IP-Adressen verschlüsseln, deaktivieren oder Speicherung einschränken

MFT

Aktives Mitglied
Lizenzinhaber
Registriert
12. Dez. 2016
Beiträge
39
Punkte
33
Hallo allerseits,

wir basteln an unserem Forum auch noch wegen der DSGVO. Wie kann man bei XenForo die Speicherung von IP-Adresse deaktivieren bzw. den Speicherzeitraum einschränken? Gibt es hierzu eine Möglichkeit?

Bislang kann ich ja jeden Benutzer aufrufen und sehe dann die IP-Adresse, die er vor 5 Jahren hatte, falls er nicht mehr aktiv war, gleiches gilt für die jeweiligen Beiträge.

Wie wurde das hier und auf euren Boards z.B. gemacht?

Beste Grüße
 
XenForo 1.5 speichert IP-Adressen für
  • Nutzungsdaten (Einstellungen / Protokollierung / Für IP-Informationen verwendeten Daten nach X Tagen löschen)
  • Moderatorlog ( Eintellungen / Protokollierung / Aufbewahrungsdauer des Logs der Moderatoren (in Tagen))
  • Adminlog (Einstellmöglichkeit per config.php, Default 60 Tage)
  • Fehlerprotokoll (keine Einstellmöglichkeit)
  • Fehlgeschlagene Logins (keine Einstellmöglichkeit, 1 Tag)
  • Session (Einstellmöglichkeit per config.php, Default 1 h)
  • Spam-Trigger-Log (keine Einstellmöglichkeit, 30 Tage)
Ganz deaktivieren lässt sich die Speicherung von Haus aus nicht und per Add-on nur mit einigen Verrenkungen.
 
Danke! Das sollte erst einmal helfen, anders wäre das Forum für nix mehr zu gebrauchen...
 
Oder Du schreibst in die index.php gleich nach dem php Tag

Code:
$_SERVER['REMOTE_ADDR'] = '127.0.0.1';

Damit bekommt jeder User diese IP
 
Code:
$_SERVER['REMOTE_ADDR'] = '127.0.0.1';

Damit bekommt jeder User diese IP
Das ist ehrlich gesagt keine gute Idee, denn damit kann theoretisch auch jeder User die Session eines anderen Users kapern wenn es ihm gelingt an die Session-ID zu gelangen.
Normalerweise unterbindet XenForo dies (ein Stück weit) indem eine Session an an einen bestimmten IP-Adressbereich gebunden ist, wenn aber alle die gleiche Adresse haben funktioniert dies nicht mehr.

Weitaus kritischer ist jedoch dass auch Login-Strikes somit für alle User gelten, d.h. wenn da einer eine Sperre auslöst greift diese für alle.
 
Ist das speichern von IP Adressen wirklich so kritisch?

Dass sie personenbezogene Daten sind ist klar. Allerdings doch nur solange der Provider sie gespeichert hat (6 Wochen). Nach 6 Wochen wäre die IP-Adresse demnach nicht mehr personenbezogen, da man auch per Staatsanwaltschaft nicht mehr den User zuordnen kann.

Denke ich falsch?
 
Denke ich falsch?
IMHO & IANAL Ja. Du siehst einer IP-Adresse nichts zwangsläufig an ob die dynamisch vergeben ist oder nicht.
Und wenn Sie es nicht ist, dann ist der personenbezug ggf. auch nach Jahren noch vorhanden.
 
Stimmt auch wieder....

Bis jetzt war ich auf dem Standpunkt, dass ich in den Nutzungsbedingungen folgendes angebe:

IP-Adressen

Ip-Adressen gehören zu den personenbezogenen Daten und werden von uns nur begrenzt (30 Tage) zur Spambekämpfung und zur Abwehr von nicht autorisierten Registrierungen gespeichert. Anhand Ihrer IP-Adresse können Sie zwar nicht von uns, aber z.B. von strafverfolgenden Behörden eindeutig (Anschlussinhaber) identifiziert werden. Nach der Löschung Ihres Accounts befinden sich also noch für 30 Tage personenbezogene Daten (IP-Adresse der letzten Aktivität) in unserem System.

.... um damit auf der sicheren Seite zu sein. Dachte ich zumindest.
 
So ganz werde ich aus dem Gesetzgeber nicht schlau.

Wenn bei keinem Kommentar und keiner Aktion mehr IPs gespeichert werden dürfen, dann kann niemand mehr ermittelt werden, der Angriffe auf Server, Webseiten oder Rufschädigung betreibt. Ich finde es vor allem für Foren existenziell IPs schon alleine wegen Spam u.s.w zu kurzzeitig zu speichern. Durch das eine wäre dem anderen dann die Tür komplett geöffnet, was ja auch nicht Sinn der Sache ist.

