DSGVO: Option IP speichern - Erweiterung um Zeitraum nach dem alle gespeicherten IP Adressen gelöscht werden

  • App
    WoltLab Suite Core

    Hallo,

    im Hinblick auf die kommende DSGVO möchte ich vorschlagen die Speicherung der IP Adressen auf einen selbst festlegbaren Zeitraum begrenzbar zu machen, so dass diese nach diesem Zeitraum automatisch gelöscht werden.

    Da es z.B. in Deutschland so ist dass die Zuordnung der IP Adressen nach 10 Wochen gelöscht wird, sind diese dann ohnehin nicht mehr von Nutzen für eine eventuelle Strafverfolgung.

    Ich möchte dies auch für das WCF 2.1 vorschlagen und wäre um eine kurze Rückmeldung sehr dankbar.

    Gruß,

    Afox

    Alle sagten: "Das geht nicht." Dann kam einer, der wusste das nicht, und hat es gemacht.

  • Da es z.B. in Deutschland so ist dass die Zuordnung der IP Adressen nach 10 Wochen gelöscht wird, sind diese dann ohnehin nicht mehr von Nutzen für eine eventuelle Strafverfolgung.

    Strafverfolgung ist überhaupt nicht deine Aufgabe. Aber unabhängig davon ist deine Annahme recht gewagt, denn viele haben über Jahre die gleiche IP-Adresse, nicht nur wenn sie eine feste IP-Adresse besitzen, sondern auch weil ihnen der Provider immer wieder die gleiche IP-Adresse zuweist. Also auf welcher Grundlage möchtest du diese Daten erheben?

  • mhh ob das so einfach ist?

    laut dem hier nicht

    Quote

    Können Webseiten-Betreiber IP-Adressen nun grenzenlos speichern?

    Nein. IP-Adressen dürfen nur gespeichert werden, wenn der jeweilige Webseiten-Betreiber ein berechtigtes Interesse daran hat und eine Abwägung der Interessen des Nutzers und des Webseiten-Betreibers ergibt, dass das Interesse des Webseiten-Betreibers überwiegt. Es muss folglich bei jeder Speicherung eine auf den Einzelfall gerichtete Interessenabwägung erfolgen. Es ist bislang aber noch weitgehend ungeklärt, welche Interessen von den Gerichten als berechtigt angesehen werden. Diese Rechtsunsicherheit wird erst nach und nach durch Entscheidungen der Gerichte verringert werden können.

    https://www.datenschutzkanzlei.de/eugh-entscheid…htmaessig-sein/

  • Das ist korrekt. Aber bis das höchstrichterlich geklärt ist, fällt das meiner Meinung nach unter berechtiges Interesse. Aus einer Vielzahl von Gründen.

    Personenbezogene Daten dürfen "zur Wahrung berechtigter Interessen" des Verantwortlichen verarbeitet werden, "sofern nicht die Interessen der betroffenen Person überwiegen ", Art. 6 Abs. 1 Buchst. f) DSGVO.

    Bei der Interessenabwägung spielt Erwägungsgrund 47 eine wichtige Rolle. Dieser legt fest:

    - Die "vernünftigen Erwartungen der betroffenen Person" sind zu berücksichtigen;

    - Besteht bereits eine (Kunden-)Beziehung zwischen den Parteien, spricht dies zunächst einmal für ein berechtigtes Interesse, erst recht, wenn der Kunde "vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird", wobei dies auch umgekehrt gilt.

    - Schutzwürdige Interessen Minderjähriger oder Arbeitnehmer sind i.d.R. höher zu gewichten.

    Je weniger der Nutzer in seinen schutzwürdigen Interessen beeinträchtigt wird - so bei für ihn relevanter Werbung, bei verständlicher Belehrung der opt-out-Möglichkeiten (d.h. der Möglichkeit, Werbung jederzeit abzubestellen) - etc., desto eher wird das Pendel zugunsten des Verantwortlichen ausschlagen.

    Bedient dieser sich hingegen ausgefeilter Profilingmethoden oder verarbeitet er besonders geschützte Daten, werden die schutzwürdigen Interessen des Betroffenen höher zu bewerten sein. Schließlich spielt die strukturelle Vertragsdisparität, die Generationen von Juristen kennen- und lieben gelernt haben, auch hier eine nicht zu unterschätzende Rolle:

    - Minderjährige und

    - Beschäftigte

    sind strukturell unterlegen, so dass an ihre schutzwürdigen Interessen besonders hohe Maßstäbe anzulegen sind.

    Bei IP-Adressen habe ich immer die Strafverfolgung im Hinterkopf. Simples Beispiel: Selbstmord-Androhung, o.ä. Als Betreiber einer Webseite musst du dies sofort zur Anzeige bringen, sonst machst du dich ggf. der unterlassenen Hilfeleistung oder Strafvereitelung strafbar. In solchen Fällen sind Anzeigen gegen Unbekannt eher ungünstig.

