GDPR/DSGVO - Datenschutzverordnung

[hackepeter13]

Zwecks dem Alter, würde ich mir da keine großartigen Gedanken machen.

Richtig Überprüfen wäre dann per Post-Ident oder so, wird wohl kaum gesetzlich eingeführt werden.

Beste Beispiel ist doch WhatsApp, seit dieser oder letzter Woche ist die Nutzung nur noch ab 16 Jahre erlaubt, WhatsApp, bzw. Facebook hat selber öffentlich geäußert das sie das aber nicht Überprüfen werden, wie Alt jemand wirklich ist.

Also was soll's...

[ZNC]

Zu diesem gesamten Kladeradatsch habe auch ich mir laienhafte Gedanken gemacht und mir die Punkte notiert, die ich klären muß. Als Nichtjurist kämpfe ich jedoch mit groooßen Verständnisproblemen beim DSGVO. Wie soll ich Privatperson DSGVO-Gesetzes-konform absichern, wenn ich Teile davon nicht verstehe und wie soll ich diese meinem Forumsbesucher dann in einer einfachen Sprache transparent und verständlich darlegen? Auch gibt es noch keine Grundsatzurteile, nach denen man sich richten könnte.

Darüber hinaus bin ich als Privatanbieter eines toten (soll aber wiederbelebt werden) und eines neu angedachten Forums, auf die Informationen

• meines Webhosters,
  eines Juristen
  sowie einer zu rechtlich verbindlichen Aussagen befugten phpBB-Anlaufstelle

angewiesen. Auch muß ich mir so allmählich Gedanken über eine fundierte Versicherung machen - auch als Privatpeson. Übersteigen die Kosten mein Budget, so werde ich alles ad acta legen müssen, schade drum, macht mir nämlich Spaß.

Das DSVGO betrifft auch die Verarbeitung von Cookies, wenn in diesen personenbezogene Daten hinterlegt sind. Personenbezogene Daten sind Daten, die eine Person identifizierbar machen. Meines Erachtens nach bei phpBB-Mindestanforderung für die Forumsmitgliedschaft die eMail-Adresse und die IP-Adresse.
zu klären: Wann zählt der Nickname zu den personenbezogenen Daten? Immer oder nur, wenn die Person identifizierbar wird, weil er seinen reellen Namen angegeben hat. Kümmert es mich, wenn dieser Nick noch anderswo im WorlWideWeb genutzt wird. Woher soll ich wissen, ob es ein und dieselbe Person ist?
zu klären: Wie müssen zusätzliche Felder (wie z.B. Geburtsdatum, Ort ...) behandelt werden? Sollten diese nicht mehr auswählbar sein?

Laut dem, was ich aus der DSGVO verstanden haben, dürfen Cookies nur angelegt werden, wenn der Besucher dem zustimmt. Aber, besucht ein Gast die tote Seite meines Mannes, werden direkt mal 4 Cookies (Endung ..._u + ..._k + ..._sid + ..._lang) angelegt. Auch wenn man cookieconsent (im ACP unter Cookies zu aktivieren) einsetzt, werden diese, ohne die Bestätigung des Besuchers abzuwarten, direkt angelegt.
zu klären: Wie kann ich dieses Verhalten verhindern?
zu klären: Werden personenbezogene Daten auch bei phpBB Gästen erhoben? Ich vermute mal ja - IP-Adresse.
zu klären: Werden diese Daten in der Datenbank nachgehalten? Wenn ja, wie lange?

Im DSGVO steht das Recht auf Information auch im besonderen Fokus. Was ist bei mehrsprachigen phpBB-Seiten?
zu klären: Wie sind phpBB User rechtlich verbindlich zu informieren, wenn das in Deutschland angedockte Internetangebot mehrsprachig ist? Ist deutsch die maßgebliche Sprache?

Weitere Gedanken zum DSGVO

Artikel 5: Grundsätze für die Verarbeitung personenbezogener Daten
Absatz 1
a) ... und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden ...
zu klären: Muß begründet werden?

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden ...
zu klären: Wie könnten phpBB-Anbieter, die AdSense usw. im Einsatz haben, dies legitimieren?

d) ... es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden ...
zu klären: Muß man sich im Vorfeld selber oder durch eine phpBB-Extension eine Routine schaffen, die dies erledigen würde? Woher weiß ein 0-8-15-phpBB-Anbieter, wo welche Daten nachgehalten werden, wo ist derartiges dokumentiert?

