3. Darf man das?

Darf man das?

  • O

    Jodocus schrieb:

    Bitte liefere uns doch mal bitte den Paragraphen (oder wenigstens einen Präzedenzfall + Urteil)

    Wie ich schon auf Seite 1 schrieb: Es gibt noch kein Urteil.

    OT: Aber anders als in den USA braucht es das gar nicht - hier werden Gesetze nicht nach den Urteilen gemacht, sondern andersrum.

    0
  • ?

    Jodocus schrieb:

    Hier wurde überhaupt noch keine Quelle geliefert. Auskenner, seit mehreren Seiten behauptest du hier nun, die MAC sei personenbezogen. Bitte liefere uns doch mal bitte den Paragraphen (oder wenigstens einen Präzedenzfall + Urteil), der das belegen könnte (insbesondere, dass eine gehashte MAC immernoch personenbezogen ist).

    Guck dir den von mir ganz am Anfang verlinkten Artikel und das zitierte an, mit etwas rechtsverständnis kannst du die plausibelste Antwort ableiten.
    Was du tun musst, wenn du auf Nummer sicher gehen willst, habe ich dir auch schon gesagt.

    Ansonsten steht hier Aussage gegen Aussage.

    Aussage gegen Aussage gibt's nicht im Rechtssystem.
    Das ist ein Bauernglaube.

    Der Richter prüft und wägt ab, so sieht das in der Realität aus.
    Dazu findest du auch nen Jura Artikel im Internet, suchen kannst du selber.

    0
  • O

    Nun ja, bei dem Artikel am Anfang ging es um IP-Adressen. Die sind wesentlich einfacher in einen Personenbezug zu bringen als MAC-Adressen.

    MAC-Adressen müssen erst durch weitere Daten auf eine Person bezogen werden. Von ganz alleine kannst du niemals einen Zusammenhang herstellen.

    0
  • ?

    oenone schrieb:

    Nun ja, bei dem Artikel am Anfang ging es um IP-Adressen. Die sind wesentlich einfacher in einen Personenbezug zu bringen als MAC-Adressen.

    MAC-Adressen müssen erst durch weitere Daten auf eine Person bezogen werden. Von ganz alleine kannst du niemals einen Zusammenhang herstellen.

    Siehe dazu eines meiner vorherigen Beispiele.

    Wenn ein Kunde ein einziges mal einkaufen geht und er Server immer die MAC protokolloiert, dann ist der Kunde für alle restlichen Besuche identifizierbar, bis er sich eine neue HW mit neuer Mac kauft. Dass er sie manuell ändert, gehen wir mal nicht aus, da nicht der Normalfall.

    0
  • O

    Nach dem Beschluss vom 15. Nov 2012 der Staatsanwaltschaft Hamburg (AZ: 7450 Js 430 / 10) handelt es sich bei MAC-Adressen und den SSID-Daten nicht um personenbezogene Daten.

    Das ist der einzige rechtswirksame Beschluss und demnach sind Mac-Adressen keine personenbezogene Daten.

    0
  • J

    > (oenone) Wie ich schon auf Seite 1 schrieb: Es gibt noch kein Urteil.

    Doch bestimmt. So speziell ist das Thema ja nicht.

    > (oenone) OT: Aber anders als in den USA braucht es das gar nicht - hier werden Gesetze nicht nach den Urteilen gemacht, sondern andersrum.

    Naja aber Gesetze müssen auf spezielle Fälle ausgelegt werden. Wenn es kein spezielles Gesetz für MAC-Adressen gibt, dann wird irgendein Richter schon mal entschieden haben, ob die MAC-Adressen unter ein bestimmtes Gesetz fallen oder nicht. Das meine ich mit Präzedenzfall.

    > Guck dir den von mir ganz am Anfang verlinkten Artikel und das zitierte an, mit etwas rechtsverständnis kannst du die plausibelste Antwort ableiten.

