Fragen zur neuen Datenschutzgrundverordnung

[sDesign]

bitte was? abgesehen davon, dass ich auch den letzten satz nicht verstehe – hast du jemals ein log eines webservers gesehen?

Ich muss mich korrigieren. Die volle IP Adresse gilt als personen bezogener Datensatz. Hier ist eine klare Unterscheidung notwendig. Ein ISP mag einen Grund für die Speicherung dieser Daten haben um eben ein sicheres Hosting zu garantieren, Angreifer zu identifizieren etc.
Wenn wir hier aber unter uns sprechen Reden wir von Mittelständischen Unternehmen bei denen ich jetzt mal ISPs außen vor lasse. Welches Interesse hat ein Fotograf eine IP in voller Länge zu speichern. Also was bringt es Ihm? Wie schützt er seine Kunden durch diese Speicherung? Das zu verargumentieren wird nicht leicht. Denn der ISP stellt sicher, dass Angreifer abgewehrt werden etc.

Bei allen Ausnahmen muss man klar unterscheiden zu welchem Grunde man sich auf diese Ausnahme beruft. Ein Grund ist nicht das wirtschaftliche Interesse der Gewinnmaximierung. Aber das geht glaube ich deutlich zu weit.

Für mich persönlich sagt das Gesetz nur eines aus. Mach Dir Gedanken welche personenbezogenen Daten Du sammelst, zu welchem Zweck, ob Du diese wirklich benötigst und ob Du eine Einwilligung dazu hast.

Zum Thema Cookies gibt es auch verschiedene Meinungen. Unternehmen werden immer aus einem wirtschaftlichen Interesse handeln (was nicht schlimm ist), aber wenn Sie merken, dass den Kunden die persönlichen Daten wichtig sind und Sie lieber auf eine Geschäftsbeziehung verzichten, wenn man Schindluder treibt, dann werden sich auch die Unternehmen um den Datenschutz kümmern. Glaubt mir es gibt genug Fälle wo Schindluder getrieben wurde.

Ich habe letztens eine Mail von einem Unternehmen bekommen, welches sich entschuldigte, dass meine Daten für die Kundenkarte noch nicht bearbeitet werden konnten. Auf meine Nachfrage hin meinte das Unternehmen ( 9.000 Angestellte) ich habe doch nen Newsletter im Jahr 2008 abonniert und Sie haben sich jetzt gedacht ich könne doch ne Kundenkarte benötigen, da ich des öfteren seitdem bei Ihnen eingekauft habe. Auf meine Aussage, dass ich das nicht möge kam dann tatsächlich die Antwort es sei doch in meinem Interesse Geld zu sparen und persönliche Angebote zu bekommen. Meine Antwort kann man sich denken ;-)

Machts einfach keinen Mist mit den Daten und es wird nix passieren. Wenn Euch jemand ne Excel Liste mit Kundendaten gibt dann fragt doch einfach mal kurz nach woher die Daten kommen und warum Euch diese übergeben werden. Im zweifwl nicht nutzen und alles is gut.

 

[sDesign]

Die Datenschutz-Erklärungen SIND unendlich lang. Von wegen 3 Sätze. Mal im Ernst: Wer liest sich
denn die Bestimmungen auf Webseiten durch? Niemand.

Genauso wenig wie die Cookie-Hinweise interessieren.

Und die wird es in spätestens 10 Jahren auch nicht mehr geben.

Das kann schon sein, wir werden sehen.

Ich lese jede Datenschutzbestimmung von Diensten durch die ich nutze, weil ich wissen will was mit meinen Daten geschieht.

 

[MacEnroe]

Ich lese jede Datenschutzbestimmung von Diensten durch die ich nutze, weil ich wissen will was mit meinen Daten geschieht.

Spezielle Dienste, ja. Aber Webseiten? Banken, Medien, Foren, Technikseiten, Online-Shops ... ich könnte die Bestimmungen gar nicht alle lesen.

Und das werden die Gerichte genauso sehen. D.h. rein über Erklärungen wird man sich
nicht rausreden können. Es wird langfristig keine Rolle spielen, was man in den Erklärungen stehen hat.

