Das Wichtigste zum Datenschutz trotz Logfiles in Kürze
- Mittels Logfiles können Websitebetreiber die Aktivitäten auf Ihren Seiten nachvollziehen und Fehler ausfindig machen.
- Logfiles speichern die IP-Adresse, den verwendeten Browser und das genutzte System eines Seitenbesuchers. Um den Datenschutz zu wahren, müssen Logfiles daher in der Datenschutzerklärung der Website erwähnt werden.
- Logfiles dürfen nicht zur Auswertung der Verhaltensweisen genutzt und nicht mit anderen gesammelten Daten in Verbindung gebracht werden.
- Um den Datenschutz der Logfiles zu erhöhen, können Websitebetreiber die IP-Adresse der Nutzer anonymisiert in den Files speichern lassen.
In der Datenschutzerklärung dürfen die Logfiles nicht fehlen
Inhaltsverzeichnis
Sie protokollieren alle Anfragen und Zugriffe der Seitenbesucher und halten sämtliche Fehlermeldungen einer Webseite fest: Server-Logfiles. Für die Seitenbetreiber stellen die kleinen Dateien einen unschätzbaren Wert dar. Doch in Sachen Datenschutz sind Logfiles alles andere als unbedenklich.
Da durch die Files personenbezogene Daten erhoben werden (z. B: die IP-Adresse), müssen die Nutzer der Website darauf hingewiesen werden. Um den Datenschutz zu wahren, ist auf Logfiles in der Datenschutzerklärung hinzuweisen.
Muster: So behandeln Sie Logfiles in der Datenschutzerklärung
Im Folgenden finden Sie ein Beispiel, wie Server-Logfiles in der Datenschutzerklärung behandelt werden können:
Zugriffsdaten
Der Websitebetreiber bzw. Seitenprovider erhebt Daten über Zugriffe auf die Seite und speichert diese als „Server-Logfiles“ ab. Folgende Daten werden so protokolliert:
- Besuchte Website
- Uhrzeit zum Zeitpunkt des Zugriffes
- Menge der gesendeten Daten in Byte
- Quelle/Verweis, von welchem Sie auf die Seite gelangten
- Verwendeter Browser
- Verwendetes Betriebssystem
- Verwendete IP-Adresse (ggf.: in anonymisierter Form)
Die erhobenen Daten dienen lediglich statistischen Auswertungen und zur Verbesserung der Website. Der Websitebetreiber behält sich allerdings vor, die Server-Logfiles nachträglich zu überprüfen, sollten konkrete Anhaltspunkte auf eine rechtswidrige Nutzung hinweisen.
Datenschutzerklärung für Logfiles: Vorlage zum Download
Hier können Sie das obige Muster einer Datenschutzerklärung für Logfiles downloaden:
Download als PDF Download als .doc
Beispiel: Das speichern Server-Logfiles
Folgendes Beispiel soll verdeutlichen, weshalb Datenschutz und Server-Logfiles nur schwer vereinbar scheinen. So sieht eine Logdatei in anonymisierter Form aus:
000.000.000.000 – – [11/Jul/2017:08:04:41 +0200] „GET /logo.jpg HTTP/1.0“ 200 285 „https://www.datenschutz.org/“ „Mozilla/5.0 (Windows NT 10.0; Win64; x64)“
Diese Fülle an Informationen enthält die scheinbar harmlose Code-Zeile:
| Wert | Bedeutung |
|---|---|
| 000.000.000.000 | IP-Adresse des Besuchers |
| [11/Jul/2017:08:04:41 +0200] | Datum und Uhrzeit des Besuches/der Anfrage |
| "GET /logo.jpg HTTP/1.0" | Angeforderte Datei – in diesem Beispiel ein Bild |
| 200 | Status Code der Anfrage – in diesem Beispiel eine erfolgreiche Anfrage |
| 285 | Größe der angeforderten Daten in Bytes |
| "https://www.datenschutz.org/" | Startpunkt der Anfrage (auf dieser Seite befand sich der Nutzer, als das Bild angefragt wurde) |
| "Mozilla/5.0 (Windows NT 10.0; Win64; x64)" | Browser, Betriebssystem und Oberfläche des Besuchers |
Da zumindest IP-Adressen als personenbezogene Daten gelten, wird deutlich: In Sachen Datenschutz sind Server-Logfiles bedenklich bis problematisch. Websitebetreiber haben allerdings die Möglichkeit, IP-Adressen dem Datenschutz zuliebe nur anonymisiert in den Logfiles speichern zu lassen.
Dies ist je nach Server-Konfiguration auf verschiedenen Wegen möglich. Kontaktieren Sie zunächst den Host – viele Anbieter bieten heutzutage an, Logfiles für ihre Kunden nur noch anonymisiert abzuspeichern.
(58 Bewertungen, Durchschnitt: 3,88 von 5)
Loading...Über den Autor
Muss man denn auch bei Logfiles den Besucher die Möglichkeit bieten, dem zu widersprechen? Bei „normalen“ javascriptbasierten Tracking muss man ja auch – selbst wenn diese dsgvo-konform sind (bspw. matomo oder etracker) – eine OptOut-Möglichkeit bieten. Gilt das auch für die Auswertung der Zugriffe via Access-Log?
Protokolldateien dürfen nur solange gespeichert werden, wie sie für den vorgesehenen Zweck benötigt werden. Deswegen müssen auch die Löschfristen vor Beginn der Protokollierung festgelegt werden. Da keine gesetzliche Regelung zu Löschfristen existiert, ist eine Orientierung an der Erforderlichkeit zur Zweckerfüllung ratsam. Wie lange die Protokolldaten aufbewahrt werden dürfen, hängt also von dem festgelegten Zweck ab und kann auch mit dem Auswertungs-Turnus korrespondieren.
Im Normalfall sollten die Daten aber spätestens nach 6 Monaten gelöscht werden
(ähnlich wie bei § 15 Abs. 7 TMG geregelt). Daneben sollten aber auch weitere gesetzliche Anforderungen beachtet werden, die eventuell eine längere Speicherdauer rechtfertigen können.
Die Chinesen und Inder reiben sich schon die Hände während wir uns hier mit diesem Schwachsinn beschäftigen. Daten sind ja so verdammt gefährlich…
Ich bin Inserent bei einem Portal, das Ferienunterkünfte anbietet. Wenn ich Änderungen im Text und in meinen Preise vornehme, wird alles in Logfiles gespeichert, sodass man genau nachvollziehen kann, wenn ich welche Änderung gemacht habe.
Aber: Wie lange müssen diese Logfiles aufbewahrt werden, wenn z.B: eine richterliche Verfügung auf Herausgabe dieser Daten besteht? Weiß das jemand von euch?