GDPR/DSGVO - Datenschutzverordnung

[bvetter]

So was?
...

Danke für deinen Vorschlag. Wollte dafür jetzt keinen extra Abschnitt. Ich habe nun den phpBB-Part dementsprechend angepasst.
Sollte nun so passen, oder? Besser wäre vermutlich noch eine genaue Auflistung, wo genau welche Daten gespeichert werden.

[uwe.ha]

Besser wäre vermutlich noch eine genaue Auflistung, wo genau welche Daten gespeichert werden.

Ich habe mir das nochmal durch den Kopf gehen lassen.

Ich würde:

1a) Cookies ... wie vorhanden
1b) Welche Daten bei Registrierung und beim Posten eines Beitrags gespeichert werden
1c) Wie lange diese Daten gespeichert werden

2.) Warum diese Daten notwendig sind ... weil nur so die Funktion des Forums gewährleistet ist
3.) Deshalb liegt ein berechtigtes Interesse gem. Art. 6 Abs. 1 Satz 1 lit. f) DSGVO vor.

- Gestattung der Datenspeicherung
Ob man das noch beibehalten muss? ... ich denke die DSGVO macht den Satz gegenstandslos.

Wie gesagt, ich denke dass das nicht notwendig ist. Beim Hinweis auf die Logfiles wird ja auch nicht um die Gestattung dieser Datenspeicherung gebeten.

Was - aus den Nutzungsbedingungen unter ...ucp.php?mode=terms - vielleicht noch rein müsste ... da Beiträge im weitesten Sinne ja auch "Daten" sind:
4.) Einräumung von Nutzungsrechten
- Mit dem Erstellen eines Beitrags erteilst du dem Betreiber ein einfaches, zeitlich und räumlich unbeschränktes und unentgeltliches Recht, deinen Beitrag im Rahmen des Boards zu nutzen.
- Das Nutzungsrecht nach Punkt 2, Unterpunkt a bleibt auch nach Kündigung des Nutzungsvertrages bestehen.
ERGÄNZUNG:
"Bei Löschung deines Accounts werden deine Beiträge von deinen persönlichen Daten getrennt, und sind dir somit nicht mehr zuzuordnen, und somit nicht mehr personenbezogen."
... oder so

Alle anderen Punkte wie Recht auf Auskunft, Löschung, etc. kommen dann noch dazu, gelten aber nicht nur für phpBB, und brauchen somit in diesem separaten phpBB-Abschnitt nicht extra nochmal erwähnt zu werden.

[bvetter]

1b) Welche Daten bei Registrierung und beim Posten eines Beitrags gespeichert werden

Weiß das jemand genau?
Meinst du, man sollte das bis ins keinste Detail aufdröseln?

1c) Wie lange diese Daten gespeichert werden

Naja, da gibt es ja eigentlich keine Begrenzung, solange der Benutzer seinen Account nicht löscht.

ERGÄNZUNG:
"Bei Löschung deines Accounts werden deine Beiträge von deinen persönlichen Daten getrennt, und sind dir somit nicht mehr zuzuordnen, und somit nicht mehr personenbezogen."
... oder so

Macht Sinn und werde ich ergänzen.

Alle anderen Punkte wie Recht auf Auskunft, Löschung, etc. kommen dann noch dazu, gelten aber nicht nur für phpBB, und brauchen somit in diesem separaten phpBB-Abschnitt nicht extra nochmal erwähnt zu werden.

Kommen wo dazu? Genau diese Punkte sind doch in der Datenschutzerklärung erklärt?

An alle: Ihr könnt gerne meine Datenschutzerklärung und Co als Vorlage verwenden bzw. Teile übernehmen.

[uwe.ha]

1b) Welche Daten bei Registrierung und beim Posten eines Beitrags gespeichert werden

Weiß das jemand genau?

Genau weiß ich es nicht, aber in der DB unter *_users sehe ich ... an persönlichen Daten:
- user_ip
- user_name ... wobei der username pro Forum zwar "einmalig" ist, aber ob "held173" personenbezogen ist?
- user_email

In der *_posts
- auch die IP

Ggf. noch die ACP > Benutzer > Benutzerdefinierte Profilfelder ... in der DB = *_profile_fields_data die freiwillig (oder als "erforderlich" markierten) eingetragenen Daten.

Meinst du, man sollte das bis ins keinste Detail aufdröseln?

... eigentlich muss man das ...

1c) Wie lange diese Daten gespeichert werden

Naja, da gibt es ja eigentlich keine Begrenzung, solange der Benutzer seinen Account nicht löscht.

Dann muss man das halt so schreiben

Alle anderen Punkte wie Recht auf Auskunft, Löschung, etc. kommen dann noch dazu, gelten aber nicht nur für phpBB, und brauchen somit in diesem separaten phpBB-Abschnitt nicht extra nochmal erwähnt zu werden.

Kommen wo dazu? Genau diese Punkte sind doch in der Datenschutzerklärung erklärt?

Ja, meine ich ja; da das eh in jede DSE gehört, braucht man das nicht nochmal in phpBB-Abschnitt zu erwähnen ... das gilt ja für ALLES.

