Re: [NRW-Maerkischer-Kreis] Datenspeicherung MK-Website

[Juergen Berg <juergen.berg AT gmail.com>]

Ja, davon gehe ich aus, auch wenn da sehr allgemein von "Protokolldatei"
die Rede ist.
On 29.07.2014 17:04, jjx wrote:
> Ich gehe mal davon aus das in etwa folgender Datensatz gespeichert wird
> wenn ich die Seite aufrufe:
> 
> 1. 2014-07-29
> 2. 18:43
> 3. Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:30.0) Gecko/20100101
> Firefox/30.0
> 4. 178.201.102.139
> 5. index.php
> 
> Daraus lassen sich dann folgende Dinge Erfahren:
> -> Ich habe am 29.7.2014 um 18:43 auf die Hauptseite des MK geschaut
> -> Ich habe als Betriebssystem ein Ubuntu Linux und nutze den Firefox in
> der Version 30
> -> Der Zugriff erfolgte von einem Internatanschluss bei Unitymedia
> -> Der Zugriff erfolgte aus dem Bereich Iserlohn oder Umgebung
> -> Die IP Adresse lautet: 178.201.102.139
> Eventuell wird noch der Referrer mitgespeichert, damit der
> Seitenbetreiber sehen kann von welcher anderen Seite der Besucher dort
> hingekommen ist.
> 

> Also die IP ist ja erstmal nicht dein Name, allerdings könnte man den
> rausbekommen wenn deine Daten an anderer Stelle mit der IP in dem
> Zeitraum in Verbindung gebracht werden.
Genau so sieht es aus. Es mag aufwendig sein aber es ist möglich.
Von daher: "Diese Daten sind nicht personenbezogen; wir können also
nicht nachvollziehen, welcher Nutzer welche Daten abgerufen hat." ist so
nicht richtig.

> Angenommen du gibst deine Daten auf den Seiten des Kreises ein, dann hat
> man auch den Namen zum oben gezeigten Fingerabdruck.

Spätestens dann ist die Speicherung der IP unzulässig, weil ich als
Nutzer eindeutig identifizierbar bin.

> Natürlich können hinter einer IP immer mehrere Leute stecken, wenn sich
> mehrere Leute einen Internetanschluss teilen oder wenn man
> Unitymediakunde ist und zu denen gehört, die IPv4 nur noch über ein NAT
> bekommen.
> Gelegendlich wechselt die IP auch noch, je nach Internetanbieter alle 24
> Stunden, oder auch viel seltener.
> 
Genau. Es "können" mehrere Leute sein und bei Unitymedia mit DS-Lite ist
das definitiv so, das kann der Kreis aber nicht feststellen. Von daher
ist das eher kein Argument.

Und auch wenn es nicht häufig vorkommt: Es gibt auch Provider mit
statischen IPs. Spätestens dann gilt die IP als personenbezogenes Datum
und auch da wüsste ich nicht, wie der Kreis das feststellen will.

> Klar ist dass man wissen möchte als Seitenbetreiber wann wie viele
> Besucher welche Inhalte abrufen, und auch der Verwendete Browser ist
> interessant um die Seiten daraufhin zu optimieren, die IP ist in der
> Hinsicht uninteressant.
Ja, die IP ist völlig unwichtig und technisch nicht notwendig.

> Auf der anderen Seite kann man alle IPs mitspeichern um wenn
> ungewöhnlich viele Zugriffe von der selben kommen diese zu sperren um
> DDos Angriffe zu verhindern.
> 
DDos von einer IP? ;-)
Mir ist schon klar was du meinst, aber das ist eher ein Fall für das
Rechenzentrum. Die haben hoffentlich eine entsprechende Infrastruktur
zur DDos-Abwehr, eine Protokolldatei auf dem Server sollte dazu nicht
notwendig sein.

Das letzte, mir bekannte Urteil geht davon aus, dass spätestens in
Kombination mit einem Timestamp die IP ein personenbezogenes Datum ist.

Hier ist die ganze Sache gut beschrieben:
http://www.lfd.niedersachsen.de/portal/live.php?navigation_id=27716&article_id=95008&_psmand=48

Jürgen

P.S.: Auf der Seite wird per iframe auch noch
http://www.sitzungsdienst-maerkischer-kreis.de/ eingebunden.

Welche Daten speichert dieser Server?