Linuchs: DSGVO und Verschlüsselung

Moin,

Kunde fragt, welche Aktivitäten unser Projekt nach DSGVO verlangt. Habe versucht, mich einzulesen und bin zuerst auf die Verschlüsselung gestoßen. Es geht wohl um verschlüsselte Übertragung und verschlüsselte Speicherung.

Bei der Speicherung ist mir das ein Rätsel. Wie könnte ich die Datenbank durchsuchen, wenn die Werte verschlüsselt sind?

Also habe ich erstmal die Übertragung in Angriff genommen.

Ich möchte erstmal eine von mehreren Domains auf meinem Server (testweise) auf https umstellen und sehen, welche Probleme sich ergeben. Ich vermute, dass Links auf unverschlüsselte Dokumente zumindest eine Bemerkung des Browsers auslösen.

Doch in der Anleitung auf dieser Seite sehe ich nicht, wo die Domain genannt wird. Also habe ich das ganze Konzept wohl nicht verstanden.

Wie kann ich die https-Verschlüsselung für eine (und nur eine) Domain kostenfrei einrichten?

Gruß, Linuchs

  1. Hi there,

    Kunde fragt, welche Aktivitäten unser Projekt nach DSGVO verlangt. Habe versucht, mich einzulesen und bin zuerst auf die Verschlüsselung gestoßen. Es geht wohl um verschlüsselte Übertragung und verschlüsselte Speicherung.

    Bei der Speicherung ist mir das ein Rätsel. Wie könnte ich die Datenbank durchsuchen, wenn die Werte verschlüsselt sind?

    In dem Du den Suchbegriff genauso verschlüsselst?

    (Suche auf Ähnlichkeit oder Teilstrings funktioniert damit allerdings nicht, das kannst Du dann vergessen...)

    1. Hi,

      Bei der Speicherung ist mir das ein Rätsel. Wie könnte ich die Datenbank durchsuchen, wenn die Werte verschlüsselt sind?

      In dem Du den Suchbegriff genauso verschlüsselst?

      Das würde aber bedeuten, daß ungesalzen verschlüsselt wird.

      cu,
      Andreas a/k/a MudGuard

      1. Aloha ;)

        Bei der Speicherung ist mir das ein Rätsel. Wie könnte ich die Datenbank durchsuchen, wenn die Werte verschlüsselt sind?

        In dem Du den Suchbegriff genauso verschlüsselst?

        Das würde aber bedeuten, daß ungesalzen verschlüsselt wird.

        Nicht zwangsläufig. Da (wenn ich die Fragestellung richtig verstehe) hier ein interner Zugriff (also über das Programm, das die Daten auch schreiben könnte) vorliegt, könnte der Suchbegriff ja auch gesalzen werden - zumindest wenn das Salz nicht variiert - da dem Programm das Salz ja bekannt ist.

        Grüße,

        RIDER

        -- Camping_RIDER a.k.a. Riders Flame a.k.a. Janosch Zoller

        # Twitter # Steam # YouTube # Self-Wiki #

        Selfcode: sh:) fo:) ch:| rl:) br:^ n4:? ie:% mo:| va:) js:) de:> zu:} fl:( ss:) ls:[
        1. Hi,

          Das würde aber bedeuten, daß ungesalzen verschlüsselt wird.

          Nicht zwangsläufig. Da (wenn ich die Fragestellung richtig verstehe) hier ein interner Zugriff (also über das Programm, das die Daten auch schreiben könnte) vorliegt, könnte der Suchbegriff ja auch gesalzen werden - zumindest wenn das Salz nicht variiert - da dem Programm das Salz ja bekannt ist.

          konstantes Salz ist so gut wie kein Salz …

          cu,
          Andreas a/k/a MudGuard

          1. Aloha ;)

            Das würde aber bedeuten, daß ungesalzen verschlüsselt wird.

            Nicht zwangsläufig. Da (wenn ich die Fragestellung richtig verstehe) hier ein interner Zugriff (also über das Programm, das die Daten auch schreiben könnte) vorliegt, könnte der Suchbegriff ja auch gesalzen werden - zumindest wenn das Salz nicht variiert - da dem Programm das Salz ja bekannt ist.

            konstantes Salz ist so gut wie kein Salz …

            Nein, das stimmt nicht! Konstantes Salz bietet immer noch einen Schutz gegen Rainbow Tables von der Stange. Natürlich ist variierendes Salz besser als konstantes Salz, da man bei variierendem Salz noch mehr Aufwand zum Knacken betreiben muss, aber IT-Sicherheit ist doch sowieso nie eine absolute Sicherheit, sondern immer nur eine relative Sicherheit, die spezifischen Angriffsvektoren gegenübersteht.

