GDPR/DSGVO - Datenschutzverordnung

[SarahUV]

moin zusammen,

also ich verstehe dieses ganze Palaver nicht.

Ich betreibe ein deutschsprachiges Forum bezüglich eines englischsprachigen (3-D-) Web-Angebots. Ich verkaufe nichts, biete nur deutschsprachigen Support.

Fertig.

Was ist daran so kompliziert?


-S

[tas2580]

Ich gebe als privater Forenbetreiber weder IP-Adressen, noch sonstige persönliche Daten an Dritte weiter.

Was ist mit

• Dem Access Log beim Provider
• Google Analytics oder sonstigen Trackern
• Facebook/Twitter/usw. Buttons
• Von extern eingebundene Bilder
• Webfonts, JQuery vom CDN, ...

Mit Daten weitergeben ist ja nicht nur gemeint das man Daten an irgendjemanden verkauft oder ihn eine Kopie der Datenbank gibt. Viel problematischer sind eben die technischen Details.

@SarahUV:
Gewerblich ist deine Seite wahrscheinlich schon mal, wenn du jetzt irgendwas von fremden Server einbindest oder personenbezogene Daten speicherst wird es schnell kompliziert.

Gruß Tobi

[Mahony]

Hallo

Was ist mit
Dem Access Log beim Provider

Nicht mein Problem. Ich weise darauf hin, dass diese Daten evtl. erhoben werden und damit hat es sich. Ansonsten bin nicht ich dafür verantwortlich was der Provider mit diesen Daten anstellt, denn auch der Provider ist an das Gesetz gebunden und darf diese Daten nicht frei verwenden. Das bedeutet, auch der Provider muss sich an das Datenschutzgesetz halten und sich gegebenenfalls verantworten.

Google Analytics oder sonstigen Trackern

Habe ich nicht eingebunden. Also auch nicht mein Problem.

Facebook/Twitter/usw. Buttons

Habe ich nicht eingebunden. Also auch nicht mein Problem.

Von extern eingebundene Bilder

Habe ich nicht eingebunden. Also auch nicht mein Problem.

Webfonts, JQuery vom CDN

Kann man auf den eigenen Webspace legen und von dort einbinden.

P.S. Ansonsten ist es ja auch nicht verboten Daten weiter zu geben, man muss nur die Benutzer darüber informieren und deren Zustimmung einhohlen.
Ich darf jede Art von Daten an jeden Dritten weiter geben, sofern ich die Zustimmung meiner Besucher dafür habe.

Grüße: Mahony

[tas2580]

Nicht mein Problem. Ich weise darauf hin, dass diese Daten evtl. erhoben werden und damit hat es sich. Ansonsten bin nicht ich dafür verantwortlich was der Provider mit diesen Daten anstellt, denn auch der Provider ist an das Gesetz gebunden und darf diese Daten nicht frei verwenden. Das bedeutet, auch der Provider muss sich an das Datenschutzgesetz halten und sich gegebenenfalls verantworten.

So wie ich das sehe musst du mit deinem Provider einen ADV Vertrag schließen, die meisten Hosting Provider bieten das mittlerweile auch schon an.

Kann man auf den eigenen Webspace legen und von dort einbinden.

Ja mit einzelnen Dateien mag das ja noch gehen, aber was ist z.B. mit den Emoji?

P.S. Ansonsten ist es ja auch nicht verboten Daten weiter zu geben, man muss nur die Benutzer darüber informieren und deren Zustimmung einhohlen.
Ich darf jede Art von Daten an jeden Dritten weiter geben, sofern ich die Zustimmung meiner Besucher dafür habe.

Genau das ist doch der Punkt. Du brauchst vor der Weitergabe der Daten die Zustimmung. Was ist jetzt aber wenn ich deine Seite besuche und ein Thema aufrufe in dem ein Emoji verwendet wird. Dann hast du ohne meine Zustimmung personenbezogene Daten (IP-Adresse) an deinen Provider und an das Emoji CDN weiter gegeben.

Ich würde auf jeden Fall mal beim Provider nachfragen ob es die Möglichkeit gibt das Access Log abzuschalten, braucht doch eh kein Mensch. So Dinge wie Emoji kann man wie ich weiter oben schon geschrieben habe über mod_proxy einbinden, da stellt sich nur die Frage ob das CDN das so cool findet denn deren Geschäftsmodell basiert darauf dass sie dir kostenlos Emoji liefern und du ihnen im Gegenzug Nutzerdaten gibst.

