Seit einigen Wochen brennt bei mir wirklich die Hütte. Alle Kunden, deren Webseiten ich betreue, kommen erst jetzt auf die Idee, dass ich ihre Internetseite wegen der DSGVO mal datenschutz-konform machen könnte. Nun ist da nicht nur ein Cookie-Hinweis und eine entsprechende Datenschutzerklärung von Nöten, sondern man muss auch Sachen wie die Speicherung von IP-Adressen in den Server-Logs oder in Datenbanken beachten, denn standardmässig schreiben Webserver bei jedem Zugriff auf eine Seite oder eine Datei einen Eintrag in ein Logfile bei dem die IP-Adresse des Besuchers nicht anonymisiert wird. Und genau dies ist laut der DSGVO nicht mehr erlaubt und kann zu rechtlichen Problemen führen.
Kapitel in diesem Beitrag:
Optionen für Server-Logs selten vorhanden
In den meisten Hostingpaketen und auch bei Managed-Servern hat der Kunde keinen Einfluss darauf, wie die Logs gespeichert werden. Aus dem Grund löst man die Sache in der Regel so, dass man auf der Datenschutz-Seite einen Passus wie diesen einfügt:
Server-Log-Dateien
Der Provider der Seiten erhebt und speichert automatisch Informationen in so genannten Server-Log-Dateien, die Ihr Browser automatisch an uns übermittelt. Dies sind:
Browsertyp und Browserversion
verwendetes Betriebssystem
Referrer URL
Hostname des zugreifenden Rechners
Uhrzeit der Serveranfrage
IP-AdresseEine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen.
Grundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. f DSGVO, der die Verarbeitung von Daten zur Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen gestattet.
Aus meiner laienhaften Sicht (es sei angemerkt, ich bin kein Anwalt und kann auch keine rechtliche Beratung bieten und möchte dies auch keinesfalls tun) ist dies jedoch nur ein Kompromiss, denn auch wenn man in der Datenschutzerklärung darauf hinweist, so werden die IP-Adressen trotzdem beim Hoster gespeichert. Ich denke, es ist eine Art rechtliche Grauzone, in der man sich damit befindet. Da die meisten Hosting-Provider dem Kunden keine Möglichkeit bieten, die Logdateien des Servers so umzustellen, dass die IPs nicht oder nur anonymisiert gespeichert werden, ist es vielleicht noch der beste Kompromiss.
All-Inkl.com bietet Option zur Anonymisierung
Eben bekam ich von meinem Lieblingsprovider All-Inkl.com (warum? hier lesen!) die Meldung, dass ich nun über die Einstellungen in meinem Admin-Bereich auch die Speicherung der IP-Adressen beeinflussen könne. Damit hat der Laden mal wieder bewiesen, dass meine Dauerempfehlung “Hosting gesucht -> All-Inkl!” nicht falsch ist. In dem entsprechenden Einstellungsfeld kann man nun aus mehreren Optionen wählen:
- keinerlei Logs erzeugen (damit auch keine Speicherung der IP-Adressen)
- IP-Adressen werden auf 0.0.0.0 gesetzt (aus 11.22.33.44 wird 0.0.0.0)
- die letzten beiden Stellen werden auf 0 gesetzt (aus 11.22.33.44 wird 11.22.0.0)
- vollständige Logs (ohne Anonymisierung) erzeugen
Die ersten drei Optionen reichen aus, um DSGVO-konform zu arbeiten. Die Speicherung der vollständigen Logs würde ich nicht empfehlen, auch wenn man damit die besten Möglichkeiten zu einer Analyse der Daten hat.
Was ich noch mit All-Inkl.com klären muss: Ob diese Funktionen bei allen Hosting-Paketen vorhanden ist oder nur bei den Managed Servern. Wenn ich hierzu eine Antwort erhalten habe, ergänze ich dies hier.
