Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
Ausprobieren Online Webseiten-Check sofort DSGVO-Probleme finden

Lokalizacja serwera i jej znaczenie dla RODO

0
Server Farm weltweit
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI

W szczególności amerykańskie lub chińskie firmy internetowe reklamują, że używają serwerów w Europie dla swoich platform online. Dzięki temu chcą wydawać się poważniejszymi i zapobiec obawom, że dane mogą być przeniesione do innych krajów lub podsłuchiwane przez zagraniczne służby specjalne. Co oznacza lokalizacja serwera technicznie dla dostępu do danych?

Wprowadzenie

Umowa o bezpieczeństwo danych pomiędzy UE a USA nazwaną Privacy Shield była zawsze nieważna. W związku z tym Unia Europejska wprowadziła wraz ze Stanami Zjednoczonymi ramy Data Privacy Framework (DPF). Nie zmieniło się wiele. Prawa obywateli europejskich w USA nadal są na niskim i niegodnym RODO poziomie. To samo można przeczytać z przykazań prezydenta Stanów Zjednoczonych. Poza tym należy zauważyć, że takie przykazanie może być w każdej chwili odwołane, zarówno przez obecnego, jak i przyszłego prezydenta USA.

Lokalizacja serwera może być przez stronę trzecią (prawnie) ustalona tylko za pomocą umownego zobowiązania.

Zobacz na przykład Google Analytics.

Problematyka służb specjalnych jest tylko jednym tematem. Psychicznie wielu ludzi się lepiej czuje, gdy dane są przechowywane w UE lub przetwarzane w inny sposób (przepływowo). Jednakże ta postawa umysłowa jest nieuprawniona, jak zostanie przedstawione poniżej.

Co to jest serwer?

Serwer jest komputerem obliczeniowym. Ofiaruje on usługę lub kilka usług. Gdy chodzi o usługi dostępne w Internecie, konieczne jest aby serwer był publicznie dostępny. To następuje poprzez przypisanie adresu sieciowego dostępnego do publicznej wiadomości. Adres sieciowy w kontekście Internetu nazywa się również adresem IP.

Teoretycznie cała oprogramowanie dla usługi działa na dedykowanym serwerze, który np. fizycznie znajduje się w Kolonii. W praktyce sytuacja często wygląda inaczej. O tym później.

Lokalizacja serwera

Lokalizacja serwera wynika z jednej okoliczności. Ta okoliczność to bieżący fizyczny lokalizacja serwera. Nie jest to adres IP, który jest przypisany do serwera. Jedna i ta sama adresem IP może być w sekundzie przypisana do serwera 4711 w Niemczech, a w następnej sekundzie do serwera 0815 w Teksasie. Właściciel serwerów i adresów IP może zmieniać tę przypisanie z dowolnie dostępnych sieciowych adresów do serwerów w każdej chwili.

Gdziekolwiek stoi serwer, jego lokalizację zewnętrznie nie można ustalić. Operatora serwera musi poinformować i umówić się na ten temat. W przypadku niemieckich lub europejskich dostawców, którzy są wystarczająco małymi firmami, odwiedzenie centrum danych jest często możliwe, aby zobaczyć serwer. Zabezpieczenie odpowiedniego poziomu oprogramowania (może również za pomocą Dongla) mogłoby zapewnić, że serwer na miejscu nie zostanie wymieniony przez inny serwer w innym miejscu, wykonując kopię zapasową oraz przekierowanie ruchu sieciowego.

Podczas próby stworzenia obrazu AI dla tego artykułu wyszło również coś takiego:

Przeprowadzenie reorganizacji mapy świata według wskazówek AI. Zadaniem było uwzględnienie Niemiec. (obraz został przetłumaczony automatycznie).

Tekst wypowiedzi odnosi się do Niemiec, ponieważ jest to moja ojczyzna i ten post jest napisany po niemiecku. Na zdjęciu widzimy zmianę na lepsze większej części kraju.

