Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › E-Privacy-Verordnung: Verleger und…

Registration = Erlaubnis?

  1. Thema

Neues Thema Ansicht wechseln


  1. Registration = Erlaubnis?

    Autor: Xiut 07.03.18 - 14:46

    Was ich bisher nicht finden konnte: Muss man jetzt bald auch eine extra Erlaubnis einholen, wenn man die Email-Adresse für den Login oder die "Passwort vergessen"-Funktion nutzen möchte?

    Ich betreibe Webseiten, wo ich keine persönlichen Daten verarbeite und auch erst gar nicht abfrage, aber eben die Email...

    Ich hab auch überlegt sie gehasht zu speichern, aber zum einen würde das nicht ausreichen (auch mit hohen Aufwand darf man nicht die ursprünglichen Daten "herleiten" können) und zum anderen würde die "Passwort vergessen" Funktion dann nicht mehr funktionieren... :-/

  2. Re: Registration = Erlaubnis?

    Autor: Huviator 07.03.18 - 14:49

    Doch natürlich würde die funktionieren. Gibt der Nutzer seine E-Mail Adresse für Passwort vergessen ein, so hast du die erneut und suchst dann über den hash nach dem Benutzer.

  3. Re: Registration = Erlaubnis?

    Autor: Xiut 07.03.18 - 14:52

    Huviator schrieb:
    --------------------------------------------------------------------------------
    > Doch natürlich würde die funktionieren. Gibt der Nutzer seine E-Mail
    > Adresse für Passwort vergessen ein, so hast du die erneut und suchst dann
    > über den hash nach dem Benutzer.

    Ja, aber zum einen würde es trotzdem noch als personenbezogene Daten zählen und zum anderen wäre da wieder die Frage: Ist die Eingabe dann bereits eine Erlaubnis für die Verarbeitung, wie in diesem Fall das Verschicken des Reset-Links an diese Emailadresse... Oder muss man dann extra noch immer ein Kästchen einblenden "Ja, XY darf meine Emailadresse für den Zweck Z verarbeiten"?

  4. Re: Registration = Erlaubnis?

    Autor: Anonymer Nutzer 07.03.18 - 15:45

    Xiut schrieb:
    --------------------------------------------------------------------------------
    > Huviator schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Doch natürlich würde die funktionieren. Gibt der Nutzer seine E-Mail
    > > Adresse für Passwort vergessen ein, so hast du die erneut und suchst
    > dann
    > > über den hash nach dem Benutzer.
    >
    > Ja, aber zum einen würde es trotzdem noch als personenbezogene Daten zählen
    > und zum anderen wäre da wieder die Frage: Ist die Eingabe dann bereits eine
    > Erlaubnis für die Verarbeitung, wie in diesem Fall das Verschicken des
    > Reset-Links an diese Emailadresse... Oder muss man dann extra noch immer
    > ein Kästchen einblenden "Ja, XY darf meine Emailadresse für den Zweck Z
    > verarbeiten"?
    Nicht zweck Z sondern zweck "passwort vergessen, schick mir neues".
    Genau das will der kunde in dem moment, deswegen gibt er ja die email adresse in das entsprechende feld und klickt dann vermutlich auf einen button mit Bezeichnung "neues passwort an email" oder ähnlichem text.

  5. Re: Registration = Erlaubnis?

    Autor: Herr Unterfahren 08.03.18 - 08:47

    Du kannst in dem Fall zwar nicht unbedingt davon ausgehen, daß derjenige der das Formular bedient, der User ist dem der Account gehört.
    Allerdings ist es zumindest jemand, der die Mailadresse kennt.

    Mittlerweile hat es sich auch eingebürgert, keine Bestätigung mehr an den Formularbediener zurückzugeben, ob die Adresse bekannt ist. Das beugt neugierigen Personen vor, die abklopfen wollen, wo eine bekannte Adresse registriert ist.
    Und notfalls schreibst du noch in die Mail rein, daß man diese ignorieren kann wenn man sie nicht ausgelöst hat.

  6. Re: Registration = Erlaubnis?

    Autor: MFGSparka 08.03.18 - 10:22

    Xiut schrieb:
    --------------------------------------------------------------------------------
    > Was ich bisher nicht finden konnte: Muss man jetzt bald auch eine extra
    > Erlaubnis einholen, wenn man die Email-Adresse für den Login oder die
    > "Passwort vergessen"-Funktion nutzen möchte?
    >
    > Ich betreibe Webseiten, wo ich keine persönlichen Daten verarbeite und auch
    > erst gar nicht abfrage, aber eben die Email...
    >
    > Ich hab auch überlegt sie gehasht zu speichern, aber zum einen würde das
    > nicht ausreichen (auch mit hohen Aufwand darf man nicht die ursprünglichen
    > Daten "herleiten" können) und zum anderen würde die "Passwort vergessen"
    > Funktion dann nicht mehr funktionieren... :-/

    Du hast das eigentlich ganz richtig erkannt. Du brauchst eine Erlaubnis. Allerdings musst du dir die auch schon beim anlegen des Accounts einholen, da du sonst die Mailadresse gar nicht haben darfst.
    Ich würde hier ein Verfahren "Benutzeraccount" anlegen. Darin beschreibst du, welche Daten du speicherst und was du genau damit machst. Also identifizieren, passwort zurücksetzen. Du definiest wann du die Daten wieder löschst. Also z.b. 1 Woche nach schließung des Accounts.
    Fertig ist dein Verfahren.