Update 18.05.2018: Wie mit All-Inkl.com mitgeteilt hat, gibt es diese Option bei allen Hosting-Paketen – von Mini bis Managed Server. /Update-Ende
Wenn ihr noch ein Hosting mit einem sehr guten Preis-Leistungsverhältnis und einen extrem guten Support sucht, dann kann ich euch den Hoster All-Inkl.com wirklich nur wärmstens empfehlen. Der Support antwortet sogar nachts extrem schnell auf Mails und sie wimmeln einen bei Wordpress-Problemen nicht ab sondern geben einem tatsächlich hilfreiche Tipps, welche Plugins eventuell das aktuelle Problem auslösen könnte oder wo sonst der Hund begraben sein könnte.
Meine Tipps & Tricks rund um Technik & Apple
Ähnliche Beiträge
WordPress Plugin: Upload Media By URL – mein Pick der Woche- AirPods Case reinigen – mein Hardcore-Test
- WP-Cron deaktivieren – so geht es!
- Was ist ein Zählpixel oder Tracking-Pixel?
- Schadsoftware-Lexikon: Was ist Malware und welche Arten gibt es?
- Wie wird man Blogger/in und verdient Geld damit?
- Was ist eine Backdoor?
- Sugru – die praktische Klebeknete von Tesa
Jens betreibt das Blog seit 2012. Er tritt für seine Leser als Sir Apfelot auf und hilft ihnen bei Problemen technischer Natur. Er fährt in seiner Freizeit elektrische Einräder, fotografiert (natürlich am liebsten mit dem iPhone), klettert in den hessischen Bergen rum oder wandert mit der Familie. Seine Artikel beschäftigen sich mit Apple Produkten, Neuigkeiten aus der Welt der Drohnen oder mit Lösungen für aktuelle Bugs.
Super Tipp! Gleich mal geändert bei mir :-)!!!
Ich kann deine Meinung zu ALL-INKL nur bestätigen. Es bleiben so gut wie keine Wünsche offen, der Support ist unschlagbar gut und der Preis dann obendrein auch noch. 5 von 5 Sternen :-)
Ja, kann ich nur bestätigen, All-Inkl ist wirklich super, Ich nachhinein ärgere ich mich, weil ich lange bei STR*T* war und mich mit Zwangsupgrades und permanten Preiserhöhungen herumgeschlagen habe! Nur weil ich dachte, dass ein Domainumzug total kompliziert und risikoreich ist!
Kurze Nachfrage zur Statistik bzw. den neuen Möglichkeiten bei AllInkl. Kann ich die Accesslogs denn aktiviert lassen, oder soll ich die besser auch abschalten wegen der DSGVO-Konformität…?
Die Access-Logs sind ja ebenfalls von den Einstellungen “betroffen”. Also wenn du diese anonymisierst, bist du schon auf der sicheren Seite.
Für alle zur INFO: (1) Ja, all-inkl ist definitiv einer der besten Provider (bin selber schon seit mehr als 6 Jahren). (2) WICHTIG / FYI: Egal was die Kunden in Ihrem KAS hinsichtlich der IP Speicherung einstellen bzw. unabhängig von diesen Einstellungen, All-Inkl speichert definitiv für 7 Tage die vollständige IP-Adresse (Auskunft Business Support 5/2018). VG
Hallo Torben! Dank dir für den Einwurf! Das wusste ich noch nicht. Macht aber durchaus Sinn, falls mal illegale Sachen auf einem Server passieren, kann man gerichtlich ja nur mit der IP gegen die Person vorgehen. VG!
Richtig, das kann man auch in den FAQs unter Nr. 11 nachlesen: https://all-inkl.com/wichtig/
Stimmt, Dave! Aber es gibt mehrere Punkt “11” in der Liste. Um es einfach zu machen: Der Punkt 11, der die Logfile-Aufbewahrung beschreibt ist gaaaaaanz unten. Also einfach ganz runter scrollen auf der Seite, dann findet ihr es.
Danke für den Artikel. Leider fehlt der Hinweis wo ich die Einstellung finde (unter “Einstellungen” -> “Logs & Statistiken”).
Ich (und einige Kollegen) teilen die hier vorherrschende Meinung über all-inkl leider nicht. Die Server sind flott, keine Frage. Allerdings sind einige Standard-Funktionalitäten eher mäßig umgesetzt (zB die grauenhafte “PHP-Bridge” für Cronjobs) und der Support ist mit bisher nicht gerade positiv in Erinnerung geblieben.
