Hallo,
wie kann ich eigentlich feststellen, ob eine von mir besuchte Seite mein IP speichert oder nicht?

Eigentlich kann der Besucher der Webseite nicht ermitteln ob und was gespeichert wird außer es wird offensichtlich angezeigt, also nicht versteckt (z.B. IP in Formularen bzw. Foren/Gästebüchern. Bei einem Kontaktformular weiß ja auch niemand ob es nur per E-Mail gesendet (eventuell an mehrere Empfänger) oder auch in einer Datenbank gespeichert wird.

Man muß sich auf die Angaben der Betreiber verlassen.

Oder er ist ehrlich, verhält sich korrekt im Sinne der Aufklärungspflichten und schreibt das in seine Datenschutzerklärung hinein, daß er die IPs mitloggt (hey, wenn ich die Datenschutzerklärung weglasse, werd ich abgemahnt wegen Fehlen derselben. Wenn ich sie komplett und ehrlich reinsetze, zeigt mich Herr Breyer an. Kanns das sein?)

Nach bisher und IMHO weitgehend immer noch üblicher Rechtsauffassung ist die IP alleine noch nicht personenbezogen, da sie ohne Zusammenführung mit den Verkehrsdaten nicht zur Person führt. An die Verkehrsdaten komme ich als Betreiber des Webservers sowieso nicht ran!
(Daß der Staatsanwalt die Herausgabe meiner Server-Logs erzwingen kann und sie dann mit den von z.B. der Telekom abgeforderten oder im Rahmen der evtl. kommenden VDS regulär gespeicherten Verkehrsdfaten abgleichen kann ist klar)

So haben aufgeschreckt vom neuen TMG, gerade um Abmahnereien zu vermeiden, viele Webmaster ausführliche Datenschutzerklärungen verfaßt, in denen die Surfer vollständig über alles, was geloggt wird, aufgeklärt werden.

mfG Matthias Mansfeld
seines Zeichens bekennender loggender Betreiber von http://www.mansfeld-elektronik.de

PS.:Alle Argumente, warum das Urteil kontraproduktiv ist, siehe auch hier!
http://blog.xwolf.de/2007/10/01/erstes- gerichtsurteil-webserver-logfiles-ohne- ip-adresse

PPS.: Das Urteil ist KEIN Grundsatzurteil!

"immer noch üblicher Rechtsauffassung"

Das ist falsch, es ist h.M., h.R. und h.L. dass die IP personenbezogen ist. So eine Diskussion gab es mal vor Jahren, die ist aber längst überholt.

Ääääh was ist h.M. h.R. h.L. Bitte gib mir mal einen _link_ dazu zum konkreten Nachlesen.

Irgendwie hab ich das Gefühl, daß alle, die mit dem Urteil nicht zu 100% glücklich sind und hier oder anderswo noch wesentlich fundierter ihre Bedenken darlegen, in Augen der Initiatoren hier Spitzel oder Deppen sind, die gefälligst ihre Webseiten runterzufahren haben.

Ich mit meiner Homepage bin konkret bei catch-22. Die griffbereiten Musterklagen lassen mir dann wohl nur die Wahl, den Hoster zuwechseln (wohin denn jetzt!?) oder die Seite runterzufahren. Auf wessen Rücken wird das ausgetragen?

Danke vielmals...
Matthias Mansfeld

Also ich denke, man bräuchte zumindest ein einfaches Verifikationsverfahren, um die Einhaltung der Versprechen zu überprüfen. Ansonsten macht ein solches Siegel keinen Sinn. Vorschlag:

1) Der Webseitenbetreiber muss bei der Erstprüfung und danach auf Verlangen der Prüfer (Stichprobentests) einen per GNU-Screen-Sitzung überwachten SSH-Login auf dem Server gewähren. Dabei sollte der jeweilige Prüfer root-Zugriff auf den Server erhalten, indem der Seitenbetreiber sich während der Screen-Sitzung als root einloggt.

2) Der Prüfer kann dann die üblichen verdächtigen Dateien (Server-Logfiles, CMS-Logfiles, Datenbankeinträge) nach IP-Adressen abscannen. Dies sollte nach keinem streng festgelegtes Verfahren ablaufen, da der Webseitenbetreiber sonst leicht entsprechende fake-Dateien aufsetzen kann.

3) Der Prüfer kann außerdem Modifikationen an der Webseite vornehmen, um live zu testen, ob er wirklich auf dem richtigen Server arbeitet.

4) Der updatedb/locate-Befehl sollte jeweils zur Verfügung stehen, um Dateien auf dem Server leichter finden zu können.

Zum Einen erschwert diese Vorgehensweise Täuschungsmaneuver enorm (man müsste schon einen virtuellen Server laufen lassen, und dann auch noch dafür sorgen, dass Änderungen am virtuellen Server sich auf den echten auswirken). Zum anderen entdeckt der Prüfer so eventuell Logeinträge, die der Webseitenbetreiber vergessen hat zu berücksichtigen.

Leider ist diese Methode nur bei virtuellen Servern bzw. root-Servern anwendbar. Da der Webseitenbetreiber aber nur bei diesen wirklichen Einfluss auf das Logging hat, sollten meiner Meinung nach auch nur diese das Siegel - nach erfolgreicher Prüfung - tragen dürfen.

Übrigens bleibt noch eine Unsicherheit - der Webseitenbetreiber könnte sich die Logs auf einen fremden Server schreiben lassen. Sofern Standardsoftware verwendet wird, kann man das wohl in den Konfigurationsoptionen überprüfen. Klar ist aber, dass man diese auch umkompilieren kann. Auch die Netstat-Ausgabe sollte also genauestens überprüft werden. Zumindest bleibt bei der beschriebenen Prüfung aber immer der Nutzen, dass ein externer Prüfer auf vergessene Logdaten hinweisen kann.

Voraussetzung für das Verfahren sind mehrere technisch versierte Prüfer. Ich denke auch, dass der jeweilige Prüfer durchaus eine einmalige Gebühr vom Webseitenbetreiber verlangen kann. Vertretbar wären etwa 30 Euro. Sollten bei späteren Überprüfungen Logdaten gefunden werden, so wäre diese Gebühr nochmals fällig.

"einfaches Verifikationsverfahren".
Also Webseiten, die bei Hostern laufen, scheiden da aus tausend Gründen aus - Rootzugriff für Dritte.. der Hoster hustet Euch was..

OK, und damit sind solche Webseiten automatisch immer die "Bösen" ohne kjede Chance aufs Siegel, selbts bei besten Absichjten. Bitte hängt die Meßlatte nicht so hoch, daß sie unerreichbar ist und vermutet bei Bewerbern um das Siegel nicht andauernde Täuschungsabsichten bitte.

mfG Matthias Mansfeld

Es wäre ja durchaus denkbar, zwei Kategorien des Siegels einzuführen. Die bessere, kostenpflichtige, ist dann eben nur für Server mit root-Zugang erreichbar, und damit besonders für Firmen interessant. Letztere würden so ein Siegel sicherlich zu Werbezwecken einsetzen wollen. Ohne ein entsprechendes Verifikationsverfahren ist dessen Wert für die kommerzielle Werbung jedoch äußerst fraglich, und der Anreiz gering, es zu erwerben.

test