Link zur News:
http://www.3dcenter.org/news/der-eugh-zur-ip-adressen-speicherung-durch-webseiten

"welche nicht aber von oben herab gerichtlich angeordnet werden sollten"
Ach nein? Per freiwilliger Verpflichtung etwa? Soll ich den Kopf auf den Tisch schlagen oder vor Lachen unter selbigen kugeln?

Es besteht im Normalfall für einen Webseiten-Betreiber niemals die Möglichkeit, aus einer IP-Adresse eine reale Person zu ermitteln,

Sofern der Webseitenbetreiber es schafft irgendwelche urheberrechtlichen Interessen geltend zu machen ist es sogar verdammt einfach an die reale Person zu kommen.


demzufolge sollte das ganze im Sinne des Webseiten-Betreibers auch nicht als "personenbezogene Daten" behandelt werden (so lange die Daten nur beim Webseiten-Betreiber liegen, bei einem Weiterverkauf von Daten kommt eine andere Rechtssituation heraus).

Die Definition ob etwas ein personenbezogenes Datum ist, kann niemals mit dem Hintergrund erfolgen wer diese Daten ermittelt bzw. wer diese dann "Besitzt".
Entweder man kann aufgrund der Daten an eine Person kommen, dann sind es personenbezogene Daten, oder man kann es nicht, dann sind es eben keine, unabhängig davon wie viele Umwege man gehen muss um an die Person zu kommen.
Wobei man bei IP-Adressen natürlich diskutieren kann ob dies wirklich Personenbezogene Daten sind, schließlich haben wir noch keine Chips mit Netzwerkanschluss implantiert, und die IP-Adresse identifiziert in Wirklichkeit nur eine Netzwerkkarte/einen Router. Allerdings würde man dann ein KFZ-Kennzeichen oder eine Telefonnummer auch nicht als personenbezogenes Datum bezeichnen können, da diese auch nur jeweils ein Gerät identifizieren und keine Person. Diese werden allgemein aber sehrwohl als personenbezogene Daten gesehen, weshalb imo auch eine IP-Adresse als personenbezogenes Datum angesehen werden sollte.

In der Praxis ist die Aufzeichnung von IP-Adressen in Server-Logs eine Standardfunktion aller Webserver-Software und teilweise sogar elementar für gewisse Webserver-Funktionen

Frauen sollten auch unterdrückt werden, schließlich war das jahrhundertelang eine Elementare Funktion der menschlichen Gesellschaft, und nicht wenige Jahrzehnte wie bei Webservern.
Jahrzehntelang war es auch üblich jeglichen Verkehr im Internet unverschlüsselt zu übertragen. Langsam erkennt man auch dass dies keine gute Idee ist, auch wenn eigentlich "nur" diverse Betreiber von Netzwerkinfrastruktur und eventuell staatliche stellen darauf Zugriff haben.

Defakto ist ein dauerhaftes Log von IP-Adressen für die Funktion eines Webservers absolut nicht notwendig. Die Speicherung der IP-Adresse über die aktuelle Session hinaus ist sogar ein geringfügiger Mehraufwand, schließlich muss dafür Speicherplatz bereitgestellt werden und jeder Schreibzugriff auf den Festspeicher kostet natürlich auch etwas Strom. Je nachdem wie aufwendig die Logs sind (ein einmaliges Speichern der IP-Adresse pro Verbindung fällt da natürlich nicht ins Gewicht) kosten diese auch durchaus spürbare Performance.

Klarerweise können solche Logs auch helfen etwaige Probleme zu finden. Das ist aber noch lange kein Grund diese immer und zu jeder Zeit laufen zu lassen. Im Endeffekt ist das eine Vorratsdatenspeicherung, die immer alle Daten speichert, weil ja irgendwann mal was passieren könnte, dass diese uns wertvolle Informationen liefern können.
Man kann die Logs ja aufdrehen wenn irgendwelche Probleme auftreten die man anders nicht lösen kann.