 

[Olivetti]

Wenn wir hier aber unter uns sprechen Reden wir von Mittelständischen Unternehmen bei denen ich jetzt mal ISPs außen vor lasse. Welches Interesse hat ein Fotograf eine IP in voller Länge zu speichern. Also was bringt es Ihm? Wie schützt er seine Kunden durch diese Speicherung? Das zu verargumentieren wird nicht leicht. Denn der ISP stellt sicher, dass Angreifer abgewehrt werden etc.

Für mich persönlich sagt das Gesetz nur eines aus. Mach Dir Gedanken welche personenbezogenen Daten Du sammelst, zu welchem Zweck, ob Du diese wirklich benötigst und ob Du eine Einwilligung dazu hast.

du scheinst hier wirklich nur von deiner persönlichen ansicht aus zu sprechen. technisch, oder als handreichung, gibt das aber leider nicht viel her. viele meiner kunden, darunter auch fotografen, betreiben eigene webseiten. in welche kategorie willst du die denn jetzt stecken – die server schreiben natürlich die volle IP in ihre logs, weil auch sie, die kleinen selbständigen betreiber, angriffe abwehren müssen.

 

[sDesign]

du scheinst hier wirklich nur von deiner persönlichen ansicht aus zu sprechen. technisch, oder als handreichung, gibt das aber leider nicht viel her. viele meiner kunden, darunter auch fotografen, betreiben eigene webseiten. in welche kategorie willst du die denn jetzt stecken – die server schreiben natürlich die volle IP in ihre logs, weil auch sie, die kleinen selbständigen betreiber, angriffe abwehren müssen.

Wer speichert die IP? Der Fotograf, welcher die Webseite bei Anbieter XY hostet oder der Hoster? In der Regel kümmert sich ja der ISP darum das Angriffe einer DDoS Attakieabgewehrt werden oder? Also warum benötigt der Fotograf die IP? Was geschieht mit der IP? Wird diese anonymisiert vom Fotografen gespeichert oder in voller Länge? Wenn von der IP keine Rückschlüsse mehr getätigt werden können, dann ist die Speicherung doch ok.
Mir fällt das folgendes ein. Wenn ich mir am Kiosk Zigaretten kaufe und der Kassierer/Betreiber kurz meinen Ausweis wegen des Alters sehen will ist das ok. Will er den Ausweis kopieren frage ich nach warum er dsa macht und was er damit will.
Also welche Daten werden für die aktuelle Geschäftsbeziehung benötigt. Ein ISP hat eine andere Aufgabe und deswegen andere Vorschriften.

Mehr als seine persönliche Meinung kann zu diesem Zeitpunkt zu diesem Thema niemand äußern. Du wirst von keinem Anwalt eine rechtsverbindliche Aussage finden und auch von keinem Richter. Dieses Gesetz ist ganz frisch und in seiner Art für ganz Europa einmalig. Klar ist nur es ist das strengste Datenschutzgesetz der Welt und betrifft ganz Europa. Im Moment beruht alles auf Einschätzungen und Theorien zur Auslegung. Aber stell dir doch die ganz einfache Frage. Brauche ich die Daten wirklich, welche ich sammle? Wenn Du die IP nicht wirklich brauchst dann sammle Sie nicht. Is das sammeln der IP in voller länge ohne anonymisierung sicherheitstechnisch notwendig hast Du einen Sonderfall. Aber den Sonderfall bitte nur zum Schutz verwenden und nicht weil du irgendwas tracken wolltest ;-)

 

[sDesign]

@Olivetti, lass uns doch am besten ein konkretes Fallbeispiel besprechen, anhand dessen wir die Problematiken darstellen und wir versuchen hier gemeinsam Antworten zu finden. Es wird hier leider immer um Fälle gehen.

 

[Olivetti]

Wer speichert die IP? Der Fotograf, welcher die Webseite bei Anbieter XY hostet oder der Hoster? In der Regel kümmert sich ja der ISP darum das Angriffe einer DDoS Attakieabgewehrt werden oder?

der fotograf, der seine seite auf einem v-/rootserver betreibt.

