IP darf nicht gespeichert werden: Datenschutz gibt Spammern freie Hand

 5887 Mal gelesen

Beleuchtung der Entscheidung zur Protokollierung von Internetprotokoll Adressen. (IPs)

IP darf nicht gespeichert werden

IP Adressen Eurer Webseitenbesucher dürfen nur noch in gekürzter Form gespeichert werden. Schaltet Ihr Euer Webseite eine Seite vor, auf der der User über die Aufzeichnung seines Besuches informiert wird und sich entscheiden kann, ob er dieser zustimmt oder ihr widerspricht, besteht die Möglichkeit, seine IP später aufzuzeichnen. Sofern er der Protokollierung zustimmt.

Bis zu 50.000 Euro Bußgeld kann man von Euch verlangen, wenn ein User Euch anzeigt. Krass, denn die gesamte IP protokollieren zum Beispiel WordPress Plugins wie Statpress und Konsorten. Lasst Ihr so ein Programm laufen, seid Ihr fällig.

Sollten Eure Seitenbesucher (Visitors) nicht ihre Zustimmung zur Aufzeichnung geben, darf die IP nur in einer Form gespeichert werden, die zu keiner Zeit eine Zuordnung zu einer Person (mit deutscher Staatsbürgerschaft?) erlaubt.

Stets offene Türen für Spammer

Bislang hat man automatisierte Programme, die in Blogs gefälschte Nutzer mimen um Kommentare mit Backlinks zu schmuddeligen oder illegalen Seiten oder gar Schadcode zu hinterlassen, via IP Ausgrenzung sperren können. Eine einzeilige Eintragung in die .htaccess Datei hatte genügt, um unliebsame Besucher fern zu halten, bis sie sich eine andere IP zulegen konnten.

Das ist nun nicht mehr möglich. Wenn ich die IP zu Spamkommentaren nicht mehr speichern darf, bin ich aufgeschmissen. Bin ich das nicht überhaupt eh schon? Wird nicht bei jedem Kommentar in einem WordPress Blog auch die IP Adresse gespeichert? Ok, das heißt, jeder der 500 Millionen Blogger weltweit muss neben dem Kommentarfeld gut sichtbar den Hinweis anbringen, dass bei der Abgabe eines Kommentares, die IP Adresse gespeichert wird, wodurch der jeweilige User identifiziert werden könnte.

Auch Brute Force Attacken auf Logins, also automatisierte Versuche sich mit mehreren Millionen von Passwörtern einzuloggen, können nicht mehr wie bislang mit dem Login Lock Down Plugin unterbrochen und zeitlich hinausgezögert werden. Dabei wurde nämlich nach mehrfacher Falschanmeldung die IP des Besuchers gesperrt, der versucht hat, sich einzuloggen, dies aber unter Angabe inkorrekter Logindaten nicht schaffte. Wenn ich die IP nicht auslesen darf, kann ich Angreifer nicht blocken. #fail würde ich das bei Twitter taggen.

Tracking für SEO Zwecke

Traffic Analyse Anwendungen wie etwa Google Analytics geben mir zwar nicht so einfach oder oft gar nicht bekannt, welche IP Adressen die Besucher meiner Seite hatten, aber gespeichert werden sie dennoch. So lässt sich ein Tracking zur Analyse der Seitennutzung für SEO Zwecke oder Conversion nicht mehr mit dieser Sorte Tools durchführen. Die anonymisierten Nutzerdaten (pure Traffic Zahlen), die man bisher gesammelt hatte, sind damit illegal und unbrauchbar. Man kann höchstens jede Seite als PDF exportieren oder auf umweltfreundlich gebleichtes Papier ausdrucken.

Was sagt Ihr dazu? Statpress & GA raus und Kommentarfunktion deaktivieren?

Update:

Löwenherz hat mich darauf hingewiesen, dass es sich bei der Meldung um Aussagen eines Arbeitskreises handelt. Wie ich schon Freitags bei Twitter schrieb, möchte ich mich kommende Woche eingehender informieren, wie ernst die Empfehlungen genommen werden und was zu tun ist.