            Man muss jedes mal, wenn man in der IT das Wort "sicher" in den Mund nimmt auch gleichzeitig eine Basis von Angriffsvektoren mitgeben, auf die sich diese Sicherheit bezieht.

            Von daher absolut Nein, konstantes Salz ist nicht "so gut wie kein Salz", genauso wie "verschlüsseln ohne Salz" auch nicht "so gut wie nicht verschlüsseln" ist.

            Die Angriffsvektoren zu definieren, gegen die ein System gewappnet sein soll, ist immer eine Einzelfallentscheidung, die man nicht einfach so pauschal bewerten kann.

            Grüße,

            RIDER

            -- Camping_RIDER a.k.a. Riders Flame a.k.a. Janosch Zoller

            # Twitter # Steam # YouTube # Self-Wiki #

            Selfcode: sh:) fo:) ch:| rl:) br:^ n4:? ie:% mo:| va:) js:) de:> zu:} fl:( ss:) ls:[
            1. hallo

              Nein, das stimmt nicht! Konstantes Salz bietet immer noch einen Schutz gegen Rainbow Tables von der Stange.

              Ist nicht jedes Salz konstant?

              -- Neu im Forum! Signaturen kann man ausblenden!
              1. Aloha ;)

                Nein, das stimmt nicht! Konstantes Salz bietet immer noch einen Schutz gegen Rainbow Tables von der Stange.

                Ist nicht jedes Salz konstant?

                Die Begriffsfindung ist da ein wenig schwierig. Mit konstantem Salz meine ich ein Salz, das über eine gewisse Breite an Daten dasselbe ist; alternativ könnte man ja auch ganz verschiedene Salze für verschiedene Daten verwenden.

                Also ja, bezogen auf ein "Datum" (Singular von Daten) ist das Salz konstant, auf eine Vielzahl von Daten bezogen kann man das auch konstant halten, oder man variiert es eben.

                Grüße,

                RIDER

                -- Camping_RIDER a.k.a. Riders Flame a.k.a. Janosch Zoller

                # Twitter # Steam # YouTube # Self-Wiki #

                Selfcode: sh:) fo:) ch:| rl:) br:^ n4:? ie:% mo:| va:) js:) de:> zu:} fl:( ss:) ls:[
      2. Hi there,

        Bei der Speicherung ist mir das ein Rätsel. Wie könnte ich die Datenbank durchsuchen, wenn die Werte verschlüsselt sind?

        In dem Du den Suchbegriff genauso verschlüsselst?

        Das würde aber bedeuten, daß ungesalzen verschlüsselt wird.

        Wie Camping_RIDER schon gesagt hat, das Wort "genauso" beinhaltet auch jeden Salt beim Verschlüsseln. Wenn der natürlich auch irgendwo in der Datenbank steht und variabel ist, dann kannst Du die Geschichte wirklich vergessen. Es ist halt immer das Gleiche - Paranoia hat einfach ihren Preis, man kann nicht alles haben…

  2. Hallo Linuchs,

    Bei der Speicherung ist mir das ein Rätsel. Wie könnte ich die Datenbank durchsuchen, wenn die Werte verschlüsselt sind?

    Die Daten werden beim durchsuchen natürlich wieder entschlüsselt 😉 das Feature nennt sich „transparent data encryption,“ allerdings können das IIRC nur MS SQL Server und Oracle. Die anderen Datenbanken verschlüsselt man eher, indem man cryptfs oder eine block level encryption verwendet. Wenn man das denn wirklich braucht.

    Doch in der Anleitung auf dieser Seite sehe ich nicht, wo die Domain genannt wird. Also habe ich das ganze Konzept wohl nicht verstanden.

    Wie kann ich die https-Verschlüsselung für eine (und nur eine) Domain kostenfrei einrichten?

