Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › E-Privacy-Verordnung: Verleger und…

Registration = Erlaubnis?

  1. Thema

Neues Thema Ansicht wechseln


  1. Registration = Erlaubnis?

    Autor: Xiut 07.03.18 - 14:46

    Was ich bisher nicht finden konnte: Muss man jetzt bald auch eine extra Erlaubnis einholen, wenn man die Email-Adresse für den Login oder die "Passwort vergessen"-Funktion nutzen möchte?

    Ich betreibe Webseiten, wo ich keine persönlichen Daten verarbeite und auch erst gar nicht abfrage, aber eben die Email...

    Ich hab auch überlegt sie gehasht zu speichern, aber zum einen würde das nicht ausreichen (auch mit hohen Aufwand darf man nicht die ursprünglichen Daten "herleiten" können) und zum anderen würde die "Passwort vergessen" Funktion dann nicht mehr funktionieren... :-/

  2. Re: Registration = Erlaubnis?

    Autor: Huviator 07.03.18 - 14:49

    Doch natürlich würde die funktionieren. Gibt der Nutzer seine E-Mail Adresse für Passwort vergessen ein, so hast du die erneut und suchst dann über den hash nach dem Benutzer.

  3. Re: Registration = Erlaubnis?

    Autor: Xiut 07.03.18 - 14:52

    Huviator schrieb:
    --------------------------------------------------------------------------------
    > Doch natürlich würde die funktionieren. Gibt der Nutzer seine E-Mail
    > Adresse für Passwort vergessen ein, so hast du die erneut und suchst dann
    > über den hash nach dem Benutzer.

    Ja, aber zum einen würde es trotzdem noch als personenbezogene Daten zählen und zum anderen wäre da wieder die Frage: Ist die Eingabe dann bereits eine Erlaubnis für die Verarbeitung, wie in diesem Fall das Verschicken des Reset-Links an diese Emailadresse... Oder muss man dann extra noch immer ein Kästchen einblenden "Ja, XY darf meine Emailadresse für den Zweck Z verarbeiten"?

  4. Re: Registration = Erlaubnis?

    Autor: Prinzeumel 07.03.18 - 15:45

    Xiut schrieb:
    --------------------------------------------------------------------------------
    > Huviator schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Doch natürlich würde die funktionieren. Gibt der Nutzer seine E-Mail
    > > Adresse für Passwort vergessen ein, so hast du die erneut und suchst
    > dann
    > > über den hash nach dem Benutzer.
    >
    > Ja, aber zum einen würde es trotzdem noch als personenbezogene Daten zählen
    > und zum anderen wäre da wieder die Frage: Ist die Eingabe dann bereits eine
    > Erlaubnis für die Verarbeitung, wie in diesem Fall das Verschicken des
    > Reset-Links an diese Emailadresse... Oder muss man dann extra noch immer
    > ein Kästchen einblenden "Ja, XY darf meine Emailadresse für den Zweck Z
    > verarbeiten"?
    Nicht zweck Z sondern zweck "passwort vergessen, schick mir neues".
    Genau das will der kunde in dem moment, deswegen gibt er ja die email adresse in das entsprechende feld und klickt dann vermutlich auf einen button mit Bezeichnung "neues passwort an email" oder ähnlichem text.

  5. Re: Registration = Erlaubnis?

    Autor: Herr Unterfahren 08.03.18 - 08:47

    Du kannst in dem Fall zwar nicht unbedingt davon ausgehen, daß derjenige der das Formular bedient, der User ist dem der Account gehört.
    Allerdings ist es zumindest jemand, der die Mailadresse kennt.

    Mittlerweile hat es sich auch eingebürgert, keine Bestätigung mehr an den Formularbediener zurückzugeben, ob die Adresse bekannt ist. Das beugt neugierigen Personen vor, die abklopfen wollen, wo eine bekannte Adresse registriert ist.
    Und notfalls schreibst du noch in die Mail rein, daß man diese ignorieren kann wenn man sie nicht ausgelöst hat.

  6. Re: Registration = Erlaubnis?

    Autor: MFGSparka 08.03.18 - 10:22

    Xiut schrieb:
    --------------------------------------------------------------------------------
    > Was ich bisher nicht finden konnte: Muss man jetzt bald auch eine extra
    > Erlaubnis einholen, wenn man die Email-Adresse für den Login oder die
    > "Passwort vergessen"-Funktion nutzen möchte?
    >
    > Ich betreibe Webseiten, wo ich keine persönlichen Daten verarbeite und auch
    > erst gar nicht abfrage, aber eben die Email...
    >
    > Ich hab auch überlegt sie gehasht zu speichern, aber zum einen würde das
    > nicht ausreichen (auch mit hohen Aufwand darf man nicht die ursprünglichen
    > Daten "herleiten" können) und zum anderen würde die "Passwort vergessen"
    > Funktion dann nicht mehr funktionieren... :-/

    Du hast das eigentlich ganz richtig erkannt. Du brauchst eine Erlaubnis. Allerdings musst du dir die auch schon beim anlegen des Accounts einholen, da du sonst die Mailadresse gar nicht haben darfst.
    Ich würde hier ein Verfahren "Benutzeraccount" anlegen. Darin beschreibst du, welche Daten du speicherst und was du genau damit machst. Also identifizieren, passwort zurücksetzen. Du definiest wann du die Daten wieder löschst. Also z.b. 1 Woche nach schließung des Accounts.
    Fertig ist dein Verfahren.