Gibt es irgendwo ein klares Statement wie es zur Speicherung von IPs für Foren und anderen Communitys im Zuge der DSVGO aussieht? Aktuell gehe ich davon aus, dass ein Hinweis in der Datenschutzerklärung bzw. Registrierung so wie @Heffalump schreibt, genügt.
 
Das Speichern von IPs is mMn. weiterhin erlaubt - allerdings in engerem Rahmen. Das heist man sollte eine Frist benennen, wie lange man IPs speichert und diese sollte kürzest möglich sein und ich meine auch gelesen zu haben, das es da erlaubt bleibt, wo technisch unabdingbar. Aber auch hier unter engen Grenzen.

Aber gar nicht mehr, ist mMn. schlicht falsch.
 
Eigentlich ist die Frage entschieden. Dyn. IP-Adressen sind personenbezogene Daten und dürfen nur gespeichert werden, soweit dies zur Aufrechterhaltung des Dienstes erforderlich ist. Soweit das Grundsatzurteil. Die Vorinstanz muß nun prüfen, ob das Erfordernis im konkreten Fall besteht und dabei alle möglichen Sachen abwägen. Um das Urteil auf den Betrieb eines Forums anzuwenden, würde ich sagen: Hier besteht kein Erfordernis zur dauerhaften Speicherung von IP-Adressen (irgendwelcher Art), damit ein (unverändertes) Forum richtig funktioniert.

Das Problem liegt wie immer im Detail, bzw. hier im Einzelfall. Bei jedem wird die Frage nach dem Erfordernis anders ausfallen und im Falle einer Bejahung durch den Betreiber wird dies aus meiner Sicht immer rechtlich angreifbar sein (vmtl. wie immer mit wechselnden Erfolgsaussichten).

Auf der anderen Seite steht in §12 TMG:
* § 12 Telemediengesetz - Grundsätze

(1) Der Diensteanbieter darf personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.

Sollte es wirklich so einfach sein?
 
Dyn. IP-Adressen sind personenbezogene Daten und dürfen nur gespeichert werden, soweit dies zur Aufrechterhaltung des Dienstes erforderlich ist.
Das unterstrichene ist genau der Punkt an dem es derzeit IMHO noch keine Rechtssicherheit gibt.
Wenn ich z.B. von Spam-Registrierungen überflutet werde dann hilft es mir ggf. festzustellen dass die alle aus Russland, China, etc. kommen - um dann ggf. für diese Länder besondere Anforderungen zu stellen.
Sehe ich aber nicht woher die Registrierungen kommen habe ich da deutlich schlechtere Karten.

Gleichs bei einem L7 DDoS-Angriff, da sind IP-Daten in den Logs ggf. sehr hilfreich bzw. man hat es ohne diese ggf. sehr schwer.

Natürlich muss man da immer im Einzelfall abwägen, aber so eine Grundtendenz (X Tage sind für eine durchschnittliche, aktive Website im erforderlich, etc.), das wäre schon sehr hilfreich.
Und ich denke wenn es mehr Urteile es in der Richtung gibt, wird man da schon eine Tendenz herauslesen können.
 
Vmtl. bedarf es einer ganzen Menge an Fallbeispielen, um hier Rechtssicherheit zu bekommen. :(
 
Und letztlich muss man aus Erfahrung auch sagen, dass Abmahnanwälte sich die totsicheren Dinge heraussuchen und keine, bei der die Rechtslage fallabhängig ist. Das widerspricht der Strategie des schnellen, sicheren Euro.
 
Kleiner Tipp, gerade gesehen:

Die Phrase: contact_email_body_html

Die folgende Nachricht wurde dir von {user} (IP-Adresse: {ip}) durch das Kontaktformular von {board} zugesandt.

ändern in :

Die folgende Nachricht wurde dir von {user} durch das Kontaktformular von {board} zugesandt.

Weil, wenn ihr sonst bei der email auf antworten klickt, könnte es ein böses Erwachen geben. ;)

@Alluidh könntet ihr das im deutschen Sprachpaket evtl. direkt so einbauen, damit das beim Update der Sprachpakete nicht überschrieben wird?
 
Kleiner Tipp, gerade gesehen:

Die Phrase: contact_email_body_html

Die folgende Nachricht wurde dir von {user} (IP-Adresse: {ip}) durch das Kontaktformular von {board} zugesandt.

ändern in :

Die folgende Nachricht wurde dir von {user} durch das Kontaktformular von {board} zugesandt.

Weil, wenn ihr sonst bei der email auf antworten klickt, könnte es ein böses Erwachen geben. ;)

@Alluidh könntet ihr das im deutschen Sprachpaket evtl. direkt so einbauen, damit das beim Update der Sprachpakete nicht überschrieben wird?


die Phrase contact_email_body_text
Code:
The following message has been sent via the contact form at {board_title}.

Name: {name} (ID: {user_id})
IP: {ip}
Email: {email}
Subject: {subject}

Message:
------
{message}
hat auch die Ip anzeige drin
 
Zurück
Oben