Es geht um ein SaaS-Produkt. Bei der Registrierung eines Nutzers soll dessen IP-Adresse im Produkt mitgeloggt werden, um massenhafte Registrierungen zu unterbinden, aber bspw. auch massenhafte Login-Versuche. Ich vermute, man wird das sinnvoll nur auf 6.1f stützen können. Wie verhält sich das dann aber zum Widerspruchsrecht nach Art. 21?
Klar, ein Widerspruch ist nur nach Gründen, die sich aus einer besonderen Situation des Betroffenen ergibt, möglich - da erschließt sich mir hier kein Grund. Dennoch darf ich ja aber das Widerspruchsrecht nicht von vornherein ausschließen. Andererseits ist es auch technisch in diesem Fall nicht sinnvoll umsetzbar. Es geht schließlich um IT-Sicherheit der Systeme.
Bin ich auf dem Irrweg oder wie kann man den obigen Umstand vernünftig in den Datenschutzhinweisen formulieren?
“um massenhafte Registrierungen zu unterbinden” erscheint mit sehr fadenscheinig - ich (!) habe doch mindestens täglich eine neue IP … und wie soll das für mehrere User unter 1 festen Firmen-IP funktionieren? Die Identifikation eines Users funktioniert doch nicht über eine IP
Na gut, ist ja nicht mehr wie vor 20 Jahren. Ich (privat) erhalte von der Telekom seit langer Zeit die gleiche IP (IPv4 wie auch IPv6). Die wechselt extrem selten (manchmal monatelang nicht).
Gerade für das temporäre Blocken von Login-Versuchen auf IP-Basis ist das sicher nicht verkehrt. Wenn eine Firma tausende Login-Versuche produziert, halte ich ein Blocken der ganzen Firma erstmal für vertretbar. Aber ich verstehe deinen Standpunkt, Sinn macht es tatsächlich kaum in diesem Zusammenhang. Ich werde der Empfehlung folgen.
Bei massenhaften Login-Versuchen sollte es sich um äußere Angriffe handeln. Maßnahmen zum Schutz sind gemäß § 19 Abs. 4 TTDSG zulässig. Neben dem berechtigten Interesse kommt als Rechtsgrundlage dann ggf. Art. 6 Abs. 1 lit. c) DSGVO in Betracht.
Die IP-Adresse gehört gemäß § 22 Abs. 1 TTDSG zu den Bestandsdaten i.S.d. § 2 Abs. 2 Nr. 2 TTDSG. Diese zu verarbeiten, ist ggf. für die Erbringung des Telemediendienstes (hier SaaS) erforderlich. Als Rechtsgrundlage gilt ggf. der Vertrag i.S.d. Art. 6 Abs. 1 lit b) DSGVO. Das Widerspruchsrecht käme dann nicht zum Ansatz.
Nein. IP-Adressen gehören gem. §2 Abs.2 Nr.3 TTDSG zu den Nutzungsdaten. $22 Abs.1 erlaubt lediglich die Verwendung von Nutzungsdaten im Rahmen eines Auskunftsverfahrens bei Bestandsdaten:
Die in eine Auskunft aufzunehmenden Bestandsdaten dürfen auch anhand einer zu einem bestimmten Zeitpunkt zugewiesenen Internetprotokoll-Adresse bestimmt werden; hierfür dürfen Nutzungsdaten auch automatisiert ausgewertet werden.