    Kleine Anmerkung noch. Deine Idee mit den "gehashten" Mailadressen finde ich ziemlich charmant.



    1 mal bearbeitet, zuletzt am 08.03.18 10:23 durch MFGSparka.

  7. Re: Registration = Erlaubnis?

    Autor: KOTRET 08.03.18 - 13:52

    Email-Adressen lassen sich sehr wohl so hashen dass der Hash nicht wieder zurückgerechnet werden kann - siehe dazu z.B. BCrypt (allerdings nur bis 56 Zeichen), es gibt bestimmt noch andere Verfahren.

    Was die Aufklärung des Anwenders angeht: da die Anforderung eines Passwortes ein direkter Dienstleistungsauftrag ist, muss m.E. nicht über die Verwendung aufgeklärt werden - der Zweck ist ja schon durch den Besuch der Passwort-Vergessen-Seite gegeben. Wenn du dann noch was anderes, nicht zweckgebundenes damit machst, dann müsstest du darüber aufklären und ggf. eine Einverständniserklärung einholen.

    Wenn für den Betrieb der Seite eine Email-Adresse vorausgesetzt wird, dann darf diese im Rahmen der Bereitstellung von diversen zweckgebundenen Funktion natürlich verwendet werden. Die Erstellung eines Accounts ohne Zuordnungs- und Wiederherstellungsfunktionen wäre auch ziemlich sinnlos.

  8. Re: Registration = Erlaubnis?

    Autor: Xiut 08.03.18 - 14:05

    KOTRET schrieb:
    --------------------------------------------------------------------------------
    > Email-Adressen lassen sich sehr wohl so hashen dass der Hash nicht wieder
    > zurückgerechnet werden kann - siehe dazu z.B. BCrypt (allerdings nur bis 56
    > Zeichen), es gibt bestimmt noch andere Verfahren.
    >

    Nein, bCrypt könnte hier zum Beispiel auch gar nicht wirklich eingesetzt werden, da es einen entsprechenden Salt verwendet und somit bei jedem Login die Email-Adresse mit JEDEM Salt aus der Datenbank gehasht und mit dem jeweiligen Hash verglichen werden müsste. Da bCrypt dann zusätzlich noch extra langsam ist, was bei Passwörtern auch super ist und weswegen ich es auch bei Passwörtern verwende, ist das bei einer hohen Anzahl an Nutzern einfach nicht praktikabel.

    Und ein Salt macht in diesem Sinne auch keinen Sinn, da die Email-Adressen ja sowieso eindeutig sein müssen, was bei Passwörtern ja nicht der Fall ist. Deswegen würde der Salt hier keinen Nutzen haben, aber alles unpraktikabel machen.

    Einfach nur hashen mit SHA256 oder ähnlichem und das gerne auch 10.000 Runden oder so (hier kann das Hashen ja dann ruhig auch 1 Sekunde dauern, da man das Ergebnis dann leicht in der Datenbank vergleichen kann), dürfte aber laut DSGVO nichts daran ändern, dass es personenbezogene Daten sind. Laut DSGVO gelten Daten nämlich erst dann als anonymisiert, wenn man sie auch mit nur sehr großen Aufwand "umwandeln" kann. Und genau das ist bei einem Hash durch Brute Force gegeben.
    Egal wie dämlich das eigentlich ist... Aber naja..

    Entsprechend würde mir selbst bcrypt nichts bringen und nur mehr Probleme bereiten. Da setze ich lieber auf 1 Sekunde lang mit SHA256 hashen, auch wenn es nichts daran ändern wird, dass es personenbezogene Daten bleiben.. :-/
    Aber so wäre es zumindest ein zusätzlicher Schutz für die Nutzer. Muss nur vorher noch gut überlegen, dass ich da nichts vergessen habe und das wirklich Problemlos so machen kann :D

    > Was die Aufklärung des Anwenders angeht: da die Anforderung eines
    > Passwortes ein direkter Dienstleistungsauftrag ist, muss m.E. nicht über
    > die Verwendung aufgeklärt werden - der Zweck ist ja schon durch den Besuch
    > der Passwort-Vergessen-Seite gegeben. Wenn du dann noch was anderes, nicht
    > zweckgebundenes damit machst, dann müsstest du darüber aufklären und ggf.
    > eine Einverständniserklärung einholen.
    >
    > Wenn für den Betrieb der Seite eine Email-Adresse vorausgesetzt wird, dann
    > darf diese im Rahmen der Bereitstellung von diversen zweckgebundenen
    > Funktion natürlich verwendet werden. Die Erstellung eines Accounts ohne
    > Zuordnungs- und Wiederherstellungsfunktionen wäre auch ziemlich sinnlos.

