Geänderte Rechtslage / Problem für den STWC-Counter?

Tigs · **Registriert:** 23.06.2006, 21:47 **Beiträge:** 32

Ich weiß, das wurde hier schon mal diskutiert, aber:

Das Bundesverfassungsgericht hat jetzt entschieden:

wirspeichernnicht.de hat geschrieben:

Auch eine nur kurzfristige Speicherung von Verkehrsdaten berührt das Interesse des Betroffenen an der Wahrung seines Fernmeldegeheimnisses in nicht ganz unerheblichem Ausmaß.

Telemediengesetz hat geschrieben:

Das Telemediengesetz verbietet die personenbeziehbare Protokollierung des Nutzungsverhaltens, es sei denn, sie ist zur Abrechnung oder im Einzelfall zur Unterbindung von Missbrauch erforderlich. Bei Verstößen drohen Bußgelder und Klagen, bei gewerblichen Angeboten auch Abmahnungen.

Mehr und ausführlicheres zu den Zitaten gibt es hier: http://www.wirspeichernnicht.de/content/view/4/21/

Konkret heißt das für den STWC-Counter jetzt, das im Prinzip weiterhin alle statistischen Funktion erhalten bleiben können, sonfern diese ohne die dazugehörige IP abgespeichert werden.
Es darf mir als Homepage-Betreiber also nicht mehr ersichtlich werden, wer wann wo was gemacht hat auf meiner Seite, sondern nur noch das irgendwer wann wo was gemacht hat.

Vielleicht kannst Du ja irgendwie einen Patch bereitstellen, der das speichern der IPs abschaltet.

admin · **Registriert:** 23.06.2006, 14:56 **Beiträge:** 1127

Na dann werd ich es mal so umbauen, das die IP nicht mehr gespeichert wird. Nicht mal kurzfristig :cry:

.

Ob es sinnvoll ist eine Option einzubauen das man die Speicherung der IP dann halt erst einschalten muss, es also standardmäßig deaktiviert ist? :?:

Tigs · **Registriert:** 23.06.2006, 21:47 **Beiträge:** 32

admin hat geschrieben:

Ob es sinnvoll ist eine Option einzubauen das man die Speicherung der IP dann halt erst einschalten muss, es also standardmäßig deaktiviert ist? :?:

Ich denk mal nicht.
Ich würd da ganz im Sinne das Datenschutzes entscheiden und einfach alle Infos die sich anhand einer IP ermitteln lassen speichern und die IP selbst eben nicht.

Es sei denn, man will Webmastern die Möglichkeit bieten, für den Fall von Fehlern oder Angriffen dazu relevante Daten zu ermitteln.

§ 100 Telekommunikationsgesetz hat geschrieben:

(1) Soweit erforderlich, darf der Diensteanbieter zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern an Telekommunikationsanlagen die Bestandsdaten und Verkehrsdaten der Teilnehmer und Nutzer erheben und verwenden.

(3)Soweit erforderlich, darf der Diensteanbieter bei Vorliegen zu dokumentierender tatsächlicher Anhaltspunkte die Bestandsdaten und Verkehrsdaten erheben und verwenden, die zum Aufdecken sowie Unterbinden von Leistungserschleichungen und sonstigen rechtswidrigen Inanspruchnahmen der Telekommunikationsnetze und -dienste erforderlich sind. Zu dem in Satz 1 genannten Zweck darf der Diensteanbieter die erhobenen Verkehrsdaten in der Weise verwenden, dass aus dem Gesamtbestand aller Verkehrsdaten, die nicht älter als sechs Monate sind, die Daten derjenigen Verbindungen des Netzes ermittelt werden, für die tatsächliche Anhaltspunkte den Verdacht der rechtswidrigen Inanspruchnahme von Telekommunikationsnetzen und -diensten begründen.

Allerdings denke ich nicht, das die Art der Speicherung beim STWC-Counter diesem Gesetz entspricht.
Besonders nicht dem letzen Satz, da ja komplett alles gespeichert wird und nicht nur gezielt einzelne IPs.
Das entsprechend umzuschreiben dürfte in keinem Verhältnis stehen.

Daher denke ich das diese Ein- und Ausschaltoption nicht sinnvoll ist, zumal es STWC-User, die von dem Gesetz noch gar nichts mitbekommen haben, dazu verleitet, aus Gewohnheit die Option einfach wieder einzuschalten und die würden sich dann strafbar machen.

admin · **Registriert:** 23.06.2006, 14:56 **Beiträge:** 1127

Ja, so in die Richtung gingen meine Gedanken auch. Muss ja keiner unwissentlich gegen so ein nettes Gesetz verstoßen.

Beim grob überdenken was ich ändern müsste sind mir jetzt so schnell keine großen möglichen Probleme eingefallen. Der ungünstigste Fall ist dann halt ein Besucher mit wechsender IP der Cookies und Referer deaktiviert hat. Aber die sind ja nicht soo oft.

Ich denke mal das ich das nicht als Patch rausbringe, sondern mit der 3.6.1, da es ja doch mehr als eine kleine Korrektur einers Fehlers ist.

