[RC] Privacy protection (DSGVO)

[Melmac]

Dann richte ich mal Chaos an ... zurück zur QR-Geschichte (der on-board-Version von phpBB)

Ich habe mal versucht, die Anzeige des originalen QR-Editors durch den Info-Hinweis zu ersetzen, sofern die erneuerte Bestätigung noch aussteht.
Das ganze ist jetzt noch etwas aus der Hüfte geschossen:

• theme-Verzeichnis erstellt, darin
• Stylesheet privacyprotection.css

  Code: Alles auswählen

  form#qr_postform .panel {
    display: none;
  }
  

• Zwei zusätzliche Eventfiles:
  a) overall_header_head_append.html

  Code: Alles auswählen

  <!-- IF S_NEED_ACCPEPT_PRIVACY -->
  
  {% INCLUDECSS '@tas2580_privacyprotection/privacyprotection.css' %}
  
  <!-- ENDIF -->
  

  b) quickreply_editor_panel_before.html

  Code: Alles auswählen

  <!-- IF S_NEED_ACCPEPT_PRIVACY -->
  
  <div class="rules">
  	<p>{NEED_ACCPEPT_PRIVACY}</p>
  	<a href="{U_ACCPEPT_PRIVACY}" class="button2">{L_ACCEPT_PRIVACY}</a>
  </div>
  
  <!-- ENDIF -->
  

Die ersten Test waren anscheinend okay: solange die Bestätigung noch fehlt, wird in den entsprechenden Topics nur der Hinweis angezeigt, nach Bestätigung dann stattdessen wieder der QR-Editor.

Falls es jemand testen (und auch kritisieren = Fehler finden ) will:

[musashi]

Funktioniert auch mit QR Reloaded, danke

Ich glaube den Zugang zu PNs sollte man dann noch sperren, dann hätten wir's oder?

[Melmac]

Dann probiere ich mich nochmals an einem PR

[Scanialady]

Funktioniert auch mit QR Reloaded, danke

Ich glaube den Zugang zu PNs sollte man dann noch sperren, dann hätten wir's oder?

War es nicht so, dass der Zugang zu den eigenen PN und der lesende Zugriff nicht verboten werden darf, auch nicht bei Ablehnung der Datenschutzregeln? Ich meine, das irgendwo gelesen zu haben in diesem umfangreichen Ursprungsthema. Also zumindest das eigene Profil muss doch zugänglich bleiben nach dem Einloggen, damit der Mensch sich selbst löschen kann. Ihn erst zustimmen zu lassen, wäre wohl nicht zielführend, oder denke ich falsch?

[musashi]

Funktioniert auch mit QR Reloaded, danke

Ich glaube den Zugang zu PNs sollte man dann noch sperren, dann hätten wir's oder?

War es nicht so, dass der Zugang zu den eigenen PN und der lesende Zugriff nicht verboten werden darf, auch nicht bei Ablehnung der Datenschutzregeln? Ich meine, das irgendwo gelesen zu haben in diesem umfangreichen Ursprungsthema. Also zumindest das eigene Profil muss doch zugänglich bleiben nach dem Einloggen, damit der Mensch sich selbst löschen kann. Ihn erst zustimmen zu lassen, wäre wohl nicht zielführend, oder denke ich falsch?

Das mit den PNs sehe ich ganz klar nicht so. Dieser Prozess speichert Daten, dazu ist es notwendig, dass der user die DSGVO akzeptiert hat.

Ins Profil kann er nach wie vor, also auch seinen Account löschen (wenn man das entsprechend installiert hat). Auch kann er über contactadmin jederzeit eine Löschung beantragen, wenn der Betreiber das Selbstlöschen der Accounts nicht unterstützt.

[Melmac]

Funktioniert auch mit QR Reloaded, danke

Ich glaube den Zugang zu PNs sollte man dann noch sperren, dann hätten wir's oder?

War es nicht so, dass der Zugang zu den eigenen PN und der lesende Zugriff nicht verboten werden darf, auch nicht bei Ablehnung der Datenschutzregeln? Ich meine, das irgendwo gelesen zu haben in diesem umfangreichen Ursprungsthema. Also zumindest das eigene Profil muss doch zugänglich bleiben nach dem Einloggen, damit der Mensch sich selbst löschen kann. Ihn erst zustimmen zu lassen, wäre wohl nicht zielführend, oder denke ich falsch?

