DSVGO

Nun hat sie Sie und mich erwischt, die Datenschutz-Grundverordnung oder die

VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

Sie dürfen jetzt Ihre Zeit damit verplempern sich erklären zu lassen,

  1. dass ich angeblich personenbezogenen Daten verarbeite (DSVGO Artikel 4 Ziffer 2), zu denen ich die Personen nicht identifizieren kann und will.
  2. dass, wenn Sie hier einen Kommentar hinterlassen, dieser natürlich gespeichert, verarbeitet und anderen angezeigt wird.
  3. dass Sie Cookies akzeptieren müssen, damit ihre persönlichen Einstellungen auf Ihrem eigenen Rechner gespeichert werden.
  4. dass die Seitenaufrufe mittels eines automatisierten und anonymisierten Verfahren gezählt werden.

Vielleicht ist der vierte Punkt für einigen neu. Aber dazu später.

Was dies Verordnung mit dem freien Datenverkehr gemein hat, erschließt sich mir nicht. Selbst der Schutz, den sie angeblich bieten soll, ist fragwürdig. Wie Daten angemessen zu schützen sind, überlässt sie den Verantwortlichen und den Gerichten. Wenn etwas passiert, war der Schutz offensichtlich nicht angemessen. Im Nachhinein ist selbst ein Jurist schlauer. Sie soll die Großen treffen und trifft alle kleinen. Die Abmahnwelle begann schon mit dem 25. Mai. Und es waren nicht die großen, die abgemahnt wurden.

Es trifft die, die es schützen soll, denn Computer-Spiele und Internetangebote sind in Europa nicht mehr verfügbar, weil es sich nicht lohnt, die Regeln für wenige europäische Kunden umzusetzen. Oder weil es schlicht nicht mehr möglich ist, die personenbezogenen Daten in Amerika zu speichern. (FAZ.net: Skurrile Folge der DSVGO)

Es trifft jeden kleinen Betreiber Web-Page-Betreiber, weil natürlich keine Web-Seite ohne eine IP-Adresse aufrufbar ist. Findige Juristen haben IP-Adressen und User-Agent Angaben des Browsers zu Personenbezogenen Daten erklärt. Selbst wenn der Betreiber Sie anhand dieser Daten nicht identifizieren kann, soll er Sie darüber informieren, dass er Sie nicht (mehr) identifizieren kann. DSGVO Artikel 11 Kann der Verantwortliche … nachweisen, dass er nicht in der Lage ist, die betroffene Person zu identifizieren, so unterrichtet er die betroffene Person hierüber, sofern möglich.

Kaum eine Seite kann ohne Cookies vernünftig dargestellt werden, das sollte Allgemeinwissen sein. Trotzdem verbringen wir jeden Tag Minuten damit „OK“ Buttons in „Cookie Consent“ oder „Cookie Notice“ Dialogen zu klicken oder alle paar Tage den Nutzungsregeln von Google zuzustimmen und dazu auch noch bis ganz nach unten scrollen, um fälschlich zu bestätigen, ich hätte den Roman gelesen.

Bereits die Hinweise auf eine Datenschutzerklärung und Cookies nutzen Cookies, damit Sie nicht mit jedem Aufruf der Seite oder einer Unterseite die Erklärung neu bestätigen müssen.

So habe ich nun die letzten Tage damit verbracht, Datenschutzerklärungen zu erstellen, die außer mir keiner liest. Wenn Sie aus den Tippfehlern, dass ich sie auch nicht gelesen habe, haben Sie durchaus recht. Ich habe es mir erspart sie einmal im Ganzen zu lesen. Ich bin immer an Absätzen hängen geblieben, die ich noch ändern oder ergänzen müsste.

Nun zu den Daten, die hier erhoben, gespeichert und verarbeitet werden. Weniger geht kaum. Die folgenden Betrachtungen gelten für viele WordPress Installationen. Hier werden nur die Daten betrachtet, die nicht angemeldete Nutzer hinterlassen.

