GDPR/DSGVO - Datenschutzverordnung

[hackepeter13]

Ich habe mich mal eben noch etwas damit befasst und bin auf Zwickmühle gestoßen.

Ich habe gelesen das sobald man unter anderem personenbezogene Daten speichert/erhebt, ein Datenschutzbeauftragter bestellt/eingeholt werden muss. (https://dsgvo-gesetz.de/art-35-dsgvo/)

phpBB bezieht standardmäßig keine personenbezogene Daten, solange keine personalisierte Email-Adresse (wie bspw. Max-Mueller@mail.tld) verwendet wird.

Nun schreibt aber Artikel 8 der DSGVO (https://dsgvo-gesetz.de/art-8-dsgvo/) vor, das man von Minderjährigen (unter 16) eine Einwilligung der Eltern einholen muss.
Mit jeder Registration wird also ein Alter/Geburtsdatum gespeichert.

Nun kommt der Knackpunkt:
Ein Geburtsdatum ist eine personenbezogene Angabe.
Ergo:
Es muss ein Datenschutzbeauftragter hinzugezogen werden.

Wobei selbst wenn, allein die Möglichkeit das jemand eine personalisierte Email-Adresse bei der Registrierung angibt & gespeichert wird, ist ein Datenschutzbeauftragter erforderlich.

[Crizzo]

Das kannst Du für phpbb.com oder phpbb.de gerne so halten - es hat aber ein verd*** G'schmäckle, wenn dies so dann auch den phpBB-Anwendern aufokroyiert wird ... ohne ihnen wenigstens die technischen Voraussetzungen im Core zu verschaffen, dann halt zumindest selbst aktiv werden zu können.
Die sollen dann, mal logisch zuende gedacht, ebenfalls auf "Heini-Post" warten? Und dann?

Ich weiß momentan ebenso wenig wie du und die anderen User, ob und wie das kontrolliert wird oder genau umgesetzt werden muss. Denn einen Anwalt oder sehr fachkundigen kann ich mich noch nicht nennen. Deshalb war der Satz auch nicht so ernst gemeint, wie du ihn jetzt auffasst.

Aber vielleicht ist es ein gangbarer Weg, wenn der zuständige Datenschutzbeauftragte proaktiv angeschrieben wird.

Wo es, nicht ganz unberechtigterweise, von den Non-EU Usern/Teamies eher kritische Stimmen gibt

Das Lemming-Prinzip ...

Das sieht man allerdings auch bei der GDPR-Sache. So richtig kennt sich keiner aus, alle meinen aber jetzt plötzlich irgendwas irgendwie umsetzen zu müssen, wo teilweise sehr abstruse Ideen oder Vorschläge kommen.

Ich weiß nicht, ob das nicht mehr Panik ist, als die Sache am Ende verdient.

Sorry, muss man sich denn immer nach denjenigen richten, die sich sogar partout weigern, auch mal einen Blick über ihren eigenen, persönlichen Tellerrand zu werfen und stattdessen in einer teilweisen Überheblichkeit und Selbstgefälligkeit "antworten"?
Antworten ala "das sitzen wir halt einfach aus, weil wir es nicht einsehen" sind nicht wirklich hilfreich, im Gegenteil.

Es spricht nichts dagegen, zumindest die entsprechenden "Schnittstellen" in phpBB zu integrieren - proaktiv und nicht erst dann, wenn das Kind dann vielleicht doch in den Brunnen gefallen ist, weil der eigene Horizont denn doch nicht weit genug war.
Das Spiel hatten wir in der jüngeren Vergangenheit schön öfters mal ...
(Und bei den "Reaktionszeiten", die zu erwarten sind ... )

Es ist doch momentan weder auf Userseite noch auf phpBB-Seite Einigkeit vorhanden, was überhaupt wie eingebaut werden sollte und welche Variationen für die einzelnen EU-Staaten und Non-EU-Staaten/Seiten, die ggf. betroffen sind. Da geistern Ideen wie "IPs gehören verschlüsselt" rum, sollen "wir" jetzt da fix Patches schreiben, die jede noch so zweifelhafte Idee adhoc umzusetzen? Ich glaube, dass verbrennt primär Zeit. Bisher sind mir zwei User bekannt, die nicht zurückgelehnt abwarten, dass phpBB irgendwas, und am besten jedem Recht, machen wird.

weil das ungefähr genauso nützlich ist, wie für uns die COPPA-Erklärung.

