Varför är en servers plats relevant för GDPR?

Platseringen för en server påverkar var data bearbetas och därmed kan efterlevnaden av GDPR-kraven säkerställas. Bearbetning av data i EU eller ett annat land med lämplig dataskyddsnivå är avgörande.

Hur kan en servers faktiska plats faktiskt fastställas?

En servers plats kan inte på ett tillförlitligt sätt fastställas med hjälp av dess IP-adress, eftersom den kan ändras när som helst. Serverns operatör måste kommunicera den faktiska platsen och åtagande göra det i ett avtal.

Vilka risker uppstår genom fjärråtkomst till servrar?

Genom fjärråtkomst kan data hämtas och överföras från var som helst i världen, vilket gör det svårare att kontrollera databehandlingen. Dessutom kan underrättelsetjänster eller andra myndigheter potentiellt få tillgång till servrar, oavsett deras fysiska plats.

Hur kan en webbplatsägare säkerställa att GDPR efterlevs?

En webbplatsoperatör måste säkerställa att alla datatagare följer GDPR och att de länder där data behandlas erbjuder en lämplig skyvelnivå. Detta kräver en noggrann granskning av datatagarna och efterlevnad av de relevanta föreskrifterna.

Hur kan användningen av Google Analytics påverka efterlevnaden av GDPR?

Google Analytics kan leda till global datahantering eftersom Google skickar data till olika servrar och underleverantörer i många länder. Detta utgör en utmaning för efterlevnaden av GDPR.

Vilken roll spelar placeringen vid databehandling?

Platsen för servern där data behandlas är en avgörande faktor för tillämpningen av GDPR. Det bestämmer vilka dataskyddslagar som gäller och vilka rättigheter användare har.

Serverns placering och dess betydelse för GDPR

Särskilt amerikanska eller kinesiska internetföretag marknadsför med att de använder servrar i Europa för sina onlineplattformar. Detta ska ge intrycket av trovärdighet och förebygga oro för att data kan flyttas till utlandet eller läsas av utländska underrättelsetjänster. Vad innebär platsen för en server tekniskt sett för möjligheten att komma åt data?

Inledning

Det informella dataskyddöverenskommelsen mellan EU och USA som hette Privacy Shield var alltid ogiltigt. EU hade därför med USA skapat Data Privacy Framework (DPF). Inget har förändrats. Rättigheterna för berörda europeiska medborgare i USA är fortfarande på ett lågt och GDPR-värdigt nivå. Detta kan redan av Präsidentiella uttalandet från USA läsas. Bland annat ska noteras att en sådan förklaring kan ångra sig vid något tillfälle, antingen av den nuvarande eller av en nästa amerikansk president.

Serverns placering kan endast säkerställas av tredje part genom kontraktsförbindelse.
Se till exempel Google Analytics.

Geheimdienstproblematik är bara ett ämne. Mentalt tycks många känna sig bättre om data lagras i EU eller på annat sätt (flyktigt) hanteras. Dock är denna attityd oangemäld, som kommer att visas nedan i korthet.

Vad är en server?

En server är en Beräkningsnatt. Den tillhandahåller ett tjänst eller flera tjänster. När det gäller tjänster som används på internet krävs att en tjänstserver är allmänt tillgänglig. Detta sker genom att en offentlig nätverksadress tilldelas. Den nätverkadressen i internetkontext kallas även IP-adress.

Teoretiskt kör hela programvaran för en tjänst på en dedikerad server, som till exempel fysiskt befinner sig i Cologne. I praktiken ser läget ofta annorlunda ut. Mer om det senare.

Serverns placering

Serverns plats utgår från en och endast en faktum. Denna faktum är serverns nuvarande fysiska plats. Det är inte IP-adressen, som tilldelats servern. En och samma IP-adress kan i sekunden tilldelas server 4711 i Tyskland och i nästa sekund tilldelas server 0815 i Texas. Innehavaren av servrar och IP-adresser kan ändra denna tilldelning från allmänt tillgängliga nätverksadresser till servrar när som helst på ett obegränsat sätt.