    Meiner Ansicht nach ist das kurzzeitige Speichern von IP-Adressen für diesen Fall (und damit berechtigtem Interesse) problemlos möglich. Anders sieht es - wie oben bereits erwähnt - aus, wenn man die IP beispielsweise zur Profilbildung, Nutzungsstatistiken, o.ä. verwendet. Da kann ich mir rechtliche Konsequenzen schon eher vorstellen. Vor allem, wenn die IP anders genutzt wird, als in der Datenschutzerklärung genannt.

    Am Ende müssen das eh unsere Gerichte klären. Ich für meinen Teil werde auch nach Inkrafttreten der DSGVO IP-Adressen protokollieren. Zumindest für bis zu 7 Tage und das auch nur Software-seitig. In den Webserver-Protokollen werden IP-Adressen bei uns schon seit Ewigkeiten nicht mehr gespeichert, da ich bisher keinen wirklichen Fall hatte, wo das irgendwo von Nöten war.

    Edited 9 times, last by SoftCreatR (April 28, 2018 at 4:13 AM).

  • Zumindest für bis zu 7 Tage und das auch nur Software-seitig. In den Webserver-Protokollen werden IP-Adressen bei uns schon seit Ewigkeiten nicht mehr gespeichert, da ich bisher keinen wirklichen Fall hatte, wo das irgendwo von Nöten war.

    Und wie machst Du das? Manuell? Sicher nicht, oder?

    Gibt es da auch was für 4.1.xx

  • mhh im Grunde sagt man also:

    Ich gehe also erstmal davon aus das alle User die sich auf einer Seite anmelden versuchen werden Straftaten zu begehen, ergo speicher ich mal zur Vorsicht die IP?

    Nach 7-10 Tagen huch war ja doch kein Straftäter?

    Auf der einen Seite wird ein riesen Wind um DSVGO gemacht aber hier plötzlich......wird mal eben ein banaler Grund zugelassen? Im Grunde könnte ich ja nun als User sagen: He du denkst ich wäre einer der Straftaten plant, deswegen speicherst du meine IP? Na dann freu dich mal auf die Anzeige?

    War es nicht mal so das hier Zulande die Formel gilt das man Unschuldig ist, bis die Schuld bewiesen wurde? Das Vorgehen würde es ja umkehren, ich müsste Beweisen das ich ein guter bin?

    Für mich ist das kein Berechtigtes Interesse, eher ein Generalverdacht alles sind Spitzbuben und könnten ja was böses wollen.

    Soll mir aber egal sein, ich speicher sie nicht und fertig.

    Ich frage mich gerade wie eine IP einen Selbstmord vereiteln soll? Bis der Anschluss ermittelt wurde ist die Person garantiert schon 5 Tage tot. In einen Fall von Beleidigung per Kommentar in einem Forum hat es fast 2 Jahre gedauert zu ermitteln wer der Inhaber des Anschluss war, dazu müsste mir dann auch nachgewiesen werden das ich den Beitrag Zeitnah gelesen habe, ergo müsste ich da ja dann ein log führen wer welchen Thread wann gelesen hat?

    Irgendwie ein Rattenschwanz ohne Ende.....

  • Bei IP-Adressen habe ich immer die Strafverfolgung im Hinterkopf. Simples Beispiel: Selbstmord-Androhung, o.ä. Als Betreiber einer Webseite musst du dies sofort zur Anzeige bringen, sonst machst du dich ggf. der unterlassenen Hilfeleistung oder Strafvereitelung strafbar. In solchen Fällen sind Anzeigen gegen Unbekannt eher ungünstig.

    Selbstmord (und auch die Androhung) ist nicht strafbar, muss also nicht angezeigt werden. Und außerdem hast du ja noch die E-Mail-Adresse. Darüber sollte sich ein potentieller Selbstmörder genau so gut finden lassen wie über die IP-Adresse. Und wenn nicht, dann kann dir trotzdem niemand vorwerfen nicht genug getan zu haben.

    Für mich dient die Speicherung der IP-Adressen ausschließlich zur Spammer-Abwehr. Und dafür reicht eine sehr kurze Speicherdauer.

  • Ich sehe das ähnlich wie SoftCreatR, und denke, dass man auch unter des DSGVO weiterhin IP-Adressen speichern kann. Zwar nicht für die Ewigkeit (das geht auch heute schon nicht), aber für ca. 7 Tage! Und auch ich persönlich sehe diese Speicherung der IPs als unter Art. 6 Abs. 1 Buchst. f DSGVO möglich.

    Mit dieser Meinung sind SoftCreatR und ich übrigens nicht ganz allein. Selbst das "Bayrische Landesamt für die Datenschutzausicht", das übrigens eine recht informative DSVGO-Seite betreibt, gibt auf ihrer Webseite bei der Beantwortung eines DSGVO-Selbsttests an, dass sie die IP-Adresse für 7 Tage zur "Erkennung und Abwehr von Angriffen auf ihre Webplattform" speichern.