[QUOTE]
Der für die Urteilsbegründung angesetzte Klimmzug, das man in Deutschland über irgendwelche Rechtsmittel dann doch aus einer IP-Adresse an die Daten der jeweiligen natürlichen Person herankommen kann, ist reichlich absurd – weil dies ja nur dann gilt, wenn man ein gesetzlich verbrieftes Interesse vorweisen kann, einfach auf Zuruf und in Masse ist dies keineswegs möglich.
[/QOUTE]

Es sei denn man ist Anwalt und wohnt in #Neuland@EU. Auch wird jetzt natürlich das "Urheberrecht" noch extrem "einfacher" angewendet werden.
Der Fall "Redtube" müsste jetzt doch eigentlich ALLE Alarmglocken zum Schrillen gebracht haben.
Auch das ganze restliche Abmahnwesen müsste da einen vor Angst schlottern lassen. Es genügt doch schon Heute nur die Behauptung (!) und schwups hat jeder Winkeladvokat die Adresse zur IP und kann kassieren.
Jetzt kann das "Abmahnspielchen" ja wieder los gehen, husch husch ein paar Logs nach IP dursucht und nach Monaten(oder gar Jahren !:uclap:) sind wieder ein paar "Taler" drin.

Auch Webseitenbetreiber "verschieben" doch heute schon IP an die Werbeindustrie.("Kundenbezogene Werbung":biggrin::D;D)

Sehr schön auch die Moglichkeit anonyme (HA) kritische Kommentare zu unterdrücken. Siehe "Hatespeech". Wer wird in Zukunft noch OFFEN seine Meinung kundtun können, wenn er weiss das alles Protokoliert und gegen Ihn verwendet werden kann.

Aber so ist das in #Neuland@EU eben.

Wofür brauche ich als Webseitenbetreiber eigentlich die IP meiner "Kunden" ? Um den Besuch der Website zu "beweisen" ? was kommt als nächstes eine Erlaubnispflicht welche Seite man ansehen darf ?
Oder "für Ihre ZONE ist dieser Inhalt nicht verfügbar" (GEMA anyone ?)?
Wenn man bedenkt dass das Internet mal als "freie" Kommuniktionsplatform gestartet ist, kann man nur noch Weinen.

Nein, hier geht es um knallharte (und kommerzielle) Intressen.

STASI 2.0 war gestern - Vollüberwachung und "Zwangsbeglückung durch Werbung Heute

und ausgerechnet die größten Kritiker der Vollüberwachung jubeln.

Abgesehen davon, dass es in der Praxis doch sehr leicht ist, über den ISP an die Namen und Adressen heranzukommen, ist auch der folgende Satz so pauschal ungültig:
Es besteht im Normalfall für einen Webseiten-Betreiber niemals die Möglichkeit, aus einer IP-Adresse eine reale Person zu ermitteln, demzufolge sollte das ganze im Sinne des Webseiten-Betreibers auch nicht als "personenbezogene Daten" behandelt werden
Das stimmt höchstens für kleine Websites. Aber denke doch auch mal an die großen Datenschleudern von Facebook & Whatsapp, Google und die großen Werbeplattformen: Die haben über die vielen Metadaten genug Möglichkeit, einer IP eine natürliche Person zuzuordnen, ohne beim ISP nachfragen zu müssen. Also ja: Auch wenn es technisch nicht so gedacht ist, sind die IPs mittlerweile personenbezogene Daten und sollten einem gewissen Schutz unterliegen. Natürlich muss der mit der technischen Realität abgewogen werden.

Da ist was im Busch. Die EU will entscheiden, ob Streaming illegal ist. Das Urteil über die rechtmäßige Speicherung von IP Adressen ist in der Form sicherlich notwendig für das kommende Abmahnwesen. Denn an diverse Streamingseiten bzw. deren Urheber kommen sie nicht heran und Websperren sind wohl keine Lösung.