Där en server finns kan inte heller utifrån upptäckas. Serverns ägare måste meddela och garantera platsen för servern. För tyska eller europeiska leverantörer som är små nog, är säkerhet ofta också möjlig genom att besöka datacentralen för att se servern. En lämplig säkerhetsåtgärd på programvaru-nivå (eventuellt med en Dongle) skulle då kanske garantera att servern inte byts ut mot en annan server på ett annat ställe genom att göra ett backup och omleda nätverkstrafiken.

När man försökte skapa en AI-bild för detta inlägg kom det också fram detta:

Världskartans omorganisation efter en presentation av en AI. Uppdraget var att ta hänsyn till Tyskland. (bilden översattes automatiskt).

Bildets prompt hade ett samband till Tyskland eftersom det är mitt medborgarskap och detta inlägg skrivits på landsmål. Man ser en ometikettning av ett större land, mot det positiva kunde man säga.

Databehandling på en server

Ta Google Analytics som exempel på en tjänst som drivs av ett server i Irland och erbjuds för din webbplats. Du lägger in ett Google Analytics-skript i din webbplats. Nu sker följande vid standardanvändningen av Google Analytics-pluginget:

Någon besöker din webbplats.
Deras webbplats laddar ner Googles analyseringsskript.
Detta skript upprättar en anslutning till ett Google Analytics-server (som exempelvis finns i Irland).
Google Analytics-servern i Irland skickar tillbaka koden till er server, där din webbsida (även en tjänst!) körs, så att din webbsida kan spåra användare (Tracking kallas).
Besökaren på din webbplats (se 1) klickar och scroller på din webbplats och kanske gör inmatningar i ett formulär.
Det över 4 miljoner gånger använda programmet skickar nu spårningshändelser från besökarna på din webbplats till Google Analytics-servern, som är belägen i Irland. Därmed överförs automatiskt alltid IP-adressen för besökaren på din webbplats till Googles server. En åtgärd för att begränsa detta är inte möjlig.
Google-servern i Irland hanterar dessa spårningshändelser.

Det låter tillfredsställande, även om här måste rättslig grund för punkterna 6 och 7 också klaras upp. Som rättslig grund återstår bara samtycket (eller ett avtal) kvar. Den ytterligare motiveringen och cookie-frågan lämnar vi här bort för att uppnå överskådlighet. Till detta finns det många inlägg på Dr. GDPR.

Analysering för Google Analytics

Så enkelt som tidigare beskrivits är det inte med Google Analytics och många andra tjänster. För punkt 3 måste till exempel via en routningsdienst fastställas vilken server som får äran att svara på din webbplats. Eftersom plugin-adressen i exemplet google-analytics.com. är sådan, kan den precis som en IP-adress ledas till någon server världen över (eller även i universum), och det sker per tidseinhet närhelst behovet finns.

Det finns alltså möjligen ytterligare servrar inblandade, innan servern hittats som tillhandahåller Googles analyser för din webbsida. Därvid utbyts även personuppgifter (t.ex. IP-adress eller webbläsarfingerprint).

I ovan nämnda punkt 7 bearbetar tjänstservern din webbplatsanfrage. I exemplet är det att spara ett Google Analytics-spårningshändelse. Google säger själva, att alla analyserade data från Google Analytics alltid behandlas i USA. Således är ytterligare servrar, som den här gången tydligt inte står i Irland eller Europa, inblandade i datanhantering för din webbplats.

Google-servrarna i USA kan återigen skicka data till vilka som helst andra servrar. Data kan också skickas vidare till vilka som helst uppdragstagare av Google. Dessa uppdragstagare sitter för Google Analytics i länder som

Filippinerna
Sudan
Argentina
Singapore
USA
Australien
Brazilien
Kanada
Colombia
Förenade arabemiraten
Israel
Kenya
och ytterligare länder.

I alla dessa länder skickas data potentiellt om din webbplats tilldelats en Google Analytics-server i Irland som tjänstleverantörsserver. Vilken upphandlare hanterar vilka data på hur sätt och under hur lång tid förklaras av Google inte eller mycket vagt. Den ansvariges redovisningsplikt (som ni, om ni använder Googles tjänster mot andra) bör därmed inte kunna uppfyllas.

Om en uppgiftshantering och underuppgiftshanterare får och behandlar personuppgifter enligt GDPR, måste ansvarig parten varje gång lagligt och i gynnsamma fall även på plats kontrolleras.
Den lokala kontrollen hos uppgiftshanteringstillståndshavare är en ytterligare säkerhet som ökar rättsläget och vars skyldighet i princip kan härröra från Art. 28 GDPR.