Eigentlich sieht man das im Screenshot schon, aber ok. So ist es nochmal explizit gesagt, wo es in dem Menü zu finden ist. Deine Kritikpunkte an All-Inkl.com lasse ich mal so stehen. Ich weiss nicht, was du mit der PHP-Bridge meinst… Ich komme mit den Cronjob-Einstellungen gut zurecht und der Support ist bei allen meinen Anfragen (und die gehen mittlerweile sicher in den 20er bis 30er Bereich) schnell und kompetent gewesen. Da habe ich bei anderen Hostern schon ganz andere Zeiten und Antworten erlebt. Wenn man bei anderen Hostern “Wordpress” in der Anfrage stehen hat, wird man meistens schon damit abgewiegelt, dass der Support nicht für Wordpress zuständig ist. Aber ok, vielleicht hast du ja schlechte Erfahrungen gemacht. Das kann auch passieren.
All-inkl.com hat diese Optionen nur für deinen Logfiles. Intern haben die All-inkl.com-Mitarbeiter nach meiner Rückfrage immer noch. Die vollständigen Ips werden aber auch intern nach 7-Tagen gelöscht. So sollte es dann auch in der Datenschutzerklärung stehen, denke ich.
Das würde ja für den deutschen Datenschutz keinen Sinn ergeben. Egal wer die IPs mitloggt, man muss es angeben. Aber wenn du mit denen gesprochen hast, wird es wohl so sein. Nur könnten sie sich dann die Option mit den anonymisierten Logs schenken…
Hallo,
wenn man keine Logfiles anlegen auswählt könnte man dann doch folgendes in seiner Datenschutzerklärung streiche oder?:
Bei jedem Aufruf unserer Webseite überträgt der Browser des Nutzers verschiedene Daten.
Browsertyp und verwendete -version
Betriebssystem
Abgerufene Seiten und Dateien
Übertragene Datenmenge
Datum und Uhrzeit des Abrufs
Provider des Nutzers
IP-Adresse in anonymisierter Form
Referrer URL
Und auch der Text für Openstreetmap:
“Mit Aktivierung per Klick auf “Karte anzeigen” wird Ihre IP-Adresse von der OpenStreetMap Foundation gespeichert und Daten nach Großbritannien übertragen”.
wäre dann wohl auch unnötig, oder sehe ich dies falsch?
Grüßle Anne
Hallo Anne! Ja, wenn du keine Logfiles anlegst, kannst du den Bereich vermutlich streichen. Aber was hat das mit OpenStreetmap zu tun? Ich denke, wenn du einen iFrame von diesem Dienst einbindest, können die schon die Logs bei sich anlegen.
Hallo Jens,
es geht um einen Eintragsdienst für Gastronomiebetriebe (Wordpress Plugin) auf welchem Betreiber ihre Betriebe eintragen können, welche dann die Adressen via Openstreetmap anzeigt, ergo nicht nur eine einzige …
Danke und grüßle Anne
Hallo Anne! Wie viele Betriebe angezeigt werden, ist eigentlich unerheblich. Es geht hier meines Wissens mehr darum, dass OpenStreetmap theoretisch die IP des Benutzers und andere Daten “abfischen” könnte, wenn er einen iFrame aufruft, bei dem eine Karte von OpenStreetmap angezeigt wird. Es geht also nicht um die Daten der Gastrobetriebe, sondern um die Daten des Besuchers, der deine Seite aufruft.
Hallo Jens,
war ja meine Mutmaßung, z.B. IP anonymisieren – keine Datenübertragung dieser bzw. nur 0.0.0.0, ?.
Müsste theoretisch auch für andere Anwendungen funktionieren welche IPAdressen weiterleiten (z.B. ReCaptcha) oder?
Grüßle Anne
Also wenn du es hinter einem “Klick” verbirgst wie “Karte aufrufen”, dann kannst du vorher den Benutzer darüber informieren, dass er beim Klick deinen Datenschutzbestimmungen zustimmt. Aber die IP Adresse auf 0.0.0.0 setzen, kannst du nicht, denn das Script bei Recaptcha und OpenStreetmap hat eine direkte Verbindung zum Benutzer. Da kannst du nicht mehr eingreifen.