Es würde mich nicht wundern, wenn Streaming von illegalen Inhalten im Januar für illegal erklärt wird und dann eine Abmahnwelle folgt, da Torrent am Aussterben ist.

wozu wollte ich auch die identität hinter jeder ip (ipv4) feststellen wollen. wenn ich in der öffentlichkeit an einer dikussion teilnehmen will, muss ich auch nicht erst sagen wer ich bin, wo ich wohne und welche neigungen ich habe. wenn ich mir in einem normalem geschäft das angebot ansehe, auch nicht. das ist ein völlig anonymer vorgang. selbst wenn ich in dem geschäft etwas kaufe, kann ich mit bargeld bezahlen und bleibe völlig anonym, name und adresse interessieren niemanden. in internetshops muss ich meine adresse auf jeden fall angeben, wobei dort aus geschäftlichen bedingungen anmeldezwang auf bestimmte datensätze besteht, meine e-mail, dubiosen bedingungen der datenverarbeitung zustimmen und wahrscheinlich noch meine bankdaten zur legimitation hinterlegen, soweit ich erhöhte versandkosten umgehen will. die zuordnung findet dort schon bei anmeldung statt. kann mir keiner erzählen, dass dies nicht so geschieht.

ipv6 adressen gehören schon länger zum personenbezogenen datenbestand, dass hat die rechtssprechung doch schon festgestellt, so wie mittlerweile telefonnummern die als personenbezogen gelten, weil personengebunden. die längerfristige oder anderweitige speicherung bedarf einer zustimmung durch den inhaber, was soll daran neu sein?

webseiten- und shopbetreiber mauscheln mir viel zu sehr im dunkeln. unter dem deckmantel der durchsetzung des hausrechts und anderer serviceleistungen oder authentifizierung wird dort viel zu sehr in der privatspähre anderer umhergewühlt. da hat der gesetzgeber mmn bisher immer noch nicht ausreichend immanente grenzen gezogen. kontrollen finden gar nicht statt, man verlässt sich auf das "unrechtsgefühl des betreibers", siehe spam-/ blacklisting, zuordnen von ips zu beiträgen inbegriffen und vieles andere mehr. fragt euch hier mal selbst, wie ihr mit dem thema umgeht.

zur feststellung der identität bedarf es in realität mehr als nur mal seine meinung zu sagen und authentifizierung bedarf es in der form durch den inhaber nicht, da dies der diensteanbieter übernimmt, der speichert ja gesetzlich sowieso.

webseitenbetreiber sollen dann denjenigen bei den behörden anzeigen, soweit ein öffentliches interesse bestünde, nur müssten dann alle eine rechtliche vorbildung inne haben, denn wie wehrt sich der betroffene dann gegen eine zu unrecht erhobene anzeige?

heute wird doch gespeichert "auf teufel komm raus" und zumeist wird auch alles raus gegeben, wenns nicht längst irgendwo hin verscherbelt wurde. da geistern millionen datensätze von einem zum anderen, weil man damit investoren anlocken kann.

ich würde sowas alles rigeros verbieten, soweit es dafür keinen anlass gibt und den einzelfall der speicherung genau definieren. www und frei, pah...lange ist's her, dem kontrollwahn sei's gedankt. siehe aktuell facebook und whatsapp, die kehren sich doch einen dreck um datenschutz. industriell, also aus wirtschaftlichem interesse dürfte man ja alles weitergeben.

was sollte die eu daran ändern wollen, ist doch eine karta rein aus wirtschaftlichem interesse? alles nur heuchelei...

kleines beispiel: einmal im internet bestellt, alles reingehämmert, darunter auch die festnetznummer (weil gefordert) und war natürlich glücklich vom preis her. nachteil, jetzt dauernt nervende anrufe von hotlines, die mir alles und jedes andrehen wollen, gerne auch abends wenn's nervt. widersprochen, ja habe ich - mehrmals, interessiert die nicht. war's das wert: im nachgang muss ich leider feststellen, Nein...!

das die gesetzgebung so schwammig ausgelegt ist, ist gewollt, da kann man so oder so sachargumentieren, wirklich recht bekommt man dann in den wenigsten fällen.

kleines beispiel: einmal im internet bestellt, alles reingehämmert, darunter auch die festnetznummer (weil gefordert) und war natürlich glücklich vom preis her. nachteil, jetzt dauernt nervende anrufe von hotlines, die mir alles und jedes andrehen wollen, gerne auch abends wenn's nervt. widersprochen, ja habe ich - mehrmals, interessiert die nicht. war's das wert: im nachgang muss ich leider feststellen, Nein...!