Obliczenia danych na serwerze

Nehmen wir Google Analytics jako przykład usługi, która jest uruchamiana na serwerze w Irlandii i oferowana dla Twojej strony internetowej. Wstawisz skrypt Google Analytics do swojej strony internetowej. Teraz następuje to co następuje przy standardowym użyciu pluginu Google Analytics:

  1. Ktoś odwiedza Twoją stronę internetową.
  2. Strona ta ładowuje skrypt Google Analytics.
  3. Ten skrypt tworzy połączenie z serwerem Google Analytics (np. w Irlandii).
  4. Serwer Google Analytics w Irlandii wysyła kod z powrotem do serwera, na którym działa Wasza strona internetowa (a także usługa!), aby mogła ona śledzić swoich użytkowników (Tracking nazywane).
  5. Odwiedzający Twojej strony internetowej (patrz 1) klika i przewija się po stronie i może wprowadzić dane w formularzu.
  6. Programik otrzymujący ponad 4. wysyła teraz zdarzenia śledcze odwiedzających Twojej strony internetowej na serwer Google Analytics, który znajduje się w Irlandii. Wówczas automatycznie jest przesyłana adresem IP odwiedzającego Twojej strony do serwera Google. Zmniejszenie nie jest możliwe.
  7. Serwer Google w Irlandii przetwarza te zdarzenia śledcze.

To brzmi całkiem dobrze, chociaż tutaj również musi być wyjaśniona podstawowa prawna podstawa punktów 6 i 7. Jako podstawę prawną pozostaje jedynie zgoda (lub umowa) . Dalsza argumentacja i temat plików cookie zostawiamy tu na boku, dla lepszej widoczności. Do tego istnieje wiele wpisów na Dr. RODO.

Analiza szczegółowa dla Google Analytics

Tak łatwo jak przedstawione, nie jest to jednak w przypadku Google Analytics i wielu innych usług. W kwestii 3 należy zatem ustalić drogę za pomocą usługi routingu, która określi, który serwer może się pochwalić odpowiedzią na stronę internetową. Adres URL pluginu w przykładzie to google-analytics.com. Ten adres, tak jak adres IP, może być skierowany do dowolnego serwera na całym świecie (lub nawet w uniwersum), i to niezależnie od czasu, a co więcej, może być zmieniany każdej chwili.

Zatem mogą być zaangażowane jeszcze inne serwery, aż do momentu znalezienia serwera, który dostarcza usługi Google Analytics dla Twojej strony internetowej. W tym procesie są również wymieniane dane osobowe (np. adres IP lub ślad przeglądania).

W punkcie 7, o którym mowa wyżej, serwer usługowy przetwarza zapytanie Twojej strony internetowej. W przykładzie chodzi o zapisanie zdarzenia śledczego Google Analytics. Google sam twierdzi, że wszystkie dane analizacyjne z Google Analytics są zawsze przetwarzane w Stanach Zjednoczonych. Dlatego kolejne serwery, które tym razem nie znajdują się ani w Irlandii, ani w Europie, uczestniczą w przetwarzaniu danych dla Twojej strony internetowej.

Serwery Google w USA mogą natomiast przesłać dane do dowolnych innych serwerów. Dane mogą być również przesyłane do dowolnych podmiotów zleconych przez Google, które obsługują Google Analytics w krajach takich jak

  • Filipiny
  • Maroko
  • Argentyna
  • Singapur
  • Stany Zjednoczone
  • Australia
  • Brazylia
  • Kanada
  • Kolumbia
  • Zjednoczone Emiraty Arabskie
  • Izrael
  • Kenia
  • oraz innych krajów.

Wszystkie te kraje otrzymują dane, jeśli Twoja strona internetowa zostanie przypisana do serwera Google Analytics w Irlandii jako dostawcy usług. Jak i dlaczego każdy z nich będzie przetwarzał dane, nie wyjaśnia Google ani zbyt ogólnikowo. Zobowiązania odpowiedzialności, takie jak Twoje (jeśli korzystasz z usług Google wobec innych), mogą być tym samym niewykonane.

Osoby wykonujące zamówienie i podwykonawcy muszą otrzymać dane osobowe i zgodnie z RODO przetwarzać, co powinno być prawne i najlepiej również miejscowo sprawdzone przez odpowiedzialnego.

Przegląd na miejscu u podwykonawców jest dodatkową ochroną, która zwiększa bezpieczeństwo prawne i może być wywiedziona z art. 28 RODO.

Z każdego Landu z listy przedstawionej powinien być przeprowadzony test, czy są spełniane przepisy dotyczące ochrony danych osobowych. To samo dotyczy każdego podmiotu, który jest upoważniony do przetwarzania danych (przetwarzający), niezależnie od tego, w jakim kraju się znajduje. Dotyczy to tylko danych osobowych, które są wydawać się zawsze dostępne przy użyciu Google Analytics. Na przykład Google może ustalić Twoją tożsamość (imię i adres) na podstawie Twojej Adresy e-mail lub Twojego korzystania z Google Maps (funkcji ulubionych?). Może również połączyć te informacje z Twoją aktualną adresem IP. Każdy wartość danych, która jest w jakikolwiek sposób powiązana z danymi osobowymi, automatycznie staje się także wartością danych osobowych. Zobacz przykładowo pliki cookies i adresy IP.

