Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
✓ Ausprobieren DSGVO Website-Check sofort DSGVO-Probleme finden

De locatie van een server en zijn relevantie voor de AVG

0
Server Farm weltweit
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI
📄 Artikel als PDF
📄 Artikel als PDF (alleen voor abonnees van de nieuwsbrief)
🔒 Premium-Funktion
Der aktuelle Beitrag kann in PDF-Form angesehen und heruntergeladen werden

📊 Download freischalten
Der Download ist nur für Abonnenten des Dr. DSGVO-Newsletters möglich

Bijzonder Amerikaanse of Chinese internetbedrijven reclameert ermee, servers in Europa te gebruiken voor hun online platforms. Hiermee wordt seriositeit uitgestraald en de angst dat data kunnen worden afgevoerd of door buitenlandse geheime diensten kunnen worden gelezen voorkomen. Wat betekent de locatie van een server technisch gezien voor de toegangs mogelijkheid tot data?

Inleiding

Het informele gegevensbeschermingsverdrag tussen de EU en de VS, genaamd Privacy Shield, what al altijd ongeldig. De EU had hierop het Data Privacy Framework (DPF) in het leven geroepen. Veranderd is niet veel. De rechten van betrokken Europese burgers zijn in de VS nog steeds op een laag en onwaardig niveau. Dit kan alleen al uit het presidentiële besluit van de VS worden gelezen. Bovendien moet erop gewezen worden dat zo'n besluit altijd kan worden ingetrokken, ofwel door de huidige of een toekomstig Amerikaans president.

De locatie van een server kan rechtsgeldig alleen door contractuele garanties worden bepaald door derden.

Zie bijvoorbeeld Google Analytics.

De Inlichtingendienstproblematiek is maar een onderwerp. Mentaal lijken veel mensen zich beter te voelen als data in de EU wordt opgeslagen of anderszins (tijdelijk) verwerkt worden. Maar deze geesteshouding is ongepast, zoals hieronder in korte termen zal worden uitgelegd.

Wat is een server?

Een server is een Rekenknecht. Hij biedt een dienst of meerdere diensten aan. Bij diensten die op het internet worden gebruikt, is het noodzakelijk dat de dienst-server openbaar bereikbaar is. Dit gebeurt door middel van toewijzing van een openbare netwerkadres. Het netwerkadres in het internetkader wordt ook IP-adres genoemd.

Theoretisch draait de hele software voor een dienst op een gedediceerde server, die bijvoorbeeld fysiek in Keulen staat. Praktisch ziet de situatie vaak anders uit. Hierover later meer.

De locatie van een server

De locatie van een server wordt bepaald door één feit. Dit feit is de huidige fysieke locatie van de server. Het is niet de IP-adres die aan de server is toegewezen. Een en dezelfde IP-adres kan in een seconde aan Server 4711 in Duitsland en in de volgende seconde aan Server 0815 in Texas toegekend zijn. De eigenaar van servers en IP-adressen kan deze toewijzing van openbaar bereikbare netwerkadressen naar servers op elk moment willekeurig wijzigen.

Waar een server staat, kan dus niet van buitenaf worden bepaald. De eigenaar van de server moet het locatiegegeven en verplichte garantie communiceren. Bij Duitse of Europese aanbieders die klein genoeg zijn, is veiligheid vaak ook een bezoek aan het datacentrum mogelijk om de server te bekijken. Een passende beveiliging op software-niveau (misschien ook met een Dongle) zou dan misschien garanderen dat de server op locatie niet door een server elders wordt vervangen, door een back-up en omleiding van het netwerkverkeer te maken.

Bij het proberen om een AI-afbeelding voor dit artikel te maken, kwam er ook nog dit volgende uit:

De herinrichting van de wereldkaart naar aanwijzingen van een AI. De opdracht what Duitsland in overwegingen te nemen. (afbeelding is automatisch vertaald).

De prompt voor dit beeld had een Duits thema, aangezien dit mijn nationaliteit is en deze bijdrage in de landstaal geschreven is. Te zien is het ontdoen van een groter land van negatieve aspecten, naar het positieve toe.