Log-Dateien

Beim Aufrufen dieser Web-Seite werden durch Ihren Browser Informationen an meinen Server gesendet. Ein Teil dieser Informationen ist zwingend notwendig, um eine bestimmte Seite bereitstellen zu können. Welche Daten Ihr Browser sendet, bestimmen Sie selbst. Ohne Ihre IP-Adresse kann z.B. keine Information an Ihr Endgerät Sie gesandt werden.

Ein kleiner Teil dieser Informationen werden in einem Log-File (Access-Log) dauerhaft (bis zur Löschung) gespeichert. In Fehlerfall werden weitere technische Informationen in einem weiteren Log-File gespeichert (Error-Log).

Im Access-Log dieses Servers werden alle Seitenzugriffe wie im folgenden Beispiel aufgezeichnet.

2003:a2:df71:6303:ecc8:2134:234d:ee1 – – [08/May/2018:20:40:14 +0200] „GET /wp-content/plugins/showtime-slideshow/include/style.css?ver=4.9.5 HTTP/1.1“ 404 55603 „http://byggvir.de/wp-admin/options-general.php?settings-updated=true“ „Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0“
96.123.245.12 – – [08/May/2018:20:40:14 +0200] „GET /wp-content/plugins/showtime-slideshow/include/style.css?ver=4.9.5 HTTP/1.1“ 404 55603 „http://byggvir.de/wp-admin/options-general.php?settings-updated=true“ „Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0“

Hierbei handelt es sich um:

  1. eine IP-Adresse
  2. Datum und Uhrzeit des Aufrufes / Eintrages
  3. Aufgerufene Seite
  4. Returncode des Servers
  5. Länge der Antwort in Byte
  6. Refferer (Verweis)
  7. User-Agent

IP-Adressen

Aufgrund der Verwendung von IPv6 und des direkten Zugriffes (kein NAT, kein Proxy) kann der erste Eintrag eindeutig dem Gerät zugeordnet werden, von dem die Anfrage stammt. Eine öffentliche IPv6-Adresse sollte nur genau einem Gerät zugeordnet sein, wenn kein VPN Dienst, NAT oder Proxy verwendet wird.

Heutzutage verbirgt sich hinter einer IPv4-Adresse in der Regel ein Anschluss mit mehreren Geräten und Nutzern oder der Server eines Providers mit sehr vielen Nutzern und Geräten. Möglicherweise ist in einer IPv6-Adresse die MAC Adresse des Gerätes enthalten, was im Beispiel nicht der Fall ist.

Bei einer IPv4-Adresse (zweiter Eintrag) wird hier die Adresse des Gateways (siehe Network Address Translation NAT) oder Proxy Servers Ihres Providers oder die IP-Adresse Ihres DSL-Routers sein.

Diesem Server wurden zum Abruf der Seite folgende IP-Adressen übermittelt.

Client: -;
Remote: 54.235.48.106;
Forwarded for: -;

Sollte hier eine Adresse unter X_Forwarded_For stehen, so wurde diese Seite über einen Proxy-Server aufgerufen. Die IP-Adresse wird hier nicht gespeichert, so dass die Daten nur dem Server Ihres Providers zugeordnet werden können. Nur wenige Proxy-Server ergänzen die Anfrage um einen Eintrag ‚X_Forwarded_for‘.

Sollten die Adressen unter Client und Remote zu keiner der Netzwerkschnittstellen Ihres Rechner gehören, so verbirgt sich hinter der IP-Adresse Ihr DSL-Anschluss oder ein Gateway Ihres Providers.

Telekom IPv6
Zugriff über einen Telekom-Anschluss über IPv6

Im Bild oben sehen Sie einen Zugriff über einen DSL-Anschluss der Telekom mittels IPv6. Die IPv6-Adresse identifiziert eindeutig meinen Desktop.