    Dein Artikel ist nicht mal annähernd rechtsbindend und seine Aussage damit für uns hier wertlos. Und dass man aus den Aussagen was ableiten kann, interessiert mich nicht. Ich bin kein Jurist und schon garkein Richter, der solche Aussagen (sofern sie denn von einem Gesetz stammen) interpretieren und in ein Urteil gießen kann (und du mit Sicherheit auch nicht).

    > Aussage gegen Aussage gibt's nicht im Rechtssystem.
    > Das ist ein Bauernglaube.

    > Der Richter prüft und wägt ab, so sieht das in der Realität aus.
    > Dazu findest du auch nen Jura Artikel im Internet, suchen kannst du selber.

    Das Forum hier ist kein Rechtssystem. Du behauptest hier X, du bist in der Bringschuld eines Beweises für X, ganz einfach. Irgendein Artikel hält da nicht her, der behauptet auch nur, genauso wie du.
    Und mein Wissen über Justiz sammele ich mir nicht aus random Internet-Artikeln zusammen.

    > Nach dem Beschluss vom 15. Nov 2012 der Staatsanwaltschaft Hamburg (AZ: 7450 Js 430 / 10) handelt es sich bei MAC-Adressen und den SSID-Daten nicht um personenbezogene Daten.

    Wenn das stimmen sollte, wäre die Sache ja klar.

    0
  • B

    oenone schrieb:

    Nach dem Beschluss vom 15. Nov 2012 der Staatsanwaltschaft Hamburg (AZ: 7450 Js 430 / 10) handelt es sich bei MAC-Adressen und den SSID-Daten nicht um personenbezogene Daten.

    Das ist der einzige rechtswirksame Beschluss und demnach sind Mac-Adressen keine personenbezogene Daten.

    Kannst du die Stelle zitieren? Ich bin kein Jurist und finde das in dem Gutachten nicht so schnell.

    Davon abgesehen ist das ein Gutachten der Staatsanwalt, also nichtmal ein Urteil.

    0
  • O

    Bashar schrieb:

    Kannst du die Stelle zitieren? Ich bin kein Jurist und finde das in dem Gutachten nicht so schnell.

    Seite 1, ganz unten:

    Ein Verstoß gegen §§ 44, 43 Abs. 2 des Bundesdatenschutzgesetzes (BDSG) scheidet aus, da es sich bei den MAC-Adressen [...] nicht um personenbezogene Daten handelt.

    http://www.ferner-alsdorf.de/wp-content/uploads/2012/11/sta-hh-s1_Seite_1.png
    http://www.ferner-alsdorf.de/wp-content/uploads/2012/11/sta-hh-s1_Seite_2.png

    Bashar schrieb:

    Davon abgesehen ist das ein Gutachten der Staatsanwalt, also nichtmal ein Urteil.

    Deshalb schrub ich auch nicht "Urteil", sondern "Beschluss".

    0
  • B

    Und gerade weil ein Hash das Ziel hat, Kollisionen zu vermeiden, also ein Algo gewählt wird, der das gewährleistet, ist das wieder so, als hättest du die personengebundenen Daten direkt.

    Ach du heiliger Bürokratius. 🙄

    Nur weil eine Hash Funktion das Ziel hat Kollisionen zu vermeiden, heißt das noch lange nicht das auch Kollisionen vermieden werden! Hash Funktionen sind nicht bijektiv! Unter anderem auch da Hash Funktionen als Kompressionsfunktion agieren!

    Wenn ich einen MD5 Hash Wertê über 1 GByte Texte berechne, habe ich prinzipiell mehr Kollisionen als Sandkörner auf der Erde.

    Und selbst wenn dein Hash-Wert größer ist als deine Eingabe, kannst du nur in selten Fällen Kollionsfreiheit gewährleisten. Und zwar dann wenn du nachweisen kannst dass die Hash Funktion bijektiv ist. Ansonsten musst du zwangsläufig das ganze durch Brute Force lösen. Und das ist eine sehr ambitionierte und zeitaufwändige Aufgabe für heutige Crypto-Hash Funktionen...

    Also bitte, nähe mir keinen Knopf an meinen Backen, in dem du mir erzählst, es würden Hash Funktion eingesetzt welche Kollisionsfreiheit gewährleisten!