Unaufgeforderte Werbeanrufe sind gesetzlich soweit ich weiß verboten, d.h. du kannst gegen die entsprechende Firma vorgehen, bzw. ihr untersagen das weiterhin zu machen, falls du keine Lust hast, einen Anwalt einzuschalten.
Wäre theoretisch wohl ein Abmahnungsgrund.

Wer gibt auch seine echte Festnetz bzw. Mobilnummer an?

Wer gibt auch seine echte Festnetz bzw. Mobilnummer an?
Wenn die Spedition dich anrufen soll um zu vereinbaren wann sie die Ware bei dir abliefert ist es durchaus hilfreich die echte Telefonnnummer anzugeben.

Wer gibt auch seine echte Festnetz bzw. Mobilnummer an?

Ich gebe meine echte Telefonnummer an. Ich bestelle viel im Internet, aber nicht bei jedem Mini-Laden nur damit ich 5 Euro spare.
"Ungebetene" Anrufe hatte ich noch nie.

== == ==

Und ja, ich denke wie Lowkey - da ist mehr dahinter.

Auf der anderen Seite, IP-Addressen für ein Webserver sind wichtig. Wer schon mal in die Log-Dateien eines Webserver geschaut hat, der weiß, wie viele Portscans und LogIn-Versuche und Co durch das Netz "geistern". Das ist heutzutage normal.
Und das richtige, was jeder Admin macht - Ban IP, wenn X mal von dieser IP-Addresse (oder auch Range!) was "eigenartiges" kommt. Warum soll ich / mein Server Performance einbüßen , nur weil ein Kiddie Kali oder sonst was "ausprobiert" oder vll wirklich einer einen offenen Port und Exploit sucht.
Ohne wenigstens kurzfristige Speicherung der IP geht das nicht.

Und das richtige, was jeder Admin macht - Ban IP....Ohne wenigstens kurzfristige Speicherung der IP geht das nicht.
Was aber völlig schwachsinning ist, eine IPv4 wird immer neu vergeben, jetzt bannst du jemanden der nicht mal Schuld hat. An mehr dürfte man auch nicht ran...du bannst also ab dann einen völlig Unschuldigen wenn der Hacker, Spamer oder Kiddie Kali seine Sitzung beendet. Wieder die gleiche IP zugewiesen zu bekommen, dürfte so sein wie die Nadel im Heuhaufen zu finden.

Das wäre übrigens der Grund den Diensteanbieter zu informieren, nur der kann nachvollziehen - wer was wann wo womit...

Es gibt sogar Netzwerke, da haben alle die gleiche IP. Dann bannst du gleich 10.000 User. Nämlich alle die hinter dem Zugangsknoten sitzen, wo der Server seine Verbindungsdaten einspeist. Gibt genug kleine Diensteanbieter die nur den Zugangsknoten mieten und ein eigenes Netzwerk betreiben. Da siehst du die zugewiese IP überhaupt nicht.

Admi - ja toll...

----------------------------------------------------------------

Klar ist da was im Busch. Die Brüssler sind doch nicht doof, wenns um Kohle geht stecken die alle unter einer Decke.

kleines beispiel: einmal im internet bestellt, alles reingehämmert, darunter auch die festnetznummer (weil gefordert) und war natürlich glücklich vom preis her. nachteil, jetzt dauernt nervende anrufe von hotlines, die mir alles und jedes andrehen wollen, gerne auch abends wenn's nervt. widersprochen, ja habe ich - mehrmals, interessiert die nicht. war's das wert: im nachgang muss ich leider feststellen, Nein...!
Das ist in Deutschland gem. § 7 Abs. 2 Nr. 2 nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) verboten.

