[RC] Privacy protection (DSGVO)

[musashi]

Aber ich frage mich was passiert wenn in meinem Board jemand einen anderen User beleidigt und der Beleidigte dann Strafanzeige stellt. Dann bekomm ich als Betreiber einen Gerichtsbeschluß das ich die Daten rausrücken soll, vor allem die IP Adresse.

Es gibt kein Gesetz, dass es dir vorschreibt IP Adressen zu speichern oder noch schlimmer, was ja phpBB von Haus aus macht auf ewig zu speichern. Sie überhaupt zu speichern ist deine freie Entscheidung. Vorratsdatenspeicherung (das wäre ja die IP auf ewig vorzuhalten) sehe ich persl. kritisch.

Wenn eine Strafverfolgungsbehörde anfragt, bekommt sie was ich habe, so es denn einen richterlichen Beschluss gibt. Also in meinem Fall die E-Mailadresse des Beleidigers. Dann können sie sich mit dem E-Mailprovider und Internetanbieter des Beleidigers herumschlagen

[vfrblue]

Wenn eine Strafverfolgungsbehörde anfragt, bekommt sie was ich habe, so es denn einen richterlichen Beschluss gibt. Also in meinem Fall die E-Mailadresse des Beleidigers. Dann können sie sich mit dem E-Mailprovider und Internetanbieter des Beleidigers herumschlagen

Und was ist, wenn der "Beleidiger" schon gelöscht wurde, und der Beitrag schon etwas älter ist? Dann sind ja diese Daten auch gelöscht. So ist der Webseiten-Betreiber dann in der Verantwortung.

[Joyce&Luna]

Wie willst du ihm die EMail Adresse geben, wenn du den User gelöscht hast und es im Nachhinein so ein Beschluss bekommst?
Die IP kannst du in dein Beiträgen nachträglich auslesen, aber die EMail ist weg.

Zum anderen dürften auch noch andere Extensionen wegen dem fehlen der IP Probleme haben, zum Beispiel die Extension mit den Flaggen.
Wissen tue ich es nicht aber wo sonst holt sich die Ext die Information her aus welchem Land der/diejenige kommt.

Da nur ich Zugang zu diesen Daten habe und diese nicht an dritte weiter gebe, sehe ich da kein Problem.
Ich denke schon das du eine Beweispflicht hast, sicher bin ich mir da nicht.

Aber spinnen wir das Netz mal weiter.
Es registriert sich einer bei dir. Der schreibt zum Beispiel morgen gibt es ein Massaker in Berlin. Du denkst dir der User hat einen Knall und kickst ihn raus. Aber behältst den Beitrag und ihr reden im Forum über den bekloppten. Jetzt zeigt einer diesen an. Man tritt an dich ran alle Daten zu dieser Person heraus zu rücken, weil Gefahr im Verzug ist. Du hast weder EMail Adresse ( Wegwerfadresse ) noch die IP.
Wie würdest du dich fühlen, wenn du mit verantwortlich wärst, das zig Menschen verletzt werden können oder sogar getötet werden können?

Ich werde für mich die IP stehen lassen, damit ich im Notfall was in der Hand habe.

[jan_2012]

Wie willst du ihm die EMail Adresse geben, wenn du den User gelöscht hast und es im Nachhinein so ein Beschluss bekommst?
Die IP kannst du in dein Beiträgen nachträglich auslesen, aber die EMail ist weg.

(...)

Aber spinnen wir das Netz mal weiter.
Es registriert sich einer bei dir. Der schreibt zum Beispiel morgen gibt es ein Massaker in Berlin. Du denkst dir der User hat einen Knall und kickst ihn raus. Aber behältst den Beitrag und ihr reden im Forum über den bekloppten. Jetzt zeigt einer diesen an. Man tritt an dich ran alle Daten zu dieser Person heraus zu rücken, weil Gefahr im Verzug ist. Du hast weder EMail Adresse ( Wegwerfadresse ) noch die IP.
Wie würdest du dich fühlen, wenn du mit verantwortlich wärst, das zig Menschen verletzt werden können oder sogar getötet werden können?

Ich werde für mich die IP stehen lassen, damit ich im Notfall was in der Hand habe.

Sehr aktuelles Thema,sehe ich genauso.

Gruß Jan

[bazii]

Hallo,

zuerst einmal an tas2580 herzlichen Dank ! Es ist wirklich klasse, dass Du Dich der Sache angenommen hast.