    0
  • V

    oenone schrieb:

    Jodocus schrieb:

    Bitte liefere uns doch mal bitte den Paragraphen (oder wenigstens einen Präzedenzfall + Urteil)

    Wie ich schon auf Seite 1 schrieb: Es gibt noch kein Urteil.

    OT: Aber anders als in den USA braucht es das gar nicht - hier werden Gesetze nicht nach den Urteilen gemacht, sondern andersrum.

    Naja…
    http://de.wikipedia.org/wiki/Rechtsfortbildung
    http://de.wikipedia.org/wiki/Volkszählungsurteil#Auswirkungen

    0
  • B

    oenone schrieb:

    Bashar schrieb:

    Kannst du die Stelle zitieren? Ich bin kein Jurist und finde das in dem Gutachten nicht so schnell.

    Seite 1, ganz unten:

    Ein Verstoß gegen §§ 44, 43 Abs. 2 des Bundesdatenschutzgesetzes (BDSG) scheidet aus, da es sich bei den MAC-Adressen [...] nicht um personenbezogene Daten handelt.

    http://www.ferner-alsdorf.de/wp-content/uploads/2012/11/sta-hh-s1_Seite_1.png
    http://www.ferner-alsdorf.de/wp-content/uploads/2012/11/sta-hh-s1_Seite_2.png

    "not allowed" -- sehr interessant. Versuch mal eine Quelle, die nicht nur du aufrufen kannst.

    Bashar schrieb:

    Davon abgesehen ist das ein Gutachten der Staatsanwalt, also nichtmal ein Urteil.

    Deshalb schrub ich auch nicht "Urteil", sondern "Beschluss".

    Aber was soll die Relevanz dieses "Beschlusses" sein?

    0
  • C

    Ob ein Hash tatsächlich kollisionsfrei ist dürfte rechtlich erstaunlich irrelevant sein. Der Punkt ist, und da werden mir hier wohl alle zustimmen, wenn man die MACs seiner Kunden mit SHA2-256 hasht geht die Wahrscheinlichkeit dabei auch nur eine einzige Kollision zu bekommen gegen Null. Dafür soll der Hash hier ja überhaupt erst genutzt werden - ansonsten würde man ja ausversehen zwei User bannen.

    Und ob ein Hash noch als PBD gilt dürfte wohl davon abhängen wie groß der Aufwand ist vom Hash wieder zurück auf die Ursprungsdaten zu kommen, ohne die Ursprungsdaten noch einmal anzufordern. Ich möchte mal vermuten dass MAC Adressen nicht genug Entropie bieten. Vorausgesetzt natürlich MAC Adressen zählen selbst als PBD, falls nicht ist das alles völlig irrelevant.

    Aber als Sicherung für einen Chat-Server bietet sich das eh nicht an, anonyme User kann man einfach nicht permanent bannen, höchstens nerven mit IP-Bans. Egal was ihr da (@TE) auslest aus dem Computer, eure .exe kann man immer hacken und einfach zum Server schicken lassen was man will.

    0
  • ?

    Du bist mir ja ein Held, hier geht's nicht um unknackbare Programme!
    Und wenn einer das Hacken will, ist er so schlau und geht an die Datenbank, und nimmt nicht die exe auseinander.
    Da A kein Klartext drinne steht, B es verschlüsselt sendet, Und C der Server keine ausgedachten befehle annimmt 😉

    Ich will das gleiche Prinzip wie PunkBuster damals machen, anhand der Hardware Serial Hash Wert bannen!
    Und den Hash konnte man immer von Spieler per Console abfragen!

    0
  • C

    b4nan1 schrieb:

    Und wenn einer das Hacken will, ist er so schlau und geht an die Datenbank, und nimmt nicht die exe auseinander.

    Also wenn man an eure Datenbank ran kommt könnt ihr das Projekt gleich in die Tonne kloppen, lol.

    0
  • M

    b4nan1 schrieb:

    Und wenn einer das Hacken will, ist er so schlau und geht an die Datenbank, und nimmt nicht die exe auseinander.

