Die Brüssler Wahnsinnigen haben wieder zugeschlagen - frei nach Juncker "wir machen erst mal und sehen was sich regt..."
Und während sich Dänemark und Großbritannien bereits bei den Verhandlungen zum Gesetz Sonderrechte ausbedungen hatten, zog die Österreichische Regierung am 20. April noch in letzter Sekunde die Notbremse, indem sie eine Reihe von Ausnahmen wie etwa für Künstler oder Journalisten bezüglich der massiven Strafandrohung bei Verstößen gegen das Gesetz machte. Eine Geldstrafe von maximal 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes sind schließlich nicht für jeden ein gleichermaßen kleiner Betrag. In Deutschland dagegen wurde das Gesetz dank der neuen „(fast)Allparteienkoalition der Europawilligen“ nur durchgewunken. Hierzulande scheint man der Ansicht zu sein, aus Brüssel könne nur gutes und schönes kommen, da muss man nicht so genau hinschauen. Und während sich unsere Gut-Medien vor allem mit dem Liebesleben Trumps beschäftigten, dräut den Bürgern und ihren digitalen Beschäftigungen Unheil aus Brüssel. Dort wurde nämlich schon am 27. April 2016 im EU-Parlament jene: „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“, auch Datenschutz-Grundverordnung (DSGVO) genannt, in Kraft gesetzt. Die zweijährige Übergangsfrist läuft ab, am 25. Mai 2018 wird es nun ernst.
Vielleicht noch ein kleiner Praxistip zum Datenschutz, der nicht von einem Anwalt, sondern von einem IT-ler kommt:
Es geht beim Datenschutzgesetz nur um personenbezogene Daten. Im Internet wäre das vor allem die IP-Adresse, die automatisch erhoben wird, sowie weitere Daten – Telefonnummer, E-Mail-Adresse, Accountname, und dergleichen – die man explizit abfragt. Es ist einfacher, derartige Daten überhaupt nicht zu erheben, als sie rechtskonform zu erheben. Normalerweise gibt es keine Aufbewahrungsfristen oder Know-your-Customer-Policies, und wenn man überhaupt keine personenbezogenen Daten erhebt, kann man weder gegen den Datenschutz verstoßen, noch kann man von Ermittlungsbehörden dazu gezwungen werden, den Übeltäter zu verpetzen, der es gewagt hat, “Heil Hitler, Du Arschloch” zu schreiben. Wenn man diese Dinge ignorieren kann, hat man sich das Leben leichter gemacht. Es ist nur in Ausnahmefällen – zu denen Blogs nicht zählen – sinnvoll, einzelne Benutzer identifizieren zu können.
Die Technische Umsetzung wäre, dass man den Webserver so konfiguriert, dass er erst ab dem Loglevel WARN etwas in seine Logs schreibt, und alles darunter verwirft. Dann hat man Fehlermeldungen, aber keine Zugriffsmeldungen, was sich im Normalfall auch besser lesen lässt. Da der Webserver als Proxy zum Backend fungiert, kann der Webserver die HTTP-Header der Anfragen so umschreiben, dass es für das Backend aussieht, als käme jede Anfrage von 127.0.0.1. Mehr braucht das Backend nicht, weil dieses die Sessions anhand von Cookies auseinanderhält. Auch das Backend kann man ab Loglevel WARN loggen lassen, sofern das möglich ist, oder das Log andernfalls einfach nach /dev/null schreiben. Das Backend sollte Daten zur Session zudem tunlichst nicht in eine Datenbank schreiben, sondern über einen Daemon wie Redis oder Memcached abrufbereit halten. Dadurch werden Sitzungsdaten überhaupt nicht mehr persistent gespeichert, und hören auf zu existieren, sobald die Lebenszeit des Cookies vorüber ist. Die ohnehin nicht länger als eine halbe Stunde dauern sollte. Sofern das Backend dies unterstützt, ermöglichen diese Daemons es auch, die eher statischen Seitenbereiche zu cachen, was dem Prozessor massiv Last abnimmt, Seitenaufrufe massiv beschleunigt, und DoS Angriffe gegen den Prozessor ziemlich schwer werden lässt. Was bleibt ist Throttling und IP-Blocking. IPs, von denen DoS Angriffe ausgehen, lassen sich automatisch per iptables blocken oder throttlen. Throttling einselner Urls und Sessions erfolgen über den Webserver oder über die WAF. Wobei es meistens reicht, die Zahl der POST Requests pro IP und Session innerhalb einer Zeiteinheit zu begrenzen.
Das ist alles umsetzbar, ohne, dass ein einziges Mal irgendetwas gespeichert wird, das eine Person identifizierbar macht, wodurch das Datenschutzgesetz nicht anwendbar ist. So wie ich die Datenschutzgrundverordnung interpretiere, möchte der Gesetzgeber, dass Webserver in der beschriebenen Weise konfiguriert werden. Er nennt das “Privacy by Design”. Ich finde, dass dies an sich auch keine schlechte Sache ist. Ich selbst konfiguriere Server schon lange so, und die sind selbst nach Industriestandards extrem schnell und extrem stabil. Die Standard-Konfigurationen sind eher zur Fehlersuche geeignet, als für den Produktivbetrieb, und sie sollten deshalb nicht durchgängig verwendet werden. Meine ganz persönliche Motivation war immer, dass es mir zu viel Stress wäre, wegen irgendeiner Rechtsverletzung eines Benutzers gratis als Zeuge auftreten zu müssen, wenn sich diese Möglichkeit auch wegkonfigurieren lässt. Und wenn der Gesetzgeber jetzt schon explizit dazu auffordert, aufgrund von “Privacy by design” nicht mitwirken zu können, will er es doch so.
https://unbesorgt.de/dsgvo-bevormundung-und-verunsicherung/
