Seite 1 von 81

[RC] Privacy protection (DSGVO)

Verfasst: 10.04.2018 20:52
von tas2580
Titel: Privacy protection
Version: 1.0.0-RC1
phpBB-Version: 3.2.*
Language: de
Style: prosilver
Download: https://tas2580.net/downloads/phpbb-privacyprotection/
Github: https://github.com/tas2580/privacyprotection
Wiki: https://github.com/tas2580/privacyprotection/wiki

Beschreibung:
Die Extension fügt einige Funktionen ein um phpBB an die Anforderungen der DSGVO anzupassen.
Diskussion zur DSGVO

Funktionen
  • Benutzer muss bei der Registrierung zustimmen, dass ihm Admins Massenmails senden dürfen
  • Benutzer muss bei der Registrierung die Datenschutzrichtlinie akzeptieren
  • Benutzer können ihre Profildaten als CSV Datei im Profil runter laden
  • Benutzer können alle ihre Beiträge als CSV Datei runter laden
  • Link zur Datenschutzrichtlinie kann durch eine beliebige URL ersetzt werden
  • Fügt einen Link zur Datenschutzrichtlinie im Footer ein
  • Im ACP kann man über einen Button alle User zwingen die Datenschutzrichtlinie zu akzeptieren
Eine vollständige Liste aller Funktionen gibt es hier

Re: [BETA] Privacy protection (DSGVO)

Verfasst: 10.04.2018 21:05
von Melmac
Danke für die Extension - ich werde sie die Tage, sobald ich etwas mehr Zeit habe, durchtesten.

Re: [BETA] Privacy protection (DSGVO)

Verfasst: 11.04.2018 08:18
von musashi
Auch ein Dank von mir.

Bei der Registrierung fehlt noch die Sprachvariable. Derzeitige Darstellung: https://i.imgur.com/c1iIkDs.png

Vorschlag: Datenschutzrichtlinie gelesen und akzeptiert: *
Ich bestätige mit dem Auswählen dieses Feldes, das ich die Datenschutzrichtlinie gelesen habe und akzeptiere diese.

Ich würde hier auch auf eine Checkbox setzen, da es in der Verordnung heißt, es solle keine Vorauswahl getroffen worden sein, wenn ich mich recht entsinne, das wäre aber wohl eher kosmetischer Natur.

Wenn man die Erklärung neu abnicken lässt, steht da:
Die Datenschutzerklärung hat sich geändert. Du musst die neue Datenschutzerklärung akzeptieren um das Forum weiter benutzen zu können. [Button]

Wenn man das einfach ignoriert, kann man das Forum weiter nutzen. (So könnten User über z.B. Stylish den Block einfach ausblenden und so die Richtlinie nicht akzeptieren, aber das Board weiter nutzen.)
Man kann nicht verneinen.
Wenn man verneint, sollte man ausgeloggt werden und die Cookies des Boards gelöscht. Evtl ist das über via: /ucp.php?mode=delete_cookies auch ohne Extraclick möglich? Einfach danach eine Nachricht a la:

Sie haben die Zustimmung zu unserer Datenschutzrichtlinie verweigert, daher wurde ihr Account ausgeloggt und die von uns gespeicherten Cookies wurden gelöscht.
Wenn Sie Ihren Account dauerhaft löschen lassen möchten, wenden sie sich bitte an unser Adminteam /memberlist.php?mode=contactadmin
Wenn Sie versehentlich verweigert haben, loggen sie sich bitte erneut ein. ucp.php?mode=login

Re: [BETA] Privacy protection (DSGVO)

Verfasst: 11.04.2018 11:30
von tas2580
Erstmal Danke für das Feedback.
musashi hat geschrieben:Bei der Registrierung fehlt noch die Sprachvariable.
Komisch, bei mir ist sie da. Ich schaue aber nochmal.
musashi hat geschrieben:Ich würde hier auch auf eine Checkbox setzen, da es in der Verordnung heißt, es solle keine Vorauswahl getroffen worden sein, wenn ich mich recht entsinne, das wäre aber wohl eher kosmetischer Natur.
Ich verstehe das eher so, dass ein akzeptieren nicht vorausgewählt sein darf, also der User irgendwo klicken muss um zuzustimmen. Ob das eine Checkbox oder Ja/Nein Radio Buttons sind ist dabei doch egal. Der User muss aktiv auf Ja klicken um sich registrieren zu können.
musashi hat geschrieben:Wenn man das einfach ignoriert, kann man das Forum weiter nutzen.
Das ist noch so ein Problem, wenn ich das ganze Forum sperre würde das auch die Pages Extension betreffen, der User müsste also Zustimmen um die Datenschutzerklärung lesen zu können.
Ich hatte die Idee einfach das schreiben von Beiträgen/PN zu verbieten bis man zugestimmt hat, so werden ohne Zustimmung keine Daten erhoben. Falls aber jemand noch eine bessere Idee hat, immer her damit.