Fragen an die DSGVO-Experten hier im Forum im Bezug auf diese Extension.

• Ich nutze z. B. die Download ext. [FINAL] Download Extension 7.2.13 [3.2] Seht ihr das bedenklich ohne Verweis auf die DSVGO?
• Ist eine Datenschutzerklärung dasselbe wie eine Datenschutzrichtlinie? Wird das eine durch das andere kompromitert bezw. beißt sich das?
• Wird auch einem unkommerziellen Forenbetreiber wie ich es einer bin, zur Installation von der DSVGO Ext geraten oder ist dies eher überflüssig?
• Es wird zur DSVGO ein Mindestinhalt einer Datenschutz-Folgenabschätzung erwartet. Kann soetwas in diese Ext. integriert werden?
• Können in dieser Ext. erweiterte Informationen zu Datenschutz und Datensicherheit (Auskunft Schutzziele) hinzugefügt werden und wenn ja, wie?
• Können in dieser Ext. erweiterte Informationen zu Datenschutzleitlinie hinzugefügt werden und wenn ja, wie?

Was kann, was muss und was muss ein nicht gewerblicher Foreninhaber überhaupt alles tun nach DSVO?

Müssen wir auch Datensicherungskonzepte offenlegen etwa in der Datenschutzrichtlinie? Habt ihr ein Datensicherungskonzept und kann ich davon mal bitte abspickeln wie ihr das als Profis umgesetzt habt?

Ich möchte Euch damit nicht nerven und ich bin auch kein überängstlicher Kerl. Doch ich möchte versuchen meine Pflichten als Webseitenbetreiber und/oder als Foreninhaber zu verstehen und umzusetzen.

[vfrblue]

In Deutschland ist das BDSG (Bundesdatenschutzgesetz) rechtsverbindlich. Hier ein Link zur Fassung, die ab dem 25.05.2018 gilt. Die DSVGO ist eine Richtlinie, die EU-weit umgesetzt werden soll.
Du gibst dann, wenn erforderlich, für dein Forum eine Datenschutzerklärung ab. Ob du jetzt diese Erweiterung installierst, liegt ganz in deinem Ermessen.

[tas2580]

IP speichern:
Ich habe noch nie effektiv durch das sperren einzelner IP Adressen Spam oder Trolle bekämpfen können. Jeder Idiot weiß heute wie man an eine neue IP Adresse kommt. Ganze Blöcke wie z.B. AWS zu sperren mag ja noch was bringen, aber eine einzelne IP aus dem Kundenblock eines Zugansproviders zu sperren ist für mich mehr Arbeit wie für den Spammer/Troll seine IP zu wechseln. Wer ein Problem mit Spam hat muss das auf einem anderen Weg angehen.
Ich kann aus der IP auch nur auslesen welcher Zugangsprovider benutzt wird und aus welchem Land der kommt. Die Informationen sind dazu auch noch sehr ungenau da es schwierig und aufwendig ist aktuelle Datenbanken über die IP Blocke zu bekommen und nicht jeder direkt über seinen DSL Anschluss online geht. Ich nutze unterwegs z.B. grundsätzlich mein VPN, bin für das Internet also immer zuhause, bzw. habe die IP Adresse von meinem DSL Anschluss zuhause. Manchmal vergesse ich es aber mich ins VPN einzuwählen und habe dann die IP aus dem Land in dem ich gerade bin, hätte Internetseiten aber trotzdem gerne weiter auf deutsch. Wenn man also als Seitenbetreiber wissen möchte woher ein Benutzer kommt sollte man die Browsersprache und nicht die IP Adresse verwenden. Oder noch besser, man fragt den User einfach.
Falls irgendwer von mir IP Adressen haben möchte hat er Pech gehabt denn ich habe keine. Ich bin auch nicht verpflichtet IP Adressen zu speichern, eher im Gegenteil, siehe DSGVO. Falls in meinem Forum wirklich jemand das nächste 9/11 plant muss das eben über klassische Polizeiarbeit ohne die IP die zum schreiben des Beitrags verwendet wurde aufgeklärt werden. Wenn bei mir vorm Haus ein Auto geklaut wird muss das auch ohne die Kameraaufzeichnungen von meinem Fenster aus aufgeklärt werden da dort keine Kamera steht.
Da jedes Feature das man nicht abschalten kann ein Bug ist, habe ich die Möglichkeit eingebaut das abzuschalten. Es kann also jeder selber entscheiden wie er das macht, aber die totale Überwachung des Internets fängt eben schon in den kleinen Foren an.