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist ...
zu klären: Aspekt der Vorratsdatenspeicherung, deshalb - sobald die Zweckbindung entfällt (ein phpUser die Löschung verlangt), müßten spätesten nach 7 Tagen die Daten gelöscht werden?

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung ...
zu klären: Was ist, wenn man keinen eigenen Server hat, sondern auf fremde Dienstleistung (Webhosting) zugegreift? Welche Informationen muß man vom Hoster verlangen? Wie ist der phpBB-User zu informieren?

Artikel 6: Rechtmäßigkeit der Verarbeitung
Absatz 1
Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) ... hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben ...
b) die Verarbeitung ist für die Erfüllung eines Vertrags ... erforderlich, die auf Anfrage der betroffenen Person erfolgen ...

Artikel 7: Bedingungen für die Einwilligung
Absatz 1
Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
zu klären: Wie muß man den Nachweis für die Einwilligung organisieren?
zu klären: Über welchen Zeitraum ist dieser nachzuhalten?

Absatz 2
Erfolgt die Einwilligung ... durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung ... von den anderen Sachverhalten klar zu unterscheiden ist ...
zu klären: Wann ist die Einwilligungserklärung klar von den anderen Informationen abgegrenzt, insbesondere bei Gästen?

Absatz 3
Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. ... Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.
zu klären: Wo sollte die Möglichkeit auf Widerruf der Einwilligung angedockt sein?

Artikel 13: Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person

Absatz 1
Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt ... zum Zeitpunkt der Erhebung dieser Daten folgendes mit:
a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
zu klären: Reicht hier wirklich das Impressum?

c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
zu klären: Was versteht man unter "Rechtsgrundlage"?
zu klären: Diese Punkte müssen in den Aufklärungsteil vor der Einwilligung aufgenommen werden.

Absatz 2
Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:
zu klären: Alle Punkte dieses Absatzes müssen im Aufklärungsteil vor der Einwilligung aufgegriffen sein.

Artikel 14: Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden

Absatz 1 + Absatz 2
zu klären: All diese Punkte sind, falls externe Server genutzt werden, vom Webhoster zu beantworten, damit dann der phpBB-User informiert werden kann.

Artikel 17: Recht auf Löschung („Recht auf Vergessenwerden“)

Absatz 3
Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist
a) zur Ausübung des Rechts auf freie Meinungsäußerung und Information
zu klären: Was ist damit gemeint?

Allgemein zu diesem Artikel 17:
zu klären: Darf man zwar die User-Registrierungsdatenn löschen, aber den Beitrag desjenigen Users eventuell sogar mit der Nickunterschrift bzw. seinem vollen Namen von der Löschung ausschließen? Denn das Eine ist erhoben bzw. notwendig, um den vollen phpBB-Forenumfang nutzen zu können, das Andere freiwillig.
zu klären: Wenn die Beiträge des zu vergessenwerdenden Users personenbezogen Daten beinhalten und diese eventuell aus dem Text zu entfernen wären, wie sieht es mit Zitaten innerhalb des Forums aus? Wie, wenn im WWW irgendwo dieser Beitrag zitiert ist?

[bvetter]

Wie habt ihr eigentlich bei euch in der Datenschutzerklärung die Verarbeitung durch phpbb erklärt?

Ich habe versucht (im Bereich "Umfang und Art der Datenspeicherung durch das Forensystem (phpBB)"), durch einen Teil aus den bisherigen Datenschutzbestimmungen von phpbb, dies passend zu erklären.
Meint ihr das passt so?

[uwe.ha]

Meint ihr das passt so?

Deine Datenschutzerklärung (DSE) im Ganzen finde ich SEHR vorbildlich!
Allerdings ist der Teil zu phpBB recht spärlich ausgefallen ... finde ich ...

Du schreibst - im Gegensatz zu anderen Punkten - nichts zu:
- Wofür nutzen wir ihre Daten
- Auf welcher Grundlage die Daten erhoben werden (berechtigtes Interesse nach Art 6 ...DSGVO)
- Wie lange die Daten gespeichert werden.