    Gut, jetzt kann man persönlich sagen das sind Bayern, die hängen auch Kruzifixe verbindlich in den staatlichen Verwaltungen auf. :whistling: Aber im Punkt der IP-Adressen-Speicherung sehe ich das genau so wie die.

    Technisch lösen kann man das mit einem (echten!) CRON-Job der zyklisch gestartet wird, und dann die IP-Adressen älter als 6 Tage in den Tabellen des WSC löscht.

    Edited 3 times, last by Barungar (April 28, 2018 at 9:03 AM).

  • Strafverfolgung ist nur ein mögliches Szenario. Es gibt genug Gründe, die für eine kurzzeitige Speicherung von IPs sprechen.

    Und ja, stimmt. Selbstmord ist nicht strafbar, daher auch die Beihilfe oder unterlasse Hilfeleistung nicht. Muss dazu sagen, das ich mich bisher nicht damit auseinander gesetzt habe. Wieder was gelernt.

  • Berechtigtes Interesse. Fertig.

    Wenn du dieses Interesse begründen kannst, und eine rechtliche Grundlage dafür findest, tatsächlich kein Problem. Strafverfolgung ist jedoch kein berechtigtes Interesse. Weil gar nicht deine Aufgabe. Technische Fehlerdiagnose durchaus. Aber dann sollte die Protokollierung nicht durchgehend mitlaufen, sondern nur bei Bedarf und tatsächlichen Problemen aktiviert und anschließend sofort wieder abgeschaltet werden. Das aufgetretene Problem, und die Begründung, weshalb für die Diagnose auch eine Erhebung personenbezogenen Daten erfolgte, sowie die anschließende Löschung dieser Datenbestände sind geeignet zu dokumentieren. Aber das war ja bisher auch nicht anders zu handhaben. Im Bereich einer Firewall dürften 7 Tage einen recht guten Kompromiss darstellen. Was weiter zurückliegt ist ohnehin nicht mehr relevant.

  • Die Strafverfolgung selbst ist natürlich nicht deine Aufgabe, das sollte klar sein.

    Aber belassen wir es dabei: Es kann durchaus gute Gründe für die kurzzeitige Speicherung von IP-Adressen geben. Selbst die Prävention von Statistik- oder Umfrage-Manipulation kann durchaus berechtigtes Interesse sein.

    Was es am Ende wirklich ist, erfahren wir ja eh erst, wenn sowas mal vor Gericht gekommen ist.

  • All,

    der TE hatte dies ja als Vorschlag eingestellt.

    Gibt es denn jemand, der den Vorschlag für die Community umsetzt / umsetzen möchte / anbietet, ...?

    Und dann hab ich noch eine Bitte: Auch für 4.1.x?

  • Aber belassen wir es dabei: Es kann durchaus gute Gründe für die kurzzeitige Speicherung von IP-Adressen geben. Selbst die Prävention von Statistik- oder Umfrage-Manipulation kann durchaus berechtigtes Interesse sein.

    Ja. Da sind wir einer Meinung. Aber spätestens mit dem Ende dieser Umfrage ist das berechtigte Interesse erloschen. Also kann man da nicht pauschal sagen, erlaubt oder nicht, sondern es hängt immer von den Bedingungen ab.

    Was es am Ende wirklich ist, erfahren wir ja eh erst, wenn sowas mal vor Gericht gekommen ist.

    Wenn du sauber dokumentierst, auf welcher gesetzlichen Grundlage du diese Daten erhebst und verarbeitest, und dabei den Grundsatz der Datensparsamkeit beachtest, sollte es überhaupt kein Problem sein, das auch vor Gericht zu begründen.

  • Ich lese hier fast jeden Beitrag zur DSGVO, ehrlich mir wird langsam echt schwindelig.

    Dann auch immer wieder die Grundsatzdiskussionen.

    Vielleicht hätte ich doch alle Foren hinwerfen sollen.

    All,


    der TE hatte dies ja als Vorschlag eingestellt.

    Gibt es denn jemand, der den Vorschlag für die Community umsetzt / umsetzen möchte / anbietet, ...?


    Und dann hab ich noch eine Bitte: Auch für 4.1.x?

    Hallo,

    im Hinblick auf die kommende DSGVO möchte ich vorschlagen die Speicherung der IP Adressen auf einen selbst festlegbaren Zeitraum begrenzbar zu machen, so dass diese nach diesem Zeitraum automatisch gelöscht werden.

    Letzteres Zitat, es wäre doch wirklich interessant, egal ob das jemand für sinnvoll oder fragwürdig findet.

    Man muß doch nicht immer alles zerreden und am Ende bleiben wieder nur Fragen.

    Signatur

    Signatur

    gecancelt

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!