Datenschutz, aber Besucher*innen betreffend

Hi IPv64-Community & -Team,

ich finde leider keinen Hinweis dazu, wie der Datenschutz für Besucher*innen ausgestaltet ist, die ein Angebot über eine DynDNS-Adresse von IPv64 aufrufen. Die Datenschutzerklärung richtet sich nur an Besucher der Webangebots für den registrierten User.

Offene Fragen (Auszug)

  • Was wird geloggt?
  • Wie lange werden die Daten vorbehalten, etc.?
  • Wird anonymisiert?
  • Werden die Daten an Dritte weitergeben usw.?
  • Kann ein AV-Vertrag mit der Prox IT UG abgeschlossen werden?

Probleme (Auszug)

  • Nach Unionsrecht (!) werden IP-Adressen derzeit als personenbezogenes Datum eingestuft (die Gesetzgebung der Länder weicht im Einzelfall davon ab).
  • Die besuchende Person weiß nicht, dass sie über diesen Dienst läuft, ggf. geloggt wird und kann dem auch nicht widersprechen.
  • Es können Profile erstellt werden, da viele Provider inzwischen die IPs nur noch selten wechseln (wie oft wurde ein Dienst aufgerufen, etc.).

Theorie vs. Praxis
Rein technisch gesehen wird die IP-Adresse ja nur in der Millisekunde zur Weiterleitung benötigt und müsste dann vernichtet werden. Praktisch werden IPs aber immer etwas länger gespeichert, um die Dienstsicherheit zu gewährleisten (Rechtsansprüche wegen DDoS, etc.).

Bitte
Könnt ihr etwas Klarheit in die Sache bringen? Mir ist bewusst, dass die Datenpakete durch andere Dienstleister, wie DNS-Anbieter, ebenfalls geloggt werden. Meine Anfrage bezieht sich aber explizit an den letzten Übergabepunkt, also IPv64.

Beste Grüße
Tobias

Also, das ist natürlich ein super spannendes Thema. NICHT Ich hasse Datenbingbams

  • Wie lange werden die Daten vorbehalten, etc.?
    Also 2.0. - Alle Account bezogenen Daten LOGGING werden 30 Tage in einem Log gespeichert bevor diese in einem Cronjob nachts gelöscht werden.

  • Was wird geloggt?
    So gut wie jede Aktion über den Updater oder über die API. Dienlich natürlich für Troubleshooting oder wenn jemand böses Sachen macht.

  • Wird anonymisiert?
    Da gibt es nix zu anonymisieren.

An Dritte? Nö, sieht nur der Inhaber und wenn ich wollen würde, ICH. Also Inhaber.

AV-Vertrag… Nö.


Leider ist das arbeiten und das speichern von IPs bei solchem Dienst der Dreh und Angelpunkt. Bin also gezwungen die zu Speichern, solange bis der Kunde das nicht mehr wünscht.

Niemand wird geloggt, außer er selber mit seinen Daten die er dort hinterlegt. Kommt aber niemand ran.


Evtl. ist dir sogar aufgefallen das meine Webseite sogar KEINEN Hinweis zum speichern von Cookie aufweist. Liegt daran das ich zu 100% selber gesagt habe, bei mir gibt es keine!

Resultat: Maximal könnte ich mal eine Funktion einführen um das Logging für Accounts wenn diese es wünschen abzuschalten.

Liebe Grüße
Dennis

Hi Dennis,

herzlichen Dank für deine Antwort. Ich weiß, es ist ein scheiß Thema - aber leider muss man sich damit auseinandersetzen.

Ich bezog mich in meiner Anfrage eben nicht auf deine direkten Kunden (also den Vertrag zwischen dir und mir), sondern auf die dritten Personen, die mit ihrem Resolver auf den Dienst zugreifen.

Irgendwie war ich gestern zu verpeilt, dass der DNS-Server (z.B. der von Google) das Resolving übernimmt und die IP-Adresse des Nutzers gar nicht durchreicht.

Bleiben halt nur die Nutzer übrig, die ihren eigenen (rekursiven) Resolver ohne Upstream-DNS einsetzen. Klar, das wir nur ein Bruchteil sein…

Will dich aber auch nicht damit nerven.

Beste Grüße
Tobias

Doch natürlich macht der Das.

Beispiel: dir gehört die DGSVO-Arsch.ipv64.de

Anfrage läuft so
Hey Google DNS, wie lautet die IP für DGSVO-Arsch.ipv64.de ?
Google Sagt KEINE AHNUNG… Aber ich weis, wer das weis und zwar die IPv64 Authoritive Server. Google Fragt mich dann das und ich antworte.
Du bekommst dann die Antwort von Google.

Also wenn du einen Domainnamen kennst, kann den jeder frei abfragen. So ist eben das Internet. :wink:

1 Like

Nein - du hast es in deinem Beispiel doch korrekt erklärt :grinning::

Google fragt dich und gibt die IP des dritten Users (siehe unten) nicht an dich preis. Damit führt Google die Verarbeitung durch und du bist fein raus.

Denk dran, es gibt vier Parteien:

  1. Dich
  2. Deine Kundschaft (also alle, die sich bei dir registriert haben)
  3. dritte User (Deine NICHT-Kundschaft) - nennen wir ihn Besucher
  4. DNS-Server (vom Provider, von Cloudflare, von Google, etc.)

Wenn der Besucher den Default-DNS des Providers oder einen dritten Dienst nutzt, macht der das komplette Resolving. Das fällt somit nicht in deinen Wirkungskreis.

Wenn der Besucher das komplette Resolving nun alleine macht (also ohne Upstream-DNS beim Provider oder durch einen dritten Dienst), landet seine IP am Ende in deinen Logs. Er ist dann Betroffener und kann von dir Auskunft fordern, was mit den Daten gemacht wird. Genau um diesen Fall ging es mir ursprünglich.

Denk dran: Es geht mir nicht um die IP des Servers deiner Kundschaft, sondern um das Logging und die sonstige Verarbeitung der DNS-Anfragen. Das ist bislang nirgends festgehalten.

Okay, das kann ich dir noch beantworten. An dieser Stelle bei einer ABFRAGE eines DNS-Records im DNS wird nicht gespeichert. Das wären hunderte von Zeilen pro Sekunde. Wäre Irre das zu speichern.

Perfekt, Danke! Bitte, bitte nimm das in die FAQ oder die Datenschutzerklärung auf.