Allgemein fehlt wohl (auch in der bestehenden "phpBB-Datenschutzrichtlinie") noch der Hinweis auf weitere Daten, die gespeichert werden, wie zb bei Registrierung - neben der Emailadresse - auch die IP-Adresse. Die IP wird ja nicht nur in den Server-Logfiles, sondern auch noch in der DB gespeichert. Und nicht nur bei Anmeldung, sondern auch noch zu jedem Beitrag ... wenn ich mich nicht irre.

Die Rechte (Auskunft, Löschung etc,) hast du ja oben bereits genannt. Muss dann nicht im phpBB-Absatz nochmal wiederholt werden.

Zu den weiteren Punkten, die in der vorhandenen "phpBB-Datenschutzrichtlinie" noch vorhanden sind:

- Gestattung der Datenspeicherung
Ob man das noch beibehalten muss? ... ich denke die DSGVO macht den Satz gegenstandslos.

- Regelungen bezüglich der Weitergabe deiner Daten
Ich denke, dass die ein Punkt ist, der allgemein in die DSE gehört, und somit nicht im phpBB-Absatz (zusätzlich) erklärt werden muss.

- Gestattung der Kontaktaufnahme
Ist jetzt - glaube ich - nichts, das die DSGVO fordert, oder?

- Geltungsbereich dieser Richtlinie
Muss man - denke ich - auch nicht erwähnen.

- Auskunftsrecht
Ist auch so ein Punkt, der grundsätzlich in die DSE rein muss, und damit nicht im phpBB-Absatz (zusätzlich) erklärt werden muss.

Sonst ist mir jetzt nichts weiter aufgefallen.

Nochwas:
Wie ich sehe, besteht auch deine Seite nicht NUR aus phpBB, sondern auch aus News, Tests, etc.
Die User deines Forums werden auf die neue DSE hingewiesen (durch die Ext von tas2580, und von denen wird Annahme/Ablehnung eingefordert.
Wie ist das, wenn ein Besucher - zb über Google - nur eine News-Seite aufruft. Bekommt der dann auch die Aufforderung, der DSE zuzustimmen?
Ich sehe auch gerade, dass unter News oder Tests weder Cookie-Consent eingeblendet wird, noch ein Links zur DSE vorhanden ist ...
Cookie-Consent nutzt du wohl das aus phpBB. Das kann natürlich nicht auf den anderen Seiten funktionieren. Deshalb nutze ich das von https://cookieconsent.insites.com/

[bvetter]

Vielen Dank für deine Anmerkungen. Mit dem News/Test-Teil das stimmt, da werde ich den Cookie-Hinweis noch ergänzen.
Die anderen Sachen werde ich auch mal schauen, wie ich die am besten anpassen.

Hat vielleicht jemand das mit der Speicherung der IP bei Beiträgen und Anmeldungen schon irgendwie formuliert?

Zu den weiteren Punkten, die in der vorhandenen "phpBB-Datenschutzrichtlinie" noch vorhanden sind:

Welche meinst du genau? Diese gibt es doch so bei mir auf der Seite gar nicht mehr, oder?
Sie wird doch quasi durch die neue Datenschutzerklärung ersetzt.

[uwe.ha]

Welche meinst du genau? Diese gibt es doch so bei mir auf der Seite gar nicht mehr, oder?

Doch ... https://www.alefo.de/forum/privacy-policy

Sie wird doch quasi durch die neue Datenschutzerklärung ersetzt.

Ja klar. Das meiste - denke ich - wird hinfällig. Einzig der Punkt:

- Gestattung der Kontaktaufnahme
Ist jetzt - glaube ich - nichts, das die DSGVO fordert, oder?

Da weiß ich nicht genau.

[bvetter]

Doch ... https://www.alefo.de/forum/privacy-policy

Ach, tatsächlich. Wird die irgendwo noch verlinkt? Und weiß zufällig jemand, ob man die irgendwo deaktivieren kann? Ggf. leite ich sie halt per .htaccess um.

Einzig der Punkt:

- Gestattung der Kontaktaufnahme
Ist jetzt - glaube ich - nichts, das die DSGVO fordert, oder?

Da weiß ich nicht genau.