Mit dem kleinen Unterschied, dass COPPA anstandslos umgesetzt wurde ...

Das Cookie-Popup hat auch einer einfach eingebaut, noch sehe ich aber keinen PullRequest von irgendwem. Ob sowas wie die COPPA überhaupt jemals hätte in den phpBB-Core gesollt, ist auch nicht unstrittig.

Diese "Argumentation" ist übrigens das, was mich bei .com manchmal auf die Palme treiben könnte: außerhalb der eigenen "Welt" gibt es nichts, das es verdienen könnte, als ebenso real anerkannt zu werden.

Für mich kommt erst der Plan und dann die Umsetzung, ob jetzt als Extension (von offizieller Seite oder User) oder als Core-Bestandteil ist da erstmal egal. Aber jetzt fix alle möglichen Funktionen auf Verdacht nachrüsten, da kann ich schon verstehen, wieso da nicht gleich 100 Freiwillige finden.

David63s Extension bekommt ja auch teilweise Feedbach, wo was weiß ich noch alles nachgefragt wird, wo er und andere wieder denken, dass das wirklich keiner braucht.

Wobei selbst wenn, allein die Möglichkeit das jemand eine personalisierte Email-Adresse bei der Registrierung angibt & gespeichert wird, ist ein Datenschutzbeauftragter erforderlich.

https://dsgvo-gesetz.de/art-37-dsgvo/ liest sich jetzt nicht so, als müsste sich der normale Forenbetreiber da große Sorgen machen, dass er einen Datenschutzbeauftragten benennen muss. Artikel 35.2 scheint ja zudem auch davon auszugehen, dass es auch keinen geben kann. Siehe auch: https://www.e-recht24.de/artikel/datens ... dsgvo.html

[Melmac]

Für mich kommt erst der Plan und dann die Umsetzung

Gut, nur: warum ist nirgendwo auch nur in Ansätzen erkennbar, ob überhaupt etwas geplant wird, was eventuell in der Planung sein könnte - warum ist die offizielle Kommunikation seitens phpBB nicht existent?
Ein wirksames Mittel (besser: das wirksame Mittel ...) gegen Halbwahrheiten und "Panik" wäre ja ... Kommunikation, die die Fragen auf- und auch annimmt.
Genau diese sucht man aber vergebens ...

Wenn ein Hersteller eines x-beliebigen Produktes auf solche berechtigten Fragen, wie sie seit Wochen und Monaten gestellt werden, entweder nicht oder überheblich abkanzelnd reagiert ...
... laufen ihm früher oder später die Kunden davon. Vor allem dann, wenn die ersten von ihnen vielleicht doch Konsequenzen erfahren, die regelmäßig abgewiegelt wurden.

Das hat nichts mit "Panik" zu tun: ich vermisse ein ernsthaftes Auseinandersetzen mit einer Thematik, die im Bereich des Möglichen liegt, den Willen zur konstruktiven Kommunikation.

So richtig kennt sich keiner aus

Stimmt. Das bedeutet aber nicht, dass man in Unwissenheit verharren muss. Außerdem hindert die eigene Unwissenheit auch .com nicht daran, Schlussfolgerungen zu ziehen: ablehnende ...

alle meinen aber jetzt plötzlich irgendwas irgendwie umsetzen zu müssen, wo teilweise sehr abstruse Ideen oder Vorschläge kommen.

