Bei
Heise steht ein Artikel über das neue
Telemediengesetz und dass man in Zukunft aufpassen muss, dass man seinen Besuchern auch schön mitteilt, was man von ihren Daten so speichert.
Irgendwie ists ja schon komisch mit den Logdateien. Jeder Serverbesitzer hat seine Apache-Logs, die Protokolle des Mailservers, die Logfiles seiner IP-Tables und aller sonstigen Programme, die einem das /var/log-Verzeichnis zumüllen. Jeder will seine awstat-Auswertungen und seine Counter, auch ich hänge täglich an den Logfiles und freue mich riesig, wenn wieder einer über den Suchbegriff "
Kambodscha Massage ohne Verkehr" zu unserer Seite gefunden hat. Aber keiner (ausser der Werbeindustrie) will personenbezogene Daten dauerhaft haben und für die
Vorratsdatenspeicherung will sich sowieso keiner hergeben.
Ich halte es deshalb so, das ich die Daten, die ich für den Serverbetrieb für wichtig halte, maximal eine Woche aufhebe. Dazu gehören z.B. die Logs des Mailservers, weil ich gern die Spammer und Relay-Tester besser kennenlernen will. Oder auch die Logs des Webservers und des sshd, weil ich gerne wissen will, ob der Typ, der im Gästebuch rumpöbelt der gleiche ist, der auch versucht, sich per ssh auf dem Server anzumelden.
Nach einer Stunde pseudonymisiere ich die Logfiles des Webservers, die anderen Logs werfe ich nach einer Woche weg. Zum Pseudonymisieren werden die Logs durch ein
kleines perl-Skript geschickt, das die Usernamen löscht, von den IP-Adressen die letzten 2 Bytes durch 0 ersetzt und von den Hostnamen den ersten Teil durch ein Zufallsbuchstabenkombination ersetzt. Diese Zufallszeichenkette ist so gebaut, dass zwar ein bestimmter Hostname bei der Eingabe eindeutig zu einem bestimmten Namen in der Ausgabe wird, dieser Vorgang aber nicht umkehrbar ist. Damit bleibt alles erhalten was die Neugier des Besucherstatistikers erfreut: Der Provider ist noch erkennbar, der verwendete Browser, der Referer, die aufgerufenen Seiten und ein einzelner Besucher bleibt erkennbar und zählbar (soweit das halt überhaupt geht). Die lästige intime IP-Adresse ist aber weg. Das gilt natürlich nicht für den
kostenpflichtigen Teil des Angebotes. Hier müssen wir schon zur Rechnungslegung und Missbrauchsverfolgung alles speichern.
IP-Adressen in Kommentaren werden übrigens dank des Plugins "
Delete Comment IP" hier ebenfalls nach fünf Tagen gelöscht. Allerdings lösen diese Kommentare gelegentlich Mails an mich aus, in denen die IP-Adrese drinsteht und meine Mails lösche ich nur ab und zu.
Technischer Kram zum Pseudonymisieren steht im oben verlinkten Script. Wer das auch hernehmen mag, kann sich bedienen.Nachtrag 26.2.: Auch der oberste Bundesdatenschützer scheint 7 Tage für ok zu halten. Aus
heise:
Gemäß dem Bundesdatenschutzbeauftragten Peter Schaar ist die von der T-Com jetzt praktizierte einwöchige Vorhaltung von Verbindungsdaten bei Flatrates gesetzeskonform und datenschutzverträglich. "Als Aufsichtsbehörde versuchen wir, das geltende Recht bei den Telekommunikationsunternehmen durchzusetzen", erklärte Schaar gegenüber heise online. Das heranzuziehende Telekommunikationsgesetz (TKG) erlaube in den Paragraphen 96, 97 und 100 eine Verwendung von "Verkehrsdaten" zur Entgeltberechnung und zur Missbrauchseingrenzung. Nach Paragraph 109 TKG sei der Anbieter ferner verpflichtet, angemessene Maßnahmen zum Schutz des Netzes gegen unerlaubte Zugriffe beziehungsweise äußere Angriffe zu treffen. "Bei einer siebentägigen Frist ist dies genau der Fall", warb Schaar für seinen in Gesprächen mit der Deutschen Telekom durchgesetzten Vorschlag.
Nachtrag 6.10.: Ich pseudonymisiere jetzt nach
maximal 1 Stunde, zuvor hab ich das wöchentlich erledigt.