Telekom IPv4
Zugriff über Telekom mit SmartPhone und IPv4

Das nächste Bild zeigt einen Zugriff über mein Smartphone, dass in diesem Fall nur IPv4 nutzt. Der Zugriff könnte von irgendeinem Gerät aus unserem Haushalt stammen udf es ist nicht gesagt, dass ich das Gerät benutzt habe.
Die nächsten beiden Bilder zeigen den Zugriff über ein Freifunk Testnetz und die Netzwerkeinstellung des SmartPhones. Die „lokale“ IP-Adresse des SmartPhones liegt im privaten Class A Netz (10.0.0.0/21) und wird durch den Provider durch die Adresse des Gateways ersetzt.

Freifunk IPv4
Zugriff über Freifunk mit SmartPhone und IPv4
Freifunk IPv4 des Gerätes
Freifunk IP-Adresse des SmartPhones

Hinter der Adresse im Log-Eintrag verbergen sich einige Hundert Nutzer, die im Falle des Freifunk nicht identifizierbar sind. Wie soll ich diese Nutzer darüber informieren, dass ich möglicherweise personenbezogene Daten von Ihnen habe und welchen Sinn soll es haben, diese Daten irgendwie zu schützen?

Refferer

Der Refferer (Verweisende) gibt Auskunft darüber, von welcher Seite Ihre Anfrage kommt – welche Seite Sie auf diese Web-Seite verwiesen hat. Wenn Sie die Adresse per Hand eingeben, dann ist dieser Wert leer. Ihr Browser sollte einen Refferer nur dann übertragen, wenn Sie von einer Seite dieser Web-Seite kommen. Kommen Sie z.B. von einen Suchergebnis der Google Suche, sollte der Eintrag leer sein. Dies können Sie in Ihrem Browser einstellen.

Auch die Informationen über Ihren User-Agent sind nicht valide, da alle Werte über Plug-Ins manipuliert werden können, so dass hinter einem Internet Explorer unter Windows durchaus ein Firefox unter Linux stecken kann.

Mit diesen Log-Daten sind Sie nur mit Hilfe zusätzlicher Informationen identifizierbar, über die ich nicht verfüge und auf die ich keinen Zugriff habe. Daher erfüllen diese Einträge m.E. nicht die Kriterien Personenbezogener Daten (Artikel 4 1. DSGVO). Dies ist jedoch strittig.

Eine Weitergabe der Log-Einträge an Dritte erfolgt nicht. Einen Zugriff der STRATO AG (Hoster) kann ich leider nicht verhindern. Eine Weitergabe der Log-Einträge bei Rechtsverstößen behalte ich mir vor.

Kommentare

Wenn Besucher Kommentare auf dieser Website schreiben, sammle ich die Daten, die im Kommentar-Formular angezeigt werden, außerdem die IP-Adresse und den User-Agent-String (damit wird der Typ des Browsers identifiziert), um die Erkennung von Spam zu unterstützen.

Aus Ihrer E-Mail-Adresse kann eine anonymisierte Zeichenfolge erstellt (auch Hash genannt) und dem Gravatar-Dienst übergeben werden, um zu prüfen, ob Sie diesen benutzen. Die Datenschutzerklärung des Gravatar-Dienstes finden Sie hier: https://automattic.com/privacy/. Nachdem Ihr Kommentar freigegeben wurde, ist Ihr im Gravatar-Dienst hinterlegtes Profilbild öffentlich im Kontext Ihres Kommentars sichtbar.

Durch Absenden eines Kommentars willigen Sie in die Speicherung, Verarbeitung und Veröffentlichung (Anzeige) Ihres Kommentars auf dieser Seite ein. Artikel 6 (1) a DSGVO

Falls Sie einen Kommentar abgeben, werden im Wesentlichen folgende zusätzliche Informationen gespeichert:

  1. der Kommentartext, den Sie eingeben,
  2. der Name, den Sie eingeben,
  3. die E-Mail-Adresse, die Sie eingeben,
  4. die Web-Seite, die Sie eingeben.
  5. die IP-Adresse, des Computers, DSL-.Router oder des Proxy-Servers über den Sie den Kommentar abschicken.