Das mit den PNs sehe ich ganz klar nicht so. Dieser Prozess speichert Daten, dazu ist es notwendig, dass der user die DSGVO akzeptiert hat.

Ins Profil kann er nach wie vor, also auch seinen Account löschen (wenn man das entsprechend installiert hat). Auch kann er über contactadmin jederzeit eine Löschung beantragen, wenn der Betreiber das Selbstlöschen der Accounts nicht unterstützt.

Bei neu registrierten Usern dürfte es, IMHO, kein Problem sein, ihnen die Nutzung der PN-Funktion bis zur Bestätigung zu verweigern; bei bereits registrierten Nutzern, die auch schon eine Reihe PNs in ihren Postfächern haben, dürfte es aber nicht so eindeutig sein.

Es müsste doch eigentlich reichen, erst einmal nur noch den lesenden Zugriff auf die PNs zu erlauben und das Schreiben erst nach Bestätigung wieder freizuschalten - beim Lesen alleine fallen doch keine entsprechenden Daten an, oder?

Auch kann er über contactadmin jederzeit eine Löschung beantragen, wenn der Betreiber das Selbstlöschen der Accounts nicht unterstützt.

In diesem Punkt bin ich mir etwas unsicher: stand nicht mal im Raum, dass die Löschung eines Accounts prinzipiell vom jeweiligen Benutzer selbst durchgeführt werden können muss?

[musashi]

In diesem Punkt bin ich mir etwas unsicher: stand nicht mal im Raum, dass die Löschung eines Accounts prinzipiell vom jeweiligen Benutzer selbst durchgeführt werden können muss?

Hier mal der Original Text zum Abschnitt Recht auf Löschung:

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

a)

Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.

b)

Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.

c)

Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein.

d)

Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

e)

Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.

f)

Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.

(2) Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.

(3) Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist

a)

zur Ausübung des Rechts auf freie Meinungsäußerung und Information;

b)

zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

c)

aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstaben h und i sowie Artikel 9 Absatz 3;

d)

für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder

e)

zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Quelle: https://www.jusline.at/gesetz/dsgvo/paragraf/17

[Melmac]

Gut, hierbei geht es aber um die Daten, die bei der Nutzung eines Accounts anfallen (können) - die Sache mit dem Account selbst ist aber eine andere Geschichte, soweit ich es noch in Erinnerung habe.

Ich muss mal schauen, ob ich das wiederfinden kann - gut möglich, dass dies auch nur in einem ganz anderen (Gesetzes-)Zusammenhang aufgetaucht ist.

[Scanialady]

Ich glaube den Zugang zu PNs sollte man dann noch sperren, dann hätten wir's oder?

War es nicht so, dass der Zugang zu den eigenen PN und der lesende Zugriff nicht verboten werden darf, auch nicht bei Ablehnung der Datenschutzregeln? Ich meine, das irgendwo gelesen zu haben in diesem umfangreichen Ursprungsthema. Also zumindest das eigene Profil muss doch zugänglich bleiben nach dem Einloggen, damit der Mensch sich selbst löschen kann. Ihn erst zustimmen zu lassen, wäre wohl nicht zielführend, oder denke ich falsch?

Das mit den PNs sehe ich ganz klar nicht so. Dieser Prozess speichert Daten, dazu ist es notwendig, dass der user die DSGVO akzeptiert hat.

Ins Profil kann er nach wie vor, also auch seinen Account löschen (wenn man das entsprechend installiert hat). Auch kann er über contactadmin jederzeit eine Löschung beantragen, wenn der Betreiber das Selbstlöschen der Accounts nicht unterstützt.

Da hast du mich wohl falsch gelesen
Sag ich doch: lesenden Zugang zu den PN - lesen und löschen sollte er können. Nicht neues schreiben.

[Charlie_M]

Ich würde bei neuerlichen notwendigen Zustimmung folgende Optionen anbieten :
- zustimmen
- ablehnen
- Account löschen

Dann ist kein Zugang zu PN Bereich oder Forum mit minimalem Rechten notwendig. Wer mag Kann ja bei dem Schritt eigene Beiträge und Infos zum Download vor Löschen anbieten.

Nur mal laut gedacht