[RC] Privacy protection (DSGVO)

[Scanialady]

ja kann ich mir vorstellen, wenn die Datenmenge groß ist - doch denke ich, wie bei anderen Sachen auch, kann man da sicher ne Abarbeitungsgrenze einfügen (nach Serverstärke einstellbar?) wo man halt sagt: nicht mehr als 30/50/150 gleichzeitig.

[tas2580]

Es wäre doch auch eine Überlegung wert, ob man für den Prozess der Zustimmung nicht einfach eine automatische Gruppenzuordnung benutzt.

Wenn man sich so anschaut was für Probleme die Leute mit den Rechten haben gibt es da sicher jemanden der das direkt verstellt. Über den Timestamp in der User DB ist ja auch so klar welche User betroffen sind da braucht man dann nicht extra eine Gruppe.

Gruß Tobi

[couchpilot]

Erst mal noch ein dickes Danke das Du Dich der Sache annimmst.

Also ich hab die Ext. jetzt auch mal installiert und hau hier mal als unbedarfter Admin dazwischen, also nicht schlagen wenn ich was nicht gefunden oder nicht verstanden habe oder schon zuviel erwarte

Bisher hab ich "nur" im eigenen Profil die Buttons "Download Profildaten" und "Download meine Beiträge" als neu erkennen können. Das funktioniert aber erstaunlich gut. Die 30.000 Beiträge eines Users wurden sehr schnell runtergeladen. Die Zeitangaben sind (noch) kryptisch (da hör ich schon die ersten schreien das sie es nicht verstehen). Ich kann mich dunkel erinnern das es Unix Timestamp ist, damit können die wenigsten aber was anfangen.

Und ich seh auch schon den Fall kommen das User mich dann trotzdem noch anschreiben und ihre Datenherausgabe fordern und das nicht selber runterladen bzw. wenn doch, keine XML Datein öffnen können. Schön wäre es vielleicht wenn man bei der Benutzerseite im ACP auch noch mal diese Buttons einbaut, so das der Admin das auch machen kann.

Registrierung hab ich auch schon versucht, da wird angezeigt "Datenschutzrichtlinie gelesen und akzeptiert:" (ich weiß gar nicht mehr wie das im originalen aussah), da müßte noch mal ein Link zur Datenschutzrichtlinie hin, damit sie die auch lesen können.

Mehr kann ich jetzt noch nicht sagen, eine Idee wie man das realisieren könnte mit dem Prozess der Zustimmung hab ich leider auch nicht.

LG Andi

[tas2580]

Registrierung hab ich auch schon versucht, da wird angezeigt "Datenschutzrichtlinie gelesen und akzeptiert:" (ich weiß gar nicht mehr wie das im originalen aussah), da müßte noch mal ein Link zur Datenschutzrichtlinie hin, damit sie die auch lesen können.

Sollte eigentlich da sein.

Datenschutzrichtlinie gelesen und akzeptiert:
Ich bestätige mit dem Auswählen dieses Feldes, das ich die Datenschutzrichtlinie gelesen habe und akzeptiere diese.

Das Wort "Datenschutzrichtlinie" Linkt zur Datenschutzrichtlinie.

Zusätzlich zu dem was du schon gefunden hast wird die Datenschutzrichtlinie im Footer verlinkt.

Auf der Registrieren Seite gibt es "Administratoren dürfen mir Informationen per E-Mail schicken:"

Auf der Startseite des ACP gibt es einen neuen Button "Datenschutzerklärung aktualisieren" wenn du den klickst müssen alle User die neue Datenschutzrichtlinie bestätigen bevor sie wieder Beiträge schreiben können. Das ist aber sicher noch ausbaufähig.

Im ACP unter "Board-Einstellungen" gibt es das Feld "URL zur Datenschutzerklärung:" in das du eine URL eintragen kannst. Alle Links zur Datenschutzerklärung werden dann durch diese URL ersetzt.

Die Timestamps kann man sicher noch in ein leserliches Datum ändern, steht auf der Liste

Gruß Tobi

[couchpilot]

Danke für die Erklärungen.

Also ich hab jetzt alles einmal durchgetestet und bin schon sehr erfreut bzw. fast euphorisch

Das funktioniert alles ziemlich klasse und lässt bisher keine oder nur wenige Wünsche offen. Aber ich hab auch noch ein paar Anregungen.

Bisher kann man ja nix posten wenn man die neuen DS Bestimmungen nicht akzeptiert hat. Allerdings kann man doch etwas posten, nämlich über Quick Reply, also über die Schnellantwortfunktion. Das sollte auch nicht gehen.

Ob das jetzt mit folgender Ext. zusammenhängt, die ich installiert habe, weiß ich natürlich nicht: https://www.phpbb.com/community/viewtopic.php?t=2340331

Wenn man den neuen DS nicht zustimmt und sieht das man nix schreiben kann weiß man (also der unbedarfte User) nicht warum. In der Box wo man zustimmen muß, sollte noch kurz rein: "Falls Du den neuen Bestimmungen nicht zustimmst, kannst Du leider keine weiteren Beiträge verfassen" oder ähnliches.

Datenschutzrichtlinie gelesen und akzeptiert:
Ich bestätige mit dem Auswählen dieses Feldes, das ich die Datenschutzrichtlinie gelesen habe und akzeptiere diese.

Das Wort "Datenschutzrichtlinie" Linkt zur Datenschutzrichtlinie.