    Das liegt daran, dass sie da nur den einfachsten Fall erklären: generiere mir ein Cert für alle Domains, bitte, danke. certbot-auto hat aber auch einen Parameter -d, mit dem man die Domains angeben kann. Allgemein ist die Doku nicht schlecht.

    LG,
    CK

    -- https://wwwtech.de/about
    1. Hallo

      Disclaimer: Dies ist keine Gegenrede, sondern eine Ergänzung.

      Bei der Speicherung ist mir das ein Rätsel. Wie könnte ich die Datenbank durchsuchen, wenn die Werte verschlüsselt sind?

      Die Daten werden beim durchsuchen natürlich wieder entschlüsselt 😉 das Feature nennt sich „transparent data encryption,“ allerdings können das IIRC nur MS SQL Server und Oracle. Die anderen Datenbanken verschlüsselt man eher, indem man cryptfs oder eine block level encryption verwendet. Wenn man das denn wirklich braucht.

      … und wenn man denn Einfluss darauf hat. Linuchs' Fragestellung lässt mich vermuten, dass er einen Server unter eigener Kontrolle hat. Die meisten Websitebetreiber werden ihre Seiten aber auf Shared-Hosting-Servern betreiben, wo sie keinen Einfluss auf die Verwendung von Verschlüsselung auf Software- oder Dateisystemebene haben.

      Wie kann ich die https-Verschlüsselung für eine (und nur eine) Domain kostenfrei einrichten?

      Das liegt daran, dass sie da nur den einfachsten Fall erklären: generiere mir ein Cert für alle Domains, bitte, danke. certbot-auto hat aber auch einen Parameter -d, mit dem man die Domains angeben kann. Allgemein ist die Doku nicht schlecht.

      Das gilt natürlich auch für den Weg, Zertifikate für die Domain(s) einzurichten.

      Wer seine Website bei einem Hoster betreibt und dort nicht einen dedizierten Server gemietet hat, der selbst administriert wird, wende sich zur Klärung solcher Fragen und Anliegen vertrauensvoll an seinen Hoster.

      Tschö, Auge

      -- Eine Kerze stand [auf dem Abort] bereit, und der Almanach des vergangenen Jahres hing an einer Schnur. Die Herausgeber kannten ihre Leser und druckten den Almanach auf weiches, dünnes Papier.
      Kleine freie Männer von Terry Pratchett
      1. Hi,

        Wer seine Website bei einem Hoster betreibt und dort nicht einen dedizierten Server gemietet hat, der selbst administriert wird, wende sich zur Klärung solcher Fragen und Anliegen vertrauensvoll an seinen Hoster.

        So siehts aus. Und die Hoster sind allesamt darauf vorbereitet und halten entsprechende Auftragsverarbeitungsverträge und TOMs schon vor.

        Pit

  3. Hi,

    Kunde fragt, welche Aktivitäten unser Projekt nach DSGVO verlangt. Habe versucht, mich einzulesen und bin zuerst auf die Verschlüsselung gestoßen. Es geht wohl um verschlüsselte Übertragung und verschlüsselte Speicherung.

    Ist das denn überhaupt Pflicht?

    Pit

    1. Aloha ;)

      Kunde fragt, welche Aktivitäten unser Projekt nach DSGVO verlangt. Habe versucht, mich einzulesen und bin zuerst auf die Verschlüsselung gestoßen. Es geht wohl um verschlüsselte Übertragung und verschlüsselte Speicherung.

      Ist das denn überhaupt Pflicht?

      Linuchs vergisst in seinem Statement einen wichtigen Halbsatz. Das Statement wird richtiger, wenn man folgendes hinten anfügt:

      ... aller personenbezogener Daten.

      Grüße,

      RIDER

      -- Camping_RIDER a.k.a. Riders Flame a.k.a. Janosch Zoller

      # Twitter # Steam # YouTube # Self-Wiki #

      Selfcode: sh:) fo:) ch:| rl:) br:^ n4:? ie:% mo:| va:) js:) de:> zu:} fl:( ss:) ls:[
      1. Hallo Rider,

        Ist das denn überhaupt Pflicht?

        Linuchs vergisst in seinem Statement einen wichtigen Halbsatz. Das Statement wird richtiger, wenn man folgendes hinten anfügt:

        ... aller personenbezogener Daten.

        ... und auch hier bleibt die Frage: Ist das den Pflicht?