An dieser Stelle vorweg schon einmal Danke für die vielen Meinungen und zusätzlichen Infos! Wir haben ein spannendes Jahresende vor uns.


+Benjamin Wingerter ist Inhouse-SEO und Affiliate seit 2008. Er hat zwei Steckenpferde: Conversion Rate Optimierung und Suchmaschinenoptimierung. Seit 2011 spricht er auf Fachkonferenzen, wie der SEO Campixx.

Advertisement

19 Responses to “IP darf nicht gespeichert werden: Datenschutz gibt Spammern freie Hand”

  1. Udo Kempen

    10. Jan 2010

    Das istimho leider  schon ein wenig mehr als nur eine Randnote eines Arbeitskreises. Hier ein aktuelles Statement des Datenschutzbeauftragten von Rheinland-Pfalz:
    http://www.datenschutz.rlp.de/downloads/oh/Hinweise_Google_Analytics.pdf

    Antworten
  2. Manuel

    20. Dez 2009

    Technisch wäre es durchaus möglich ohne die speicherung von IP Adressen Statistiken zu erstellen, IP Adressen zu sperren und Brute Force Attacken zu verhindern. Wie noname gemeint hat kann man sich ja den md5 hash der IP speichern. Mit Salt ist dies nicht leicht rückrechenbar und wird wohl nicht als Personenbezogene Daten gelten.

    Geht man davon aus, dass Google das auch so macht kann man auch weiterhin Analytics verwenden.

    Darf denn eigentlich der Benutzer die IP Adresse meines Servers speichern? z.B: DNS Cache 🙂

    Antworten
  3. Enis Güler

    20. Dez 2009

    Oh, NEIN! Das kann doch nicht wahr sein 🙁
    Warum muss alles immer so vermasselt werden? Was spricht denn dagegen, dass alles so weiter läuft wie vorher auch.
    Es gab doch keine Probleme -.-

    Antworten
  4. Sluter

    20. Dez 2009

    Hallo Huggy,

    bei etracker wird die IP doch gekürzt gespeichert, also für den Betreiber einer Site nicht einsehbar! etracker rühmt sich doch mit der Aussage zu 100% dem BDSG gerecht zu werden http://redir.ec/etracker (soweit ich weiß als einzige Trackinganbieter!).

    Gruß
    Andreas

    Antworten
  5. Huggy

    20. Dez 2009

    Sollten Eure Seitenbesucher (Visitors) nicht ihre Zustimmung zur Aufzeichnung geben, darf die IP nur in einer Form gespeichert werden, die zu keiner Zeit eine Zuordnung zu einer Person (mit deutscher Staatsbürgerschaft?) erlaubt.

    Ich habe mir den echten beschluss jetzt nicht durchgelesen – sollte es aber so sein, wie du es zusammengefasst hast , sind alle Kinder-Porno Gesetze der letzten jahre vernachlässigbar. Allein das Trimmen des Apache Servers, in der htaccess etc. keine IPs mehr zu speichern ist surreal.

    Was bin ich froh dass wir Österreicher andere Probleme haben…

    ps: Skandal – SPD.de nutzt Etracker und speichert damit 100% die IP der User – und gibt sie wahrscheinlich an Etracker weiter.. CSU.de nutzt übrigens Analytics. Wie blöd die schauen wenn man sie abmahnt?

    Antworten
  6. SEO Scene

    20. Dez 2009

    Deine Überschrift ist m.E. falsch. Die Äußerung eines Arbeitskreises sollte nicht mit geltendem Recht verwechselt werden. Zudem hier verschiedene Varianten unterschiedlich betrachtet werden können (Weitergabe an Dritte vs. eigenem Tracking. Das Ganze war vor fast anderthalb Jahren (!) bei mir schon Thema. Siehe http://www.seo-scene.de/tools/sechs-gruende-gegen-google-analytics-156.html – solang das Ganze nicht höchstrichterlich entschieden ist, bitte keine Panikmache.

