Langsam wird die Lage klarer bei mir, und so weit ich es jetzt verstanden habe ist es ab dem 25.5 2018 nicht mehr erlaubt, personenbezogene Daten (dazu gehört auch die IP Adresse) zu besitzen oder zu speichern, es sei denn, die natürliche Person gibt ihr freiwilliges Einverständnis. Freiwillig deswegen, weil der Person keine Nachteile entstehen dürfen, wenn sie der Datenspeicherung nicht zustimmt.
Das bedeutet aber auch, dass ALLE Kunden oder Account Daten illegal sind, es sei denn, die natürliche Person gibt nachträglich ihr Einverständnis.
Für dieses Forum bedeutet das: Es müssen alle User angeschrieben werden um die Erlaubnis der Speicherung der Daten rückwirkend zu erhalten. Wird nicht geantwortet oder wird die Erlaubnis nicht erteilt, so müssen alle Daten die einem User zugeordnet werden können sicher und nachweislich gelöscht werden.
Das gilt natürlich auch für alle Backups.
Wer von Euch hat schon seinen Kundenstamm oder seine Mitglieder nach einer Erlaubnis zu Datenspeicherung gefragt? Wie gesagt, es gilt auch rückwirkend, ab dem 25.5 ist die personenbezogene Datenspeicherung illegal, es sei denn, es liegt eine freiwillige Erlaubnis vor..
Naja, "illegal" ist da erstmal so nichts.
Die jetztige neue Bewandnis bedient, erweitert zum TMG von 2007, so gesehen exakt die mögliche Weiterverarbeitung dieser Daten, wenn vorhanden.
Primär sollte nach den kommenden DSGVO-Richtlinien bei kleineren und kleinen Diensten (bsw. diese Community) eine erweiterte transparente Information zum Datenschutz reichen.
Da muss (hier) nicht jedes Mitglied "einzelnd angeschrieben werden, um die jeweilige Einwilligung einzuholen".
Eine "leicht zu erreichende" Informations-Page (Datenschutz) reicht da, in der dann richtlienenkonform steht, welche Daten für die Anwendung der Website erhoben werden,
und was genau damit geschieht.
Das kennt man ja soweit schon, wenn man bsw. mal von irgendwelchen Online-Diensten eine Mail bekommt, daß sich deren AGB oder was auch immer geändert hat etc.
Heisst: eine Information zur Kenntnisnahme mit Hinweis zum "einfachen Nachlesen" der Dinge.
Für Onlineshop-Betreiber ist es noch etwas ausführlicher zu deklarieren.
Aber im Grunde genommen greift noch immer zu ungefähr 80% "das alte Telemediengesetz (TMG)".
Die neue EU DSGVO-Verordnung "ersetzt" lediglich u.a. einige mehrere Punkte im TMG.
Und das, was damit ersetzt wird, betrifft explizit die möglichen Weiterverarbeitungen von personenbezogenen Daten,
und wer und wie viele Leute das eben tun und wofür und zu welchem Zweck usw.
Ausführlich betrachtet bedient DSGVO hauptsächlich aber die datenschutzkonformen Umgangsweisen und Weiterverarbeitungen von gr. Firmen insbesondere, wenn diese im europäischen Raum übergreifend (zusammen-)arbeiten usw.
I.d.R. sind da dann halt mehrere Personen in der Verarbeitung von diesen "personenbezogenen Daten" zuständig, die je nach Aufgaben-Kategorie die Daten halt "weitergeben" müssen. Und dort fängt dann das wirklich figelinsche an.
Wird nun die IP-Adresse eines Users irgendwo "abgelegt", weil er einen Dienst nutzt, dann teilt man ihm das halt so transparent wie möglich mit,
das es so ist und warum und wofür dies geschieht.
Werden diese Daten nicht weiterverarbeitet, weitergegeben oder ähnliches – im Sinne von einer dritten Partei und einer möglichen Identifizierung anhand dieser weitergebenen Daten –
dann ist's wie seit 2007 nach dem TMG.