Im Zuge der Datenschutzgrundverordnung (DSGVO) musst Du die Besucher Deiner Website darauf hinweisen, welche personenbezogenen Daten Deine Website speichert. In unserer Datenschutzerklärung findest Du diese Angabe unter dem Punkt Log-Daten. Was sich hinter dem Begriff versteckt und welche Daten wir erheben, erfährst Du hier:
Was sind Log-Daten?
Log-Daten sind Daten, die wir automatisch erheben und speichern, wenn Du unsere Website strato.de besuchst. Unsere Server erfassen aber auch Log-Daten Deiner Website-Besucher. So protokollieren wir zum Beispiel, wenn Nutzer auf eine Bild- oder HTML-Datei auf Deiner Website zugreifen. All diese Daten sammelt ein sogenanntes Logfile – eine Datei, mit der all diese Prozesse aufgezeichnet werden.
Warum erheben wir Log-Daten?
Auf Basis der Log-Daten erstellen wir einerseits eine Statistikauswertung, die Du über Deinen Kunden-Login einsehen kannst. Wenn Du eigene Auswertungen mit einem externen Tool durchführen oder die Daten archivieren möchtest, kannst Du die Logfiles Deiner Website auch herunterladen.
Neben der statistischen Analyse Deiner Website speichern wir diese Daten auch, um unsere Dienste zu optimieren und Angriffe zu erkennen und abwehren zu können.
Welche Daten erheben wir?
Die Log-Dateien kannst Du als Textdatei herunterladen, die für den Laien jedoch ziemlich unübersichtlich aussieht. Wir nutzen ein Format, das sich in der Branche als Standard etabliert hat und „Apache Combined Log Format“ genannt wird. Die folgenden Angaben verbergen sich dahinter:
- Kunden-Domain: Wir erfassen, zu welcher Domain Log-Daten gespeichert werden. Das wäre also zum Beispiel „DeineWunschdomain.de“.
- Anonymisierte Client-IP: Um zu erkennen, von wo aus unsere Server gegebenenfalls angegriffen werden, erheben wir IP-Adressen. Diese speichern wir branchenüblich maximal sieben Tage lang. Danach werden sie anonymisiert. Aus Datenschutzgründen kannst Du jedoch die IP-Adressen in dem Logfile von Beginn an nur anonymisiert einsehen. Ein Beispiel: Aus 123.456.789.001 wird anon-123-456-165-41.invalid.
- Timestamp: Dahinter verbirgt sich die Angabe, an welchem Tag und zu welcher Uhrzeit der Besucher Deine Website aufgerufen hat.
- Request-Zeile: Dies ist der Pfad der Ziel-Adresse ohne die Domain. Wenn der Besucher auf ein Bild Deiner Website klickt, steckt dahinter die URL „DeineWebsite.de/bild.jpg“. Die Request Zeile lautet dann „/bild.jpg“.
- Status Code: Sicherlich hast Du schon mal eine 404-Seite gesehen. Diese wird immer dann angezeigt, wenn eine aufgerufene Seite oder Datei nicht gefunden werden kann. 404 ist dabei der Status Code, der Dir sagt, dass der Besucher eine nicht vorhandene Seite aufrufen wollte. Die Internet Assigned Numbers Authority hat noch eine Vielzahl an weiteren Status Codes definiert, die für die Fehleranalyse hilfreich sind: 200 bedeutet zum Beispiel OK – hier konnte der Nutzer Deine Seite also fehlerfrei aufrufen.
- Größe des Response Bodies: Wenn der Besucher auf Deine Website geht, lädt er temporär Daten herunter. Das sind zum Beispiel die Bilder und Texte, die er in seinem Browser sieht. Die Log-Datei gibt an, wie groß diese Daten sind.
- Referer, der vom Client gesendet wurde: Dieses Feld zeigt Dir an, von welcher Seite der Besucher Deiner Website gekommen ist.
- User Agent, der vom Client gesendet wurde: Hier findest Du zum Beispiel Angaben zur Art und Version des Browser und dem Betriebssystem, das der Besucher nutzt.
- Remote User: Im Normalfall bleibt diese Feld leer. Wir speichern nur dann Daten hierzu, wenn auf Deiner Website ein Anmeldeprozess vorhanden ist, der auf http-Basicauth basiert. Das ist ein mittlerweile veraltetes Verfahren, mit dem sich der Besucher gegenüber Deiner Website authentifzieren kann, indem er sich zum Beispiel in einen Kundenbereich einloggt. Mittlerweile nutzt die große Mehrzahl der Websiten allerdings ein anderes Verfahren, das mit Javascript arbeitet. In diesem Fall wird kein Remote User gespeichert.
Logfiles und die DSGVO?
