Frage Datenschutz

[AWOHille]

Hallo,

ich habe zum Thema "Speicherung von Log-Files" eine Frage. Es geht dabei um die Log-Files z.B apache.log oder mail.log aus Sicht des Server-Betreibers. Dazu habe ich mir mal ausführlich folgende Seite durchgelesen. Allerdings, wie ich finde, sind die Aussage recht widersprüchlich. Dort steht z.B folgende Aussage:

• Wie soll ein Webseitenbetreiber konkret mit Logfiles umgehen?
  
  Antwort: In Logfiles ist so weit wie möglich auf personenbeziehbare Daten (insbesondere IP-Adressen) zu verzichten. In der Praxis sind die IP-Adressen unverzüglich durch ein nicht zurück auflösbares Kennzeichen zu ersetzen. Sowohl für Apache als auch Microsoft Internet Information Server existiert Software, die diese Anonymisierung automatisch vornehmen kann. Beispiele finden Sie hier: http://www.saechsdsb.de/ipmask/.
  Eine längere Speicherfrist ist zu Abrechnungszwecken und Sicherheitszwecken ggf. zulässig (vgl. Frage 3). Die Unterrichtungspflicht des Webseitenbetreibers nach § 13 Abs. 1 TMG ist zu beachten. Analysen des Nutzungsverhaltens mit ungekürzten IP-Adressen sind nur mit der bewussten und eindeutigen Einwilligung des Nutzers möglich.

Wie ist die aktuelle Gesetzeslage im Umgang mit Log-Dateien? Ist eine Anonymisierung Pflicht? Wie habe ihr das mit euren Log-Files?

https://www.datenschutzzentrum.de/ip-adressen/

Gruß Hille

[ddm3ve]

Alle Logdateien werden zum Logrotate Zyklus analysiert und Benutzerspezifische Daten anonymisiert.

Rein theoretisch, da die Daten z.B. mit piwik u.a. auch ausgewertet werden ist eine 100% anonymisierung nicht erreicht.
Mit etwas Aufwand könnte man Rainbowtabellen anlegen, schliesslich sind die möglichen IP Adressen bekannt.
Von theoretisch 0.0.0.0 bis 255.255.255.255 eben.
also knapp 4,3 Milliarden ipv4 Adressen.
Bei ipv6 sinds geringfügig mehr.
Auch die IP Adressen sind "bekannt" könnte man also generieren.

Meiner Meinung nach ist das ganze Thema mit dem Satz:

Eine längere Speicherfrist ist zu Abrechnungszwecken und Sicherheitszwecken ggf. zulässig (vgl. Frage 3).

schwammig genug definiert.
Wenn ich meine Leistung ggf. nur jährlich abrechne, dar ich die Logdaten ein Jahr vorhalten?
Wie lange muss / darf ich sicherheitsrelevante Themen vor halten, um im Fall eines Falles den Verursacher emitteln zu können?
Ab wann bin ich aus einer Nachweispflicht raus usw. usw.

[Joe User]

Allein mit "Sicherheitszwecken" sind alle Fristen hinfällig, da der Begriff weder weiter spezifiziert, noch mit einer eigenständigen Frist versehen ist.
Es muss Dir also ersteinmal ein Richter eine bestimmte Frist anordnen, bevor Du Dir darüber Gedanken machen musst.

Lediglich während der Verarbeitung der Logfiles zu Statistiken musst Du die IPs ab dem Letzten Punkt (IPv4) kürzen (anonymisieren).

[AWOHille]

Danke erst mal für die Antworten. Genauso sehe ich das eigentlich auch.

@ddm3ve löst du das Anonymisieren per Script während des Logrotate Zyklus?

[ddm3ve]

Ja, wird zum logrotate z.b. Webalizer ausgewertet. Pretorias und posteotate als Stichwort.

[AWOHille]

Ok, postrotate und prerotate sind mir schon klar. Aber wie genau setzte ich so ein Script im Logrotate ein? z.B

Code: Select all

perl -p -e 's/^(\d+)\.(\d+)\.(\d+)\.\d+ /\1.\2.\3.000/' /var/log/apache2/access.log > /var/log/apache2/apache1.log

Im Endeffekt soll ja die rotierte Datei anonymisiert sein. Oder gibt es eine bessere Lösung als das Beispiel von mir?
Wie genau müßte das bei IPv6 IP's geschehen?

[ddm3ve]

Hier ist ein "kleines Beispiel und eine nette Erklärung, wie man das realisieren kann.
Zwar nutzt der Author php, aber das last sich dank der split('',''); Funktion auch im wesentlichen Adaptieren.

http://www.datenschutzbeauftragter-onli ... raxis/138/

Ich für meinen Teil erzeuge eine md5 sum aus der IP inkl. einem zufälligen und zur Laufzeit des Scripte gültigen Salt.
Damit lässt sich die Ursprüngliche IP kaum eindeutig heraus finden.
Die hashes spiegel jedoch eine IP und einen Besucher dar, so dass man Zugriffe klar einer Person / Session zuordnen kann.

[daemotron]

Wenn Du die Webserver-Logs nur zur Systemanalyse nutzt (Fehlersuche, Aufspüren von Sicherheitslecks), ist IMHO keine besondere Maßnahme wie etwa Anonymisierung erforderlich - es genügt, die Logs regelmäßig zu rotieren (und dabei natürlich auch veraltete Dateien zu entsorgen). Ein 7tägiger Rotationszyklus sollte dabei eigentlich OK sein, so viel Puffer zur Fehlersuche muss man schon einkalkulieren - aber IMHO eben auch nicht mehr.

Im übrigen sind (selbst voll ausgeschriebene IP-Adressen) noch nicht zwingend ein personenbezogenes Datum. Das werden sie erst, wenn man sie mit anderen Daten zusammenführt. Wichtig ist daher, dass Du (falls Du gewerblich arbeitest) eine Policy (Dienstanweisung, wie auch immer das bei Euch dann heißt) für Dein Unternehmen aufstellt, dass die Zusammenführung von IPs aus Logs mit anderen Datenquellen verbietet. Lass Dir von jedem, der Zugriff auf Logs hat, per Unterschrift bestätigen, dass er diese Policy zur Kenntnis genommen hat; dann stehst Du gegenüber dem DSB schon mal gar nicht so schlecht da, falls er bei Dir anklopfen sollte.

Die Idee mit den Hashes ist interessant, falls Du Statistiken erstellen möchtest, die auch als Surfprofile genutzt werden könnten (Klickpfade einzelner Besucher etwa). Ob ein (immerhin ebenfalls eindeutiger) Hash unter Datenschutzaspekten aber anders bewertet wird als eine (nicht mit Personendaten zusammengeführte) IP-Adresse, dürfte erst dann abschließend geklärt sein, wenn so was mal vor Gericht gegangen ist.

[ddm3ve]

Das mit dem hash war unsere Antwort auf diese Vorratsdatenspeicherung.

Allein dieses Thema widerspräche so mancher DS Regelung.