Schön, dass, wenn man die Verlautbarungen auf .com so verfolgt, momentan der Eindruck aufkommen muss, dass seitens phpBB dem wirksam entgegengetreten wird: durch demonstrative Untätigkeit und Desinteresse.

All dies befördert doch nur das Aufkommen von unberechtigter Panik, statt ihr entgegen zu wirken.

[tas2580]

Die Panik hält sich doch bei phpBB noch in Grenzen, schau mal in die SEO Foren, da haben gerade alle Angst das sie bald verhungern da sie kein Adsense mehr einblenden oder die User mit "Newslettern" zuspammen können. Teilweise müssen sich viele von denen wirklich ein bisschen zurücknehmen, aber da bin ich auch nicht traurig wenn ich nachher weniger Mails bekomme die ich nicht will. Da nehme ich dann auch gerne in Kauf das ein SEO verhungert.

Ich habe in den letzten Tagen unzählige Artikel und auch die DSGVO mehrfach gelesen und muss sagen, dass es echt nicht einfach ist daraus schlau zu werden. So wirklich weiß wohl keiner was da auf uns zu kommt, die Meinungen gehen ja von "alles bleibt wie es ist" bis zu "wir müssen das Internet neu erfinden". Am besten man wartet erst mal ab was die anderen so machen, bis dahin schadet es sicher nicht sparsam mit Userdaten umzugehen und sie nicht ungefragt weiterzugeben, aber das sollte man eh schon immer so machen.

Das alles wird sich irgendwie einpendeln und bis dahin kann man das doch ganz gut mit Extensions lösen, falls die irgendwo über das Ziel raus schießen kann man sie schnell wieder deinstallieren oder anpassen, das ist im Core nicht ganz so einfach. David63 arbeitet an einer Extension die wohl vor allem das
Cookie Problem zu lösen versucht, ich bastel gerade an was das die Links zur Datenschutzrichtlinie anpasst und die Zustimmung für z.B. Massenmails einholt. Was davon dann wirklich nötig ist wird sich zeigen und dann sicher auch irgendwann seinen Weg in den Core finden.

Gruß Tobi

[couchpilot]

Das die bei .com bei einigen Themen auf beiden Augen blind sein wollen ist wirklich schade, denn wie Melmac schon schrieb, laufen einem dann ja auch die User weg. Ich hab hier auch schon ne Anfrage gelesen das da jemand sein Forum wegen der neuen DSVO dicht machen möchte. Das geht dann natürlich auch in Richtung Panik, aber verdenken kann man es keinem, wenn jemand das Gefühl hat mit dem Problem alleine stehen gelassen zu werden.

Deswegen bin ich auch sehr dankbar für das Engagement von Tobi. Das ist echt super das er da eine Extension bastelt.

Zur Zeit bin ich gesundheitlich angeschlagen, aber ich hab auch noch ein Klonforum mit sehr vielen Usern wo ich die Extension testen werde. Mit Vorschlägen bei Github ist das so ne Sache, da muß man sich extra anmelden, also warum nicht hier im Board ein Thema dazu ?

Also ich hab mir den Text der neuen Verordnung auch schon mehrfach durchgelesen und der ist natürlich so schwammig wie die EU Behörden das Geld aufsaugen können. Deswegen tappe ich bisher auch ziemlich im Dunklen und hab erst mal "nur" eine offline Pages Seite mit der neuen GDPR erstellt. Die kann ich bei Bedarf auch ganz schnell online stellen.

Was mir im Moment noch einige persönliche Sorgen macht ist der Passus, das jeder User das Anrecht darauf hat das seine persönlichen Daten gelöscht werden. Hört sich erst mal einfach an, aber auch ein Nickname, der immer wieder im Netz von der gleichen Person benutzt wird (oder der sogar seinen richtigen Namen benutzt), können zu "Persönhlichen Daten" werden. Hab ich jedenfalls so verstanden. Dahingehend hab ich hier auch schon zwei Themen gelesen. Die Löschroutine müßte verändert werden, also mit mehr Optionen als nur Beiträge bestehen lassen oder alles löschen. Und es sollte auch eine nachträgliche Möglichkeit über das ACP geben Änderungen an den Usernamen der gelöschten User vorzunehmen. Denn gerade User die man gelöscht hat, sind ja manchmal User die dann sauer sind und sich rächen wollen und das jetzt wegen der neuen Verordung auch können.