Zustimmen/nicht zustimmen
Grundsätzlich würde ich einem User der einer geänderten Datenschutzerklärung nicht zugestimmt hat nicht weniger Rechte als einem Gast geben. Komplett sperren nervt nur die User und wird sicher einige verwirren. Soweit ich die DSGVO verstehe muss man einem User der nicht zustimmt auch die Nutzung soweit das technisch möglich ist weiterhin ermöglichen. Ich würde also sagen man erlaubt ihm das lesen aller Foren die er als angemeldeter User lesen darf, wenn er einen Beitrag schreiben möchte fallen Daten an und dazu muss man der Datenschutzerklärung zustimmen. Das gleiche gilt auch für PNs, das baue ich dann beim nächsten Update mit ein.
Die Frage bleibt also was macht man mit Benutzern die nicht zustimmen? Eigentlich doch gar nichts. Sie können das Forum weiter nutzen bis Daten anfallen, spätestens dann müssen sie Zustimmen.

Gruß 89.244.250.72

[musashi]

IP speichern: [..]

Ich verzichte auf ein Vollquote und sage nur: genau so ist es.

Zustimmen/nicht zustimmen
Grundsätzlich würde ich einem User der einer geänderten Datenschutzerklärung nicht zugestimmt hat nicht weniger Rechte als einem Gast geben. Komplett sperren nervt nur die User und wird sicher einige verwirren. Soweit ich die DSGVO verstehe muss man einem User der nicht zustimmt auch die Nutzung soweit das technisch möglich ist weiterhin ermöglichen. Ich würde also sagen man erlaubt ihm das lesen aller Foren die er als angemeldeter User lesen darf, wenn er einen Beitrag schreiben möchte fallen Daten an und dazu muss man der Datenschutzerklärung zustimmen. Das gleiche gilt auch für PNs, das baue ich dann beim nächsten Update mit ein.
Die Frage bleibt also was macht man mit Benutzern die nicht zustimmen? Eigentlich doch gar nichts. Sie können das Forum weiter nutzen bis Daten anfallen, spätestens dann müssen sie Zustimmen.

Also eine Erklärung was es für den User bedeutet, auf nein zu klicken fänd ich gut. Einfach so machen, wie mit dem Link zur Richtlinie - so dass jeder Betreiber festlegen kann, wo sich dieser Text befindet. Das würde wohl reichen denke ich.

[Scanialady]

Ja da sind wir bei dem Punkt, weshalb ich einige Seiten vorher in diesem Thema vorgeschlagen habe, das über Gruppen zu regeln. Weil entweder schiebst du jeden, der die Zustimmung nicht erteilt oder wieder zurückzieht (ja, auch das muss möglich sein) händisch in eine Gruppe, die nur Gastrechte hat. Oder man benutzt Funktionen, die es bereits gibt (autogroup extensions), um die Gruppierung von der Zustimmung abhängig zu machen, wie es beim kürzlich registrierten Benutzer funktioniert.

Habe ich eh nur 10 aktive Mitglieder, ist das händische kein Problem - habe ich derzeit grad so gemacht. Hat aber jemand ein paar hundert Mitglieder, wirds schon interessanter. Die Vorschläge, dass man sehen (und als Admin auch auflisten kann), wer wann zugestimmt oder eben nicht zugestimmt hat, wäre jedenfalls definitiv hilfreich.

[Joyce&Luna]

Tobi es geht doch nicht darum die IP Adresse zu sperren im ACP.
Das anonymisieren der IP würde ein paar Extensionen aushebeln die genau darauf zugreifen.
Ich benutze keine solche Extension.
Es ist auch nicht jeder so schlau um das ganze zu umgehen.

Jeder hat eben halt seine Ansichten wie er mit was umgehen möchte.

Wenn du jetzt noch in der Extension PNs verbieten möchtest, wäre es schön wenn man die Frei auswählen kann, ob man das nutzen möchte oder nicht.

Auch schön wäre es, wenn Datenschutzerklärung aktualisieren und Alle IP Adressen anonymisieren über Cache leeren positioniert wird. Das Risiko mal eben schnell den Cache leeren kann dazu führen, das Alle IP Adressen anonymisieren versehentlich geklickt wird.
Wäre mir beinahe passiert.