Was mir aber jetzt so einfällt, reicht es nicht wenn man den letzten Block der IP nicht speichert? Dann könnte man die Identifizierung über die IP, die anspringt falls keine Cookies existieren, drin lassen, denn in einer zweiten Stufe wird eh nur auf die ersten drei Blöcke geprüft. Und gleichzeitig hätte man noch die Bedingungen des Gesetzes erfüllt.

Tigs · **Registriert:** 23.06.2006, 21:47 **Beiträge:** 32

admin hat geschrieben:

Was mir aber jetzt so einfällt, reicht es nicht wenn man den letzten Block der IP nicht speichert? Dann könnte man die Identifizierung über die IP, die anspringt falls keine Cookies existieren, drin lassen, denn in einer zweiten Stufe wird eh nur auf die ersten drei Blöcke geprüft. Und gleichzeitig hätte man noch die Bedingungen des Gesetzes erfüllt.

Ja, das sind so Sachen aus dem Graubereich, über die ich mir auch schon Gedanken gemacht hab.
Das Gesetz schreibt ja vor keine Daten zu speichern, die Rückschlüsse auf die Person zulassen.
Wenn ich die letzten 3 Stellen kille, wäre das zwar nur noch mit einer Chance von 1 zu 256 möglich - aber möglich.
Keine Ahnung wie auslegbar das Gesetz an der Stelle ist.

Man könnte auch aus der IP einen sha256-Hash machen und von dem die letzten 5 Stellen kappen.
Damit hätte man immernoch ein nahezu eindeutiges Merkmal, aber es wär unmöglich das zurückzurechnen.

admin · **Registriert:** 23.06.2006, 14:56 **Beiträge:** 1127

Hab jetzt zum sha256-Hash nicht wirklich was gefunden, aber ich nehme mal an das geht in die Richtung md5().

Was wäre denn der unterschied wenn ich einen sha256-Hash von der IP mache und davon 5 Stellen kappe oder wenn ich das ganze mit einem md5 der IP mache? Ist das nicht beides gleich sicher?

Tigs · **Registriert:** 23.06.2006, 21:47 **Beiträge:** 32

Hab mir von einem befreundeten Fachinformatiker sagen lassen, das meine Idee mit den IP-Hashes nichts bringt, weil sich das trotzdem relativ einfach zurückrechnen lässt.

Was man machen könnte wäre, aus allen Infos wie Provider/Host, dem Header vom Browser, Auflösung, Land und Zeitzone, installierten Plugins und so weiter einen Hash zu bilden, der dann dafür verwendet werden könnte, wiederkehrende User innerhalb einer gewissen Zeit relativ sicher zu ermitteln.
Die IP darfste eigentlich (schätze mal egal in welcher Form) nur "on the fly" benutzen.

admin · **Registriert:** 23.06.2006, 14:56 **Beiträge:** 1127

Es wird ja schon, als letzten Versuch, geprüft ob es einen Datensatz gibt wo Farbtiefe, Aufloesung, Browserfensterauflösung, Javascript, Java und Cookies mit einem noch aktiven Besucher übereinstimmt.

Das ganze in einen Hash umzuwandeln, das ist gut, das lässt sich ja leichter Prüfen in einer Abfrage. Werde ich mal noch etwas ausbauen.

Ob man vielleicht IP + diverse Daten wie oben genannt als Hash nutzen könnte, da mag ich jetzt mal lieber nicht drüber nachdenken. :mrgreen:

danke für die Infos

admin · **Registriert:** 23.06.2006, 14:56 **Beiträge:** 1127

Habe es mal umgesetzt und bei mir zum testen in die Seite eingebaut. Seit 24 Stunden läuft es, konnte noch keine Probleme oder andere Auffälligkeiten feststellen.

peterf1 · **Registriert:** 20.05.2010, 12:35 **Beiträge:** 27

Aber man darf die IP speichern, wenn man dies ausdrücklich in die Datenschutzerklärung / das Impressum schreibt.
Dies ist laut TKG zulässig. Also doch eine Option mit Hinweis.

Peter

admin · **Registriert:** 23.06.2006, 14:56 **Beiträge:** 1127

Hast du da eine genaue Textpassage im Gesetz wo dies steht?

dieters · **Registriert:** 19.06.2010, 18:35 **Beiträge:** 11

Aber bei uns in der Schweiz oder auch in Österreich ist das nicht verboten. Warum werden also diese "IP-Features" gestrichen? Ich denke, dass sie an- & abschaltbar sein sollten und bezüglich der deutschen Rechtslage die Option in den Einstellungen gekennzeichnet werden sollte. (Warnhinweis ==> Haftung)

admin · **Registriert:** 23.06.2006, 14:56 **Beiträge:** 1127

Der Gedanke ist gut.

admin · **Registriert:** 23.06.2006, 14:56 **Beiträge:** 1127

Jetzt ist es wieder aktivierbar.

Geänderte Rechtslage / Problem für den STWC-Counter?

Wer ist online?