DSGVO und Log-Daten: Welche Daten wir von Deinen Website-Besuchern erheben und warum

Der Schutz der unternehmenseigenen IT-Landschaft kommt Hand in Hand mit der Sammlung von Logdaten. Informationen darüber welcher Client wann mit welchem Server kommuniziert hat oder was für Zugriffsversuche sich auf der Firewall ereignet haben werden in der Regel quantitativ nur damit begrenzt wie viel Speicher man zur Verfügung hat.
Solche “Logdaten” sind allerdings als personenbezogene Daten zu werten, da – zumindest indirekt – meist eine konkrete Person zugeordnet werden kann. Insofern gilt es auch in diesem Bereich die DSGVO zu beachten. Konkret bedeutet dies, dass man neben einer Rechtsgrundlage und einem legitimen Zweck für die Verarbeitung an sich, diese Daten eben nicht unbegrenzt aufbewahren darf, sondern auch wieder löschen muss.

Im Zuge der Datenschutzgrundverordnung (DSGVO) musst Du die Besucher Deiner Website darauf hinweisen, welche personenbezogenen Daten Deine Website speichert. In unserer Datenschutzerklärung findest Du diese Angabe unter dem Punkt Log-Daten. Was sich hinter dem Begriff versteckt und welche Daten wir erheben, erfährst Du hier:

Was sind Log-Daten?

Log-Daten sind Daten, die wir automatisch erheben und speichern, wenn Du unsere Website strato.de besuchst. Unsere Server erfassen aber auch Log-Daten Deiner Website-Besucher. So protokollieren wir zum Beispiel, wenn Nutzer auf eine Bild- oder HTML-Datei auf Deiner Website zugreifen. All diese Daten sammelt ein sogenanntes Logfile – eine Datei, mit der all diese Prozesse aufgezeichnet werden.

Warum erheben wir Log-Daten?

Auf Basis der Log-Daten erstellen wir einerseits eine Statistikauswertung, die Du über Deinen Kunden-Login einsehen kannst. Wenn Du eigene Auswertungen mit einem externen Tool durchführen oder die Daten archivieren möchtest, kannst Du die Logfiles Deiner Website auch herunterladen. Neben der statistischen Analyse Deiner Website speichern wir diese Daten auch, um unsere Dienste zu optimieren und Angriffe zu erkennen und abwehren zu können.

Welche Daten erheben wir?

  • Kunden-Domain: Wir erfassen, zu welcher Domain Log-Daten gespeichert werden. Das wäre also zum Beispiel „DeineWunschdomain.de“.
  • Anonymisierte Client-IP: Um zu erkennen, von wo aus unsere Server gegebenenfalls angegriffen werden, erheben wir IP-Adressen. Diese speichern wir branchenüblich maximal sieben Tage lang. Danach werden sie anonymisiert. Aus Datenschutzgründen kannst Du jedoch die IP-Adressen in dem Logfile von Beginn an nur anonymisiert einsehen. Ein Beispiel: Aus 123.456.789.001 wird anon-123-456-165-41.invalid.
  • Timestamp: Dahinter verbirgt sich die Angabe, an welchem Tag und zu welcher Uhrzeit der Besucher Deine Website aufgerufen hat.
  • Request-Zeile: Dies ist der Pfad der Ziel-Adresse ohne die Domain. Wenn der Besucher auf ein Bild Deiner Website klickt, steckt dahinter die URL „DeineWebsite.de/bild.jpg“. Die Request Zeile lautet dann „/bild.jpg“.
  • Status Code: Sicherlich hast Du schon mal eine 404-Seite gesehen. Diese wird immer dann angezeigt, wenn eine aufgerufene Seite oder Datei nicht gefunden werden kann. 404 ist dabei der Status Code, der Dir sagt, dass der Besucher eine nicht vorhandene Seite aufrufen wollte. Die Internet Assigned Numbers Authority hat noch eine Vielzahl an weiteren Status Codes definiert, die für die Fehleranalyse hilfreich sind: 200 bedeutet zum Beispiel OK – hier konnte der Nutzer Deine Seite also fehlerfrei aufrufen.
  • Größe des Response Bodies: Wenn der Besucher auf Deine Website geht, lädt er temporär Daten herunter. Das sind zum Beispiel die Bilder und Texte, die er in seinem Browser sieht. Die Log-Datei gibt an, wie groß diese Daten sind.
  • Referer, der vom Client gesendet wurde: Dieses Feld zeigt Dir an, von welcher Seite der Besucher Deiner Website gekommen ist.
  • Remote User: Im Normalfall bleibt diese Feld leer. Wir speichern nur dann Daten hierzu, wenn auf Deiner Website ein Anmeldeprozess vorhanden ist, der auf http-Basicauth basiert. Das ist ein mittlerweile veraltetes Verfahren, mit dem sich der Besucher gegenüber Deiner Website authentifzieren kann, indem er sich zum Beispiel in einen Kundenbereich einloggt. Mittlerweile nutzt die große Mehrzahl der Websiten allerdings ein anderes Verfahren, das mit Javascript arbeitet. In diesem Fall wird kein Remote User gespeichert.

Logfiles und die DSGVO?

Wenn Du mit Deiner Website unter den Wirkbereich der DSGVO fällst, dann musst Du Deine Besucher darüber informieren, welche personenbezogenen Daten von ihnen gespeichert werden. In unseren Blog-Beiträgen zu dem Thema DSGVO wollen wir Dir so viele Informationen an die Hand geben, dass Du fundiert entscheiden kannst, was das für Dich und Deine Website bedeutet. Bitte beachte jedoch, dass wir hier keine Rechtsberatung leisten dürfen und daher auch nicht auf Einzelfälle eingehen können.

Wie lange dürfen Server Logfiles gespeichert werden?

Ein Logfile ist eine Protokolldatei in der Systemprozesse und Ereignisse gespeichert werden. Die Logdateien werden gemäß der DSGVO zwei Wochen lang gespeichert. Mithilfe dieser Protokolldateien kann man zum Beispiel Probleme analysieren, Fehler beheben oder beschädigte Dateien wiederherstellen.

EU-Datenschutz-Grundverordnung (DSGVO): Checkliste

Mit der am 14.4.2016 vom Europäischen Parlament beschlossenen Datenschutz-Grundverordnung wurden die Regeln für die Verarbeitung personenbezogener Daten, die Rechte der Betroffenen und die Pflichten der Verantwortlichen EU-weit vereinheitlicht.

Die Bestimmungen der DSGVO und des (angepassten) österreichischen Datenschutzgesetzes (DSG) gelten seit 25.5.2018. Alle Datenverarbeitungen müssen dieser Rechtslage entsprechen. Jedes Unternehmen, das in irgendeiner Weise personenbezogene Daten verarbeitet (z.B. eine Kundendatei führt, Rechnungen ausstellt, Lieferantendaten speichert), ist betroffen. Damit sind wesentliche Neuerungen auf Unternehmen zugekommen.  

Weiterführende Information

Fazit

Die Panik und Hysterie vor dem 25. Mai 2018 um das in Kraft treten der DSGVO war überall zu spüren. Die Rede war von ganzen Abmahnwellen, die auf Unternehmen, Blogger oder Influencer zurollen würden.
Fakt ist, dass die DSGVO für viel Arbeit und zusätzliche Bürokratie gesorgt hat, was Experten insbesondere der Dokumentations- und Nachweispflicht zuschreiben.  Darüber hinaus bleiben einige Fragen für viele Unternehmen weiterhin unklar und die Unsicherheit bleibt demnach bestehen.

Scroll to Top