        Davon habe ich nämlich z.b. bisher nichts gelesen… lasse mich aber gerne eines Besseren belehren.

        Im Übrigen, da es ja hier um EU-Recht geht, frage ich mich, ob sich die KMU in z.b. Italien, Spanien, Portugal, Griechenland oder sonstwo genauso verrückt machen, wie wir obrigkeitshörigen Deutschen. Die Griechen könnten doch z.b. schon froh sein, wenn deren KMU überhaupt ihre Steuern entrichten würden...

        Pit

        1. Aloha ;)

          Ist das denn überhaupt Pflicht?

          Linuchs vergisst in seinem Statement einen wichtigen Halbsatz. Das Statement wird richtiger, wenn man folgendes hinten anfügt:

          ... aller personenbezogener Daten.

          ... und auch hier bleibt die Frage: Ist das den Pflicht?

          Art. 32 DSGVO, Absatz 1:

          Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

          a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

          [...usw.usf....]

          Da personenbezogene Daten zu verschlüsseln sind, muss sowohl deren Speicherung als auch deren Transport verschlüsselt erfolgen.

          Davon habe ich nämlich z.b. bisher nichts gelesen… lasse mich aber gerne eines Besseren belehren.

          Im Übrigen, da es ja hier um EU-Recht geht, frage ich mich, ob sich die KMU in z.b. Italien, Spanien, Portugal, Griechenland oder sonstwo genauso verrückt machen, wie wir obrigkeitshörigen Deutschen. Die Griechen könnten doch z.b. schon froh sein, wenn deren KMU überhaupt ihre Steuern entrichten würden...

          Recht ist Recht. Es ist nicht zielführend darüber zu philosophieren, ob andere in ihren Handlungen auch dem Recht gerecht werden. Es ist schlicht und ergreifend egal, ob Andere das vielleicht schlechter machen als du - das befreit dich nicht von der Pflicht, dich selbst daran zu halten.

          Grüße,

          RIDER

          -- Camping_RIDER a.k.a. Riders Flame a.k.a. Janosch Zoller

          # Twitter # Steam # YouTube # Self-Wiki #

          Selfcode: sh:) fo:) ch:| rl:) br:^ n4:? ie:% mo:| va:) js:) de:> zu:} fl:( ss:) ls:[
          1. Hallo Rider,

            Art. 32 DSGVO, Absatz 1:

            Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

            a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

            [...usw.usf....]

            Und wo steht das bitte etwas von Pflicht?! Für mich geht aus zitiertem Artikel keine generelle Pflicht hervor. Das kann (und darf) bei Linuchs anders sein, vielleicht sind es Gesundheitsdaten oder andere sonstwie kritische personenbezogene Daten, aber eine generelle Pflicht, resultierend aus einem Gesetzestext sähe anders aus. In diesem Artikel lese ich fast ausschließlich Ausnahmen und Hintertürchen.

            Da personenbezogene Daten zu verschlüsseln sind

            So werden gerüchte gestreut, was sehr unterlassenwert wäre.

            Im Übrigen, da es ja hier um EU-Recht geht, frage ich mich, ob sich die KMU in z.b. Italien, Spanien, Portugal, Griechenland oder sonstwo genauso verrückt machen, wie wir obrigkeitshörigen Deutschen. Die Griechen könnten doch z.b. schon froh sein, wenn deren KMU überhaupt ihre Steuern entrichten würden...

            Recht ist Recht. Es ist nicht zielführend darüber zu philosophieren, ob andere in ihren Handlungen auch dem Recht gerecht werden. Es ist schlicht und ergreifend egal, ob Andere das vielleicht schlechter machen als du - das befreit dich nicht von der Pflicht, dich selbst daran zu halten.

            Du hast natürlich recht, aber genau das meinte ich. Diese typisch deutsche obrigkeitshörige Herangehensweise, der auch ich immer wieder unterliege und mich immer wieder auch darüber ärgere. Ich glaube, andere EU-Nachbarn gehen da wesentlich pragmatischer und realitätsnäher ran und leben damit seit Jahrhunderten größtenteils auch nicht schlechter. Und hier schließe ich dann meinen beitrag, bevor ich zu einem meiner Lieblingsthemen "Betreutes Denken in Deutschland" komme, aber das ginge dann schon in den politischen Bereich... 😉

            Pit

            1. Aloha ;)

              Art. 32 DSGVO, Absatz 1:

              Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

              a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

              [...usw.usf....]