De gegevensverwerking op een server

Neem bijvoorbeeld Google Analytics als voorbeeld van een dienst die op een server in Ierland wordt uitgevoerd en aan uw website wordt aangeboden. U voegt een script van Google Analytics toe aan uw website. Nu gebeurt het volgende bij de standaardinstelling van het Google Analytics plugin:

  1. Iemand belt uw website op.
  2. Zij laden de website van Google Analytics.
  3. Dit script bouwt een verbinding op met een Google Analytics-server (die bijvoorbeeld in Ierland staat).
  4. De Google Analytics-server in Ierland stuurt de code terug naar uw server waarop uw website (ook een dienst!) draait, zodat uw website gebruikers kan bijhouden (Tracking genoemd).
  5. De bezoeker van uw website klikt en scrolt op uw website en voert mogelijk invoer in een formulier.
  6. Het programma dat u meer dan 4 keer hebt gedownload, stuurt nu tracking-evenementen naar de server van Google Analytics in Ierland. Hierbij wordt automatisch altijd de IP-adres van de bezoeker van uw website naar de Google-server overgezet. Een afkorting is hier niet mogelijk.
  7. De Google-server in Ierland verwerkt deze tracking-gebeurtenissen.

Dat klinkt half en half goed, hoewel hier ook de rechtsgrondslag voor punten 6 en 7 moet worden uitgeklaard. Als rechtsgrondslag resteert alleen nog maar de toestemming (of een contract) over. De verdere motivering en cookie-thema's laten we hierbij even weg om het overzichtelijk te houden. Hierover zijn er talloze artikelen op Dr. GDPR.

Details voor Google Analytics

Zo eenvoudig als hierboven beschreven, is het echter bij Google Analytics en vele andere diensten niet. Voor punt 3 moet namelijk via een routingdienst bepaald worden welke server zich de eer aanreikt om uw website te antwoorden. Omdat de plugin-adres google-analytics.com. luidt, kan deze adres precies zoals een IP-adres op elk willekeurig server wereldwijd (of zelfs in het universum) geleid worden en dat per tijdseenheid telkens weer opnieuw.

Er zijn dus mogelijk nog meer servers bij betrokken, tot de server is gevonden die de Google Analytics diensten voor uw website aanbiedt. Hierbij worden ook persoonsgegevens uitgewisseld (bijv. de IP-adres of browser fingerprint).

In punt 7 van boven verwerkt de dienstserver uw aanvraag. In dit voorbeeld is het het opslaan van een Google Analytics-trackinggebeuren. Google zegt zelf dat alle analysegegevens van Google Analytics altijd in de VS worden verwerkt. Dus zijn er nog meer servers bij betrokken bij de gegevensverwerking voor uw website, die dit keer duidelijk niet in Ierland of Europa staan.

De Google-servers in de VS kunnen de gegevens opnieuw naar willekeurige andere servers versturen. Ook kunnen de gegevens worden doorgezonden naar willekeurige opdrachtverwerkers van Google. Deze opdrachtverwerkers zitten voor Google Analytics in landen als

  • Filipijnen,
  • Zuid-Afrika
  • Argentinië
  • Singapore
  • Verenigde Staten
  • Australië
  • Brazilië
  • Canada
  • Colombië
  • Verenigde Arabische Emiraten
  • Israël
  • Kenya
  • En andere landen.

In al deze landen worden gegevens potentieel verstuurd, wanneer uw website een Google Analytics-server in Ierland als serviceprovider-server wordt toegekend. Welke opdrachtverwerker welke gegevens hoe en hoelang verwerkt, legt Google niet of zeer onduidelijk uit. De rechtsverplichting van verantwoordelijken zoals u (indien u Google-diensten gebruikt voor anderen) zal hierdoor niet nakomen kunnen worden.

Wanneer een opdrachtgever en onderopdrachtgever personenbezige gegevens ontvangen en volgens de GDPR verwerken, moet door de verantwoordelijke steeds rechtelijk en het liefst ook ter plaatse worden gecontroleerd.

De voor-op-locatie-toetsing bij opdrachtverwerkers is een extra beveiliging die de rechtszekerheid verhoogt en waarvan de plicht uit Artikel 28 GDPR in zoverre afgeleid kan worden.

Per land uit de net getoonde lijst moet een controle plaatsvinden of de gegevensbeschermingsvoorschriften worden nageleefd. Hetzelfde geldt voor iedere opdrachtnemer, ongeacht in welk land. Dit geldt „alleen“ voor persoonsgebonden gegevens, maar het lijkt erop dat bij Google Analytics altijd persoonsgebonden gegevens aanwezig zijn. Google kan bijvoorbeeld met behulp van uw GMail-adres of uw Google Maps-gebruik (favorieten?) bepalen wie u precies bent (naam en adres!) en deze informatie koppelen aan uw huidige IP-adres. Elke gegevenswaarde die in contact komt met persoonsgebonden gegevens wordt automatisch ook tot een persoonsgebonden gegevenswaarde. Zie hiervoor bijvoorbeeld Cookies en IP adresses.