Wird diese anonymisiert vom Fotografen gespeichert oder in voller Länge?

was willst du denn bitte mit einer nichtkompletten IP und was soll eine anonymisierte IP sein?

Wenn Du die IP nicht wirklich brauchst dann sammle Sie nicht. Is das sammeln der IP in voller länge ohne anonymisierung sicherheitstechnisch notwendig hast Du einen Sonderfall. Aber den Sonderfall bitte nur zum Schutz verwenden und nicht weil du irgendwas tracken wolltest ;-)

genau das ist ja die crux. dann bekommst du ein gesetz für das du lauter ausnahmen hast. das ist IMHO unausgegorener unsinn.

edit:
ein fallbeispiel wäre ein einzelner fotograf mit website auf einem rootserver.
da weiss jetzt absolut keiner so richtig, was zu tun ist und am liebsten würden sie ihre seite dicht machen, bis klarheit herrscht.

 

[sDesign]

der fotograf, der seine seite auf einem v-/rootserver betreibt.


was willst du denn bitte mit einer nichtkompletten IP und was soll eine anonymisierte IP sein?


genau das ist ja die crux. dann bekommst du ein gesetz für das du lauter ausnahmen hast. das ist IMHO unausgegorener unsinn.

edit:
ein fallbeispiel wäre ein einzelner fotograf mit website auf einem rootserver.
da weiß jetzt absolut keiner so richtig, was zu tun ist und am liebsten würden sie ihre Seite dicht machen, bis Klarheit herrscht.

Der Fall ist etwas zu unkonkret, da die wesentlichen Fragen ja noch fehlen. Aber um eine fundierte Aussage zu machen, müsste ich erstmal verstehen wie ein Root-Server im WWW zu sehen ist und was er genau macht. Agiert der Fotograf wie ein kleiner ISP? Dann muss er auch alle Pflichten eines ISPs übernehmen. Die Frage ist auch immer was wird mit den Daten gemacht? Werden diese nur in einer verschlüsselten, sicheren Datenbank gespeichert und z.B. nach 48h gelöscht und automatisch überschrieben oder werden diese dauerhaft gespeichert. Werden IPs einander zugeordnet, damit man Nutzer identifizieren kann etc? Wer hat alles darauf zugriff und werden auf Grund der IP Marketing technisch Aktionen unternommen?

 

[Crimson]

@sDesign
Deine Ausführungen zeigen geradezu Perfekt, wo das Problem dieser ganzen Schose liegt... Die eigentliche Intention ist ja absolut zu befürworten (Schutz persönlicher Daten), jedoch kollidiert das extrem mit technischen Grundvoraussetzungen. Anscheinend, sei mir da bitte nicht böse, fehlt dir dieses Grundwissen leider auch...

Sobald man eine Internetseite betreibt, werden innerhalb des entsprechenden Accounts irgendwo die Log-Daten des Servers gespeichert. Das ist eine technische Tatsache und ist auch absolut gut so. Ich als Betreiber einer Internetseite möchte wissen was da auf meinem Server so passiert. Davon abgesehen kannst du mit einer IP in 99% der Fälle ohne richterlichen Beschluss eh einen feuchten **** anfangen...

Zu deiner Ausführung in Bezug auf Anhänge & E-Mails:
Nenne mir bitte einen Anbieter, der deine Anhänge nicht in irgendeiner Form verarbeitet und an bestimmten Stellen vervielfältigt. Backups, kopierte E-Mails, Entwürfe... so wie du argumentierst, wären sogar Daten im Cache eines Servers ja schon nicht mehr rechtens, da diese nichts anderes sind als eine Vervielfältigung deiner Datei.

Ich kann mich da nur wiederholen: Der Grundgedanke ist absolut zu befürworten, jedoch ist die Umsetzung stellenweise wirklich weit ab von der Realität und bietet Spielraum für extrem viel Unsinn!

