Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
Ausprobieren Online Webseiten-Check sofort das Ergebnis sehen

Serverens placering og dens relevans for GDPR

0
Server Farm weltweit
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI
📄 Artikel som PDF
📄 Artikel som PDF (kun for abonnenter på nyhedsbrevet)
🔒 Premium-Funktion
Der aktuelle Beitrag kann in PDF-Form angesehen und heruntergeladen werden

📊 Download freischalten
Der Download ist nur für Abonnenten des Dr. DSGVO-Newsletters möglich

Særligt amerikanske eller kinesiske internetvirksomheder tilbyder med dette, at bruge servere i Europa til deres online-platforme. Derved skal serioelighed fremme og den bekymring, at data kan flytte rundt eller blive læst af udlandske efterretningsvæsener, forhindre. Hvad betyder placeringen af en server teknisk set for adgang til data?

Indledning

Det informelle privatlivsbeskyttelsespagt mellem EU og USA ved navn Privacy Shield var allerede altid ugyldigt. EU'et havde herefter oprettet Data Privacy Framework (DPF) sammen med USA. Der har ikke sker meget ændringer. De rettigheder, der er tilgængelige for europæiske borgere i USA, ligger fortsat på et lavt og GDPR-ugyldigt niveau. Det kan allerede selv fra den præsidentielle ordre fra USA læses. Blandt andet skal bemærkes, at en sådan ordre kan tilbagekaldes i det hele taget, enten af den nuværende eller af en næste US-præsident.

Serverens placering kan kun pålideligt af tredjeparter fastsættes ved kontraktslig garanti.

Se f.eks. Google Analytics.

Geheimdienstproblematikken er kun et emne. Mentalt synes mange sig bedre til at føle, når data opbevares i EU eller på anden vis (flugtig) behandles. Dog er denne mentalitet ikke passende, som vil blive fremhævet nedenfor.

Hvad er en server?

En server er en Regnekraft. Den tilbyder en service eller flere services. Ved brug af tjenester på internettet skal det være nødvendigt, at en service-server er offentlig tilgængelig. Dette sker ved at tildele en offentlig netadresse. Netadressen i internettets sammenhæng kaldes også IP-adresse.

Teoretisk køre hele softwaren for en service på en dedikeret server, der f.eks. fysisk er placeret i Cologne. Praktisk set ser situationen ofte anderledes ud. Derfor mere senere.

Serverens placering

Serverens placering følger nøjagtig én faktum. Dette faktum er serverens aktuelle fysiske placering. Det er ikke den IP-adresse, der er tilknyttet serveren. En og samme IP-adresse kan i en sekund være knyttet til server 4711 i Tyskland, og i næste sekund være knyttet til server 0815 i Texas. Ejer af servere og IP-adresser kan ændre denne tilknytning af offentligt tilgængelige netværksadresser til servere på alle tidspunkter efter eget valg.

Hvor en server er placeret, kan ikke bestemmes fra udenfor. Serverejer skal kommunikere og påtage sig ansvar for at oplyse om placeringen af serveren. Ved tyske eller europæiske leverandører, der er små nok, er sikkerhed ofte også mulig ved et besøg i datacenteret, hvor man kan se serveren. En tilsvarende sikring på software-niveau (muligvis også med en Dongle) ville muligvis garantere, at serveren på stedet ikke kunne udskiftes med en anden server på et andet sted ved hjælp af en backup samt omledning af netværkstrafik.

Når man forsøgte at generere en AI-billede til denne artikel, kom der også følgende frem:

Omrødnings af verdenskartet efter en AI's forespørgsel. Opgaven var at tage hensyn til Tyskland. (billedet blev automatisk oversat).

Billedet var tilknyttet Tyskland, da dette er mit statsborgerskab og denne artikel er skrevet på landsmål. Der ses en ometikkelering af et større land, mod det positive kunne man sige.

