Du hast bestimmt schon mal irgendetwas von den Server-Logfiles gehört, oder? Falls du aber nicht so genau weißt, was die Logfiles sind und welche Rolle sie spielen, dann lese diesen Blogbeitrag. Ich verrate dir außerdem, ob und was du bei den Server-Logfiles in Bezug auf die DSGVO beachten musst.
Bitte beachte: Dieser sowie alle weiteren Blogposts aus dieser Reihe stellen keineswegs eine Rechtsberatung dar. Diese kann und darf ich nicht durchführen. Für eine solche Beratung wende Dich bitte an einen Rechtsanwalt.
Was sind Server-Logfiles?
Server-Logfiles sind so eine Art Protokolldateien, die auf einem Server ablaufende Prozesse, z.B. Seitenaufrufe, Registrierungen auf der Website, Fehler bei Aufrufen von eigenen URL's etc., speichern. Meist werden die Logfiles automatisch von dem Server angelegt und sind sehr hilfreich bei der Analyse einer Website.
Welche Daten werden in den Server-Logfiles gespeichert?
Die Server-Logs speichern eine Menge Informationen, die auf den ersten Blick etwas kryptisch aussehen, jedoch in der Regel gleich aufgebaut sind und mit einem „Schlüssel“ einfach zu lesen sind.
Ein Eintrag in einer Server-Logdatei könnte z.B. so aussehen:
66.249.35.65 - - [28/Jun/2018:16:30:30 +0100] "GET /robots.txt HTTPS/1.0" 404 1071 "-" "Googlebot/2.1 (+http://www.google.com/bot.html)" www.deineunterseite.de“
Wie du sicherlich erkennst, sind in dem Eintrag unter anderem die IP, das Datum des Zugriffs und die URL der aufgerufenen Seite enthalten. Doch da ist sogar noch mehr. Diese Daten werden in den Server-Logdateien gespeichert:
IP oder DNS-Adresse
Bei einem registrierten User der Name
Zugriffsdatum /Zugriffsuhrzeit
Browser des Users
Das Übertragungsprotokoll (http:// oder https://)
Zuvor besuchte URL
Aufgerufene URL
Dateiname- bzw. –pfad
Serverantwort
Übertragene Größe
Server-Logfiles und DSGVO
Da vor allem die IP-Adresse zu den personenbezogenen Daten gehört und von deinem Server- bzw- Hostinganbieter gespeichert wird, und außerdem von dir eingesehen werden kann, sind die Protokolldateien datenschutzrelevant. Deshalb musst du folgendes beachten:
1. Die Speicherung der Server-Logfiles erfordert einen Vermerk in der Datenschutzerklärung!
2. Die Art der gespeicherten Daten muss genau genannt werden
3. Als Grundlage für die Speicherung und Verarbeitung der Daten kann Art. 6 Abs. 1 lit. b DSGVO genannt werden (keine Rechtsberatung!)
4. Unbedingt einen Auftragsdatenverarbeitungsvertrag mit dem Hoster abschließen, sofern noch keiner vorhanden ist. (einen AV mit dem Hoster brauchst du aber auch, wenn du auch wenn du keine Logs speicherst)
Abschalten und Anonymisieren der Server-Logs
Im Zuge der DSGVO-Umsetzung haben einige Hostinganbieter eine Möglichkeit in den Einstellungen geschaffen die Protokolldateien zu anonymisieren oder ganz abzuschalten. So findest du z.B. ALL-INKL* unter Einstellungen -> Logs & Statistiken Folgendes:
Einstellungen für die Logfiles
- es werden keinerlei Logs erzeugt
- IP-Adressen werden vollständig anonymisiert, aus IP 11.22.33.44 wird 0.0.0.0
- die letzten beiden Stellen der IP-Adresse werden gekürzt, aus IP 11.22.33.44 wird 11.22.0.0
- es werden die vollständigen Logs erzeugt
Statistik der Zugriffslogs (Accesslogs) erzeugen
- keine Statistik erzeugen
- Statistik in deutscher Sprache erstellen
- Statistik in englischer Sprache erstellen
die Statistikeinstellungen benutzen, die zur jeweiligen Domain oder Subdomain hinterlegt sind (veraltet, wird entfernt)
Außerdem kannst du über die weiteren Einstellungen steuern, wann die Daten gelöscht werden sollen (ebenfalls wichtig in Bezug auf DSGVO) und ob die Einstellungen für alle Domain in dem betreffenden Konto/Account angewendet werden sollen.
Erweiterte Einstellungen
Logfiles löschen nach (voreingestellt) 190 Tagen
Diese Einstellungen auf alle Accounts vererben JA/Nein
Dies ginge unter Umständen auch manuell per zusätzlichen Code, aber für alle, die nicht so fit in der Codierung sind, finde ich diese Möglichkeit sehr praktisch. Sollte dein Hoster diese Einstellungsmöglichkeit nicht anbieten, kontaktiere ihn lieber bevor du irgendwelche Codes reinsetzt.
Du kannst selbst entscheiden, wie du mit den Daten umgehen willst. Für die Analyse von Seiten gibt es ja zahlreiche andere Tools, die überwiegend auch besser aufbereitete Statistiken liefern. Dennoch würde ich die Logs nicht unbedingt komplett abschalten.
In bestimmten Fällen ist eine anonymisierte IP aus meiner Sicht einfach unbrauchbar. Denn es macht z.B. natürlich keinen Sinn eine anonymisierte IP auszusperren, denn das würde bewirken, dass nicht nur eine bestimmte IP aus welchen Gründen auch immer blockiert werden würde, sondern alle, die sich bis auf die letzten 4 Ziffern nicht unterscheiden. Und du kannst dir vorstellen, es wäre viele.
Bedenke außerdem, dass die anonymisierte IP trotzdem zu den personenbezogenen Daten gehört (auch wenn es totaler Schwachsinn ist!). Das heißt auch im Falle einer Anonymisierung müsstest du die vier bereits erwähnten To-Do-Punkte beachten.
Die Löschfunktion bei ALL-INKL erlaubt noch etwas mehr Kontrolle über deine Daten. Es wäre außerdem sinnvoll die Löschfrist in deiner Datenschutzerklärung an der entsprechenden Stelle zu benennen.
Fazit: So nun weißt du was die Server-Logfiles sind und wie du mit ihnen in Zusammenhang mit dem Datenschutz umgehen sollst. Eine konkretere Empfehlung meinerseits kann leider nicht erfolgen, da ich keine Rechtsberatung leisten darf und es wie in so vielen Sachen auf den Einzelfall ankommt. Letztlich bleibt die Entscheidung dir überlassen.
Mit * gekennzeichnete Links sind Affiliatelinks. Wenn Du über einen Dieser Links das Produkt bzw. die Leistung buchst, bekomme ich eine kleine Provision. Für dich entsteht dabei kein Nachteil.
Dieses Formular speichert Name, E-Mail und Inhalt, damit wir den Überblick über auf dieser Webseite veröffentlichte Kommentare behalten. Bitte beachte, dass dein Kommentar und alle darin enthaltenen Informationen öffentlich zugänglich sind. Für detaillierte Informationen, wo, wie und warum ich deine Daten speichere, findest du in meiner Datenschutzerklärung.