Schreiben) mit Hinweisen zum Datenschutz zukleistern müssen...
Tja vielleicht kommt genau DAS auf uns zu, ich sage nur "Cookie Banner"
-
Die Zukunft gehört den "manuellen" Links, die nur per copy & paste funktionieren.
-
Oder die als Bild vorliegen und die man abtippen muss
-
Das ist bestimmt die sicherere Variante.