[oxpus]

- user_name ... wobei der username pro Forum zwar "einmalig" ist, aber ob "held173" personenbezogen ist?

Das wäre im Einzelfall immer juristisch zu klären, aber man kann zunächst davon ausgehen, dass alle Daten zum Userprofil, welche bereits bei der Registrierung angegeben werden, personenbezogene und damit schützenswerte Daten darstellen.
Und was schadet es, wenn man mehr Daten "schützt" als zu wenige? Letzteres bedeutet Abmahnungen, ersteres tut nun auch nicht mehr weh, oder?

[uwe.ha]

Ja, IP + Email + Username würde ich dann auch als Einheit sehen. Zumal wenn Löschung beantragt, wird eh ganzer Datensatz gelöscht.

[vfrblue]

Ein schon etwas älterer Audio-Beitrag von "Law Podcasting":https://www.law-podcasting.de/audio/law ... -92819.mp3
Er befasst sich mit den User-Daten und den Beiträgen.

Hier auch ein Beitrag/Kommentar zur Pseudonymisierung von Daten: https://www.datenschutzbeauftragter-inf ... igentlich/
https://dsgvo-gesetz.de/erwaegungsgruende/nr-28/ (Erwägungsgrund 28)
https://dsgvo-gesetz.de/erwaegungsgruende/nr-29/ (Erwägungsgrund 29)

Daraus schliesse ich: Wenn ich in meiner Nutzungsbedingung darauf hinweise, dass man sich nicht mit dem natürlichen Namen registrieren sollte, sondern aus datenschutzrechtlichen Gründen einen Nicknamen wählen sollte. Wobei das natürlich in der Eigenverantwortung des Users ist.
So habe ich schon einen "großen Beitrag" zum Datenschutz geleistet und brauche mich um die geschriebenen Beiträge nicht so "große" Sorgen machen.

[ZNC]

Egal ob ich privat oder gewerblich eine Seite betreibe, man muß sich schon mit diesem Thema auseinandersetzen. Ich denke, dass es wichtig ist, zuerst folgendes in Erfahrung zu bringen:
a) welche personenbezogenen Daten,
b) unterschieden ob jemand angmeldeter User oder Gast ist,
c) wann gezogen werden,
d) ob in Cookies oder der Datenbank nachgehalten
e) und bis wann gespeichert werden.

Erst hiernach kann man doch beginnen, einen Prozess zu definieren, wo der Besucher dann transparent und verständlich informiert wird. Wie also diese Informationen zusammentragen?

@vfrblue, danke für die sehr informativen Links. In Bezug auf die vom User generierten Inhalten habe ich mir jetzt überlegt, die Nutzungsbedingung um folgendes zu erweitern:
um die Bitte, keine Nicknamen in den Beiträgen zu posten und
um den Hinweis, keine persönlichen Daten, die Rückschlüsse auf die Person ermöglichen, in den Beiträgen zu hinterlassen.

[Gumfuzi]

In Bezug auf die vom User generierten Inhalten habe ich mir jetzt überlegt, die Nutzungsbedingung um folgendes zu erweitern:
um die Bitte, keine Nicknamen in den Beiträgen zu posten und
um den Hinweis, keine persönlichen Daten, die Rückschlüsse auf die Person ermöglichen, in den Beiträgen zu hinterlassen.

Ist zwar nett, wird in der Praxis aber die wenigsten User interessieren und ist daher in der Form in >90% der Foren nicht umsetzbar bzw. was machst du bei Quotes?

Ich habe jedenfalls es so gemacht, dass bei der Dateneinsicht für den User alle relevaten Daten einzusehen sind (lieber zu viel als zu wenig), d.h. auch PNs, Postings, beobachtete Themen etc. einfach alles vom User.

Aber das kann ja jeder halten, wie er/sie möchte.

[ZNC]

Aus der rechtlichen Verantwortung ergibt sich eine alle persönlichen Daten umfassende Aufklärungspflicht von mir - auf der einen Seite. Meine Rechenschaftspflicht ist es, den Anwender, auf Anfrage zu informieren, dazu zählt auch das, was Du an Dateneinsicht aufgezählt hast.

Auf der anderen Seite habe ich auch ein Hausrecht in Form meiner Nutzungsbedingungen (ein weiterer Vertragsbestandteil zur Nutzung des Forums). Solange die Bedingungen nicht gegen rechtliche Vorgaben verstoßen, kann ich gebieten und verbieten, denn ich habe Hausrecht.

Auch sehe ich mich nicht verpflichtet, alle Foren-Leistungen einem Besucher zur Verfügung zu stellen, wenn er mit den Bedingungen zum Datenschutz und der Nutzung des Forums nicht einverstanden ist. Ich muß ihm - sei es dem Gast oder dem registrierten Nutzer - aber gewährleisten, auf einfache Art und Weise, mich über seine Willenserklärung zu unterrichten.

PS: @Gumfuzi weißt Du, welche personenbezogenen Daten phpBB wann erhebt?