    Antworten
  7. Flo

    20. Dez 2009

    LOL .. Dann wäre sicher ein Großteil der www-Szene illegal. Ich warte auch mit einem breiten Grinsen auf die erste Abmahnung, ich hoffe sie trifft mich, die 50.000€ hätte man schnell wieder drin. 😀

    In meinen Augen kompletter Schwachsinn, ich denke auch nicht, dass es soweit kommen wird, dass wir alles im Ausland hosten müssen. Falls doch, wäre das auch nicht so tragisch. In Deutschland drehen die ganzen Rechtsverdreher sowieso völlig am Rad, nur weil sie keinen Job als Staranwalt kriegen und trotzdem Benz fahren wollen.

    Antworten
  8. BlogTraffic

    19. Dez 2009

    Als Betreiber einer Plattform, die Besucher auf Blogs zählt, sehe ich das garnicht so dramatisch. Wir „werfen“ die Adressen recht schnell wieder weg, wenn sie in Zahlen umgewandelt wurden, sprich Reports. Mir erschliesst sich da auch irgendwie nicht die Relevanz zum Datenschutz, denn die IP „gehört“ ja nicht dem Surfer, der bekommt die nur temporär „geliehen“ von seinem Provider. Kanonen auf Spatzen … irgendwie.

    Grüsse
    Andreas

    Antworten
  9. Web-Co

    19. Dez 2009

    Wer sich kurzfristig informiert bei Google, der kann die Seite „Wir speichern nicht finden“. Dort wird Hilfe geboten, dass man Daten sammelt, die den Anonymisierungsrichtlinien entsprechen.
    Da ich denke, dass wir alle auf eine komplett gespeicherte IP-Adresse gut verzichten können, sollte man sich diesen Link ansehen http://www.wirspeichernnicht.de/content/view/35/24/
    Vielleicht hilft diese Seite auf Anfrage auch bei anderer Software die zum Einsatz kommt.
    Also, man kann problemlos weiterhin Conversionen oder Herkunftsland verfolgen, ohne die IP-Adresse komplett speichern zu müssen. Auch bei GA.

    Antworten
  10. Web-Co

    19. Dez 2009

    Die Abmahnwellen, die daraufhin vielleicht folgen werden, oder sogar Strafanträge wegen Verstoß gegen das Datenschutzgesetz (hat ja mit UWG nciht viel zu tun, das Ganze, weshalb also überhaupt abmahnen? Besser zeigen die Leute jetzt auch in dem Bereich einfach nur noch an, oder) werden die Behörden vermutlich schnell belehren, dass dieser Entscheid weder korrekt noch wirklcih durchsetzbar ist.
    Typisch, deutsche Haarspalterei. Im Übrigen ist es dem Staat ja erlaubt einen auf dem Klo zu filmen und zu überwachen, wenn die Webcam eingschaltet wird und wer auf der anderen Seite erscheint. Und das ist ja die wirkliche Schande. Ein IP-Adresse ist ja noch keine besondere persönliche Datei, wenn man icht wirkliche aufwändige weiter Schritte unternimmt. Zum Beispiel würde ich eine IP-Adresse wirklcih nur benutzen wollen, wenn mich jemand beim Kauf im Online-Shop bescheissen wollte. Und die IP dann zur Kripo bringen, was anderes fällt mir gar nicht ein, weil ich ja empfindliche Daten eh erfragen müsste, oder?
    Das Urteil ist meiner Meinung nach aber nicht schlicht schwachsinning, sonder verfolgt entweder einen Manipulationshintergrund oder hat irgendein anderes von langer Hand geplantes Ziel. Dumm oder fachlich nicht versiert sind die Entscheider in der Sache sicher nicht. Es sich also einfach machen und diese Entscheidung auf Dummheit oder fehlendes Fachwissen zu schieben, ist weltfremd.

    Antworten
  11. seo-programmierer

    19. Dez 2009

    Problem ist, dass die Leute da draußen (Die die Gesetze machen) es einfach nicht verstehen und das ist gleichzeitig auch die Gefahr!