Wenn das unten Geschriebne nichts bewirkt, informiere die Bundesnetzagentur oder deinen Provider/Telefonanbieter. Bußgeld geht bis 50.000 Euro, die freuen sich. Abmahnung oder Unterlassungsverfügung erwirken. Kannst du auch ohne Anwalt anzeigen. Manchmal springt in Härtefällen (ständig abends oder über Nacht) auch der Verbraucherschutz ein.

Blockieren darfst du Werbeanrufe nicht. Sollte die Rufnummer nicht übertragen werden, ist das unzulässig, dann kannst du denjenigen auf seine Kosten sperren lassen. Automatische Anrufmaschinen sind auch unzulässig. Dein Anbieter protokolliert. Manchmal hilft es auch das Gespräch zu suchen und der anrufenden Hotline einfach mitzuteilen das man die Nummer löschen soll. Zumeist machen sie das. Die sind eh nur beauftragt. Denen ist es daher Schnuppe.

Falls du noch Hilfe brauchst, gerne.:)

Was aber völlig schwachsinning ist, eine IPv4 wird immer neu vergeben, jetzt bannst du jemanden der nicht mal Schuld hat. An mehr dürfte man auch nicht ran...du bannst also ab dann einen völlig Unschuldigen wenn der Hacker, Spamer oder Kiddie Kali seine Sitzung beendet. Wieder die gleiche IP zugewiesen zu bekommen, dürfte so sein wie die Nadel im Heuhaufen zu finden.

Das wäre übrigens der Grund den Diensteanbieter zu informieren, nur der kann nachvollziehen - wer was wann wo womit...

Es gibt sogar Netzwerke, da haben alle die gleiche IP. Dann bannst du gleich 10.000 User. Nämlich alle die hinter dem Zugangsknoten sitzen, wo der Server seine Verbindungsdaten einspeist. Gibt genug kleine Diensteanbieter die nur den Zugangsknoten mieten und ein eigenes Netzwerk betreiben. Da siehst du die zugewiese IP überhaupt nicht.

Admi - ja toll...

----------------------------------------------------------------

Klar ist da was im Busch. Die Brüssler sind doch nicht doof, wenns um Kohle geht stecken die alle unter einer Decke.

Die IP-Regeln sollte man schon ordentlich festlegen: Je nach Port, nach Häufigkeit, teilweise auch nach Land.

Bsp.: Wenn jemand alle 2 secs nen Auth oder SSH-Session aufbaut, vll noch von China / Japan auf einem deutschen Server. Japp, der bekommt nach dem 3-5 Versuch 15 mins ban. Wenn es weiter geht. dann 1 Tag und dann 1 Woche.

Und ja, auch wenn du denkst, dass es Unschuldige erwischt, was ich nicht ausschließen kann, können sich die Leute, die wirklich was auf dem Server zu tun haben, sicherlich beim Admin melden. Das ist gang und gäbe.

Webserver, die Seiten liefern, sind sicher lascher konfiguriert, aber auch die machen das. Je nach Port dann vll kein perma ban.

Ja, ohne wenigstens kurzfristige Speicherung der IP geht gar nichts.

@BBig
Genau das hat der EuGH auch ausgeführt, zum Beispiel daß das längerfristige Speichern von dynamischen Adressen im Fall von Cyberangriffen oder vergleichbaren Fällen zur Sicherung erlaubt ist, was im Rückschluß aber auch aufzeigt das man ansonsten löschen muß! Das Urteil selbst stellt inhaltlich auch klar, daß dynamische Adressen jetzt rechtlich als personenbezogene Daten zu verstehen sind. Da wurde ja lange gestritten, daß dies nicht so sei.

Dem Kläger ging es dabei in der Sache um § 15 TMG und deren explizit enge Auslegung (Bestandsfall am Wortlaut), nur dieser hat der EuGH mit seinem Urteil widersprochen. Eine zu enge Auslegung würde den Fall der Speicherung zu Sicherungszwecken im Interesse der Allgemeinheit unterbinden.