 

[fa66]

Ansonsten dürfte ja doch niemand mehr ein Urlaubsfoto machen, auf dem irgendwelche anderen Personen zu sehen sind? Oder sehe ich das falsch?

Naja, außer sie sind Beiwerk zum Bild oder Personen der Zeitgeschichte im Sinne des Kunsturhebergesetzes §23 (zum Recht am eigenen Abbild siehe §22).

Sehe ich das richtig? Ich habe letzte Woche die Abschlussfeier meiner Tochter fotografiert. Logischerweise waren dabei auch andere Personen anwesend. Ist das bereits illegal?

Siehe oben. Ansonsten scheint bisweilen auch der Unterschied zwischen Fotos machen und Fotos veröffentlichen relevant §22 KUG bspw. schreibt vom »Verbreiten«, nicht vom »Machen«. Allerdings gibt es weitere Rechtsnormen, die, wie jüngst zu den Unfallgaffern, etwaige als höherwertiger erachtete Interessen schützen sollen.

Uups. Übersehen, dass der Thread schon 13 Seiten lang ist.

 

[wegus]

Nein. Weder Postkarten sind ohne riesigen kriminellen Aufwand einlesbar, noch Mails.

DU kannst weder meine Mails lesen, noch meine Postkarten.
Irgendjemand (der Postmann, ein Server-Verwalter o.ä.) könnte lesen, die haben aber kein
Interesse dran, Millionen von Mails oder Postkarten zu lesen.

Der Text von Postkarten wird auch nicht gescannt und gespeichert. Nur die Adresse.
Wenn das „persönliche Daten“ sind, dann dürfte man keinen Brief mehr versenden und
keine Mail mehr versenden, auch ohne Inhalt.

Du hast das falsch verstanden! Mails mit Personendaten dürfen geschäftlich NICHT unverschlüsselt versendet werden. Wenn doch, dann gehören die Daten zumindest in einen verschlüsselten Anhang. Das habe ich mir auch so nicht ausgedacht, dass ist Datenschutz und gilt/galt auch schon vor der DSGVO 2018! Mails im Klartext und Faxe sind damit nicht mehr vereinbar.

 

[sDesign]

@sDesign
Deine Ausführungen zeigen geradezu Perfekt, wo das Problem dieser ganzen Schose liegt... Die eigentliche Intention ist ja absolut zu befürworten (Schutz persönlicher Daten), jedoch kollidiert das extrem mit technischen Grundvoraussetzungen. Anscheinend, sei mir da bitte nicht böse, fehlt dir dieses Grundwissen leider auch...

Sobald man eine Internetseite betreibt, werden innerhalb des entsprechenden Accounts irgendwo die Log-Daten des Servers gespeichert. Das ist eine technische Tatsache und ist auch absolut gut so. Ich als Betreiber einer Internetseite möchte wissen was da auf meinem Server so passiert. Davon abgesehen kannst du mit einer IP in 99% der Fälle ohne richterlichen Beschluss eh einen feuchten **** anfangen...

Zu deiner Ausführung in Bezug auf Anhänge & E-Mails:
Nenne mir bitte einen Anbieter, der deine Anhänge nicht in irgendeiner Form verarbeitet und an bestimmten Stellen vervielfältigt. Backups, kopierte E-Mails, Entwürfe... so wie du argumentierst, wären sogar Daten im Cache eines Servers ja schon nicht mehr rechtens, da diese nichts anderes sind als eine Vervielfältigung deiner Datei.

Ich kann mich da nur wiederholen: Der Grundgedanke ist absolut zu befürworten, jedoch ist die Umsetzung stellenweise wirklich weit ab von der Realität und bietet Spielraum für extrem viel Unsinn!