Oder ist das auch schon wieder Panik und ich mach mir da zu viel nen Kopf ?

[hackepeter13]

Was mir im Moment noch einige persönliche Sorgen macht ist der Passus, das jeder User das Anrecht darauf hat das seine persönlichen Daten gelöscht werden. Hört sich erst mal einfach an, aber auch ein Nickname, der immer wieder im Netz von der gleichen Person benutzt wird (oder der sogar seinen richtigen Namen benutzt), können zu "Persönhlichen Daten" werden. Hab ich jedenfalls so verstanden.

Ich meine das Recht hatte jedermann auch schon vorher.

Abgesehen davon steht ja auch in den Standard-phpBB Nutzungsbedingungen drin, das der Vertrag jederzeit von beiden Seiten gekündigt werden kann.

Und es sollte auch eine nachträgliche Möglichkeit über das ACP geben Änderungen an den Usernamen der gelöschten User vorzunehmen. Denn gerade User die man gelöscht hat, sind ja manchmal User die dann sauer sind und sich rächen wollen und das jetzt wegen der neuen Verordung auch können.

Wenn du einen Benutzer löschen willst, gehst du ja im ACP in die Benutzerverwaltung, wo man direkt vor dem Löschen den Benutzernamen ändern kann, z.B. auf Anonym123 oder ID-123 und dann einfach löschen.

Beim Löschen der Beiträge, weiß ich jetzt nicht genau wie sich das verhält, ob wirklich ein Anrecht auf das Löschen aller Beiträge gegeben ist oder ob nur Beiträge mit personenbezogene Daten, bzw Beiträge die auf die gelöschte Person Rückschließen können gelöscht werden müssen.

Auch hier gibt es in den Standard-phpBB Nutzungsbedingungen den Punkt 2.b - Inwiefern dieser dann noch nach den neuen Gesetz rechten ist, hab ich noch nicht rausgefunden.

[Scanialady]

...

Ich habe gelesen das sobald man unter anderem personenbezogene Daten speichert/erhebt, ein Datenschutzbeauftragter bestellt/eingeholt werden muss. (https://dsgvo-gesetz.de/art-35-dsgvo/)

...

Das sehe ich so ähnlich wie bei allen anderen Vorschriften im Betrieb, Verordnungen, oder auch im TMG. Gibt es keinen besonders bestellten Beauftragten, dann bist DU derjenige, der verantwortlich ist. Kein Problem, das so da rein zu schreiben. Verantwortlicher ist: ich.

Was mich an der Diskussion auf .com besonders begeistert ist nicht nur die Ignoranz und abwertende, gönnerhafte Abkanzelung. Noch schlimmer ist, dass man sich da völlig neben dem Thema über Paragraphen austauscht, als wäre einer von uns Rechtsanwalt. Es geht doch nicht darum, für wen oder wen nicht wo oder wo nicht genau welche Regel anzuwenden ist. Im Grunde könnte man das ganze Thema auf drei Beiträge reduzieren.

Das ist eigentlich eine Anfrage zum Einbau von Möglichkeiten einer konfigurierbaren Textregel (egal für welches Land!), die nicht bei jedem Update gelöscht wird (ucp.php - Überschreibversion des Updates, die ständig empfohlen wird, weil man den Autoupdater nicht reparieren kann...), und die eine Möglichkeit zur Einholung einer Mitgliederzustimmung mit anschließender Speicherung beinhaltet. Wiederholbar bei Änderungen. DAS IST ALLES was hier wirklich relevant ist. Der Rest ist Selbstdarstellung, blabla und Demonstration der göttlichen Überlegenheit der "ich ignorier das einfach"-Gruppe.