    Kleine Anmerkung noch. Deine Idee mit den "gehashten" Mailadressen finde ich ziemlich charmant.



    1 mal bearbeitet, zuletzt am 08.03.18 10:23 durch MFGSparka.

  7. Re: Registration = Erlaubnis?

    Autor: KOTRET 08.03.18 - 13:52

    Email-Adressen lassen sich sehr wohl so hashen dass der Hash nicht wieder zurückgerechnet werden kann - siehe dazu z.B. BCrypt (allerdings nur bis 56 Zeichen), es gibt bestimmt noch andere Verfahren.

    Was die Aufklärung des Anwenders angeht: da die Anforderung eines Passwortes ein direkter Dienstleistungsauftrag ist, muss m.E. nicht über die Verwendung aufgeklärt werden - der Zweck ist ja schon durch den Besuch der Passwort-Vergessen-Seite gegeben. Wenn du dann noch was anderes, nicht zweckgebundenes damit machst, dann müsstest du darüber aufklären und ggf. eine Einverständniserklärung einholen.

    Wenn für den Betrieb der Seite eine Email-Adresse vorausgesetzt wird, dann darf diese im Rahmen der Bereitstellung von diversen zweckgebundenen Funktion natürlich verwendet werden. Die Erstellung eines Accounts ohne Zuordnungs- und Wiederherstellungsfunktionen wäre auch ziemlich sinnlos.

  8. Re: Registration = Erlaubnis?

    Autor: Xiut 08.03.18 - 14:05

    KOTRET schrieb:
    --------------------------------------------------------------------------------
    > Email-Adressen lassen sich sehr wohl so hashen dass der Hash nicht wieder
    > zurückgerechnet werden kann - siehe dazu z.B. BCrypt (allerdings nur bis 56
    > Zeichen), es gibt bestimmt noch andere Verfahren.
    >

    Nein, bCrypt könnte hier zum Beispiel auch gar nicht wirklich eingesetzt werden, da es einen entsprechenden Salt verwendet und somit bei jedem Login die Email-Adresse mit JEDEM Salt aus der Datenbank gehasht und mit dem jeweiligen Hash verglichen werden müsste. Da bCrypt dann zusätzlich noch extra langsam ist, was bei Passwörtern auch super ist und weswegen ich es auch bei Passwörtern verwende, ist das bei einer hohen Anzahl an Nutzern einfach nicht praktikabel.

    Und ein Salt macht in diesem Sinne auch keinen Sinn, da die Email-Adressen ja sowieso eindeutig sein müssen, was bei Passwörtern ja nicht der Fall ist. Deswegen würde der Salt hier keinen Nutzen haben, aber alles unpraktikabel machen.

    Einfach nur hashen mit SHA256 oder ähnlichem und das gerne auch 10.000 Runden oder so (hier kann das Hashen ja dann ruhig auch 1 Sekunde dauern, da man das Ergebnis dann leicht in der Datenbank vergleichen kann), dürfte aber laut DSGVO nichts daran ändern, dass es personenbezogene Daten sind. Laut DSGVO gelten Daten nämlich erst dann als anonymisiert, wenn man sie auch mit nur sehr großen Aufwand "umwandeln" kann. Und genau das ist bei einem Hash durch Brute Force gegeben.
    Egal wie dämlich das eigentlich ist... Aber naja..

    Entsprechend würde mir selbst bcrypt nichts bringen und nur mehr Probleme bereiten. Da setze ich lieber auf 1 Sekunde lang mit SHA256 hashen, auch wenn es nichts daran ändern wird, dass es personenbezogene Daten bleiben.. :-/
    Aber so wäre es zumindest ein zusätzlicher Schutz für die Nutzer. Muss nur vorher noch gut überlegen, dass ich da nichts vergessen habe und das wirklich Problemlos so machen kann :D

    > Was die Aufklärung des Anwenders angeht: da die Anforderung eines
    > Passwortes ein direkter Dienstleistungsauftrag ist, muss m.E. nicht über
    > die Verwendung aufgeklärt werden - der Zweck ist ja schon durch den Besuch
    > der Passwort-Vergessen-Seite gegeben. Wenn du dann noch was anderes, nicht
    > zweckgebundenes damit machst, dann müsstest du darüber aufklären und ggf.
    > eine Einverständniserklärung einholen.
    >
    > Wenn für den Betrieb der Seite eine Email-Adresse vorausgesetzt wird, dann
    > darf diese im Rahmen der Bereitstellung von diversen zweckgebundenen
    > Funktion natürlich verwendet werden. Die Erstellung eines Accounts ohne
    > Zuordnungs- und Wiederherstellungsfunktionen wäre auch ziemlich sinnlos.