Gruß Tobi

[SarahUV]

...
Gewerblich ist deine Seite wahrscheinlich schon mal, wenn du jetzt irgendwas von fremden Server einbindest oder personenbezogene Daten speicherst wird es schnell kompliziert
...

da wird es dann doch etwas kompliziert, obwohl ich abgesehen vom Intro auf der Home nichts fremdes einbinde (im Gegenteil, ist meine eigene Kreation, mit Genehmigung von Virtual World®).

Personenbezogene Dateien speichere ich nicht ( außer dortige Nicknames, keine Email-addresses von dort, nur forenbezogene, notwendige emails für die Registrierung in meinem Forum selbst).

Alles andere ist "meins".

Langsam habe ich nicht übel Lust, eine Salve Granaten nach Brüssel zu schießen.

-S

[couchpilot]

Ich bin ja selber auch noch auf der Suche nach einer einfachen und schnell umsetzbaren Lösung. Ich möchte so wenig Links wie möglich in den Core Dateien ändern müssen und das, wenn möglich und bis (vielleicht) eine offizielle Lösung kommt, über eine eigene Seite oder eine Extension bewerkstelligen.

Nun hab ich mir mal die hier geposteten Lösungen oberflächlich angeschaut und finde eigentlich nur Anleitungen/Anregungen von musashi und vfrblue. Bei musashi gibt es mir zu viele Änderungen, und bei den von vfrblue eingesetzten Ext. anscheinend noch viele Fehler.

Ich versuch das mal anhand des zitierten Beitrages von vfrblue zu verdeutlichen...

Ich habe in diesem Forum die Erweiterung von David63 mit übersetzten Sprachdateien installiert. Die Richtlinien sind allgemein gehalten.
In unserem Live-Forum habe ich die Terms Of Use mit angepasstem Text installiert. Auch habe ich die phpBB-eigenen deutschen Sprachdateien mit dem gleichen Text angepasst. Das ist im Moment eine "Not-Lösung", bis eventuell eine "brauchbare" Erweiterung vorliegt.

Im ersten verlinkten Forum wird die Ext. "privacypolicy von David eingesetzt. Geh ich dort unten auf "Cookie/Datenschutz" hab ich einen schönen Text, aber keinen Button mit dem ich die Bedingungen annehmen kann. Geh ich oden auf "anmelden" kommt der Text

"Cookie-Akzeptanz erforderlich
Du musst die Cookie-Richtlinie von Style-Forum des VFR Owners-Club akzeptieren, bevor du dich auf dieser Website registrieren kannst oder, falls du bereits registriert bist, auf der Website anmelden kannst."

, wieder ohne Button zum akzeptieren. Wenn ich auf "Alle Cookies des Boards löschen gehe" (weil ich denke das dann der Button kommt), kommt eine durch die Ext. hervorgerufene Fehlermeldung:

AJAX-Fehler
Unable to find template "body" (looked into: /homepages/25/d556543757/htdocs/vfr_ocde/styles/ext/david63/privacypolicy/styles/all/template, /homepages/25/d556543757/htdocs/vfr_ocde/styles/ext/david63/privacypolicy/styles/all/theme, /homepages/25/d556543757/htdocs/vfr_ocde/styles/styles/oc_prosilver/template, /homepages/25/d556543757/htdocs/vfr_ocde/styles/styles/oc_prosilver/theme, /homepages/25/d556543757/htdocs/vfr_ocde/styles/styles/prosilver/template, /homepages/25/d556543757/htdocs/vfr_ocde/styles/styles/prosilver/theme, /homepages/25/d556543757/htdocs/vfr_ocde/styles/styles/all/template).

Also ist diese Ext. anscheinend entweder sehr kompliziert oder nicht fehlerfrei.

Beim zweiten Forum und der Umsetzung durch die Tou bekomme ich unten über die Ext. eine aktuelle Datenschutzerklärung, wenn ich aber auf "anmelden" gehe bekomme ich einen Link angezeigt wo noch die alte, originale "Datenschutzrichtlinie" von phpBB angezeigt wird.

Sind Datenschutzerklärung und Datenschutzrichtlinie hier zwei rechtlich unterschiedliche Begriffe ?

Oder ist einfach nur vergessen worden den Link zur Datenschutzrichtline anzupassen. Und wenn ja, (falls ich den selber anpassen möchte), wo finde ich den ?