              Und wo steht das bitte etwas von Pflicht?! Für mich geht aus zitiertem Artikel keine generelle Pflicht hervor.

              Bitte wie? „Der Verantwortliche und der Auftragsverarbeiter treffen Maßnahmen“. Und wenn sie das nicht tun verstoßen sie damit gegen die DSGVO und damit gegen ein Gesetz.

              Natürlich sind Handlungen, die gesetzlich festgeschrieben sind, eine Pflicht. Dazu muss nicht dabeistehen, dass es sich um eine Pflicht handelt.

              Das kann (und darf) bei Linuchs anders sein, vielleicht sind es Gesundheitsdaten oder andere sonstwie kritische personenbezogene Daten, aber eine generelle Pflicht, resultierend aus einem Gesetzestext sähe anders aus.

              Nein! Auch deine Unterscheidung, es gäbe „kritische personenbezogene Daten“ und unkritische personenbezogene Daten ist sachlich völlig falsch. Die DSGVO kennt personenbezogene Daten und schreibt ihre Verschlüsselung vor. Dafür haben der Verantwortliche und der Auftragsverarbeiter zu sorgen. Punkt. Es gibt keine unkritischen personenbezogenen Daten.

              In diesem Artikel lese ich fast ausschließlich Ausnahmen und Hintertürchen.

              Da personenbezogene Daten zu verschlüsseln sind

              So werden gerüchte gestreut, was sehr unterlassenwert wäre.

              Quatsch. Du kannst natürlich auch einen Anwalt deiner Wahl befragen. Ich gehe aber davon aus, dass der dir das selbe sagt wie ich. Dein Verständnis, dass in einem Gesetz nur das pflichtmäßig zu befolgen sei, wo dabei steht, dass es sich um eine Pflicht handelt, ist vollkommen absurd.

              Diese typisch deutsche obrigkeitshörige Herangehensweise, der auch ich immer wieder unterliege und mich immer wieder auch darüber ärgere. Ich glaube, andere EU-Nachbarn gehen da wesentlich pragmatischer und realitätsnäher ran und leben damit seit Jahrhunderten größtenteils auch nicht schlechter.

              Manche nennen es pragmatischer und realitätsnaher. Ich nenne das illegal. Wollen wir uns daran ein Beispiel nehmen?

              Grüße,

              RIDER

              -- Camping_RIDER a.k.a. Riders Flame a.k.a. Janosch Zoller

              # Twitter # Steam # YouTube # Self-Wiki #

              Selfcode: sh:) fo:) ch:| rl:) br:^ n4:? ie:% mo:| va:) js:) de:> zu:} fl:( ss:) ls:[
              1. Hi,

                Bitte wie? „Der Verantwortliche und der Auftragsverarbeiter treffen Maßnahmen“. Und wenn sie das nicht tun verstoßen sie damit gegen die DSGVO und damit gegen ein Gesetz.

                Du kürzt den Artikel auf unzulässige Weise. Aber ok, sieh Du es so wie Du magst und ich mache mich bei meinem Anwalt schlau. Ich persönlich sehe hier keine generelle Pflicht, die Daten zu verschlüsseln. Es geht in diesem Artikel um "Angemessenheit" und die ist durchaus nach Art der Daten und Eintrittswahrscheinlichkeit und Schwere des Risikos unterschiedlich zu behandeln. Und hierbei KANN dann auch Verschlüsselung GEGEBENENFALLS ein Mittel der Wahl sein.

                Nein! Auch deine Unterscheidung, es gäbe „kritische personenbezogene Daten“ und unkritische personenbezogene Daten ist sachlich völlig falsch. Die DSGVO kennt personenbezogene Daten und schreibt ihre Verschlüsselung vor. Dafür haben der Verantwortliche und der Auftragsverarbeiter zu sorgen. Punkt. Es gibt keine unkritischen personenbezogenen Daten.

                S.o. Du glaubst, es gäbe keine Unterschiede, was die personenbezogenen Daten angeht? Dann bist Du gerade völlig auf dem Holzweg.