    Du scheinst dich ja super auszukennen. Die exe auseinandernehmen kann mit etwas Erfahrung mehr oder weniger trivial sein, auf jeden Fall machbar. Die Datenbank auf eurem Server zu hacken sollte praktisch kaum möglich sein.

    0
  • N

    b4nan1 schrieb:

    Da A kein Klartext drinne steht, B es verschlüsselt sendet, Und C der Server keine ausgedachten befehle annimmt 😉

    Dir ist schon klar, dass jedwede Verschlüsselung, die ihr verwendet, nichtig ist, weil man anhand der exe an den Code kommt und dort drin steht, wie verschlüsselt wird...
    Genauso kann man dann euer Protokoll rekonstruieren und die richtigen Befehle herausfinden.

    0

  • Auskenner schrieb:

    Shade Of Mine schrieb:

    OMG, der Thread hier ist köstlich.

    Der OP will gehasht Daten speichern, das ist immer erlaubt, egal worum es geht.

    Das sehe ich nicht so, ein Hash ist ein von den Quelldaten abgeleitetes Werk.

    Werk, rofl.

    Auskenner schrieb:

    Und gerade weil ein Hash das Ziel hat, Kollisionen zu vermeiden, also ein Algo gewählt wird, der das gewährleistet, ist das wieder so, als hättest du die personengebundenen Daten direkt.
    Oder anders gesagt, auch mit einem Hash, bleibt der Nutzer identifizierbar und deswegen kann auch die Speicherung eines Hash ohne Zustimmung nicht erlaubt sein.

    Und wer sagt dass das ein Problem ist?

    Wenn man vom User verlangt nen Usernamen + Passwort einzugeben, oder die Nummer die auf dem Kärtchen draufsteht was beim Spiel dabei war das man gekauft hat, dann sind die darüber auch identifizierbar. Man kann sogar in die Nutzungsbedingungen reinschreiben dass keiner mehr als einen Account anlegen darf. Wieso sollte man dann - wenn man darauf hinweist - nicht etwas machen dürfen worüber man den Nutzer ohne Anlegen eines Accounts/eingeben einer Nummer identifizieren kann?

    BTW: identifizierbar != identifizierbar.
    Es ist ein Unterschied ob man rausbekommen kann dass Zugriff A und Zugriff B von der selben "Person" (=hier ja nur vom selben Rechner) kommen, oder ob man rausbekommen kann wer diese Person wirklich ist.

    0

  • Nathan schrieb:

    b4nan1 schrieb:

    Da A kein Klartext drinne steht, B es verschlüsselt sendet, Und C der Server keine ausgedachten befehle annimmt 😉

    (...)
    Genauso kann man dann euer Protokoll rekonstruieren und die richtigen Befehle herausfinden.

    Wenn der Server einfach kein Kommando imlementiert, mit dem man etwas auslesen kann, was man nicht auslesen darf, wie willst du dann "die richtigen Befehle herausfinden". Dann gibt es einfach keine "richtigen Befehle".

    0
  • N

    hustbaer schrieb:

    Nathan schrieb:

    b4nan1 schrieb:

    Da A kein Klartext drinne steht, B es verschlüsselt sendet, Und C der Server keine ausgedachten befehle annimmt 😉

    (...)
    Genauso kann man dann euer Protokoll rekonstruieren und die richtigen Befehle herausfinden.

    Wenn der Server einfach kein Kommando imlementiert, mit dem man etwas auslesen kann, was man nicht auslesen darf, wie willst du dann "die richtigen Befehle herausfinden". Dann gibt es einfach keine "richtigen Befehle".

    Ja, klar.
    Das bezog sich auf ausgedachte Befehle, ich dachte er meint damit einfach irgendwas zu schicken, neue Befehle kann man nicht einfügen, klar, aber existierende verwenden.

    0

  • Ah, OK. Hat sich für mich so angehört als wolltest du sagen dass man den Server nicht sicher bekommen kann.

    0
Anmelden zum Antworten