Privacy / Datenschutz

I take data privacy seriously. My own, and yours, too.

Ich nehme Datenschutz ernst - meiner Daten und Ihrer Daten.

Der deutsche Text findet sich weiter unten.

Continue reading for the English version.

Data privacy statement

To give the summary first: I am extremely stingy when processing your personal data.

  • These web pages have no forms or other means of collecting data.

  • My web pages embed almost no external resources. At this point in time, the single exception embeds only after you have ordered that embedding to happen via an extra click.

Controller

Andreas Krüger
Herweghstr. 13
12487 Berlin

Phone: +49 30 98 32 4321

IP addresses

The personal data processed by my web site are IP addresses.

My server uses this data to send its answers (i.e., my content) back to you. (Every web server does this.)

Beyond that, I anonymize the IP addresses and store the anonymized version in a typical web server log.

But, strictly speaking, for a certain window of time, the IP addresses are not yet fully anonymous, but only pseudonymous.

I use a technical procedure that generates the anonymous IP address from the original, real one and a random number via a so-called “hash” function. The random number used for this is kept in use for 24 hours and is deleted after 48 hours.

For the intermediate time when the deletion has not yet happened, the IP address is not fully anonymous yet. It is pseudonymous data. Using the random number (and some trial and error), the original IP address can be regained - at least with a certain probability.

After 48 hours, the random number that has been used the previous day is deleted. That deletion instantaneously turns the pseudonymous IP numbers in the logs into anonymous IP numbers. So those IP numbers are no longer personal data.

The way of turning real IP addresses into anonymous IP addresses allows me to track “click tracks” on my web pages, even if those stretch hours. This helps me when I optimize my offers. I am not at all interested in knowing which particular individuals left those “click tracks”.

So, for my purpose, I have no need to reconstruct the real IP addresses from the pseudonymous data during those initial hours. I simply don’t do it. In this situation, there is no legal obligation that requires me to implement the processing needed and keep additional data just to grant the typical personal data rights of information, deletion, and the like.

It remains uncertain whether my processing of those anonymous or pseudonymous IP addresses is still personal or household activity or already falls under the European GDPR. I presume the former is the case. Just to be on the safe side, let me mention that, even in the latter case, optimizing my offer is my legitimate interest (in GDPR terms). That entitles me to keep pseudonymous IP addresses for 48 hours. In this latter case, you are entitled to lodge a complaint with the pertinent supervisory authority.

Attackers

The servers administered by me provide certain private services. These services are only to be used by myself, members of my family, and personal friends. A separate data privacy statement governs these services.

These private services are protected by pertinent technical means (like cryptography and authentication procedures). Those services are being attacked from unbidden parties. Several thousands of attacks per day are customary. I have a legitimate interest to analyze these attacks, ward them off, and collect intelligence towards legal prosecution. I exercising my rights by collecting IP addresses and other potentially personal data connected to those attacks.

I reserve the right to forward such data to police, prosecutors, and similar. I reserve the right to keep such data as long as it is potentially useful for prosecution.

If you have attempted to access my private services unbidden, I will call you an attacker in what follows. In conformance with GDPR regulations, I grant each attacker the right to obtain information from me regarding personal data concerning her or him, the right to be informed about the categories of such data, and the right to obtain said data itself, finally, in as far as the data is no longer useful for my purposes as mentioned, to cause the data to be deleted. You are outright entitled to all of the above in the case that my data processing is under GDPR, as opposed to personal and household activity, which is somewhat uncertain, but I grant these rights to you nevertheless. In either case, I need certainty that you as the requester of any of the above are actually the person behind, e.g., a particular IP address. I cannot act on any request from your part without pertinent proofs from your side.

If the GDPR is applicable, you are entitled to lodge a complaint with the pertinent supervisory authority.

E-Mail

I administer an e-mail server. You (or your e-mail-services provider) can use it to hand in e-mail messages for my family members and me.

This e-mail server is used by us as a means of purely personal or household processing of those e-mails.

Datenschutzerklärung

So viel vorweg: Ich bin extrem sparsam beim Verarbeiten Ihrer personenbezogenen Daten.

  • Auf diesen Webseiten gibt es keine Formulare oder andere Datenerhebung.

  • Diese Webseiten benötigen keine Cookies.

  • Meine Webseiten binden fast keine externen Resourcen ein. Bei der einzigen Ausnahme derzeit passiert das Einbinden erst, nachdem Sie nochmal extra geklickt haben.

Verantwortlich

Andreas Krüger
Herweghstr. 13
12487 Berlin
Deutschland

Telefon: +49 30 98 32 4321

IP-Adressen

Die personenbezogenen Daten, die von meiner Webseite verarbeitet werden, sind IP-Adressen.

Mein Server nutzt diese Daten, um seine Antworten (meine Inhalte) an Sie zurück zu schicken. (Jeder Webserver macht das so.)

Darüber hinaus anonymisierte ich die IP-Adressen und speichere die anonymisierte Version in einem üblichen Server-Log.

Für eine gewissen Übergangszeit sind die IP-Adressen allerdings noch nicht anonymisiert, sondern zunächst nur pseudonymisiert.

Ich benutze ein technisches Verfahren, dass die anonymisierte IP-Adresse aus der wirklichen IP-Adresse und einer Zufallszahl mit Hilfe einer sogenannten “Hash”-Funktion ermittelt. Die dafür benutzte Zufallszahl wird 24 Stunden lang benutzt und nach 48 Stunden gelöscht.