    Ok, darauf habe ich gehofft. Weil es sollte ja für jeden logisch sein, dass wenn man die "Passwort vergessen" Funktion nutzt, man die Email entsprechend "verarbeiten" muss. Da würde ich ein extra Kästchen bisschen kontraproduktiv finden, weil die Nutzer dann eher immer alles "abhaken", da das immer gefragt wird, anstatt aufmerksam zu werden, wieso die Erlaubnis eingeholt werden muss, da wohl die Daten auch noch anderweitig verwendet werden...


    Aber ok, dann werde ich also erst einmal das mit dem Hashen der Emailadressen gut durchplanen und einfach so oder so eine Unterseite anbieten, wo aufgelistet wird, dass ich die Daten jeweils nur für die wirklich notwendigen Funktionen nutzen werde.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. DAN Produkte GmbH, Raum Schleswig-Holstein, Niedersachen, Hamburg, Bremen (Home-Office)
  2. BüchnerBarella Holding GmbH & Co. KG, Gießen
  3. Zentralinstitut für die kassenärztliche Versorgung, Berlin
  4. alanta health group GmbH, Hamburg-Jenfeld

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 44,99€
  2. 34,99€
  3. 4,99€
  4. 4,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Raspi-Tastatur und -Maus im Test: Die Basteltastatur für Bastelrechner
Raspi-Tastatur und -Maus im Test
Die Basteltastatur für Bastelrechner

Für die Raspberry-Pi-Platinen gibt es eine offizielle Tastatur und Maus, passenderweise in Weiß und Rot. Im Test macht die Tastatur einen anständigen Eindruck, die Maus hingegen hat uns eher kaltgelassen. Das Keyboard ist zudem ein guter Ausgangspunkt für Bastelprojekte.
Ein Test von Tobias Költzsch

  1. Bastelcomputer Offizielle Maus und Tastatur für den Raspberry Pi
  2. Kodi mit Raspberry Pi Pimp your Stereoanlage
  3. Betriebssystem Windows 10 on ARM kann auf Raspberry Pi 3 installiert werden

Linux: Wer sind die Debian-Bewerber?
Linux
Wer sind die Debian-Bewerber?

Nach schleppendem Beginn stellen sich vier Kandidaten als Debian Project Leader zur Wahl. Zwei von ihnen kommen aus dem deutschsprachigen Raum und stellen Golem.de ihre Ziele vor.
Von Fabian A. Scherschel

  1. Betriebssystem Debian-Entwickler tritt wegen veralteter Werkzeuge zurück
  2. Linux Debian-Update verhindert Start auf ARM-Geräten
  3. Apt Bug in Debian-Paketmanager feuert Debatte über HTTPS an

Fitbit Versa Lite im Test: Eher smartes als sportliches Wearable
Fitbit Versa Lite im Test
Eher smartes als sportliches Wearable

Sieht fast aus wie eine Apple Watch, ist aber viel günstiger: Golem.de hat die Versa Lite von Fitbit ausprobiert. Neben den Sport- und Fitnessfunktionen haben uns besonders der Appstore und das Angebot an spaßigen und ernsthaften Anwendungen interessiert.
Von Peter Steinlechner

  1. Smartwatch Fitbit stellt Versa Lite für Einsteiger vor
  2. Inspire Fitbits neues Wearable gibt es nicht im Handel
  3. Charge 3 Fitbit stellt neuen Fitness-Tracker für 150 Euro vor

  1. Elektro-SUV: Audi reduziert E-Tron-Produktion wegen fehlender Akkus
    Elektro-SUV
    Audi reduziert E-Tron-Produktion wegen fehlender Akkus

    Audis erstes Elektro-SUV kann nicht in den gewünschten Stückzahlen gebaut werden, weil Akkus fehlen, heißt es aus informierten Kreisen. Statt 55.830 E-Tron sollen nur 45.242 Einheiten gebaut werden. Auch für ein anderes Elektro-Modell drohen Schwierigkeiten.

  2. Smarte Lautsprecher: Amazon und Google bieten Gratis-Musikstreaming
    Smarte Lautsprecher
    Amazon und Google bieten Gratis-Musikstreaming

    Amazon und Google wollen ihre digitalen Assistenten auf smarten Lautsprechern aufwerten. Dazu bieten beide Unternehmen ihre Musikstreamingdienste für Besitzer der smarten Lautsprecher kostenlos und dafür mit Werbeeinblendungen an. Aber es gibt viele weitere Beschränkungen.

  3. Remake: Agent XIII kämpft wieder um seine Identität
    Remake
    Agent XIII kämpft wieder um seine Identität

    Ein Mann ohne Erinnerung ist die Hauptfigur im 2003 veröffentlichten Actionspiel XIII, in dem es um nichts weniger geht als die Ermordung des Präsidenten der USA. Nun kündigen französische Entwickler eine Neuauflage an.


  1. 15:00

  2. 14:30

  3. 14:00

  4. 13:30

  5. 13:00

  6. 12:30

  7. 12:00

  8. 09:00