On Wed, Oct 10, 2007 at 12:19:31AM +0200, Dietz Proepper wrote:
> Martin Uecker:
> > > Im Ernst, was wird
> > > benötigt, um dynamisch vergebene IP-Nummern Personen zuzuordnen?
> > > Genau, die IP-Nummer, der Zeitpunkt *UND* der ISP der das Mapping
> > > <IP-Nummer, Zeit> -> Person durchführen kann. Damit wäre es wesentlich
> > > zielführender, das Mapping zu untersagen, maW. *dort* anzusetzen wo
> > > überhaupt personenbezogene Daten vorliegen.
> >
> > Das Mapping zu untersagen nützt nicht viel, denn ein Mißbrauch
> > zeichnet sich eben gerade dadurch aus, daß gegen Regeln verstoßen
> > wird. Was nützen dann noch mehr Regeln? Wenn die Daten aber gar
> > nicht existieren, können sie aucn nicht mißbraucht werden.
>
> Du verstehst nicht, worauf ich hinaus möchte. Dynamisch vergebene
> IP-Nummern werden erst durch die eigentlichen personenbezogenen Daten, die
> Verbindung zwischen Person (bzw. Anschluss) und IP-Nummer
> "personenbezogen". Insofern dünkt es mir eigenwillig, an der eigentlich
> falschen Stelle anzusetzen.
Es tut mir leid, ich verstehe immer noch nicht worauf Du hinaus
möchtest. Der Eintrag (IP, Zeit, URL) in einem Log-File ist ein
personenbezogenes Datum, weil man über IP und Zeit normalerweise
eine Person bestimmen kann. Meinst Du, man sollte die Möglichkeit
des Mapping irgendwie verhindern? Das ist nicht realistisch. Der
Access-Provider ist nicht der einzige, der das kann, man leaked
die Information über das Mapping auf vielfältige Weise.
> > > > Das Problem ist das Vorhandensein der Daten ohne einen wirklich
> > > > guten Grund.
> > >
> > > Die Aufrechterhaltung des Regelbetriebs ist für Dich kein guter Grund?
> > > Nix für ungut, Dir haben schon etliche Personen die man guten
> > > Gewissens als Spezialisten im Betrieb von Webservern bezeichnen kann
> > > gesagt, daß dies ohne zumindest rudimentäres Logging ausgesprochen
> > > schwierig bzw. unmöglich wird. Das mußt Du natürlich nicht glauben.
> >
> > Nun. Mache sagen es ist unmöglich, manche sagen, daß hätte niemand
> > behauptet, es sei nur sehr schwer.
>
> Und manche Dinge sind einfach nicht mehr möglich.
>
> > Aber keiner konnte mir einen
> > konkreten Grund nennen, warum es unzumutbar wäre, auf das Loggen der
> > IP-Adresse beim Betrieb von Webservern zu verzichten.
>
> Es wurden weiter oben iirc eine ganze Menge an Gründen genannt.
Genannt wurde das Debuggen der Nichtereichbarkeit des Webservers
von einer bestimmten IP und die Ermittelung der Herkunft einer
DOS-Attacke auf ein Webformular zwecks Blacklisten. In beiden
Fällen sehe ich keine Notwendigkeit der systematischen Speicherung
der IP-Adresse für alle Zugriffe.
> > Und es gibt
> > Leute, die Webserver ohne das Loggen der IP-Adresse betreiben,
> > was zumindest widerlegt, daß es unmöglich ist.
>
> Nichtmal kurzfristig zu diagnostischen Zwecken? Sehen will.
Spontan fallen mir ein:
http://www.datenschutz-berlin.de/
http://www.bmj.bund.de
> > > Was Du willst ist Deine Sache.
> > > Du solltest aber anerkennen, daß die von Dir
> > > behauptete Protokollierung in der Form so oder so nicht existiert.
> >
> > Stimmt: Wenn ich auf den Webserver des BMJ surfe wird das neuerdings
> > nicht mehr protokolliert. Auf (fast) allen anderen scheint es
> > aber momentan üblich zu sein.
>
> Was stört Dich die Preisgabe eines temporär von Dir verwendeten
> Endpunktnamens? Aus diesem ist exakt garnicht rückfolgerbar.
Doch. Er ist meiner Person eindeutig zuzuordnen.
> > > Das aus der Entscheidung eines Amtsgerichts herzuleiten ist, nunja,
> > > eigenwillig. Insbesondere da die Lehrmeinung bislang offenbar eine
> > > andere ist.
> >
> > Das Gesetz ist für meine Begriffe klar auch ohne das Urteil des
> > Amtsgericht.
>
> Man kann es auch so sehen daß das zu Betrieb notwendige bzw. sinnvolle
> Logging zulässig ist.
Siehe das Gesetz. Nutzungsdaten dürfen nur Abrechnungszwecke
über das Ende des Nutzungsvorgangs hinaus gespeichert werden.
> > Auf welche Lehrmeinung beziehst Du Dich denn genau?
>
> Auf die, welche Datenschützer und Juristen seit Jahren zur Frage
> kurzfristig gehaltener Logs die nur anonymisiert ausgewertet werden zum
> Besten geben.
Es wurde im Laufe der Zeit sicher alles mögliche zum Besten gegeben.
Siehe aber:
Daher ist es konsequent, dynamische IP-Adressen generell als
personenbeziehbare Daten den Regelungen des Datenschutzrechts zu
unterwerfen.
-- http://www.lfd.niedersachsen.de/master/C1568938_N1567942_L20_D0_I560.html
Dynamische IP-Adressen sind daher personenbezogene
Daten, da sie durch Zusammenführung mit den dahinter stehenden
Zuordnungstabellen den Rückschluss auf bestimmbare Personen zulassen
(vgl. §§ 3 Abs. 1 BDSG, 1 Abs. 2 TDDSG).
-- http://www.datenschutz.hessen.de/Tb31/K25P03.htm
Oder eine Zusammenstellung der Standpunkte der Datenschutzbeauftragten
von 2004 (oder so):
http://www.kes.info/archiv/online/04-4-065.htm#kasten
Attachment:
signature.asc
Description: Digital signature
_______________________________________________ Debate mailing list Debate@xxxxxxxxxxxxxx http://lists.fitug.de:8080/mailman/listinfo/debate