Category: IT-Stuff

Verarbeitung von IP Adressen durch den Hoster. Verarbeitung in dessen Log Files, zur Bereitstellung von Analyse Seiten wie der Besucherstatistik

Eine Besucherstatistik ist bleibt eine Datensammlung:
Die Nutzung des Analye Tools muss dem User bekannt gemacht werden. Sprich der Besucher muss in der Datenschutzerklärung über Zweck / Verwendung und Speicherung informiert werden. In weiterer Folge ist es hier auch grundsätzlich empfehlenswert, Daten für die Analyse (IP-Adressen) bereits durch den Hoster in anonymisierter Form durch das Analyse Tool auswerten zu lassen, durch die Anonymisierung geht die Aussagekraft der Analyse nicht zwangsläufig verloren, der wesentliche Vorteil ist jedoch die Konformität zur DSGVO. Da dieses von Hoster eingesetzte Tool auf einer technischen Ebene agiert die bei gehosteten Plattformen vom Nutzer nicht aktiv beeinflusst werden können, gibt es in diesen Fällen nur 2 Möglichkeiten, entweder die vollständige Deaktivierung der Analyse oder die Verwendung mit anonymisierten Daten (IP Adresse) und einhergehender Information in der Datenschutzerklärung da für den Besucher der Website ein OptOut aus der Analyse beim Besuch der website nicht möglich ist

Eines der häufig eingesetzten Analyse Tools ist AWStats:
Dieses Tool analysiert Logfiles von Webseiten und erstellt daraus Besucher-Statistiken. Die daraus resultierenden Berichte werden als HTML-Seite ausgegeben und in jedem Browser dargestellt werden. AWStats bietet nur die Analysefunktion der Internetpräsenz / Website an.

Auswertungen mittels AWStats (immer in Abhängigkeit in welcher Version der Hoster das Analysetool installiert hat)
Der Gliederung der Analyse wird wie folgt in folgenden Bereichen bereitgestellt:

Wann / Wer / Navigation / Verweise / Sonstiges
Details der Bereiche des Tools:
HTTP Fehlercodes
Suchausdrücke (Top10)
Links von einer externen Seite (keine Suchmaschinen)
Links von einer Internet-Suchmaschine
Browser (Top 10)
Betriebssysteme (Top 10)
Seiten-URL (Top 10)
Downloads (Top 10)
Aufenthaltsdauer
Robots/Spiders (Suchmaschinen) (Top 10)
Rechner IP-Adressen (müssen anonymisiert sein) (Top 10)
Stunden (zu welcher Zeit) (Serverzeit)
Wochentage (an welchem Tag)
Tage im Monat
Monatliche Historie

.

DSGVO-bedenkliche WordPress-Plugins entfernen und mit DSGVO-konformen Alternativen ersetzen.
Selbst die vom kommerziellen WordPress-Unternehmen Automattic selbst zur Verfügung gestellten PlugIns, benötigen zumeist eine gültige Verbindung zu wordpress.com. Als Konsequenz ergibt sich ist eine direkte Verbindung / Übertragung von personenbezogenen Daten. Jedes PlugIn rühmt sich mittlerweile #DSGVO konform zu sein, aber ist dem auch wirklich so. Es belibt also keine andere Möglichkeit als nach jeder Installation und jedem Update eine Prüfung durchzuführen. Mühevoll, Zeitaufwand vs Nutzen?

Denn in weiterer Folge sollte / muss der User (Besucher der Website) genau darüber informiert werden, welche PlugIns auf der besuchten Internetpräsenz verwendet werden. Ich kenne noch nicht viele Datenschutzerklärungen die darüber aufklären.

Ja, auch Google Services sind wie zB WebFonts sind datenschutzrechtlich relevant, da personenbezogene Daten in Form der IP-Adresse an einen Drittanbieter wie Google übertragen werden.

Bedeutet zusammengefasst, jedes neue Plugin erfordert eine #DSGVO Prüfung der Internetpräsenz und ggf. eine Anpassung der DSE, auch nach einem Update.

Wieso wir unsere Video Konferenz on premise haben, nicht nur weil wir es können sondern auch weil es uns hilft, die Kommunikation mit unseren Klienten einfach und sicher abzuwickeln. Manche Gespräche in einer Konfernez sollten einfach nicht über Server laufen die man nicht unter Kontrolle hat, sagen die Herren in der grauen Anzügen aus dem Nebenbüro, wenn sie denn mal im Büro sind.
Sie sprechen hier von den anfallenden Metadaten, diese Daten sind rechtlich weniger geschützt, können aber sehr sehr aufschlussreich sein. Denn oft reicht es schon aus zu wissen bzw. zu erfahren mit wem und wann jemand spricht.

Wie läuft es bei uns ab.
Ich bekomme im BackOffice einen Termin und die Teilnehmer für den Conference Call.
Eins, zwei drei, ist der Virtuelle Konferenzraum erstellt, sofern nicht bereits einer vorhanden war.
Einmal Copy für den Link zum Raum und das Passwort und Paste in die Maske im Intranet, dann die e-mail Adressen eingefügt, schon wird der Schriftsatz mit der Einladung erstellt und per email versendet. Manchmal wollen die Herren das das Passwort per SMS, also old school, versendet wird, dann kommt noch ein weitere Klick hinzu. Fertig.

Das ganze wird etwas umständlicher, wenn es sich um spezielle Kunden handelt, die müssen sich dann per VPN auf einen Konferenz Server einwählen. Die ganze Sache wird dann immer hektisch wenn keiner der Admins für die VPNs verfügbar ist.

Was uns jetzt noch fehlt, wäre eine automatische Möglichkeit, wenn Files in der Konferenz hochgeladen werden, oder im Chat eine Nachricht geschrieben wird, diese automatisch in den Akt zur Konferenz zu verspeichern. Angeblich arbeiten die Programmierer bereits dran.

Egal ob am 55″ im Konferenzraum, am PC, Notebook oder am Tablet, es funktioniert einfach. Das wichtigste Tool ist für uns ein ordentliches Headset alles andere ist fast schon egal, und an das ständige Kamera On hat man sich auch bald gewöhnt.

Immer öfter werden wir nach den minimal Anforderungen in Bezug auf die #DSGVO und Internetpräsenzen angesprochen:

Grundsatz der Datensicherheit
Der Datenverarbeitet muss ein dem Risiko angemessenes Schutzniveau für die Daten gewährleisten.

Recht auf Vergessenwerden
Personenbezogene Daten müssen gelöscht werden, wenn der Zweck für die Datenverarbeitung wegfällt.
Als Grundsatz gilt, den Datenbestand regelm. sofern keine anderen gesetzlichen Aufbewahrungspflichten verletzt werden, unwiderruflich zu bereinigen.

Dokumentationspflicht
Es muss die Einhaltung aller Datenschutzverpflichtungen nachgewiesen werden können.
Dazu muss man wissen, zu welchem Zweck Daten erhoben werden, es empfiehlt sich hier so oft wie möglich ein doubleOpt Verfahren einzusetzen.

Kopplungsverbot
Die Einwilligung zur Datenschutzerklärung oder zum Newsletter-Erhalt dürfen nicht mehr mit Geschenken verbunden werden.

Grundsatz der Datensparsamkeit
Es dürfen nur so viele Daten erhoben und anschl. verarbeitet werden,
wie auch tatsächlich benötigt werden.

ohne Anspruch auf Vollständigkeit, aber wie die Erfahrung zeigt, reichen diese Punkte schon für Kopfschmerzen bei den Klienten.