Vielleicht bin ich ja ein Korinthenkacker, aber bei dem Passus würde ich auch noch das erste "Datenschutzrichtlinie" verlinken. Bis "unten" hab ich faule Socke gar nicht nach dem Link gesucht

Das wären jetzt auf die Schnelle die ersten Anregungen von mir. Sehr galant gelöst finde ich übrigens die Option mit der "URL zur Datenschutzrichtline" in den Board Einstellungen. Hab das mit einer Pages Seite verlinkt und so wird wirklich jede andere DS ersetzt, ohne das man in den Prosilver Templates rumschrauben muß. Super Arbeit.

WE hab ich leider keine Zeit weiter zu schauen, aber nächste Woche gerne.

[tas2580]

Bisher kann man ja nix posten wenn man die neuen DS Bestimmungen nicht akzeptiert hat. Allerdings kann man doch etwas posten, nämlich über Quick Reply, also über die Schnellantwortfunktion. Das sollte auch nicht gehen.

Das mit dem nicht schreiben können ist eher eine vorläufige Lösung bis mir da was besseres einfällt. PNs kann man ja auch noch schreiben und je nach installierten Extensions können noch an weiteren stellen Daten erhoben werden. Ich muss darüber mal in Ruhe meditieren

Wenn man den neuen DS nicht zustimmt und sieht das man nix schreiben kann weiß man (also der unbedarfte User) nicht warum. In der Box wo man zustimmen muß, sollte noch kurz rein: "Falls Du den neuen Bestimmungen nicht zustimmst, kannst Du leider keine weiteren Beiträge verfassen" oder ähnliches.

Die Texte sollte man allgemein nochmal überarbeiten und das alles mal ordentlich formulieren, aber mir geht es erst mal um die technischen Dinge. Texte ändern ist ja nachher kein Problem, dafür bin ich eh nicht der richtige Ansprechpartner, sowas können andere sicher besser. Wer möchte kann ja gerne ein PR dazu machen.

Gruß Tobi

[musashi]

Was mir noch fehlt derzeit wäre:

- Checkbox bei contactadmin: Ich erkläre mich damit einverstanden, dass [Forumname] meine Angaben speichern & zur Beantwortung meiner Fragen vewenden darf. [Link: Datenschutzerklärung & Widerufhinweise]

- Die Anonymisierung von IPs die älter sind als X. Ganz speziell im Fall von gelöschten Usern speichert phpBB diese (persönlichen) Daten ja weiterhin. Da das standard vorgehen von phpBB ist, dass der Nutzername nach dem Löschen des Accounts als Platzhalter erhalten bleibt und die IPs zu den Beiträgen wie gesagt ebenso, ist das ein nicht ganz unernstes Problem. Denn so wird aus dem Nickname, der als solcher nicht zu den persönlichen Daten zählt, in Verbindung mit der IP Adresse ein eben solches.

[vfrblue]

Was mir noch fehlt derzeit wäre:

......

- Die Anonymisierung von IPs die älter sind als X. Ganz speziell im Fall von gelöschten Usern speichert phpBB diese (persönlichen) Daten ja weiterhin. Da das standard vorgehen von phpBB ist, dass der Nutzername nach dem Löschen des Accounts als Platzhalter erhalten bleibt und die IPs zu den Beiträgen wie gesagt ebenso, ist das ein nicht ganz unernstes Problem. Denn so wird aus dem Nickname, der als solcher nicht zu den persönlichen Daten zählt, in Verbindung mit der IP Adresse ein eben solches.

Woher hast du denn die rechtlichen Mittel, um über die IP-Adresse den Namen heraus zu finden?
Laut dem EuGH ist die IP-Adresse den persönlichen Daten zuzuschreiben, aber diese brauchen nicht gelöscht zu werden, wenn man keine rechtlichen Möglichkeiten hat, diese auszuwerten: http://www.dr-bahr.com/news/speicherung ... laubt.html

- Checkbox bei contactadmin: Ich erkläre mich damit einverstanden, dass [Forumname] meine Angaben speichern & zur Beantwortung meiner Fragen vewenden darf. [Link: Datenschutzerklärung & Widerufhinweise]

Wenn du die Erweiterung Contact Admin benutzt, reicht es, eine Datenschutzerklärung im Kontakt-Text mit einzufügen, wo man mit dem Absenden der Mail eine Zustimmung erteilt. Das Datum der Kontaktaufnahme wird ja auch gespeichert.
Art.4 DSVGO Punkt 11.

[tas2580]

Update:
Es gibt eine neue Einstellung durch die keine IP-Adressen der Besucher mehr gespeichert werden. Außerdem können alle IP-Adressen die bereits gepeichert wurden anonymisiert werden.
(Bevor jemand Fragt: die IP Adressen werden auf "127.0.0.1" gesetzt, das ist die IP-Adresse von "localhost" also dem Server. Komplett löschen könnte zu Problemen führen.)

- Checkbox bei contactadmin: Ich erkläre mich damit einverstanden, dass [Forumname] meine Angaben speichern & zur Beantwortung meiner Fragen vewenden darf. [Link: Datenschutzerklärung & Widerufhinweise]

Das Problem ist, dass dazu komplett die Events fehlen. In der "Contact Admin" Extension wären sie vorhanden.

Gruß Tobi

[oxpus]

Erst einmal auch von mir ein dickes Danke für diese Extension.
Endlich mal eine Lösung, die Vorgaben aus der neuen DSGVO weitgehend umsetzen zu können.

Schade, dass das Kontakt-Formular keine eigenen Events besitzt, um die Checkbox zum Akzeptieren einfügen zu können.
Vielleicht aber mal ein Verbesserungsvorschlag an die Entwickler.

Frage an dieser Stelle, die IP-Adressen im Nachgang zu anonymisieren:
Kann man in das Event ein weiteres Event ausführen, um diese für eigene Extensions nutzen zu können?
Dann hätte ich nämlich gleich eine weitere Anwendungsmöglichkeit dafür.