Das technische Verständnis fehlt mir evtl. beim betreiben der Webseite, aber eine IP Adresse in reinform ist nunmal auch ohne richterlichen Beschluss sehr aussagekräftig. Wenn wir sie als eine einzelne Datenquelle ansehen, dann ist diese wie Du sagst evtl. nicht wirklich aussagekräftig. Allerdings kann man über eine ganze Menge Hilfsmittel und mit etwas Zeit schon deutlich weiter qualifizieren. Das weisst Du sicherlich wenn Du eine Webseite betreibst und dies wird Marketing technisch auch schon zu genüge genutzt und wenn du dann noch mittels eines Log-In Bereiches auf deiner Seite einen Account dieser IP zuordnen kannst, dann wird dieser Datensatz mit dem du davor evtl lange nichts anfangen konntest sehr interessant.
Das hier die Realität und das Gesetz weit auseinander driften ist mir klar und das wird auch leider nicht anders zu lösen sein, es sei den man bedenkt jeden Einzelfall und führt ein Fallrecht ein. Zur Speicherung der IPs hat der Gesetzgeber am bereits vor einem Jahr ein Urteil gefällt IPs (egal welcher Art) sind personenbezogene Daten und dürfen nur in Ausnahmefällen gespeichert werden. Sofern du also einen konkreten "Angriffsdruck" auf deine Webseite nachweisen kannst ist dein Recht die IPs zu speicher höher gestellt als das Recht der User an Ihren personenbezogenen Daten. Ich bezweifle nur das ein normaler Webseitenbetreiber einen "Angriffsdruck" nachweisen und gerichtlich durchsetzen kann, wenn dies nichtmal für die Webseiten der Bundesregierung eindeutig entschieden wurde.
Falls du dazu was nachlesen willst https://www.kpw-law.de/2017/05/16/zulaessigkeit-der-speicherung-von-ip-adressen/
Die Frage wird immer sein ist die speicherung technisch zum betreiben der Website dauerhaft notwendig? Eine temporäre Speicherung mit sicherer Löschung ist kein Thema und steht nicht zu Diskussion.

Zum Thema Verarbeitung von Daten ist einfach folgendes zu sagen: Du kannst dich nicht damit rausreden, dass wenn Du die Daten deiner Kunden an Google übermittelt hast und Google damit Unfug treibt das außerhalb deiner Macht liege. Die Daten hast Du weitergegeben und deswegen bist Du dafür verantwortlich. Is doch ganz einfach. Ein Extrembeispiel: Wenn dein Arzt deine Daten an eine Zeitung rausgibt und diese dann die Informationen veröffentlicht. Wer is dann alles Schuld?
Du musst also in der gesamten Kette der Datenverarbeitung sicherstellen, dass sich alle konform verhalten. Wenn Dir Google oder ein anderes Unternehmen versichern, dass Sie die Daten mit Sorgfalt behandeln is doch alles gut.

 

[Bitcruncher]

Habe jetzt gerade nen Bericht im TV gesehen. Stehst Du vorm Brandenburger Tor in Berlin und willst das fotografieren, dann brauchst jetzt von jeder Person auf dem Foto eine Einwilligung !
Sprich: Denkmäler kannst gar nicht mehr fotografieren, da stehen ja ständig Leute davor.
Ich sag ja, voll Luschtig das neue Gesetz

 

[wegus]

Habe jetzt gerade nen Bericht im TV gesehen. Stehst Du vorm Brandenburger Tor in Berlin und willst das fotografieren, dann brauchst jetzt von jeder Person auf dem Foto eine Einwilligung !
Sprich: Denkmäler kannst gar nicht mehr fotografieren, da stehen ja ständig Leute davor.
Ich sag ja, voll Luschtig das neue Gesetz

Auch das stimmt so nicht wirklich - dazu gibt es aber im Netz zu dem Begriff "Recht am Bild" ausufernde Auswirkungen. Auch hat das BMI selbst in einer Stellungnahme dargelegt, dass sich für Fotografen kaum etwas ändert.

 

[MacEnroe]

Mail ist wie eine Postkarte, persönlich aber ohne Mühe für jeden einseh- und lesbar.

Du hast das falsch verstanden! Mails mit Personendaten dürfen geschäftlich NICHT unverschlüsselt versendet werden.

Du hattest geschrieben, dass ein Jeder ganz einfach die Inhalte von Mails abgreifen kann, wie
von Postkarten.