    Ok, darauf habe ich gehofft. Weil es sollte ja für jeden logisch sein, dass wenn man die "Passwort vergessen" Funktion nutzt, man die Email entsprechend "verarbeiten" muss. Da würde ich ein extra Kästchen bisschen kontraproduktiv finden, weil die Nutzer dann eher immer alles "abhaken", da das immer gefragt wird, anstatt aufmerksam zu werden, wieso die Erlaubnis eingeholt werden muss, da wohl die Daten auch noch anderweitig verwendet werden...


    Aber ok, dann werde ich also erst einmal das mit dem Hashen der Emailadressen gut durchplanen und einfach so oder so eine Unterseite anbieten, wo aufgelistet wird, dass ich die Daten jeweils nur für die wirklich notwendigen Funktionen nutzen werde.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. EUCHNER GmbH + Co. KG, Leinfelden-Echterdingen/Stuttgart
  2. Bayerische Versorgungskammer, München
  3. JOB AG Industrial Service GmbH, Anklam (Home-Office)
  4. itsc GmbH, Essen, Hamburg oder Hannover

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 72,99€ (Release am 19. September)
  2. 157,90€ + Versand


Haben wir etwas übersehen?

E-Mail an news@golem.de


Mobile-Games-Auslese: Magischer Dieb trifft mogelnden Doktor
Mobile-Games-Auslese
Magischer Dieb trifft mogelnden Doktor

Ein Dieb mit Dolch in Daggerhood, dazu ein (historisch verbürgter) Arzt in Astrologaster sowie wunderschön aufbereitetes Free-to-Play-Mittelalter in Marginalia Hero: Golem.de stellt die spannendsten neuen Mobile Games vor.
Von Rainer Sigl

  1. Hyper Casual Games 30 Sekunden spielen, 30 Sekunden Werbung
  2. Mobile-Games-Auslese Rollenspiel-Frühling mit leichten Schusswechseln
  3. Gaming Apple Arcade wird Spiele-Flatrate für iOS und MacOS

Ada und Spark: Mehr Sicherheit durch bessere Programmiersprachen
Ada und Spark
Mehr Sicherheit durch bessere Programmiersprachen

Viele Sicherheitslücken in Software sind auf Programmierfehler zurückzuführen. Diese Fehler lassen sich aber vermeiden - und zwar unter anderem durch die Wahl einer guten Programmiersprache. Ada und Spark gehören dazu, leider sind sie immer noch wenig bekannt.
Von Johannes Kanig

  1. Das andere How-to Deutsch lernen für Programmierer
  2. Programmiersprachen, Pakete, IDEs So steigen Entwickler in Machine Learning ein

Final Fantasy 7 Remake angespielt: Cloud Strife und die (fast) unendliche Geschichte
Final Fantasy 7 Remake angespielt
Cloud Strife und die (fast) unendliche Geschichte

E3 2019 Das Remake von Final Fantasy 7 wird ein Riesenprojekt, allein die erste Episode erscheint auf zwei Blu-ray-Discs. Kurios: In wie viele Folgen das bereits enorm umfangreiche Original von 1997 aufgeteilt wird, kann bislang nicht mal der Producer sagen.

  1. Final Fantasy 14 Online Report Zwischen Cosplay, Kirmes und Kampfsystem
  2. Square Enix Final Fantasy 14 erhält Solo-Inhalte und besonderen Magier
  3. Rollenspiel Square Enix streicht Erweiterungen für Final Fantasy 15

  1. Apple: Öffentliche Beta von iOS 13 und iPadOS erschienen
    Apple
    Öffentliche Beta von iOS 13 und iPadOS erschienen

    Apple hat nach der zweiten Entwickler-Beta nun auch die erste Beta von iOS 13 und iPadOS für interessierte Anwender bereitgestellt.

  2. Apple: Öffentliche Beta von MacOS Catalina ist da
    Apple
    Öffentliche Beta von MacOS Catalina ist da

    Apple hat mit der ersten öffentlichen Betaversion von MacOS 10.15 die erste Vorabversion seines künftigen Desktop-Betriebssystems veröffentlicht. Die wichtigste Neuerung sind iPad-Apps, die auf dem Mac laufen, eine Dreiteilung von iTunes und vieles mehr.

  3. Refarming: Das wird nicht "das 5G, was sich viele erträumen"
    Refarming
    Das wird nicht "das 5G, was sich viele erträumen"

    5G muss in den richtigen Frequenzbereichen angeboten werden, um die volle Leistung zu bieten. Huawei spricht hier von 5G-Hype.


  1. 23:55

  2. 23:24

  3. 18:53

  4. 18:15

  5. 17:35

  6. 17:18

  7. 17:03

  8. 16:28