DSGVO für unzugängliches, unsichtbares, privates Forum?

[JanPi2020]

Hallo alle.

Ich frage mich, ob mein Forum jegliche Pflichten gemäß DSGVO erfüllen muss, wenn es unter folgendem Setting läuft:

• Es ist komplett unzugänglich (auch für Bots etc.), sofern man nicht die URL kennt. Es gibt keinerlei verweisende Links im Web.
• Wenn man die URL kennt, zwingt einen das Forum auf die Login-Seite (Extension "Login Required").
• Die teilnehmenden 30 Personen kennen sich alle persönlich aus der realen Welt.

Ich frag mich ja sogar, wer denn davon überhaupt erfahren sollte, um einen etwaigen DSGVO-Fehler anzumahnen ...

Kann dazu jemand eine belastbare Aussage treffen?

[Cowboy of Bottrop]

Zunächst mal erfahren alle davon, die deinen Post hier gelesen haben…

Eine belastbare Aussage wirst du nur von Juristen bekommen. Ich weiß nicht, in wie weit hier im Forum welche vertreten sind. Aber für mein Verständnis als juristischer Laie würde ich sagen: Datenschutzerklärung und Impressum rein, ob das einer liest, oder nicht. Und solange du auf der Loginseite keine Cookies setzt, brauchst du da auch nichts machen. Aber: wenn du auf der Loginseite Cookies setzt, musst du darauf hinweisen und eigentlich sogar ein OptIn bieten. Eine entsprechende Ext ist hier in Arbeit. Denn es kann immer passieren, dass jemand durch Zufall auf deinem Forum landet, der nicht zum erlesenen Kreis der Mitglieder gehört.

Alternativ richtest du einen Verzeichnisschutz ein, so dass erst ein Benutzername und ein Passwort eingegeben werden muss, bevor man etwas vom Forum zu sehen bekommt. Wer das Passwort nicht kennt, bekommt nur eine weiße Seite mit dem Hinweis, dass sein Zugriff unzulässig ist. (HTTP Statuscode 403: Forbidden, siehe https://de.wikipedia.org/wiki/HTTP-Stat ... ent-Fehler )

Aber wie gesagt, ich bin kein Jurist, rechtssicher sind meine Aussagen hier auf keinen Fall!

[oxpus]

Auch ich bin kein Jurist, aber die Meinungen derselben gehen mittlerweile in die Richtung, dass selbst eine zugriffsgeschützte Seite bereits personenbezogene Daten gemäß DSGVO erhebt und sei es nur die IP-Adresse des Besuchers, welche zumindest der Webserver protokolliert und damit auch "verarbeitet".
Daher wäre bereits auf der "Anmeldeseite" ein Hinweis auf die Verarbeitung nach DSGVO nötig, wenn man die Verordnung streng auslegt.

Aber wie gesagt: Ich bin ebenfalls kein Jurist und gebe nur wieder, was meiner Meinung nach nötig wäre.

Für alle Forumbenutzer, die sich anmelden können, gilt aber auch m. M. weiterhin die DSGVO vollumfänglich. Also zumindest eine Datenschutzerklärung ist angepasst auf deinen Webauftritt zu veröffentlichen und ein Impressum kann ebenfalls nie schaden, auch bei einem rein "privaten" Forum nicht.

[69bruno]

Ist doch ganz einfach.

Solange keine der 30 Mitglieder niemals nicht etwas in den falschen Hals bekommt und einen Streit beginnt, kann Dir nicht viel passieren.


Das Risiko besteht darin, ob die gute Stimmung beibehalten wird.
Manchmal sind ehemalige Freunde die schlimmsten Feinde und nehmen genau solche shake-hand-Abkommen um sie dem Gegenüber vorzuwerfen.
Andere, die durch Zufall bei Euch vorbeikommen und irgendwie das Passwort knacken oder umgehen können sich schlecht auf irgendwas berufen, da sie sich den Zugang ja "erschlichen" haben.

Da es eh noch Auslegungsschwierigkeiten gibt, würde ich erst mal mit dem boardeigenen Hinweis arbeiten. Es wird bald eine Konkretisierung durch die Justiz erfolgen, da Verbraucherschützer sich gegen die verschiedenen Abfragefenster wehren , die zu 90 % darauf aus sind dass der User "der Einfachheit" halber mit einem klick einfach alles erlaubt.

[migoe]

Hallo,

Ich frage mich, ob mein Forum jegliche Pflichten gemäß DSGVO erfüllen muss

die kurze Antwort: ja, aber es kommt darauf an...

...wenn es unter folgendem Setting läuft:

• Es ist komplett unzugänglich (auch für Bots etc.), sofern man nicht die URL kennt. Es gibt keinerlei verweisende Links im Web.
• Wenn man die URL kennt, zwingt einen das Forum auf die Login-Seite (Extension "Login Required").
• Die teilnehmenden 30 Personen kennen sich alle persönlich aus der realen Welt.

die lange Antwort: "Bei der DSGVO handelt es sich um ein allgemein verbindliches Regelwerk und es gilt immer, unmaßgeblich, ob es sich um ein allgemein zugängliches Forum oder um ein privates Forum handelt und es ist auch anzuwenden, wenn sich alle persönlich kennen."

DSGVO Artikel 1 Absatz 1
Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten....

DSGVO Artikel 2 Absatz 1
Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.

Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen....