Und ich habe geschrieben, dass da nicht so ist. Weder bei Mails, noch bei Postkarten.

 

[wegus]

Es ist faktisch so, dass man Postkarten lesen kann ohne daran gehindert zu werden. I’m Gegensatz zum Brief den man öffnen muss und sich dabei ggf. strafbar macht!

Der Gesetzgeber geht dabei von möglichen Falschuustellungen ebenso aus, wie von halböffentlichen Räumen etc.

Gleiches ist faktisch bei Mails der Fall! Das hab ich mir auch nicht ausgedacht, dass sieht der Gesetzgeber so.

Du kannst die aber gern über ihren Irrtum aufklären.

 

[MacEnroe]

Es ist faktisch so, dass man Postkarten lesen kann ohne daran gehindert zu werden. I’m Gegensatz zum Brief den man öffnen muss und sich dabei ggf. strafbar macht!

Der Gesetzgeber geht dabei von möglichen Falschuustellungen ebenso aus, wie von halböffentlichen Räumen etc.

Gleiches ist faktisch bei Mails der Fall! Das hab ich mir auch nicht ausgedacht, dass sieht der Gesetzgeber so.

Du kannst die aber gern über ihren Irrtum aufklären.

OK, dann hast du etwas anderes gemeint, als du geschrieben hast. Dann bin ich ganz deiner
Meinung.

(Denn natürlich kann nicht jeder einfach so auf Postkarten zugreifen, schließlich liegen die
nicht frei herum, genauso wie meine Mails, du kannst auf die nicht zugreifen.)

 

[thorstenhirsch]

Als kleine Denkanregung möchte ich auch mal mit in die Runde werfen, welche Daten man benötigt um eine Person eindeutig zu identifizieren. Im Idealfall genügt hier eine E-Mail Adresse um genug zu haben.

Ein kleines Beispiel:
vorhandene Daten: Max.Mustermann @Musterfirma.de.

-> Geschlecht Männlich, Vorname, Nachname, Firma
-> nach Recherche: Alter, Geburtsdatum, Verdienst ( grob), Wohnort, Ehestand, Vermögensverhältnisse, Krankheiten, Hobbys, aktuelle Kaufinteressen, eine evtl. anstehende Hochzeit, Vaterschaft etc.
Quellen: Facebook, Instergram, E-Mail, Cookies

...und zum Glück hat das überhaupt nichts mit der DSGVO zu tun. Wäre ja noch schöner, wenn ein Gesetz die Daten wieder einfangen will, die auf Facebook freiwillig in die Welt hinaus posaunt werden.

P.S.: An meine E-Mails und meine Cookies kommst Du nicht ran, egal wie lange Du recherchierst.

 

[fa66]

Stehst Du vorm Brandenburger Tor in Berlin und willst das fotografieren, dann brauchst jetzt von jeder Person auf dem Foto eine Einwilligung !

Nein. Vereinfacht:
1. Es geht bei der Frage (§22 KUG »Recht am eigene Abbild«) nicht ums Fotografieren, sondern ums Veröffentlichen.
2. Solange du nicht vorm Brandenburger Tor fotografierst, weil eine bestimmte Person dort steht, die du ablichten willst, dürfte jene Person oder Personen, die mitabgelichtet werden, einfach nur Beiwerk zum Bild sein (i.S.v. §23 KUG »Ausnahmen zu §22«)
3. Das Brandenburger Tor gehört zu den Orten, an denen gewöhnlich fotografiert wird. Das ist zu erdulden. Gleiches gilt für Demos und andere öffentlich Aufzüge. Auch dort ist mit dem Verfertigen und der Veröffentlichung von Fotos zu rechnen.