Wenn Du mit Deiner Website unter den Wirkbereich der DSGVO fällst, dann musst Du Deine Besucher darüber informieren, welche personenbezogenen Daten von ihnen gespeichert werden. In unseren Blog-Beiträgen zu dem Thema DSGVO wollen wir Dir so viele Informationen an die Hand geben, dass Du fundiert entscheiden kannst, was das für Dich und Deine Website bedeutet. Bitte beachte jedoch, dass wir hier keine Rechtsberatung leisten dürfen und daher auch nicht auf Einzelfälle eingehen können.
Petra sagte am
Hallo,
IPv6-Adressen scheinen nicht eindeutig anonymisiert zu werden, also eine IP -> eine eindeutige anonymisierte Adresse. Ich habe festgestellt, dass es anonymisierte IPv6-Adressen gibt, die gleich sind, aber die nicht vom selben Besucher stammen können. Können Sie das bitte ändern? Das würde manche Fehlersuche erleichtern. Bei IPv4-Adressen ist das nicht so.
Danke.
Vladimir Simović sagte am
Hallo Petra,
da es eine Account-spezifische Frage ist, würde ich dich bitten, dass du dich an den Support wendest.
Viele Grüße
Vladimir
Peter sagte am
Hallo zusammen,
da ich gerade im Aufbau einer Webseite bin und ebenso die Datenschutzerklärung hinterlegen möchte, stellt sich mir die Frage, ob ich in meiner Datenschutzerklärung darüber aufklären muss, dass Strato als Host ebenfalls Daten der Webseitenbesucher auf meiner Homepage erhebt. Falls ja, sollte eine Textvorlage zur Verfügung gestellt werden. Ich würde mich freuen, wenn man mich darüber aufklären könnte.
Danke
Vladimir Simović sagte am
Hallo Peter,
in der Datenschutzerklärung musst du darauf hinweisen, was der Hoster tut und welche Daten er erhebt. Soweit ich informiert bin, musst du den Namen des Hosters nicht nennen, aber mit ihm den Auftrag über die Datenverarbeitung abschließen.
In der FAQ von Strato findest du zu diesem Thema zwei Beiträge:
Dazu noch der folgende Blog-Artikel: DSGVO und Log-Daten: Welche Daten wir von Deinen Website-Besuchern erheben und warum.
Auf den folgenden Datenschutz-Generatoren findest du die passenden Textbausteine für deine Datenschutzerklärung:
Viele Grüße
Vladimir
Annett Elbe sagte am
Ein schönen Guten Morgen an das Team von Strato,
da ich gerade bei der Erstellung meiner Website bin und glücklich darüber war, alle Datenschutzbestimmung hinterlegt zu habe, bekomme ich gestern die Info, dass ab Dezember das neue TTDSG in Kraft tritt. Jetzt habe ich schon versucht, mir die wichtigsten Daten zu erlesen, aber keine Chance. Können Sie mir eine verständliche Hilfestellung geben?
Danke vorab.
Sebastian Thurow sagte am
Liebe Annett Elbe,
leider können wir Ihnen bezüglich rechtlicher Fragen keine rechtssicheren Antworten geben. Wenn Sie eine solche Beratung wünschen, sollten Sie sich daher am besten an zuständige Anwälte wenden. Allerdings berichten viele Kanzleien darüber, dass sich nicht allzu viel zu ändern scheint, weil das neue TTDSG so gestaltet sei, dass es die DSGVO der EU auf deutsches Recht überträgt.
Zum Beispiel hier nachzulesen.
Wie jedoch bereits gesagt – wir bei STRATO können Ihnen keine rechtssichere Beratung anbieten und lediglich an andere Stellen diesbezüglich verweisen.
Viele Grüße
Sebastian
Judith Herrmann sagte am
Hallo Herr Ritter,
vielen Dank für diesen aufschlussreichen Artikel. Da ich aktuell ebenfalls an einer Datenschutzerklärung für meine Webseite bastle, würde mich noch interessieren, ob die von Strato gespeicherten Log-Daten meiner Webseitenbesucher auch an Drittländer übermittelt werden oder ob dies nur mit meinen eigenen Aktivitäten auf den Strato-Seiten geschieht.
Vielen Dank für eine Antwort im Voraus!
Mit freundlichen Grüßen
Judith Herrmann
Andreas Wehry sagte am
Hallo Frau Herrmann,
bezüglich der in diesem Artikel beschriebenen Log-Daten Ihrer eigenen Website kann ich Ihnen sagen, dass unsererseits keine Drittländer-Übermittlung stattfindet. Grundsätzlich handelt es sich hier ja um zwei gänzlich verschiedene Sachverhalte. Das eine ist ihre persönliche Website, die Sie bei STRATO betreiben, für die Sie eine eigene Datenschutzerklärung benötigen. Bitte beachten Sie dabei jedoch, dass diese eine andere ist als die, die wir für unsere eigene Website strato.de nutzen. Für Letztere gelten auch andere Angaben, wenn es um die Erhebnung der Nutzerdaten geht.
Viele Grüße
Michael