Jetzt ergibt sich aus dem Sachstand selbst und seitens der Webseitenbetreiber vieles im Sinne des Datenschutzes erneut zu beachten. Nun muß man nämlich genau mitteilen, daß man die IPs speichert und in welchen Fall mit Begründung! Tja, was war wohl besser?

Tut man dies mit Datenschutzhinweisen, Datenschutzerklärung oder Privacy Policy nicht, darf man dann ganz sicher selbst mit Abmahngebühren rechnen. Außerdem muß man allgemein eine Einwilligung einholen!

Daher teile ich Leos Pyrrhussieg Argumentation nicht, den in dem Urteil ging es auch um die bisher in Deutschland vertretene Güterrelativität des personenbezogenen Datums. Man kann es jetzt sicher einschränken, muß aber begründen warum und kann dies dann nur im Sinne einer Güterabwägung tun. In der Sache sicher komplizierter und kosten-/zeitaufwendiger.

Wenn ich jetzt bestimmte Datenschutzerklärungen einiger Webseiten lesen oder an manche Praxis denke, ja dann...Transparenz-Gebot gleich null. Der Fall als Solches ist im Übrigen nicht abgeschlossen, da eine deutsche Rechtsprechung noch aussteht. Ich kann nur jedem Webseitenbetreiber anraten seine Datenschutzerklärung auf Stand zu bringen.

Zu Werbezwecken braucht man das Serverlog nicht, denn dieses ist ohne Zuarbeit des Access-Provider und deren Zusatzinformationen viel zu ungenau, da reichen Page Tagging oder Cookies vollkommen und sind in dem Fall auch sinnvoller.

@BBig
Genau das hat der EuGH auch ausgeführt, zum Beispiel daß das längerfristige Speichern von dynamischen Adressen im Fall von Cyberangriffen oder vergleichbaren Fällen zur Sicherung erlaubt ist, was im Rückschluß aber auch aufzeigt das man ansonsten löschen muß! Das Urteil selbst stellt inhaltlich auch klar, daß dynamische Adressen jetzt rechtlich als personenbezogene Daten zu verstehen sind. Da wurde ja lange gestritten, daß dies nicht so sei.

Dem Kläger ging es dabei in der Sache um § 15 TMG und deren explizit enge Auslegung (Bestandsfall am Wortlaut), nur dieser hat der EuGH mit seinem Urteil widersprochen. Eine zu enge Auslegung würde den Fall der Speicherung zu Sicherungszwecken im Interesse der Allgemeinheit unterbinden.

Jetzt ergibt sich aus dem Sachstand selbst und seitens der Webseitenbetreiber vieles im Sinne des Datenschutzes erneut zu beachten. Nun muß man nämlich genau mitteilen, daß man die IPs speichert und in welchen Fall mit Begründung! Tja, was war wohl besser?

Tut man dies mit Datenschutzhinweisen, Datenschutzerklärung oder Privacy Policy nicht, darf man dann ganz sicher selbst mit Abmahngebühren rechnen. Außerdem muß man allgemein eine Einwilligung einholen!

Daher teile ich Leos Pyrrhussieg Argumentation nicht, den in dem Urteil ging es auch um die bisher in Deutschland vertretene Güterrelativität des personenbezogenen Datums. Man kann es jetzt sicher einschränken, muß aber begründen warum und kann dies dann nur im Sinne einer Güterabwägung tun. In der Sache sicher komplizierter und kosten-/zeitaufwendiger.

Wenn ich jetzt bestimmte Datenschutzerklärungen einiger Webseiten lesen oder an manche Praxis denke, ja dann...Transparenz-Gebot gleich null. Der Fall als Solches ist im Übrigen nicht abgeschlossen, da eine deutsche Rechtsprechung noch aussteht. Ich kann nur jedem Webseitenbetreiber anraten seine Datenschutzerklärung auf Stand zu bringen.