    Antworten
  12. SantaCruze

    19. Dez 2009

    Ich glaube halt nicht das es durchsetzbar ist, nicht mal technisch. Bei jedem Zugriff auf Google.de alleine, was schon Millionen-fach am Tag sein dürfte, wird die IP sicherlich mitprotokolliert. Aber wäre interessant, ein Anwalt mahnt Google wegen 80 Millionen deutscher IP Adressen ab 😀

    Antworten
  13. Capt. CHAOS

    19. Dez 2009

    Och ja, es wird selten etwas so heiss gekocht wie es gegessen wird. Zuerst müsste man einmal generell feststellen was unter „Anbieter von Internetdiensten“ zu verstehen ist?

    Und dein Vorschlag neben dem Kommentarfeld einen Hinweis auf Speicherung der IP anzubringen hinkt. Denn in dem Moment wo der Besucher deines Blogs die Seite mit deinem Kommentarfeld zu sehen bekommt steht seine IP bereits in den Server Log-Files.

    Und ehrlich .. auf die Abmahnung bin ich aber echt gespannt wenn es mich treffen sollte. Aber sowas von 🙂

    Antworten
  14. noname

    19. Dez 2009

    Naja wenn ich also die IP-Adresse verschlüssele (z.B. MD5) dann darf ich sie „speichern“ ?!

    Antworten
  15. hicks

    19. Dez 2009

    wie schauts dann z.b. bei amazon aus? wenn ich dort was bestelle wird doch garantiert auch meine ip gespeichert (im falle von betrug etc um etwas handfestes zu haben).

    tür und tor auf für betrüger, spammer.. was ein witzurteil.

    Antworten
  16. Silvio

    19. Dez 2009

    @enrico ich seh das so ziemlich genauso

    In wenigen Stunden schreibt dieser Server ein Log und da steht dann auch meine IP drin. Da ich nicht will, dass du irgendwie Stress bekommst erlaube ich dir deshalb vorsichtshalber meine IP 77.64.186.38 zu speichern. Im nächsten Schritt muss ich diese Erlaubnis vermutlich noch qualifiziert digital signieren oder wie?

    Aber mal ehrlich – soetwas geht doch wieder mal voll am Webworkeralltag vorbei.

    Antworten
  17. Enrico

    19. Dez 2009

    und bis dahin? ich wette die ganzen rechtschaffenden abmahnanwälte mit ihren scheinfirmen haben die schreiben schon vorbereitet.

    und es geht ja auch ums prinzip. wie kann es sein das offensichtlich absolut ahnungslose menschen solche entscheidungen treffen dürfen? ich maße mir auch nicht an familienrechtliche dinge zu entscheiden, oder außenpolitisch aktiv zu werden. aber offensichtlich ist es in deutschland auf dieser ebene nicht notwendig fachliche qualifikationen zu besitzen.

    ich geh jetzt lieber offline – das regt mich gerade zu sehr auf.

    Antworten
  18. SantaCruze

    19. Dez 2009

    Ich würde mir da keine großen Sorgen machen. Sofern die ersten großen Firmen wegen Hacker Angriffe und der Möglichkeit, diese nicht mehr zurückverfolgen zu können melden werden, dann werden die Gerichte einen wahren Sturm an Beschwerden und Prozessen abbekommen und das ganze wird wieder geändert werden müssen.

    Antworten
  19. Enrico

    19. Dez 2009

    stark, da enscheiden mal wieder ein paar völlig unwissende und es kommt, welch überraschung, völliger unfug heraus! es geht mir tierisch auf den senkel was diese überbezahlten individuen da veranstalten.

    und damit wird dann wieder das denuziantentum verstärkt und völlig ahnungslose menschen haben plötzlich richtig ärger, auch wenn die grundlage dafür jeder logik entbehrt.

    danke deutschland. ich werde mir wohl auch eine 1,- euro limited in usbekistan gründen – dann interessiert mich dieser ganze dreck nicht mehr 😉

    Antworten

Leave a Reply