Die Informationen 1 bis 4 müssen Sie im Kommentar-Formular eingeben. Alle weiteren Informationen steuert Ihr Browser bzw. dieser Server nach den Angaben Ihres Browsers und der internen Uhr bei.

Die Informationen 1 bis 4 werden nicht auf Gültigkeit geprüft.

Ihre E-Mail Adresse wird nicht angezeigt, wohl aber ein Gravatar, wenn Sie diesen Dienst mit der eingegebenen E-Mail-Adresse nutzen. Die E-Mailadresse dient der Prüfung der Plausibilität des Kommentars und ggf. der Kontaktaufnahme für Rückfragen oder Antworten, die ich nicht öffentlich geben möchte.

Meinen Gravatar finden Sie z.B. unter folgender Adresse: https://secure.gravatar.com/avatar/b8b006c6ab9501c89465d4a10133e09b?s=64&r=g
Beim Abruf dieser kleinen Bilder werden natürlich die üblichen Informationen an den Dienst übertragen.

Cookies

Diese Seiten basiert auf WordPress. Cookies werden von den Programmen in einer Web-Seite (z.B. mit JavaScript) erzeugt und verwendet. Bei Cookies handelt es sich um Informationen, die als Text auf Ihrem Rechner gespeichert werden. Cookies ermöglichen es Informationen auf Ihrem Rechner zwischenzuspeichern und beim nächsten Aufruf der Web-Seite wiederzuverwenden. Sie dienen dazu, das Internetangebot insgesamt nutzerfreundlicher und effektiver zu machen. Zum Beispiel können Sie dadurch in Web-Shops einkaufen, ohne sich anzumelden und einen Warenkorb mit mehr als einem Artikel befüllen.

Welche Cookies gesetzt sind, können Sie sich im Browser anschauen. In Firefox z.-B. unter den Seiteninformationen (View Page Info – Security – Cookies). In der Regel löscht der Browser die Cookies nach einem festgelegten Ablaufdatum.

Cookies können keine Programme ausführen oder Viren auf Ihren Computer übertragen.

VG-Wort

Mit dem Kauf eines Computers, Druckers, CD-Rom Laufwerkes, USB-Stick und vielen anderen Geräten zur Speicherung und Wiedergabe von Daten müssen Sie eine kleinen Abgabe zur Abgeltung der Rechte von Verlagen und Autoren aus dem Urheberrecht entrichten. Für Texte werden diese Gelder über die VG-Wort ausgeschüttet. Dazu muss der Autor oder Verlag seinen Texte melden und die Aufrufe zählen lassen. Zum Zählen wird ein kleines Bild (1 Pixel) in die Web-Seiten eingebunden. Die Abrufe dieses Bildes werden dann gezählt und geben Auskunft über die Zahl der Aufrufe der Seite. Dabei werden die Daten anonym erfasst. Wenn eine festgelegte Anzahl von Zugriffen pro Jahr überschritten wird, erhält der Autor einen geringen Obolus aus der Abgabe.

Auch in diesem Text ist ein kleines Bild (http://vg05.met.vgwort.de/na/e20e2f0b17f04ca0b25902c244688a63) ganz oben unsichtbar eingebunden.

Paypal

Medien
Eingebundenen Medien
Ebenso sind zwei Bilder von Paypal für den Spendenbutton eingebunden, die Ihr Browser mit dem Abruf der Seite lädt, wenn Sie es nicht mit einem Ad-Blocker oder im Browser verhindern.

  1. https://www.paypalobjects.com/de_DE/DE/i/btn/btn_donateCC_LG.gif
  2. https://www.paypalobjects.com/de_DE/i/scr/pixel.gif

Auch hier werden Informationen an Paypal übermittelt. In dem Dialog (Seiteninformationen – Medien) finden Sie eien Button zum blockieren der Bilder einzelner Web-Seiten.

Genug für heute.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.