Zu Werbezwecken braucht man das Serverlog nicht, denn dieses ist ohne Zuarbeit des Access-Provider und deren Zusatzinformationen viel zu ungenau, da reichen Page Tagging oder Cookies vollkommen und sind in dem Fall auch sinnvoller.
upps...also wird man das kurzfristige speichern von ipv4 auch ansprechen müssen? das habe ich so nicht rauslesen können. man muss ja nicht längerfristig speichern oder ist das jetzt pflicht wenn man in deutschland gehostet wird?

also wird man das kurzfristige speichern von ipv4 auch ansprechen müssen?
Ja.

das habe ich so nicht rauslesen können.
Das würde sich rein aus dem Umkehrschluß ergeben.

man muss ja nicht längerfristig speichern oder ist das jetzt pflicht wenn man in deutschland gehostet wird?
Nein das ist keine Pflicht. Du kannst ja per Plug-In oder durch Modifikation der Software-Code-Funktion die Speicherung vollständiger IPs deaktivieren (Logfile; Access-Log; Error-Log).*

*[Nur dann erwischst Du den Spammer (wie uns beide :tongue:) leider auch nicht. Zur Verringerung des Administrationsaufwandes werden daher auf 'öffentlich' zugänglichen Seiten (also zumeist ohne festen Account) bestimmte Bereiche für Schreibfunktionen eingeschränkt oder komplett deaktiviert.]

Friemeln wir das mal etwas auseinander, wobei ich auch kein Rechtsverdreher oder Datenschutzguru bin.

Nach § 13 Telemediengesetz bist Du als Webseitenbetreiber ein Telemediendiensteanbieter der den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in allgemein verständlicher Form zu informieren hast.

Dabei sind personenbezogene Daten alle nach § 3 BDSG vorliegenden Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Dazu zählen jetzt wohl auch Inhaber dynamischer Adressen, was sich ja bei Nutzung der Dienste überhaupt nicht umgehen läßt.**

**[In Deutschland war bisher umstritten ob IP-Adressen nun personenbezogen sind oder nicht. Zumindest bei einer statischen IP-Adresse (RIPE-Abfrage) war ein Personenbezug jedenfalls möglich. In der Debatte selbst mußte man als Benutzer und beim Besuch von Websites mit einer statischer IP davon ausgehen, daß ein Personenbezug zumindest mit Speicherung unkompliziert herzustellen ist.]

Ich muß also denjenigen Benutzer über die Datenverarbeitung auf dem Webserver und der laufenden Applikation informieren:
1. über die Speicherung und Löschung bzw. Nichtlöschung inklusive Plug-Ins und Codemodifikationen
2. über die Dauer der Speicherung im Einzelfall (Unterschied angemeldeter Benutzer und nicht angemeldeter bei 'öffentlichem Zugang')
3. was übertragen wird, wie: Protokolldateien (Log-Files), Endgerätekennung, benutzter Browser, Zeitpunkt des Zugriffs, Referrer (html-Referer), übertragene Datenmengen, IP Adresse und anonymisierte Weiterverwendung, Cookies und Applikationscookies (wie Session-Cookies vs Webanlayse Cookie vs Persistent Cookie inklusive der Laufzeit, Erläuterungen zu Opt-Out-Cookies und welche)
4. Widerspruchsrecht i.S.d. § 15 TMG als Umkehrschluß ohne sich eine Erlaubnis zur Verwendung in Webanalyse einzuholen zu müssen (z.B. Do not track [DNT]-Browserfunktion)
5. Webfonts und auf welche Adresse diese zugreifen/umleiten
6. Videoeinbindung inklusive Datenschutzhinweise von Drittanbietern
7. Benutzerkonten-AGBs (wenn verfügbar)
8. E-Mail-Adressen Speicherung mit Zeitraum
9. Geolokalisierung
10. Hosting-Provider mit welchem Standard (z.B. mit Auftragsdatenverarbeitungsvertrag nach Maßgabe des § 11 BDSG in Deutschland bzw. gehostet [die erheben ja auch personenbezogene Daten])

Dann wäre man wohl auf der sicheren Seite.

