IP-Adressen werden gespeichert obwohl deaktiviert

Hallo,

wir verzichten auf die Speicherung personenbezogener Informationen, wo immer das möglich ist, und speichern auch keine IP-Adressen. Die entsprechende Einstellung im ACP ist deaktiviert. Beim Export persönlicher Daten tauchen aber neuerdings doch wieder IP-Adressen auf. Es handelt sich dabei um die IP-Adresse der aktuellen Session. Was läuft da falsch? Für die Dokumentation des Datenschutzvorfalls benötige ich möglichst eine ausführliche Stellungnahme (also bitte nicht nur ein Label setzen...). Konfigurationsfehler oder Programmierfehler?

Wir haben das damals bei den Anpassungen für die DSGVO überprüft, und keine Probleme damit festgestellt, eine regelmäßige Prüfung war bislang nicht vorgesehen, aber werden wir wohl einführen müssen.

Die beiden Einträge acpSession und acpSessionLog sehe ich ebenfalls nicht als problematisch, Zugriff auf das ACP hat nur der Betreiber, der erste Eintrag session wird aber offenbar immer gefüllt, unabhängig von der vermeintlich dafür zuständigen Einstellung. Vor der Einführung dieser Möglichkeit, haben wir sämtliche IP-Adressen vor der Speicherung anonymisiert, mussten diese Anpassungen aber bei Updates jeweils überprüfen und ggf. wiederherstellen.

Seltsam, denn selbst in eurer Datenschutzerklärung informiert ihr lediglich darüber, dass die Serverlogfiles personenbezogene Informationen umfassen. Dann müssen wir das wohl aufnehmen, und unsere Stellungnahme gegenüber der zuständigen Aufsichtsbehörde korrigieren, denn es kommt nicht darauf an, ob und wie lange man eine Information speichert, sondern ob man sie erhebt und damit verarbeitet oder darauf verzichtet.

Verstehe ich das richtig, dass die IP-Adresse erfasst wird, wenn man sich anmeldet, und nach einer gewissen Zeit (lässt sich diese Zeit genau angeben?) wieder verworfen wird, wenn keine Aktivität mehr erfolgt. Zu welchem Zweck dient diese Erfassung? Diese Information ist für die Abwägung zwischen Interessen des Verantwortlichen und den Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person entscheidend.

Als Grundlage für die Datenverarbeitung kämen Art. 6 Abs. 1 lit. b oder f DSGVO in Frage.

Quote from Teralios

Da IP-Adressen auch Verkehrsdaten sind, die zum Erfüllen des Dienstes NOTWENDIG sind, musst du hier eigentlich überhaupt nichts heraussuchen. [...]

Die Speicherung von persönlichen Daten ist zum Zweck des Erfüllen des Dienstes TEMPORÄR erlaubt und man muss so etwas auch nicht in der zwingen in die Datenschutzerklärung aufnehmen. Du kannst es aufnehmen. Nur würde ich dann nicht unbedingt nach Paragaraphen und Co suchen, da du dich dann angreifbar machst, wenn du einen Fehler machst.

Keine Verarbeitung personenbezogener Informationen ohne Rechtsgrundlage! Erlaubnistatbestände wären Art. 6 Abs. 1 lit. b DSGVO und Art. 6 Abs. 1 lit. f DSGVO. Die für Art. 6 Abs. 1 lit. f DSGVO notwendige Abwägung zwischen den Interessen des Verantwortlichen und den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person ist oftmals aufwendig aber dürfte positiv ausfallen.

Quote from Teralios

Im Fall von Sessions liegt da zum Beispiel auch das Interesse, sowohl die Seite als auch ggf. den Nutzer zu schützen vor möglichen Diebstahl der Session.

Ein überzeugender Punkt für die vorzunehmende Abwägung. Ich könnte mir vorstellen, das Verzeichnis der Verarbeitungstätigkeiten und die Abwägung der Interessen, Grundrechte und Grundfreiheiten auch online zu stellen, denn die Dokumente enthalten keine vertraulichen oder anderweitig irgendwie schädlichen Informationen. Wir könnten die Aufsichtsbehörde zukünftig kurzerhand darauf verweisen. Prüfen Sie gerne aber belästigen SIe uns nicht.

Quote from Teralios

Ich würde an deiner Stelle entsprechend die Datenschutz Erklärung soweit anpassen, dass die IP während des Besuches der Seite gespeichert wird und spätestens x Sekunden nach dem letzten Aufruf gelöscht wird, das kannst du im Übrigen einstellen in den Optionen für die Session.

Vielen Dank für den Hinweis.

Nur kurz zum Verständnis: Dieser Wert mit der Bezeichnung „session“ ist unabhängig vom Session-Cookie mit der Bezeichnung „wcf_cookieHash“? Sucht man danach, findet man immer nur Verweise auf das Session-Cookie, also was genau ist denn nun diese Session?

Okay, dann müsste ich darüber informieren, dass die Session-ID für 30 Minuten (so zumindest der Standardwert) mit der IP-Adresse verknüpft wird, um die Nutzung dieser Session-ID auf die jeweilige IP-Adresse einzuschränken. Was passiert denn eigentlich, wenn der Benutzer nicht erlaubt, dass Cookies gesetzt werden, also beispielsweise durch eine entsprechende Browsereinstellung. Sorry, dass ich da jetzt so genau nachfrage, aber genau darauf hat sich leider die Aufsichtsbehörde eingeschossen...