                Risiken für die Rechte und Freiheiten natürlicher Personen

                Sicherheit der Verarbeitung

                Quatsch. Du kannst natürlich auch einen Anwalt deiner Wahl befragen. Ich gehe aber davon aus, dass der dir das selbe sagt wie ich. Dein Verständnis, dass in einem Gesetz nur das pflichtmäßig zu befolgen sei, wo dabei steht, dass es sich um eine Pflicht handelt, ist vollkommen absurd.

                Genau das werde ich machen. Und ich gehe davon aus, er wird mir sagen, was ich Dir auch gesagt habe.

                Diese typisch deutsche obrigkeitshörige Herangehensweise, der auch ich immer wieder unterliege und mich immer wieder auch darüber ärgere. Ich glaube, andere EU-Nachbarn gehen da wesentlich pragmatischer und realitätsnäher ran und leben damit seit Jahrhunderten größtenteils auch nicht schlechter.

                Manche nennen es pragmatischer und realitätsnaher. Ich nenne das illegal. Wollen wir uns daran ein Beispiel nehmen?

                Hach, da ist sie endlich wieder, die typisch deutsche mit erhobenem Zeigefinger die Welt belehrende Art und Weise, Dinge des täglichen Lebens auszulegen. Am deutschen Wesen soll die Welt genesen, nicht wahr? Btw., es soll Leute geben, die schonmal bei rot über ne Ampel gingen. Oder sich aus einem Stöckchen Totholz aus dem Wald nen Wanderstock geschnitzt haben... Ich kenne sogar einen, der einen kennt, der schon mit 15 eine Zigarette geraucht hat... Alles Illegale um uns rum... 😉

                Pit

                P.S: Hier hören wir besser mit der Diskussion über dieses Thema auf, nicht, dass wir doch noch bei meinem Lieblingsthema "betreutes Denken in Deutschland" enden. 😉

                P.P.S: Natürlich lasse ich Dir noch das letzte Wort zu diesem Thema, wenn du magst. Ich wollte Dir damit nicht das Wort abschneiden, ich mag nur darauf nicht mehr antworten. So ists gemeint. 😀

              2. hallo

                Die Kritik betrifft verkürzende Darstellungen die den Eindruck erwecken, als müsse man verschlüsseln.

                Muss man aber nicht, sonst wird nämlich am 25.Mai 90% der EU-Dienstleistungen illegal.

                Die Pflicht wird an eine Reihe von Voraussetzungen gebunden. Deshalb sollte man auch keine Grauen Haare bekommen, wenn IPs vom Hoster IMMER NOCH im Klartext geloggt werden.

                Die Umstellung auf https ist derzeit das Einzige, für die die Erfüllung der Voraussetzungen sehr oft gegeben ist. Aber selbst hier gibt es keine Pflicht. Selbstverständlich ist es sinnlos weil unmöglich, eine IP zu verschlüsseln. Die Aufgabe obliegt hier auch nicht den Web-Anbietern, sondern den Internet-Providern (Telekom) die Personenbeziehbarkeit von IPs drastisch abzusenken.

                -- Neu im Forum! Signaturen kann man ausblenden!
        2. Im Übrigen, da es ja hier um EU-Recht geht, frage ich mich, ob sich die KMU in z.b. Italien, Spanien, Portugal, Griechenland oder sonstwo genauso verrückt machen, wie wir obrigkeitshörigen Deutschen. Die Griechen könnten doch z.b. schon froh sein, wenn deren KMU überhaupt ihre Steuern entrichten würden...

          ... und das fängt anscheinend schon hinter Bayern an. Habe gerade mal die Datenschutzerklärungen von bild und welt .de gelesen und dann selbige bei krone .at lesen wollen (also alles andere als KMU). Fehlanzeige. Bei den deutschen Verlagen kann man gefühlt eine Minute scrollen, so lang sind die. Bei den österreichischen Nachbarn habe ich nichtmal welche gefunden.

          Irgendwie wiedermal ein typisch deutsches obrigkeitshöriges Phänomen, wie mir scheint.

          Nicht, dass ich damit das Anliegen des Datenschutzes oder die Gefahr durch mehr oder weniger findige Rechtsverdreher klein reden will, aber ich glaube, da ziehen neben uns die anderen Länder der EU gar nicht mit (und wenns die goßen nicht machen,d ann die KMU erst recht nicht). Was uns KMU hier nicht hilft, ich weiß. Aber erwähnenswert finde ichs schon.

          Pit