@BBig
...

Wenn ich jetzt bestimmte Datenschutzerklärungen einiger Webseiten lesen oder an manche Praxis denke, ja dann...Transparenz-Gebot gleich null. Der Fall als Solches ist im Übrigen nicht abgeschlossen, da eine deutsche Rechtsprechung noch aussteht. Ich kann nur jedem Webseitenbetreiber anraten seine Datenschutzerklärung auf Stand zu bringen.

...

Danke für die Ausführungen.
"Recht" ist nicht meine Baustelle; bei Gesetzestexten fühle ich mich unwohl, muss ich zugeben.
Irgendwann sind wir soweit, dass man selbst für (s)eine persönliche Mini-HP einen Anwalt beauftragt. Oder es gleich sein lässt, :(.
So war das Internet sicher nicht angedacht.

Aber warte, ich habe eine Idee: Unsere schöne Regierung führte doch die Weltraumtheorie ein, da ist quasi alles erlaubt.
Nun brauchen wir nur noch einen Hoster, der seine Server in einem Sateliten betreibt ( DigitalOcean oder Linode wären toll ) und die Sache wäre gegessen, :D

Nach § 13 Telemediengesetz bist Du als Webseitenbetreiber ein Telemediendiensteanbieter der den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in allgemein verständlicher Form zu informieren hast.

Dabei sind personenbezogene Daten alle nach § 3 BDSG vorliegenden Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Dazu zählen jetzt wohl auch Inhaber dynamischer Adressen, was sich ja bei Nutzung der Dienste überhaupt nicht umgehen läßt.**

**[In Deutschland war bisher umstritten ob IP-Adressen nun personenbezogen sind oder nicht. Zumindest bei einer statischen IP-Adresse (RIPE-Abfrage) war ein Personenbezug jedenfalls möglich. In der Debatte selbst mußte man als Benutzer und beim Besuch von Websites mit einer statischer IP davon ausgehen, daß ein Personenbezug zumindest mit Speicherung unkompliziert herzustellen ist.]

Ich muß also denjenigen Benutzer über die Datenverarbeitung auf dem Webserver und der laufenden Applikation informieren:
1. über die Speicherung und Löschung bzw. Nichtlöschung inklusive Plug-Ins und Codemodifikationen
2. über die Dauer der Speicherung im Einzelfall (Unterschied angemeldeter Benutzer und nicht angemeldeter bei 'öffentlichem Zugang')
3. was übertragen wird, wie: Protokolldateien (Log-Files), Endgerätekennung, benutzter Browser, Zeitpunkt des Zugriffs, Referrer (html-Referer), übertragene Datenmengen, IP Adresse und anonymisierte Weiterverwendung, Cookies und Applikationscookies (wie Session-Cookies vs Webanlayse Cookie vs Persistent Cookie inklusive der Laufzeit, Erläuterungen zu Opt-Out-Cookies und welche)
4. Widerspruchsrecht i.S.d. § 15 TMG als Umkehrschluß ohne sich eine Erlaubnis zur Verwendung in Webanalyse einzuholen zu müssen (z.B. Do not track [DNT]-Browserfunktion)
5. Webfonts und auf welche Adresse diese zugreifen/umleiten
6. Videoeinbindung inklusive Datenschutzhinweise von Drittanbietern
7. Benutzerkonten-AGBs (wenn verfügbar)
8. E-Mail-Adressen Speicherung mit Zeitraum
9. Geolokalisierung
10. Hosting-Provider mit welchem Standard (z.B. mit Auftragsdatenverarbeitungsvertrag nach Maßgabe des § 11 BDSG in Deutschland bzw. gehostet [die erheben ja auch personenbezogene Daten])

Dann wäre man wohl auf der sicheren Seite.

super - danke! das thema wird auch immer umfangreicher.

Nachträglich Dank für alle Meinungen und Gegenmeinung. Hilft der eigenen Meinungsfindung weiter - gerade dann, wenn (fundiert) Kontra gegeben wird.