Jeśli administrator strony chciałby później przeglądnąć lub przeanalizować dane zapisane (np. przy pomocy Google Analytics), istotne są miejsca przechowywania danych. Te miejsca są również geograficznie rozproszone w przypadku aplikacji technicznie rozproszonych. Z serwera w Irlandii, który jest odbiorcą danych, nagle serwery na całym świecie zaczynają otrzymywać dane. Czy dane są przechowywane czy nie, jest to dla pojęcia przetwarzania danych bez znaczenia (patrz Art. 4 pkt 2 RODO). Nawet krótkotrwałe zapisanie danych w pamięci roboczej może być problemem, jak nawet dotychczas dość liberalna irlandzka inspekcja ochrony danych stwierdziła w przypadku WhatsApp-Fall.

Dostęp do serwera

Od czasu koronawirusa każdy wie, że istnieje pojęcie home-office. Niektórzy nazywają tę formę pracy remote-workingiem. Przez coś w rodzaju czaru można się zalogować do sieci firmowej za pomocą internetu.

Tak jest również na serwerze możliwe, jak każdy administrator strony internetowej lub użytkownik usługi chmury wie. Do tego wystarczy jedynie otworzyć zabezpieczoną połączenie i już jest dostęp do serwera możliwy. Lokalizacja serwera w tym przypadku jest zupełnie nieistotna. Jest oczywiste, że każdy, kto ma dane logowania do serwera, może zalogować się do niego z dowolnego miejsca na świecie. Także poczta elektroniczna (freemail) lub płatne programy mailowe są przykładami odległych łączności, w których lokalizacja serwera jest zupełnie nieistotna.

Z pomocą protokołów takich jak FTP i SCP można pobierać dane z serwera lub przesyłać je na niego. Tak więc można zmienić usługi albo wykorzystać ichzapisane dane.

Z SSH dostępem można wysłać dowolne polecenia na serwer w zależności od uprawnień. SSH oznacza Secure Shell. Z SSH dostępem do serwera użytkownik pracuje wirtualnym terminalu. Czy ten terminal znajduje się fizycznie tam, gdzie również użytkownik, czy nie, wydaje się być bez znaczenia.

Dostęp do serwera jest potencjalnie możliwy z każdego miejsca na świecie. Prawa narodowe pozwalają również służbom wywiadowczym dostępu do serwerów w Europie.

Prawo jest do sprawdzenia dla każdej narodowości.

Jedyne prawdziwie istotne różnice między zdalnym dostępem a obecnością użytkownika na miejscu serwera dotyczą możliwości zmiany sprzętu serwerowego. Czasami jest to konieczne, gdy np. wymaga się wymiany defektującego lub starego sprzętu na nowe części.

Wynik

Lokalizacja serwera nie informuje o tym, w jakich krajach dane, które są wysyłane do serwera, są faktycznie przetwarzane. Lokalizacja serwera jest zazwyczaj niemożliwa do ustalenia i musi być potwierdzona umownie. Często zmieniają się serwery dostarczające popularne usługi.

Kto odbiera dane z serwera, tylko dostawca usługi wie, np. Google w przypadku Google Analytics. Kto są odbiorcy danych, również tylko dostawca usługi wie.

W wyniku przepisów prawa w państwach trzecich służby wywiadowcze lub inne organy rządowe mogą uzyskać dostęp do dowolnych serwerów na całym świecie. Z użyciem zdalnego dostępu można dotrzeć do każdego serwera, niezależnie od jego lokalizacji fizycznej.

Osoba odpowiedzialna musi zapewnić, że wszyscy odbiorcy danych przestrzegają RODO i wszystkie kraje odbiorców danych mają odpowiednie poziomy ochrony zgodne z RODO.

Computer-generiertes Bild
Alle Bilder in diesem Beitrag wurden von einem Computer-Programm erzeugt. Verwendet wurde das selbst entwickelte KI-System von Dr. DSGVO, ähnlich zu Midjourney. Die Bilder dürfen auf Webseiten frei verwendet werden, mit der Bitte, eine Verlinkung auf diesen Blog zu setzen.
About the author on dr-dsgvo.de
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.

Narzędzia Google: Co to są przyjazne dla prywatności alternatywy dla stron internetowych?