Gruß Tobi

Re: [BETA] Privacy protection (DSGVO)

Verfasst: 11.04.2018 12:15
von canonknipser
tas2580 hat geschrieben:Das ist noch so ein Problem, wenn ich das ganze Forum sperre würde das auch die Pages Extension betreffen, der User müsste also Zustimmen um die Datenschutzerklärung lesen zu können.
was meinst du mit Forum sperren? Der Benutzer soll dann einfach nicht angemeldet werden, so habe ich das verstanden, ist also weiter als Gast unterwegs, bis er zugestimmt hat.
Die angepasste Datenschutzerklärung muss für Gäste lesbar sein. Ob das über Pages gemacht wird oder eine andere statische html-Seite, sollte für die Funktion der Extension egal sein.
Bei der "Pages"-Extension kann man doch für jede definierte Seite angeben, ob sie auch für Gäste oder nur für registrierte Benutzer zu lesen ist.

Re: [BETA] Privacy protection (DSGVO)

Verfasst: 11.04.2018 12:18
von tas2580
canonknipser hat geschrieben:Der Benutzer soll dann einfach nicht angemeldet werden
Muss er aber da man sonst nicht speichern kann ob der Benutzer zugestimmt hat oder nicht. Wenn ich den Benutzer einfach nicht anmelde und er stimmt zu woher bekomme ich dann seine User ID?

Gruß Tobi

Re: [BETA] Privacy protection (DSGVO)

Verfasst: 11.04.2018 12:31
von canonknipser
Du merkst dir doch die Uhrzeit, wann er das letzte mal zugestimmt hat. Wenn er der neuen / geänderten Datenschutzerklärung nicht zustimmt, bleibt der Wert doch auf dem alten Wert stehen. Damit weißt du, dass er nicht zugestimmt hat. Das kann natürlich, da hast du recht, zweI Ursachen haben: Entweder er hat sich noch gar nicht wieder versucht anzumelden oder er hat bei der Anmeldung auf "nein" geklickt.


Idee, um das unterscheiden zu können: Warum meldest du den Benutzer beim Klicken auf "Nein" nicht auch an, speicherst das "Nein" im User-Datensatz (da brauchst du ein separates Feld) und meldest ihn direkt wieder ab?

Re: [BETA] Privacy protection (DSGVO)

Verfasst: 11.04.2018 12:48
von tas2580
Ich kann die Meldung ja erst anzeigen nachdem sich der User angemeldet hat da ich vorher nicht weiß ob er schon zugestimmt hat oder nicht. Also User kommt ins Forum und meldet sich an, dann bekommt er die Meldung und muss das Forum zumindest so weit benutzen können das er die DS lesen kann falls dazu Pages eingesetzt wird oder die DS in einem Beitrag steht oder eben die Standard ucp.php?mode=privacy benutzt wird.

Daher wäre jetzt meine Idee den User solange als Gast/Bot zu behandeln bis er zustimmt, so kann er dann keine Daten im Forum hinterlassen bis er zustimmt.

Da fällt mir dann direkt auch ein das man falls Gästen das Beiträge schreiben erlaubt ist da auch nochmal eine checkbox hin muss.

Gruß Tobi

Re: [BETA] Privacy protection (DSGVO)

Verfasst: 11.04.2018 14:49
von Scanialady
Es wäre doch auch eine Überlegung wert, ob man für den Prozess der Zustimmung nicht einfach eine automatische Gruppenzuordnung benutzt. Solange eine Zustimmung erforderlich ist, befindet sich der Benutzer in einer Gruppe mit eingeschränkten Berechtigungen. Ähnlich wie bei kürzlich registrierte. Ist die Zustimmung erteilt, verlässt er die Gruppe mit den NIE-Berechtigungen wieder.

Re: [BETA] Privacy protection (DSGVO)

Verfasst: 11.04.2018 14:52
von musashi
Mylady hat geschrieben:Es wäre doch auch eine Überlegung wert, ob man für den Prozess der Zustimmung nicht einfach eine automatische Gruppenzuordnung benutzt. Solange eine Zustimmung erforderlich ist, befindet sich der Benutzer in einer Gruppe mit eingeschränkten Berechtigungen. Ähnlich wie bei kürzlich registrierte. Ist die Zustimmung erteilt, verlässt er die Gruppe mit den NIE-Berechtigungen wieder.
Das könnte ein Problem mit größeren Foren geben. Mal eben bei einer Änderung der Policy 20k Accounts in die eine Gruppe schieben etc. Das müsste man sehr ausführlich testen denke ich.