So lange die Zufallszahl noch nicht gelöscht ist, ist die IP-Adresse noch nicht völlig anonymisiert. Sie ist nur pseudonymisiert. Mit Hilfe der Zufallszahl (und einigem Ausprobieren) könnte man die ursprüngliche IP-Adresse zurück gewinnen - zumindest mit einiger Wahrscheinlichkeit.

Nach 48 Stunden wird die Zufallszahl, die am Vortag in Benutzung war, endgültig gelöscht. Damit wird aus der Pseudonymisierung eine Anonymisierung. Die anonymisierte IP-Adresse im Server-Log ist dann kein schützenswertes “personenbezogenes Datum” mehr.

Dieses von mir gewählte Anonymisierungsverfahren erlaubt es mir, “Klickspuren” auf meiner Webseiten über Zeiträume von einige Stunden hinweg zu verfolgen. Das hilft mir bei der Optimierung meines Angebots. Mich interessiert dabei nicht, welche konkrete Person die Klickspur hinterlassen hat.

Für meine Zwecke ist es also nicht nötig, die pseudonymisierten IP-Adressen während der ersten Stunden auf die ursprünglichen, echten IP-Adressen zurückzuführen, und ich tue das auch nicht. In dieser Situation bin ich rechtlich nicht verpflichtet, ein Verfahren zu implementieren und Daten vorzuhalten, um die ursprünglichen IP-Adressen wiederherzustellen, nur um Ihnen die sonst üblichen Datenschutzrechte zu gewähren (Auskunft, Löschung und so weiter).

Es ist unklar, ob meine Verarbeitung pseudonymisierter/anonymisierter IP-Adressen noch als Datenverarbeitung in Ausübung persönlicher Tätigkeiten zu werten ist oder schon unter die europäische DSGVO fällt. Ich vermute den ersten Fall. Hilfsweise mache ich darauf aufmerksam, dass im zweiten Fall die Optimierung meines Angebots ein berechtigtes Interesse im Sinne der DSGVO darstellt. Damit bin ich in beiden Fällen berechtigt, pseudonymisierte IP-Adressen für 48 Stunden zu speichern. Ebenfalls im zweiten Fall haben Sie das Recht, sich bei der zuständigen Aufsichtsbehörde zu beschweren.

Angreifer

Von mir verwaltete Rechner stellen bestimmte private Dienste bereit. Diese Dienste sind nur zur Nutzung durch mich selbst, Familienmitglieder und persönliche Freunde vorgesehen. Für diese Personen gelten gesonderte Datenschutzerklärungen.

Diese nicht-öffentlichen Dienste sind durch entsprechende technische Mittel geschützt (Kryptographie und Zugangskennungen). Diese Dienste werden von unberufener Seite angegriffen, üblich sind mehrere tausend Angriffe täglich. Ich nehme mein berechtigtes Interesse wahr, diese Angriffe zu analysieren und abzuwehren oder Informationen für ihre Strafverfolgung zu sammeln, und speichere dazu auch die IP-Adressen sowie andere möglicherweise personenbezogene Daten, derer ich im Zusammenhang mit dem Angriff habhaft werden kann.

Ich behalte mir vor, solche Daten an Polizei, Staatsanwaltschaft und ähnliche weiter zu geben. Ich behalte mir vor, solche Daten zu diesen Zwecken aufzubewahren, bis alle einschlägigen Verjährungsfristen abgelaufen sind.

Wer unberufen versucht hat, auf meine nicht-öffentlichen Dienste zuzugreifen, wird im folgenden Angreifer genannt. Ich räume jedem Angreifer DSGVO-konform die Möglichkeit ein, Auskunft über die bei mir über sie oder ihn gespeicherten personenbezogenen Daten zu erhalten, darüber, welche Kategorien von Daten bei mir über sie oder ihn vorliegen, weiter, diese Daten selbst zu erhalten, und, soweit die Daten für die genannten Zwecke nicht mehr taugen, ihre Löschung zu erwirken. Sie haben ein Recht auf diese Dinge, falls meine Datenverarbeitung unter die DSGVO fällt und nicht als Hilfsmittel persönlicher und familiärer Tätigkeit gilt, was gerade in den vorliegenden Fällen unsicher ist. Ich brauche dafür aber die Gewissheit, dass es sich bei Ihnen als beantragenden Person tatsächlich um jemanden handelt, der zum Beispiel eine bestimmte IP-Nummer zu einem bestimmten Zeitpunkt innehatte, und kann daher entsprechende Anträge nur bearbeiten mit entsprechenden Nachweisen von Ihrer Seite.

Wenn die DSGVO hier überhaupt anwendbar ist, haben Sie weiter ein Beschwerderecht bei der zuständigen Aufsichtsbehörde.

Email

Sie (oder Ihr Emailprovider) können bei dem von mir verwalteten Emailserver Emails für meine Familienmitglieder und mich abgeben.

Dieser Emailserver dient meinen Familienmitgliedern und mir als Hilfsmittel für unsere persönlichen und familiären Tätigkeiten.

Dr. Andreas Krüger, Herweghstr. 13, 12487 Berlin, Germany, andreas.krueger@famsik.de