Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
Ausprobieren Online Webseiten-Check sofort das Ergebnis sehen

La ubicación de un servidor y su relevancia para la RGPD

0
Server Farm weltweit
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI

En particular, las empresas de Internet estadounidenses o chinas se esfuerzan por mostrar que utilizan servidores en Europa para sus plataformas en línea. Con eso pretenden transmitir seriedad y prevenir la preocupación de que los datos puedan ser transferidos o leídos por servicios secretos extranjeros. ¿Qué significa el emplazamiento de un servidor técnicamente para la posibilidad de acceso a los datos?

Introducción

El acuerdo de protección de datos informal entre la UE y EE.UU. llamado Privacy Shield siempre ha sido inválido. La UE había creado entonces el marco de privacidad de datos (DPF) con los EE.UU. No se han producido cambios significativos. Los derechos de ciudadanos europeos afectados en EE.UU. siguen siendo bajos y no dignos de la DSGVO. Esto ya puede leerse solo del Decreto presidencial de EE.UU.. Por otro lado, es importante señalar que un tal decreto puede ser revocado en cualquier momento, ya sea por el presidente actual o por uno futuro.

El emplazamiento de un servidor puede ser determinado por terceros (jurídicamente) con seguridad únicamente a través de una garantía contractual.

Ver como ejemplo Google Analytics.

La problematik de los servicios secretos es solo un tema. Mentalmente parecen sentirse mejor cuando los datos se almacenan en la UE o se procesan de alguna otra manera (de manera fugaz). Sin embargo, esta actitud mental es inapropiada, como se explicará a continuación de manera breve.

¿Qué es un servidor?

Un servidor es un Cálculo nocturno. Ofrece un servicio o varios servicios. Al utilizar servicios en Internet, es necesario que el servidor del servicio sea accesible públicamente. Esto se logra mediante la asignación de una dirección de red pública. La dirección de red en el contexto de Internet también se conoce como dirección IP.

Teóricamente toda la software de un servicio corre en un servidor dedicado, que por ejemplo físicamente está en Colonia. En la práctica a menudo la situación es diferente. Sobre esto más adelante.

El emplazamiento de un servidor

El emplazamiento de un servidor se deriva de una sola circunstancia. Esta circunstancia es el emplazamiento físico actual del servidor. No es la dirección IP que está asignada al servidor. Una y la misma dirección IP puede estar asignada a un servidor 4711 en Alemania en un segundo y a un servidor 0815 en Texas en el siguiente segundo. El propietario de servidores y direcciones IP puede cambiar esta asignación de direcciones de red públicamente accesibles a servidores en cualquier momento y de manera arbitraria.

Donde está un servidor, no puede ser determinado desde fuera. El propietario del servidor debe comunicar y comprometer el lugar del servidor. Algunos proveedores alemanes o europeos pequeños pueden visitar la sala de servidores para ver el servidor. Una protección adecuada en nivel de software (quizás con un Dongle) garantizaría que el servidor no fuera reemplazado por otro en otro lugar, haciendo un respaldo y redirigiendo el tráfico de red.

Al intentar generar una imagen de IA para este artículo, salió también esto:

Die Neuordnung der Weltkarte nach Vorstellung einer KI. Der Auftrag war, Deutschland zu berücksichtigen.

El prompt para esta imagen contenía un enlace con Alemania, ya que es mi ciudadanía y este artículo está escrito en la lengua del país. Se puede ver la desetiquetación de un país más grande, hacia lo positivo, se podría decir.

El procesamiento de datos en un servidor

Tomemos como ejemplo Google Analytics para un servicio que se ejecuta en un servidor en Irlanda y se ofrece para su sitio web. Usted incorpora un script de Google Analytics en su sitio web. Ahora, lo siguiente ocurre al utilizar el plugin de Google Analytics por defecto:

  1. Alguien está accediendo a su sitio web.
  2. Su sitio web carga el script de Google Analytics.
  3. Este script establece una conexión con un servidor de Google Analytics (que podría estar ubicado en Irlanda, por ejemplo).
  4. El servidor de Google Analytics en Irlanda envía el código a su servidor, donde se ejecuta su página web (también un servicio!), para que pueda seguir a los usuarios de su página web (Tracking llamado).
  5. El visitante de su sitio web (ver 1) hace clic y desplaza el cursor en su sitio web y realiza posiblemente ingresos en un formulario.
  6. El pequeño programa que se ha instalado en el cuarto lugar envía ahora eventos de seguimiento sobre los visitantes de su sitio web al servidor de Google Analytics, que está ubicado en Irlanda. En este proceso se transmite automáticamente la dirección IP del visitante de su sitio web al servidor de Google. No es posible una reducción aquí.
  7. El servidor de Google en Irlanda procesa estos eventos de seguimiento.