För varje land i den lista som visades tidigare måste en kontroll genomföras för att se om dataskyddsförordningen följs. Samma sak gäller för uppgiftshandläggare, oavsett vilket land de finns i. Detta gäller "bara" för personuppgifter, men det verkar som att Google Analytics alltid innehåller dessa. Google kan till exempel identifiera vem du är genom din Gmail-adress eller dina Google Maps-användningar (favoriter?) och koppla detta till din nuvarande IP-adress. Varje datavärde som kommer i kontakt med personuppgifter blir automatiskt också ett personuppgiftsvärde. Se till exempel Cookies och IP-adresser.

Om en webbplatsägare senare vill titta på eller analysera de (i exemplet med Google Analytics) sparade data, är det relevanta att veta var data lagras. Dessa platser är också geografiskt ofta fördelade vid tekniskt distribuerade tillämpningar. Från en server i Irland som mottagare av data plötsligt får man servrar över hela världen som tar emot data. Om det sparas eller inte är irrelevant för begreppet datapolitik (se Artikel 4 Nr. 2 GDPR). Även enbart tillfällig lagring av data i arbetsminnet under en mycket kort tid kan vara ett problem, som även den tidigare relativt liberala iriska dataskyddsmyndigheten konstaterade i WhatsApp-fallet.

Tillgång till en server

Senast sedan Corona vet alla att det finns en arbetsform som kallas hemmaarbete, även om vissa kallar den för distansarbete. Genom ett under kan du logga in i ett företags nätverk via internet.

Precis så är det också möjligt på en server, som varje webbplatsägare eller användare av ett molntjänst vet. För att detta ska vara möjligt måste bara en säker anslutning öppnas och redan har man tillgång till en server. Serverns läge är härvid helt ointressant. Tydligt är det att vem som helst, som har åtkomstuppgifterna för en server, kan logga in i denna från var som helst i världen. Även e-posttjänster eller betalda online e-postprogram är exempel på fjärråtkomster där serverns läge är helt ointressant.

Med protokoll som FTP och SCP kan data hämtas från en server eller överföras dit. Så kan tjänster ändras eller deras erhållna data suggas upp.

Med en SSH-anslutning kan beroende på tillgång skickas vilka kommandon som helst till en server. SSH står för Secure Shell. Med en SSH-anslutning till en server arbetar användaren i ett virtuellt terminalfönster. Om det terminalfönstret nu fysiskt befinner sig där också, eller inte, spelar tydligen ingen roll.

Tillgången till en server är potentiellt möjlig från var som helst i världen. Nationella rättigheter medger även säkerhetstjänster tillgång till servrar i Europa.
Rättsläget ska undersökas för varje nation.

Den enda verkliga skillnaden mellan fjärråtkomst och närvaro av användaren på platsen för servern gäller möjligheten att ändra serverhårddisken. Oftast är detta till exempel nödvändigt om defekt eller gammal hårdvara ska bytas ut mot nya delar.

Sammandrag

Serverns placering säger ingenting om i vilka länder de data som skickas till servern faktiskt hanteras. Serverns plats kan sällan bestämmas pålitligt och måste bekräftas av ett avtal. Många gånger ändrar sig servrar, som tillhandahåller populära tjänster, ständigt.

Vart en server skickar de mottagna datorna vet bara leverantören, till exempel Google i fallet med Google Analytics. Vem som är mottagare av data vet lika väl bara leverantören.

På grund av lagar i tredje land kan underrättelsetjänster eller andra nationella myndigheter få tillgång till vilka server som helst världen över. Med en fjärråtkomst kan man komma åt varje server, oavsett var den fysiskt befinner sig.

Ansvarig ska se till att alla mottagare av data följer GDPR och att alla länder där data skickas har ett skyddsnivå som är anpassat efter GDPR.

Alle Bilder in diesem Beitrag wurden von einem Computer-Programm erzeugt. Verwendet wurde das selbst entwickelte KI-System von Dr. DSGVO, ähnlich zu Midjourney. Die Bilder dürfen auf Webseiten frei verwendet werden, mit der Bitte, eine Verlinkung auf diesen Blog zu setzen.