Ich finde die fehlerfreie Umsetzung für einen Noob irgendwie sehr schwer und kompliziert. Es ist ja müßig sich darüber zu streiten ob man rechtlich gesehen die neue nun auf seinem Forum einbinden und umsetzen muß oder nicht, man kann es ja "einfach" machen, dann ist man auf der sicheren Seite. Wenns denn mal einfach gehen würde.

Und nun mal meine Fragen dazu:

An welchen Stellen wirft das originale phpBB denn Links zur Datenschutzerklärung/Datenschutzrichtlinie aus und wo im Core muß ich die alle ändern wenn ich das über die Pages realisiere ? Hat da jemand einen Überblick ?

Welche Extension zwingt meine User die aktualisierten Regeln zu bestätigen und loggt das zur Beweisführung mit (wie ich das erlesen habe ist das wohl ein Muß) ?

Welche der beiden Extensionen ist für einen Noob am einfachsten zu handeln und bringt im ACP einen Editor mit, mit dem ich meine Datenschutzregeln selber erstellen kann und der auch alle anderen Anforderungen erfüllt (Userzustimmungszwang, Beweisführung) ?

Hat jemand mal eine ausführliche Anleitung zu einem (oder mehreren möglichen) Szenarien, wo man alle Änderungen die man machen muß auf einen Blick sehen und abarbeiten kann ? Musashi war der Einzige der das mal hatte, aber das ist sicher nicht mehr aktuell und auch nur ein Weg gewesen das umzusetzen.

Oder denke ich hier wieder mal viel zu kompliziert ? Irgendwie bin ich etwas überfordert mit der Umsetzung und ich finds auch schade das phpBB.com einen da eher im Regen stehen lässt.

[vfrblue]

Im ersten verlinkten Forum wird die Ext. "privacypolicy von David eingesetzt. Geh ich dort unten auf "Cookie/Datenschutz" hab ich einen schönen Text, aber keinen Button mit dem ich die Bedingungen annehmen kann. Geh ich oben auf "anmelden" kommt der Text

"Cookie-Akzeptanz erforderlich
Du musst die Cookie-Richtlinie von Style-Forum des VFR Owners-Club akzeptieren, bevor du dich auf dieser Website registrieren kannst oder, falls du bereits registriert bist, auf der Website anmelden kannst."

, wieder ohne Button zum akzeptieren.

Den "Akzeptieren-"Button bekommst du wieder, wenn du auf die Forenübersicht klickst. Das ist leider (noch) nicht sauber gelöst.

Beim zweiten Forum und der Umsetzung durch die Tou bekomme ich unten über die Ext. eine aktuelle Datenschutzerklärung, wenn ich aber auf "anmelden" gehe bekomme ich einen Link angezeigt wo noch die alte, originale "Datenschutzrichtlinie" von phpBB angezeigt wird.

Sorry, da hab ich vergessen, die geänderten Dateien rüber zu kopieren.

Sind Datenschutzerklärung und Datenschutzrichtlinie hier zwei rechtlich unterschiedliche Begriffe ?

So, wie ich das alles gelesen habe, ist die Datenschutzrichtlinie die Vorgabe und die Datenschutzerklärung deine individuelle Umsetzung der Datenschutzrichtlinie.

[hackepeter13]

P.S. Ansonsten ist es ja auch nicht verboten Daten weiter zu geben, man muss nur die Benutzer darüber informieren und deren Zustimmung einhohlen.
Ich darf jede Art von Daten an jeden Dritten weiter geben, sofern ich die Zustimmung meiner Besucher dafür habe.

Genau das ist doch der Punkt. Du brauchst vor der Weitergabe der Daten die Zustimmung. Was ist jetzt aber wenn ich deine Seite besuche und ein Thema aufrufe in dem ein Emoji verwendet wird. Dann hast du ohne meine Zustimmung personenbezogene Daten (IP-Adresse) an deinen Provider und an das Emoji CDN weiter gegeben.

Könnte man nicht evtl. eine Art Zwischenseite einbauen.
Also sobald eine URL deiner Website aufgerufen/abgefragt wird, wird überprüft ob im Browser-Cache schon ein Cookie (durch vergangene Besuche) mit Zustimmungsinformationen oder so vorhanden ist.
Wenn ja, dann wird die Website ganz normal aufgerufen.
Wenn nicht, weil es bspw. der erste Aufruf der Website ist, wird eine "Zwischenseite" geladen, die statisch ist und einfach nur Hinweise über Datenschutz/Cookie beinhaltet und der Option anzunehmen (dann weiter auf die eigentliche URL leitet) oder abzulehnen und auf der bleibt oder eine andere statische Seite lädt (oder auf Google Suchmaschine, whatever).

