Auf Anfrage des Kunden musst Du reagieren.
Dein Kunde muss so etwas vorliegen haben.
Du musst mit Dritten eine AV (und nicht mehr ADV) abschließend wo Du personenbezogene Daten verarbeiten lässt!
AV-Vertrag! - Vorab - ich bin kein Rechtsanwalt und das ist keine Rechtsberatung. An sich sollte dich dahingehend ein Rechtsanwalt beraten kein öffentliches Forum. Generell ist es so, dass es hier nur um die Verarbeitung personenbezogener Daten geht. Wenn du auf deinem Server personenbezogene Daten von Kunden verarbeitest z.B. der Gartenbauverein seine Mitgliederdatenbank bei dir hat - dann brauchst der Gartenbauverein mit dir eine AV wenn du als Hoster dessen auftrittst. Wenn es sich um eine Webvisitenkarte handelt, also um einen privaten Blog oder der Gleichen ist eine AV nicht zwingend erforderlich. Hier kommt es darauf an, ob im Blog noch zusätzliche Besucherstatistik Module installiert sind oder ob die IP-Adressen der Kommentar Funtionen anonymisiert gespeichert werden bzw. ob es überhaupt eine Registrieren Funktion gibt über die man z.B. eine E-Mail Adresse hinterlegen kann. Je nach Fall kann eine AV erforderlich sein oder eben nicht. Dies zu beurteilen ist aber Aufgabe deines Kunden nicht deine. Wichtig kann es aber sein, dass du die Zugriffslogs der Webseiten anonymisierst und/oder die Logrotation auf dem Server entsprechend anpaast -> https://blog.ip-projects.de/an…dressen-bei-i-mscp-plesk/ - per default werden IP Adressen in den Logs gespeichert und per default dies über !!! 365 Tage !!! - diese Konfiguration ist nicht DSGVO konform und muss geändert werden. Ebenso musst du alte Logs und AWStats Statistiken bereinigen. Auf unseren Webservern mit I-MSCP haben wir daher:
rm /var/log/apache2/*/*.log.*
rm /var/www/virtual/*/logs/*/*.log.*
rm /var/cache/awstats/*
ausgeführt. Damit sollten dann alle Log leichen und statistiken resettet sein.
Insgesamt ist es zudem wichtig, dass die Vertragsketten eingehalten werden. Daher, du schließt mit deinem Hoster einen AV-Vertrag, deine Kunden schließen mit dir enen AV-Vertrag. Dein Hoster wiederrum mit seinen Zulieferern.
You are not a lawyer... You're too strict in your interpretation... If we follow your strict interpretation we can say BYE to tools such as fail2ban...
See https://www.ctrl.blog/entry/gdpr-web-server-logs for a better interpretation.
NEVER FORGOT: Law is always subject to interpretation. A law alone is nothing. There are always subtilities.
BTW: I'm not targeting the 365 days of log retention which are effectively not appropriate in regard of the GDPR.
You are not a lawyer... You're too strict in your interpretation... If we follow your strict interpretation we can say BYE to tools such as fail2ban...
See https://www.ctrl.blog/entry/gdpr-web-server-logs for a better interpretation.
NEVER FORGOT: Law is always subject to interpretation. A law alone is nothing. There are always subtilities.
There are other ways out of fail2ban to block Attacks or sth. else. But yes, this is strickt but a save way. Otherwise your customers must declare the way of loggin in disclaimer. 7 Days log rotation would be also a OK way and deactivate AWStats. The Problem why it is needed to anonymise the IP is AWStats.
There are other ways out of fail2ban to block Attacks or sth. else. But yes, this is strickt but a save way. Otherwise your customers must declare the way of loggin in disclaimer. 7 Days log rotation would be also a OK way and deactivate AWStats.
The GDPR don't prevent you to process logs (including IP addresses) to protect your system (security layer). Of course, there are time window restrictions. And sorry but DDoS mitigation technologies are far too expensive for small hosters or people that manage there own servers.
The Problem why it is needed to anonymise the IP is AWStats.
Why you don't process anonymisation at AWStats level so?
For the log retention, you're right. I'll change the logrotate to 7 days in next maintenance release.
The GDPR don't prevent you to process logs (including IP addresses) to protect your system (security layer). Of course, there are time window restrictions. And sorry but DDoS mitigation technologies are far too expensive for small hosters or people that manage there own servers.
I said in my post i am not a lawyer. But when you use AWStats Web Statistic, you could handle it with IP Anonymize. Otherwise it is not DSGVO conform. When AWStats bring a feature where you can anonymize the IP for Customers and you set this at the awstats log, it is all fine. If not you can alternative make a cronjob which delete the awstats stats all 7 days also like log rotation.
I said in my post i am not a lawyer. But when you use AWStats Web Statistic, you could handle it with IP Anonymize. Otherwise it is not DSGVO conform. When AWStats bring a feature where you can anonymize the IP for Customers and you set this at the awstats log, it is all fine. If not you can alternative make a cronjob which delete the awstats stats all 7 days also like log rotation.
There are no way to anonymise IP addresses in AWStats? If that true, I'll have a look into their code and provide a patch because such feature should be in AWStats core.