Aber der wird ja auch durch tas2580 sein Plugin abgedeckt, da man dadurch in der Registrierung explizit den Punkt "Administratoren dürfen mir Informationen per E-Mail schicken:" mit ja angeben muss. Ansonsten werden keine Rundmails an diese Benutzer verschickt.

[uwe.ha]

Ok, dann fehlt nur noch bei Angabe der Daten der Hinweis auf die IP-Adressen bei Registrierung und Posten.

[Joyce&Luna]

So was?

Gestattung der Datenspeicherung

Du gestattest dem Betreiber, die von dir im Rahmen der Registrierung eingegebenen Daten sowie laufende Zugriffsdaten (Datum und Uhrzeit der Nutzung, IP-Adresse und weitere von deinem Browser übermittelte Daten) zu speichern und für den Betrieb des Boards zu verwenden.

[tojag]

Willkommen bei euch allen.
Es ist gut, dass ich hier bin. Auf phpbb.com wird der Datenschutz als unerwünscht behandelt. Ich glaube, nur David63 arbeitet an etwas Konkretem.
Ich habe dort diesen Thread https://www.phpbb.com/community/viewtop ... &t=2419821 sowie einige andere zum Thema Datenschutz eingerichtet und es ist nicht gut.
Ich habe dort bereits 2014 über IP-Adressen und E-Mails geschrieben, aber sie lachten, dass es keine persönlichen Daten sind
Ich habe seit 2014 eine ähnliche Lösung wie @musashi. Ich habe es auf custom_profile_fields gemacht, so dass das Feld erforderlich und im Benutzerprofil sichtbar ist.
Momentan lösche ich meine Konten manuell, teste aber diese Erweiterung https://www.phpbb.com/customise/db/exte ... account_2/ mit der Möglichkeit der vollständigen Anonymisierung.
Aus Gründen der Einreichung von Moderationsanträgen habe ich `Post enthält persönliche Daten'. Ich versuche sicherzustellen, dass niemand die E-Mail, das Telefon oder den Namen in der Öffentlichkeit eingibt. Wenn ja, dann lösche ich sie. Ich hoffe, dass ich dank dessen meine Beiträge nach dem Löschen meines Kontos sicher aufbewahren kann. In den Regeln habe ich geschrieben, dass der Nutzer mir eine unbegrenzte Lizenz zur Nutzung der von ihm verfassten Beiträge gewährt und ich diese auch nach dem Löschen des Profils nicht löschen muss.
Ich warte auf eine Lösung von AdSense. Sie haben vorerst die Möglichkeit, unprofilierte Werbung für das gesamte Konto zu schalten, was aber geringere Einnahmen bedeutet. Es gibt auch ein solches Tool http://www.youronlinechoices.com, das ich den Nutzern wahrscheinlich vorschlagen werde, die Werbung zu kontrollieren.
Ich habe seit langem eine Vereinbarung mit einem Hosting-Unternehmen, die Datenverarbeitung auszulagern. Ich habe meine Sammlung sogar der Datenschutzbehörde gemeldet.
Es bleibt noch viel zu tun. Es ist gut, dass Sie an der Erweiterung arbeiten.
Sorry, wenn ich unverständlich schreibe, aber ich kann kein Deutsch und übersetze alles über deepl.com/translator.
Grüße

Edit:
Ich weiß nicht, ob die IP aus den Beiträgen oder nur aus dem Profil gelöscht werden soll. Ich hatte einen Fall, die Anwaltskanzlei verlangte 20.000 von mir. Entschädigung für ein Bild, das in einem Forum von jemandem gepostet wurde. Ich antwortete, dass ich nicht zahlen würde, weil ich nicht für das verantwortlich sei, was jemand schreibt. Ich habe ihnen geraten, die Polizei nach Daten zu fragen. So haben sie es gemacht. Die Polizei rief mich an und gab ihnen ihre Benutzerdaten wie Nickname, IP, E-Mail, Datum und Uhrzeit. Das war vor drei Jahren, und im Moment ist es ruhig, also kann ich sicher sein. Was, wenn ich keine IP habe? Wie beweise ich, dass ich nicht derjenige bin, der künstlich Beiträge erstellt und gestohlene Fotos einfügt? Ich verstehe nicht das ganze Gesetz.