Quelle: dsgvo-gesetz.de

Du als Datenerheber, Datenspeicherer und Datenverarbeiter musst erklären, warum Du welche Daten erhebst, wo und wie lange Du sie speicherst und in welcher Art und Weise Du sie verarbeitest. Dazu kann auch die Weitergabe der Daten gehören, im Falle eines externen Scripts zum Beispiel. Solange Du das transparent machst und Du jeden der 30 Mitglieder darüber informiert hast, ist alles okay.

Ich frag mich ja sogar, wer denn davon überhaupt erfahren sollte, um einen etwaigen DSGVO-Fehler anzumahnen ...

Meiner Meinung nach ist es eine Frage der Einstellung gegenüber den Nutzern des Forums. Wenn es sich dabei um weitesten Sinne um einen "Freundeskreis" handelt, sollte es sowieso eine Selbstverständlichkeit sein, offen zu informieren, welche personenbezogenen Daten wie lange und wo gespeichert werden und ob und wann und an wen welche Daten weitergegeben werden.

Bei einem Forum, dass keine Erweiterungen enthält und bei dem es sich um ein Freundesprojekt handelt, ist die Wahrscheinlichkeit sehr gering, das es jemandem gibt, der einen abmahnen wird. Solltest Du die Angst haben, dass Du von einem Anwalt abgemahnt wirst, der zufällig Dein Forum gefunden hat und feststellt, dass Du gegen die DSGVO verstößt (wie auch immer das gelingen sollte, wenn ja nur "Eingeladene" Zugriff haben?!?), dann ist die Wahrscheinlichkeit in etwa so groß wie die Annahme, dass bis Ende Mai 2021 alle Menschen weltweit gegen Corona geimpft sind

DSGVO Artikel 2, Absatz 2c
Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten...

...durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten...

[oxpus]

DSGVO Artikel 2, Absatz 2c
Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten...

...durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten...

Ich möchte kein Spielverderber sein, aber, naja, 30 Personen, die wohl nicht alle zur eigenen Familie gehören? Ist eine solche Webseite noch rein privater Natur?
Wohl eher nicht.
Im Sinne z. B. der Impressumpflicht würde das so noch gelten können, aber sicher nicht mehr im Sinne der DSGVO.

Die Webseite erhebt immer personenbezogene Daten vom Besucher. Allein schon die (schützenswerte!) IP-Adresse, die jeder Besucher mitbringt, wird in der Regel vom Webserver der Seite protokolliert; mitsamt Uhrzeit und oft auch dazu noch die Browserkennung, etc. Also auch von Dritten, die zunächst über die Anmeldung nicht hinaus kommen.

Und nein:
Keine Webseite bleibt auf Dauer unentdeckt, solange sie über das Internet direkt aufgerufen werden kann. Das ist ein weitverbreiteter Irrglaube.

Meine Empfehlung:
Einen Link zu einer "kurzen" Datenschutzbestimmung einfügen oder diese gleich direkt anzeigen und alle "Sorgen" wären damit erledigt.
Hilfestellungen dazu gibt es im Internet ja mittlerweile auch fast so umfangreich wie Sand am Meer.

[JanPi2020]

Na, dann ist ja alles im grünen Bereich, denn ich habe Impressum und Datenschutzerklärung aus der phpBB-Standardinstallation übernommen.

OT:

Keine Webseite bleibt auf Dauer unentdeckt, solange sie über das Internet direkt aufgerufen werden kann. Das ist ein weitverbreiteter Irrglaube.

Das macht mich jetzt neugierig, wie geht denn das? Probieren Bots einfach auf gut Glück allerlei Kombinationen von URLs aus? Das kann ich mir kaum vorstellen, das wäre ja eine sinnlose Ressourcenverschwendung ...
Oder sind es die üblichen "große Brüder", die (vermutlich?) über Routing-Daten auf die Spur "versteckter" Webseiten gelangen, indem sie Routing-Institutionen zur Datenweitergabe zwingen, oder diese gar selbst betreiben (würde mich in China nicht wundern ...)?

[Cowboy of Bottrop]

Keine Webseite bleibt auf Dauer unentdeckt, solange sie über das Internet direkt aufgerufen werden kann. Das ist ein weitverbreiteter Irrglaube.

Das macht mich jetzt neugierig, wie geht denn das? Probieren Bots einfach auf gut Glück allerlei Kombinationen von URLs aus? Das kann ich mir kaum vorstellen, das wäre ja eine sinnlose Ressourcenverschwendung ...
Oder sind es die üblichen "große Brüder", die (vermutlich?) über Routing-Daten auf die Spur "versteckter" Webseiten gelangen, indem sie Routing-Institutionen zur Datenweitergabe zwingen, oder diese gar selbst betreiben (würde mich in China nicht wundern ...)?

Internetnutzer könnten z.B. durch einen Tippfehler einer ähnlichen URL in deinem Forum landen. Und Suchmaschienen halten sich nicht immer an das Verbot, dein Forum zu betreten.

[oxpus]

... und dazu hat jede Domain auch eine IP und da alle IP-Adressen im Internet klar definiert und somit bekannt sind, ist es für die diversen Programme nur eine Frage der Zeit, bis sie eine (neue und/oder "versteckte") Webseite über die IP-Adresse entdecken...

[digispirit]

Meine Empfehlung:
Einen Link zu einer "kurzen" Datenschutzbestimmung einfügen oder diese gleich direkt anzeigen und alle "Sorgen" wären damit erledigt.
Hilfestellungen dazu gibt es im Internet ja mittlerweile auch fast so umfangreich wie Sand am Meer.

Nun, das mag schon stimmen. Kommt dann nur darauf an, ob die Datenschutzerklärung auch Alles beinhaltet und standhält. Aber im Sinne gebe ich Dir natürlich recht