El sonido es medio bueno, aunque aquí también debe estar claro la base legal para los puntos 6 y 7. Como base legal, solo queda la autorización (o un contrato) . La explicación adicional y la temática de las cookies lo dejamos aquí por razones de claridad. Para esto hay numerosos artículos en Dr. DSGVO.

Análisis detallado para Google Analytics

Así de simple como se ha explicado, no es así con Google Analytics y muchos otros servicios. Para el punto 3, por ejemplo, hay que averiguar mediante un servicio de enrutamiento cuál será el servidor que se merece la honra de responder a su página web. Pues la dirección del plugin es google-analytics.com. Esta dirección puede, exactamente como una IP, ser dirigida hacia cualquier servidor en todo el mundo (o incluso en el universo) y hacerlo siempre que sea necesario por unidad de tiempo.

Por lo tanto, es posible que estén involucrados otros servidores hasta que se encuentre el servidor que proporciona los servicios de Google Analytics para su sitio web. En este proceso también se intercambian datos personales (como la dirección IP o el huella del navegador).

En el punto 7 mencionado anteriormente, el servidor del servicio procesa la solicitud de su sitio web. En el ejemplo es guardar un evento de seguimiento de Google Analytics. Google admite por sí mismo, que todos los datos de análisis de Google Analytics se procesan siempre en EE.UU. Por lo tanto, hay más servidores que esta vez claramente no están en Irlanda ni en Europa involucrados en el procesamiento de datos para su sitio web.

Los servidores de Google en los EE.UU pueden enviar los datos a cualquier otro servidor más lejos. También se pueden enviar los datos a cualquier procesador de encargo de Google más lejos. Estos procesadores de encargo están sentados para Google Analytics en países como

  • Filipinas,
  • Túnez
  • Argentina
  • Singapur
  • Estados Unidos
  • Australia
  • Brasil
  • Canadá
  • Colombia,
  • Emiratos Árabes Unidos
  • Israel,
  • Kenia
  • y otros países.

En todos estos países se envían datos potencialmente, si su sitio web asigna un servidor de Google Analytics en Irlanda como proveedor de servicios. El procesador de pedidos que procesa qué datos y durante cuánto tiempo no lo explica Google o con mucha vaguedad. La responsabilidad de los responsables como usted (si utiliza servicios de Google para otros) difícilmente podría cumplirse.

Los encargados del tratamiento y subcontratistas de tratamiento deben verificar legalmente y preferiblemente en el lugar donde se reciben y procesan datos personales según la RGPD.

La verificación en el lugar de los encargados de la gestión es una seguridad adicional que aumenta la seguridad jurídica y cuya obligación se puede derivar del artículo 28 DSGVO.

De la lista mostrada anteriormente, debe realizarse una verificación para comprobar si se cumplen las normas de protección de datos. Lo mismo es aplicable al encargado del tratamiento, independientemente del país en el que se encuentre. Esto solo es válido para los datos personales, pero parece ser que siempre están presentes en el caso de Google Analytics. Por ejemplo, Google puede identificar a las personas (nombre y dirección) utilizando su dirección de correo electrónico de Gmail o su uso de Google Maps (favoritos?), y vincular estas informaciones con la dirección IP actual. Cada valor de datos que entra en contacto con los datos personales se convierte automáticamente también en un valor de datos personales. Ver Cookies e IP-Adressen.

Si un propietario de sitio web quiere revisar o analizar los datos almacenados (por ejemplo, con Google Analytics) más adelante, son relevantes los lugares de almacenamiento de los datos. Estos también están geográficamente distribuidos en aplicaciones técnicamente distribuidas. De un servidor en Irlanda que recibe datos se convierte repentinamente en servidores en todo el mundo que reciben datos. Si se almacena o no, es irrelevante para el concepto de procesamiento de datos (ver Artículo 4 Número 2 DSGVO). Incluso una captura temporal de los datos en la memoria de trabajo durante un período muy corto puede ser un problema, como incluso la hasta ahora relativamente liberal Comisión de Protección de Datos irlandesa estableció en el caso WhatsApp.