Welcher Text in welchem Land relevant ist, ist doch völlig gleichgültig. Dafür gibt es sicher nicht nur in Deutschland Rechtsanwaltsseiten, die einen Generator für Vorlagen anbieten. Es braucht vor allem die Zustimmungs- und Speicherfunktion, da haben wir ein Problem. Und selbst wenn ein "gewöhnlicher Forenbesitzer" nicht davon betroffen wäre, schadete diese Funktion nicht. Wer will das denn ausprobieren, ob er vor Gericht oder gegen einen Abmahnanwalt Recht bekommt? Sind wir wirklich sicher, nirgends und niemals etwas auf der Seite zu haben, was ein Abmahner heranziehen könnte? Ja? Echt? Keine Werbung, keine Videos, keine Bilder, keine social media, keine Verlinkungen? Vielleicht kriegt er nicht Recht, aber will ich das riskieren? Das kostet erstmal MEINE Zeit und MEIN Geld und MEINE Nerven, das im Einzelfall auszutesten.

Keiner der Ignoranten wird im Unterliegensfalle kommen und sagen: oh, das tut mir leid, ich zahl dir die Kosten.

Ich bin auch sehr froh, dass David und Tobi sich der Sache annehmen, und ich hoffe, dass etwas brauchbares dabei rauskommt. Bis dahin kann man nur händisch per Beitrag und Antworten im Forum und der UCP selbst was machen. Klar, der Beitrag würde im Falle der Löschung eines Benutzers (dem ich nicht ablehnend gegenüberstehe) gelöscht. Doch kann man sich ja ein pdf des Themas drucken.

Gibts eigentlich noch die Möglichkeit, ein Thema komplett zu drucken, und nicht nur die sichtbare Seite? Früher gabs da glaub ich mal ne Extension von RMcGirr83.

[musashi]

Wegen Accountlöschung und Nicknames etc

Ein Nickname gilt per se erst einmal als "pseudonymisierte Daten". Das bedeutet, es würde Zusatzwissen erfordern, um auf eine tatsächliche Person Rückschlüsse ziehen zu können. Selbst mit einem Profil ist das nicht ohne weiteres möglich, weder als Admin und schon gar nicht als Nutzer eines Forums. Aber, ich zitiere von: https://www.trialta.de/inbound-marketin ... gene-daten

Die entscheidende Frage ist, ob man das Zusatzwissen zur Identifizierung einer Person selbst besitzen muss, oder ob es genügt, wenn irgendein anderer es hat. Herauszufinden, welcher Lehrer welches Fach unterrichtet wäre z.B. leicht über das schwarze Brett der Schule möglich. Die Personalnummern der Lehrer hingegen kennt nur das Sekretariat.

Der Europäische Gerichtshof stellte klar: Ein Datum (Eine Information, Anm.) gilt als personenbezogen, wenn eine Stelle „über rechtliche Mittel verfügt, die es [ihr] erlauben, die betreffende Person anhand der Zusatzinformationen […] bestimmen zu lassen“ (EuGH, Urteil vom 19.10.2016, Rs. C-582/14, Rn. 49). Die „rechtlichen Mittel“ sind auch gegeben, wenn man Dritte einschalten kann und diese rechtlich gezwungen sind, Auskünfte zur Identität zu geben (BGH, Urteil vom 16.05.2017, Az. VI ZR 135/13).

Somit liegt ein Personenbezug nur dann nicht vor, wenn die Identifizierung der betreffenden Person praktisch nicht durchführbar oder gesetzlich verboten ist. Man denke an Personen in sensiblen Ämtern, die ärztliche Schweigepflicht oder die Verschwiegenheitspflicht von Anwälten.