Databehandling på en server

Tag Google Analytics som eksempel på en tjeneste, der drives fra en server i Irland og tilbydes til din hjemmeside. Du indsætter et Google Analytics-script i din hjemmeside. Nu sker følgende ved standardindstillingen af det Google Analytics-plugin:

  1. Nogen ringer på din hjemmeside.
  2. Deres hjemmeside laster op Google Analytics scriptet.
  3. Dette skript opretter en forbindelse til en Google Analytics-server (som f.eks. kan være placeret i Irland).
  4. Google Analytics-serveren i Irland sender kode tilbage til serveren, hvor din hjemmeside (også en tjeneste!) drives, så din hjemmeside kan følge brugere (Tracking kaldet).
  5. Besøgende på din hjemmeside (se 1) klikker og scroller rundt på din hjemmeside og udfører muligvis indtastninger i et formulær.
  6. Det over 4 år gamle programsende nu tracking begivenheder til besøgende på din hjemmeside til Google Analytics-serveren, der er placeret i Irland. Derover sendes automatisk altid IP-adressen af besøgende på din hjemmeside til Google-serveren. En indskrænking heri er ikke mulig.
  7. Google-serveren i Irland behandler disse tracking-tilfælde.

Det lyder halvvejs godt, selv om her også skal være en retsgrundlag for punkterne 6 og 7 klar. Som retsgrundlag er der kun tilladelse (eller en aftale) tilbage. Den videre begrundelse og cookie-tema'et lader vi her blot væk af oversigtighedens skyld. Herom findes mange bidrag på Dr. GDPR.

Detaljeret overvejelse for Google Analytics

Det er så enkelt som blot beskrevet, men det er ikke tilfældet med Google Analytics og mange andre tjenester. For eksempel skal der for punkt 3 finde ud af, hvilken server, der har æren at svare på din hjemmeside. Fordi plugin-adressen i eksemplet er google-analytics.com. Denne adresse kan, lige så godt som en IP-adresse, ledes til enhver server i verden (eller også i universet) og det sker for hver time, hvis nødvendigt igen.

Derfor kan der være flere servere involveret, indtil man finder den server, som leverer Google Analytics-tjenesten til din hjemmeside. Hermed udveksles også personlige data (f.eks. IP-adressen eller browserens fingerabtryk).

I ovenstående punkt 7 behandler servicestarten din hjemmesideanmodning. I eksemplet er det at gemme et Google Analytics tracking begivenhed. Google selv siger, at alle analyser fra Google Analytics altid bliver behandlet i USA. Således er der flere servere, som denne gang tydeligvis ikke står i Irland eller Europa, involveret i databehandling for din hjemmeside ([1]).

Google-servere i USA kan igen sende dataene videre til enhver anden server. Dataerne kan også sendes videre til enhver opgaveudfordrer fra Google. Disse opgaveudfordrere sidder for Google Analytics i lande som

  • Filippinerne
  • Marokko
  • Argentina
  • Singapore
  • USA
  • Australien
  • Brazilien
  • Canada
  • Colombia
  • Forenede Arabiske Emirater
  • Israël
  • Kenya
  • og flere lande.

I alle disse lande bliver data potentielt sendt, hvis din hjemmeside får tilknyttet en Google Analytics-server i Irland som serviceprovider-server. Hvilken opgaveudarbejder, hvilke data og hvordan længe han behandler dem, forklarer Google ikke eller meget vagt. Den ansvarlige persons redegørelsespligt (som du selv, hvis du bruger Googles tjenester mod andre) vil dermed sikkert ikke være opfyldt.

Når en opgaveudløber og underopgaveudløber modtager personlige data og efter GDPR behandler, skal hver ansvarlig juridisk og muligvis også på stedet undersøges.

Den påpligtige prøving af en opgavebehandler er en tilføjende sikring, der øger retssikkerheden og hvis pligt kan føres ud fra Art. 28 GDPR.

Fra listen, der blot er blevet vist, skal en prøve foretages for at se, om der overholdes de personlige dataregler. Det gælder også for hverken hvilket land det drejer sig om. Dette gælder "kun" for persondata, men det synes at være tilfældet med Google Analytics, da man altid finder persondata her. Google kan f.eks. på basis af din Gmail-adresse eller din brug af Google Maps (favoritter?) finde ud af hvem du præcis er (navn og adresse) og knytte disse oplysninger til din aktuelle IP-adresse. Hver enkelt dataværdi, der kommer i berøring med persondata, bliver automatisk også til et persondataværdi. Se herfor f.eks. Cookies og IP-adresser.