Wanneer een websitebeheerder later de (in het voorbeeld met Google Analytics) opgeslagen gegevens wil inzien of analyseren, zijn de opslaglocaties van de gegevens relevant. Deze zijn bij technisch gedecentraliseerde toepassingen ook vaak geografisch verspreid. Van een server in Ierland als gegevensoptie worden plotseling servers over de hele wereld die gegevens ontvangen. Of er opgeslagen wordt of niet, is ten aanzien van het begrip gegevensverwerking irrelevant (zie Artikel 4 Nr. 2 GDPR). Zelfs een enkele vluchtige opname van gegevens in de werkgeheugen voor een zeer korte tijd kan een probleem zijn, zoals zelfs de tot nu toe recht liberale Ierse toezichthouder in het WhatsApp-zaak vaststelde.

Toegang tot een server

Sinds Corona weet iedereen dat het begrip home-office bestaat. Sommigen noemen deze arbeidsvorm ook remote-arbeid. Hoe wonderlijk het ook mag klinken, u kunt via het internet in een bedrijfsnetwerk inloggen.

Precies zo is het ook mogelijk op een server, zoals iedere beheerder van een website of gebruiker van een cloud dienst weet. Hiervoor moet slechts een beveiligde verbinding worden geopend en al is de toegang tot een server mogelijk. De locatie van de server doet hierbij helemaal niets uit. Duidelijk kan iedereen die de inloggegevens voor een server heeft, van overal ter wereld inloggen op deze server. Ook free mailers of betaalde online mail programma's zijn voorbeelden van remote toegangen waarbij de locatie van de server helemaal niets uitmaakt.

Met protocollen als FTP en SCP kunnen gegevens van een server worden opgeroepen of daarheen worden overgedragen. Zo kunnen diensten worden gewijzigd of deren verhoogde gegevens worden afgesneden.

Met een SSH-toegang kunnen op basis van de rechten alle commando's naar een server gestuurd worden. SSH staat voor Secure Shell. Met een SSH-toegang op een server werkt de gebruiker in een virtueel terminal. Of het terminal zich nu fysiek daar bevindt waar ook de gebruiker zich bevindt, of niet, lijkt geen rol te spelen.

De toegang tot een server is potentieel van elke locatie ter wereld mogelijk. Nationale rechten geven ook geheime diensten de toegang tot servers in Europa.

De rechtspositie is per land te onderzoeken.

De enige echt relevante verschillen tussen remote-toegang en aanwezigheid van de gebruiker op het locatie van de server is de mogelijkheid om de hardware van de server te wijzigen. Vaak is dit nodig als er defecte of verouderde hardware moet worden vervangen door nieuwe onderdelen.

Conclusie

De locatie van een server zegt niets over de landen waarin de gegevens die naar de server worden gestuurd, daadwerkelijk verwerkt worden. De locatie van de server kan meestal niet betrouwbaar bepaald en moet schriftelijk vastgelegd worden. Serverproviders van populaire diensten wijzigen zich vaak voortdurend.

Waar een server de ontvangen gegevens naar toe stuurt, weet alleen de dienstverlener, bijvoorbeeld Google in het geval van Google Analytics. Wie de gegevensontvangers zijn, weet eveneens alleen de dienstverlener.

Vanwege wettelijke bepalingen in derde landen kunnen geheime diensten of andere nationale autoriteiten toegang krijgen tot elke server wereldwijd. Met een remote-access kan op elk server worden ingelogd, ongeacht waar hij zich fysiek bevindt.

De verantwoordelijke moet ervoor zorgen dat alle gegevensontvangers de AVG naleven en dat alle landen van gegevensontvangers een passend niveau van bescherming hebben.

Computer-generiertes Bild
Alle Bilder in diesem Beitrag wurden von einem Computer-Programm erzeugt. Verwendet wurde das selbst entwickelte KI-System von Dr. DSGVO, ähnlich zu Midjourney. Die Bilder dürfen auf Webseiten frei verwendet werden, mit der Bitte, eine Verlinkung auf diesen Blog zu setzen.
About the author on dr-dsgvo.de
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.

Opleiding van kunstmatige intelligentiemodellen: wat betekent dat?