 

[Crimson]

Das technische Verständnis fehlt mir evtl. beim betreiben der Webseite, aber eine IP Adresse in reinform ist nunmal auch ohne richterlichen Beschluss sehr aussagekräftig. Wenn wir sie als eine einzelne Datenquelle ansehen, dann ist diese wie Du sagst evtl. nicht wirklich aussagekräftig. Allerdings kann man über eine ganze Menge Hilfsmittel und mit etwas Zeit schon deutlich weiter qualifizieren. Das weisst Du sicherlich wenn Du eine Webseite betreibst und dies wird Marketing technisch auch schon zu genüge genutzt und wenn du dann noch mittels eines Log-In Bereiches auf deiner Seite einen Account dieser IP zuordnen kannst, dann wird dieser Datensatz mit dem du davor evtl lange nichts anfangen konntest sehr interessant.
Das hier die Realität und das Gesetz weit auseinander driften ist mir klar und das wird auch leider nicht anders zu lösen sein, es sei den man bedenkt jeden Einzelfall und führt ein Fallrecht ein. Zur Speicherung der IPs hat der Gesetzgeber am bereits vor einem Jahr ein Urteil gefällt IPs (egal welcher Art) sind personenbezogene Daten und dürfen nur in Ausnahmefällen gespeichert werden. Sofern du also einen konkreten "Angriffsdruck" auf deine Webseite nachweisen kannst ist dein Recht die IPs zu speicher höher gestellt als das Recht der User an Ihren personenbezogenen Daten. Ich bezweifle nur das ein normaler Webseitenbetreiber einen "Angriffsdruck" nachweisen und gerichtlich durchsetzen kann, wenn dies nichtmal für die Webseiten der Bundesregierung eindeutig entschieden wurde.
Falls du dazu was nachlesen willst https://www.kpw-law.de/2017/05/16/zulaessigkeit-der-speicherung-von-ip-adressen/
Die Frage wird immer sein ist die speicherung technisch zum betreiben der Website dauerhaft notwendig? Eine temporäre Speicherung mit sicherer Löschung ist kein Thema und steht nicht zu Diskussion.

Zum Thema Verarbeitung von Daten ist einfach folgendes zu sagen: Du kannst dich nicht damit rausreden, dass wenn Du die Daten deiner Kunden an Google übermittelt hast und Google damit Unfug treibt das außerhalb deiner Macht liege. Die Daten hast Du weitergegeben und deswegen bist Du dafür verantwortlich. Is doch ganz einfach. Ein Extrembeispiel: Wenn dein Arzt deine Daten an eine Zeitung rausgibt und diese dann die Informationen veröffentlicht. Wer is dann alles Schuld?
Du musst also in der gesamten Kette der Datenverarbeitung sicherstellen, dass sich alle konform verhalten. Wenn Dir Google oder ein anderes Unternehmen versichern, dass Sie die Daten mit Sorgfalt behandeln is doch alles gut.

Du legst hier sehr spezifische Beispiele dar, ignorierst aber weitaus wahrscheinlichere und alltägliche Szenarien, bei denen die neuen Verordnungen zu Problemen führen oder sogar Missbraucht werden können.

Zum "Angriffsdruck"
Rein theoretisch und auch praktisch stehen viele Server und auch Internetseiten unter permanenten Dauerfeuer was Angriffe angeht. Besonders zu beachten ist die Tatsache, dass es sich bei "alltäglichen" Angriffen nicht etwa gezielte Attacken handelt, sondern maschinell Server und Seiten angegriffen werden. Da spielt es keine Rolle ob es sich um kommerzielle Seiten mit sensitiven Daten handelt oder um die Internetseite des örtlichen Dackel-Vereins. Mit so einem Zeug verdiene ich meinen Lohn und ohne die Server-Logs wäre ich massiv aufgeschmissen.

Zur Verarbeitung von Daten:
Ich möchte mich nicht rausreden. Ich habe dich aber etwas gefragt:

Nenne mir bitte einen Anbieter, der deine Anhänge nicht in irgendeiner Form verarbeitet und an bestimmten Stellen vervielfältigt. Backups, kopierte E-Mails, Entwürfe... so wie du argumentierst, wären sogar Daten im Cache eines Servers ja schon nicht mehr rechtens, da diese nichts anderes sind als eine Vervielfältigung deiner Datei.