Acceso a un servidor

Desde que llegó la Corona, cada uno sabe que existe el concepto de Home Office. Algunos llaman a esta forma de trabajo Remote Work. De alguna manera pueden acceder al red de la empresa a través de Internet.

Exactamente lo mismo es posible en un servidor, como sabe cualquier propietario de una página web o usuario de un servicio de nube. Para ello basta con abrir una conexión segura y ya se puede acceder al servidor. El emplazamiento del servidor no importa en absoluto. Obviamente, cualquiera que tenga los datos de acceso para un servidor puede acceder a él desde cualquier parte del mundo. También son ejemplos de accesos remotos los correos electrónicos gratuitos o los programas de correo electrónico pagados, donde el emplazamiento del servidor es completamente irrelevante.

Con protocolos como FTP y SCP se pueden obtener o transferir datos de un servidor. De esta manera, los servicios pueden ser modificados o sus datos elevados pueden ser extraídos.

Con un acceso SSH se pueden enviar cualquier comando a un servidor según la autorización. SSH significa Secure Shell. Con un acceso SSH a un servidor, el usuario trabaja en una terminal virtual. Si la terminal está físicamente allí donde también está el usuario o no, parece no tener importancia.

El acceso a un servidor es potencialmente posible desde cualquier ubicación del mundo. Los derechos nacionales también permiten a los servicios de inteligencia acceder a servidores en Europa.

La situación legal es por país que se debe de examinar.

El único verdadero diferencial entre acceso remoto y presencia del usuario en el lugar del servidor es la posibilidad de cambiar la hardware del servidor. A menudo esto es necesario cuando se deben reemplazar componentes defectuosos o obsoletos por nuevos.

Conclusión

El emplazamiento de un servidor no dice nada sobre los países en los que se procesan realmente los datos enviados al servidor. El emplazamiento del servidor suele ser imposible de determinar con precisión y debe garantizarse contractualmente. A menudo, los proveedores de servicios populares cambian constantemente sus servidores.

A quién envía los datos un servidor, solo lo sabe el proveedor de servicios, como por ejemplo Google en el caso de Google Analytics. Quiénes son los receptores de los datos, también solo lo sabe el proveedor de servicios.

Debido a las normas legales en terceros países, los servicios de inteligencia o otras autoridades nacionales pueden acceder a cualquier servidor en todo el mundo. Con un acceso remoto se puede acceder a cualquier servidor, independientemente de su ubicación física.

El responsable debe asegurarse de que todos los receptores de datos cumplan con la RGPD y que todos los países de los receptores de datos tengan un nivel adecuado de protección según la RGPD.

Mensajes clave

La ubicación física de un servidor no es garantía de seguridad de datos, ya que el propietario puede cambiarla en cualquier momento.

Los servicios online como Google Analytics recopilan datos personales de los usuarios, incluso cuando no se realiza una acción específica.

Google Analytics procesa los datos de tu sitio web en Estados Unidos y puede compartirlos con empresas en todo el mundo, lo que plantea problemas de privacidad y cumplimiento de la normativa de protección de datos.

La ubicación física de un servidor no determina dónde se procesan realmente los datos.

Acerca de

Computer-generiertes Bild
Alle Bilder in diesem Beitrag wurden von einem Computer-Programm erzeugt. Verwendet wurde das selbst entwickelte KI-System von Dr. DSGVO, ähnlich zu Midjourney. Die Bilder dürfen auf Webseiten frei verwendet werden, mit der Bitte, eine Verlinkung auf diesen Blog zu setzen.
Sobre el autor
Me llamo Klaus Meffert. Soy doctor en informática y llevo más de 30 años dedicándome profesional y prácticamente a las tecnologías de la información. También trabajo como experto en informática y protección de datos. Obtengo mis resultados analizando la tecnología y el Derecho. Esto me parece absolutamente esencial cuando se trata de protección de datos digitales.

Inteligencia artificial: fundamentos técnicos y legales