Når en hjemmeside-ejer senere vil se eller analysere de (i eksemplet med Google Analytics) gemte data, er det relevante at vide hvor dataene er gemt. Disse er også geografisk ofte fordelt på teknisk distribuerede anlæg. Fra en server i Irland som modtager af data pludselig bliver der servere over hele verden, der modtager dataene. Hvis det er gemt eller ej, er det hvad angår begrebet om databehandling irrelevant (se Art. 4 Nr. 2 GDPR). Selv en blot midlertidig opslagning af data i arbejdshukommelsen for en meget kort tid kan være et problem, som også den hidtil ret liberale irske dataskutzmyndighed har fastsat i WhatsApp-faldet.

Tilgang til en server

Spätestens siden Corona ved hverken, at der findes en begreb af Home-Office. Nogle kalder denne arbejdsform også Remote-Arbejde. Som et mirakel kan du logge ind på et firma-netværk over internettet.

Præcis sådan er det også på en server muligt, som hver webstedsejer eller bruger af et cloud-tjeneste vedkender sig vil vide. Dertil skal blot en sikker forbindelse åbnes og allerede er adgang til en server mulig. Serverens placering er herved helt uden betydning. Tydeligt nok kan enhver, der har adgangskoden til en server, fra alle verdensdele indlogge på denne server. Så også fritelefoner eller betalte online-e-mail-programmer er eksempler på fjernadgange, hvor serverens placering helt uden betydning er.

Med protokoller som FTP og SCP kan data hentes fra en server eller overføres til den. Således kan tjenester ændret eller deres erhobne data trukket ud.

Med en SSH-tilgang kan man afhængigt af tilladte rettigheder sende hvilken som helst kommando til en server. SSH står for Secure Shell. Med en SSH-tilgang på en server arbejder brugeren i et virtuelt terminalvindue. Hvis vinduet nu er fysisk placeret, hvor brugeren også befinder sig, eller ikke, spiller det tydeligvis ingen rolle.

Tilgang til en server kan potentielt ske fra enhver sted på jorden. Nationale love tillader også efterretningsvæsen at få adgang til servers i Europa.

Lovsagen skal vurderes nation for nation.

Den eneste rigtigt relevante forskel mellem fjernadgang og præsens af brugeren på serverstedet vedrører muligheden for at ændre serverhardwaren. Ofte er dette nødvendigt, hvis defekt eller forældet hardware skal udskiftes med nye dele.

Konklusion

Serverens placering siger ikke noget om i hvilke lande dataene, der sendes til serveren, faktisk behandles. Serverplaceringen kan næsten aldrig bestemmes med sikkerhed og skal ofte garanteres gennem aftale. Ofte ændrer servere som leverandører af populære tjenester konstant.

Hvor en server sender de modtagne data hen, ved kun leverandøren af tjenesten, f.eks. Google i tilfælde af Google Analytics. Hvem der er modtager af dataene, ved kun leverandøren af tjenesten.

Fordeligt på lovgivning i tredjeland kan efterretningsvæsen eller andre nationale myndigheder få adgang til hvilken som helst server over hele verden. Med en fjernadgang kan der indskrives på hver enkelt server, uanset hvor den fysisk befinder sig.

Ansvarlig person skal sikre, at alle datamodtagere overholder GDPR og at alle lande fra hvorfra data modtages har et tilsvarende beskyttelsesniveau i forhold til GDPR.

Computer-generiertes Bild
Alle Bilder in diesem Beitrag wurden von einem Computer-Programm erzeugt. Verwendet wurde das selbst entwickelte KI-System von Dr. DSGVO, ähnlich zu Midjourney. Die Bilder dürfen auf Webseiten frei verwendet werden, mit der Bitte, eine Verlinkung auf diesen Blog zu setzen.
About the author on dr-dsgvo.de
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.

Google-Tools: Hvilke dataskyssende alternativer til websteder findes der?