Der Europäische Gerichtshof entschied über das Thema Zusatzwissen im Zusammenhang mit IP-Adressen.

Da der Telekommunikationsanbieter über die von ihm bereitgestellte IP-Adresse einen klaren Bezug zum jeweiligen Kunden herstellen kann, gilt diese als personenbezogenes Datum. Der Anbieter besitzt das Zusatzwissen, um eine Verbindung zwischen IP-Adresse und Nutzernamen herzustellen.

Für einen Webseitenbetreiber besitzt die IP-Adresse ebenfalls einen Personenbezug. Wenn User ihre Daten in das Kontaktformular der Website eintragen, stellen diese für den Betreiber ein internes Zusatzwissen dar. Username, Klarname und IP-Adresse lassen sich einander zuordnen. Selbst, falls dies nicht der Fall sein sollte, besteht für den Webseitenbetreiber rechtlich die Möglichkeit, die zugehörigen Daten einer IP-Adresse beim jeweiligen Internetanbieter zu erfragen. Auch, wenn diese Option hauptsächlich zur Abwehr möglicher Cyberattacken gedacht war, besteht sie defacto jederzeit, so der EUGH. Aus diesem Grund stellt die IP-Adresse für einen Webseitenbetreiber ein personenbezogenes Datum dar.

Sprich ich lese das so: phpBB setzt in aller Regel auf Nicknames, das wäre kein Problem. Jetzt kommen aber 2 Personenbezogene Datensätze hinzu, die IP Adresse und die E-Mailadresse. Ergo muss bei einer Entfernung des Accounts meiner Meinung nach, jegliche IP Adresse der Beiträge die verbleiben anonymisiert werden (Das wäre die beste Lösung), oder Alles in jedem Bereich komplett anonymisiert - also auch in Quotes Statt [Username] -> [gast#laufene Nr.] z.B.
<tldr> Das Problem hier ist halt, dass phpBB nach Löschung des Accounts die Zuordnung der IP Adresse zum Beitrag beibehält, die weiteren Daten wie die E-Mailadresse und sonstige Profilangaben werden ja entfernt.

[uwe.ha]

Wir haben jetzt immerhin mal die Entwurfsphase für eine neue Erklärung eingeleutet.

Bedeutet das, dass ihr die DS-Erklärung des DEUTSCHEN Sprachpakets überarbeitet?
Um dies - auch nur halbwegs - rechtssicher zu machen, bedarf es sicherlich eines Rechtsanwaltes (am besten Fachanwalt für IT-Recht). Wie gesagt: Ich spende/beteilige mich an den Kosten! ... und kenne auch einen, der mir beim Domianrecht gut geholfen hat.

Ich habe gelesen das sobald man unter anderem personenbezogene Daten speichert/erhebt, ein Datenschutzbeauftragter bestellt/eingeholt werden muss

Ich hatte vorhin gelesen, dass dies nur dann notwendig ist, wenn man mehr als 10 Personen im Betrieb hat, die Daten verarbeiten. Sollte bei uns nicht der Fall sein ...

UND ... das Problem sind ja nicht nur die Daten aus der phpBB-DB. Auch wenn ein User zb ein Youtube- oder Vimeao Video einbettet ... gehen Daten an Google ... und dazu müssen wir aufklären.

Ich habe auch noch eBay- und Amazon Partnernet.
Die beiden - und auch Youtube - sagen mir ganz klar: Sie sind nicht für meine DS-Erklärung zuständig, da soll ich mich selbst drum kümmern. Und das obwohl DIE es sind, die die Daten über meine Website erheben. Und das Paradoxe: Ich weiß gar nicht genau WAS die für Daten erheben ... soll aber genau das meinen Besuchern erklären ...

[tas2580]

Die Partnerprogramme von Amazon und Ebay sind doch nur normale Links, da werden ja keine Daten erfasst, bzw. erst wenn jemand auf den Link klickt und das ist ja dann nicht mehr dein Problem.

Gruß Tobi