Bei angemeldeten (autologin) Besucher, kann das ja auch noch in der Datenbank (User-Tabelle oder so) einen akzeptiert-Vermerk ablegen lassen.


Im Grunde finde ich das sowieso alles etwas zu hochgespitzt, weil wenn wirklich jede Aufnahme/Speicherung von Daten, wie bspw. die die vom Browser an den Server gesendet werden, wo auch meistens automatisch Log-Files erstellt werden, erst vom Besucher besättig/genehmigt werden muss ist das mit dem ersten Seitenaufruf eh schon zu spät.

[jan_2012]

Nabend.

Hatte es schon mal gefragt , wiederhole aber nochmal wegen des Umgangs des Beitrages.

Auf meiner Startseite sieht man nur die Einloggzeile und den Kontakt Button.

Keine Anmeldung / Registrierung.

Alle Info stehen im Kontaktfeld was die Admins brauchen um den User freizuschalten.

Also ein 0815 kommt nicht rein und eine Datenprüfung vor Datenbank Aufnahme ist auch notwendig.

Privat ist die Seite so In der Form auf jeden Fall.
Muss ich nun trotzdem in der E-Mail einen Hinweis zufügen wenn der User freigeschaltet wurde.?

Danke für Eure Hilfe.

Gruss Jan

[tas2580]

Personenbezogene Dateien speichere ich nicht

Was ist mit der IP-Adresse die zu den Beiträgen gespeichert wird? Was ist mit dem Access Log des Providers?

Langsam habe ich nicht übel Lust, eine Salve Granaten nach Brüssel zu schießen.

Das halte ich für wenig Zielführend, aber man kann ja mal die Abgeordneten anschreiben und ein bisschen nerven. Ich mache das gerade mit dem Kanzleramt da ich gerne einen ADV Vertrag mit dem BND schließen würde, mir aber keiner sagen kann an wen ich mich wenden muss.

Hat jemand mal eine ausführliche Anleitung zu einem (oder mehreren möglichen) Szenarien, wo man alle Änderungen die man machen muß auf einen Blick sehen und abarbeiten kann ?

Ich werde mir das am WE mal in Ruhe anschauen falls nicht wieder irgendwas dazwischen kommt und dann eine Liste mit Extensions und Änderungen schreiben.

Könnte man nicht evtl. eine Art Zwischenseite einbauen.
Also sobald eine URL deiner Website aufgerufen/abgefragt wird, wird überprüft ob im Browser-Cache schon ein Cookie (durch vergangene Besuche) mit Zustimmungsinformationen oder so vorhanden ist.
Wenn ja, dann wird die Website ganz normal aufgerufen.
Wenn nicht, weil es bspw. der erste Aufruf der Website ist, wird eine "Zwischenseite" geladen, die statisch ist und einfach nur Hinweise über Datenschutz/Cookie beinhaltet und der Option anzunehmen (dann weiter auf die eigentliche URL leitet) oder abzulehnen und auf der bleibt oder eine andere statische Seite lädt (oder auf Google Suchmaschine, whatever).

Genau das darf man wohl nicht, du darfst einen Besucher der nicht zustimmt nicht benachteiligen, also nicht irgendwohin weiterleiten oder ihm eine Abgespeckte Version der Seite ausliefern.

Im Grunde finde ich das sowieso alles etwas zu hochgespitzt, weil wenn wirklich jede Aufnahme/Speicherung von Daten, wie bspw. die die vom Browser an den Server gesendet werden, wo auch meistens automatisch Log-Files erstellt werden, erst vom Besucher besättig/genehmigt werden muss ist das mit dem ersten Seitenaufruf eh schon zu spät.

Naja in den letzten Jahren wurden eben wie blöde Daten gesammelt da ist es doch gut dass jetzt mal jemand das etwas eingrenzt. Gut die Umsetzung ist jetzt nicht wirklich gut gelöst, aber da habe ich von der Politik auch nichts anderes erwartet. Man hätte vieles ja auch direkt im Browser lösen können, wäre einfacher umzusetzen und würde wirklich schützen.

Muss ich nun trotzdem in der E-Mail einen Hinweis zufügen wenn der User freigeschaltet wurde.?

Auf was willst du hinweißen? Deine Seite scheint ja wirklich komplett privat und nur für einen ausgewählten Kreis zu sein, also muss dich die neue Verordnung auch nicht weiter stören.

Gruß Tobi