phpBB.de

tas2580 hat geschrieben:Alle Personenbezogenen Daten also:
username = Gumfuzi
usw.

So Dinge wie field_id oder field_active gehören da sicher nicht dazu.

Gruß Tobi

ja, diese "id"-Spalten habe ich mir nur rausgeschrieben, um die Tabellen zu verknüpfen.

Personenbezogene Daten (Art 4 Z 1)

Die Bestimmungen der DSGVO gelten für die Verarbeitung von personenbezogenen Daten natürlicher Personen.

Definitionsgemäß sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Beispiele: Name, Adresse, Geburtsdatum, Bankdaten, etc.
Die Grundsätze des Datenschutzes gelten nicht für „anonyme Informationen“, dh für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Die Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, dies gilt auch für statistische oder Forschungszwecke.

Quelle: https://www.wko.at/service/wirtschaftsr ... timmu.html

Was hat die Auskunft zu umfassen?
- Kopien der Daten (E-Mails, Briefe, Auszüge aus Datenbanken, udgl), die konkret verarbeiteten Daten;
- die Verarbeitungszwecke;
- die Kategorien der Daten, die verarbeitet werden;
- die Empfänger oder Kategorien von Empfängern, an die die Daten weitergegeben worden sind oder noch weitergegeben werden, speziell bei Empfängern in Drittländern oder bei internationalen Organisationen (einschließlich Auftragsverarbeiter),
- wenn möglich, die geplante Speicherfrist für die Daten, oder falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
- alle verfügbaren Informationen über die Herkunft der Daten (falls die Daten nicht beim Betroffenen selbst erhoben worden sind);
- im Fall von Entscheidungen, die auf einer automatisierten Verarbeitung einschließlich Profiling beruhen, und gegenüber der betroffenen Person rechtliche Wirkungen entfalten oder sie in ähnlicher Weise beeinträchtigen, Angaben zu der verwendeten Logik sowie zur Tragweite und zu den angestrebten Auswirkungen einer derartigen Verarbeitung;
- bei internationalen Datentransfers: falls notwendig, die Grundlagen der geeigneten Garantien.

Weiters ist die betroffene Person darüber in Kenntnis zu setzen, dass sie ein Recht auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder einen Widerspruch gegen diese Verarbeitung hat, sowie dass ein Beschwerderecht bei einer Aufsichtsbehörde besteht.

Quelle: https://www.wko.at/service/wirtschaftsr ... -Vera.html

die "konkret verarbeiteten Daten" sind dann also nicht alle Daten, sondern nur die Daten, die "personenbezogenen Daten" (s.o.) - wobei dort ja wieder "alle Informationen" steht.

Theoretisch könnte der User ja in einem seiner 1000 Postings den Wohnort, Hobbies, Geschlecht, Realname, etc. geschrieben haben.
Verarbeitet werden ja alle Daten (auch Postings, nicht nur Profildaten) in irgend einer Weise.
Nicht dass wir das machen(!), aber man könnte ja anhand Postings, PNs, beobachtete Themen, Profildaten ein doch oft genaues Bild der User machen - so wie es Facebook für Werbezwecke macht ("Profiling" Art. 4 Zi. 4)

Oder muss man das trennen:
- einerseits die persönlichen Daten, über die man mit dem User eine Einverständnis holen muss und sogfältig behandeln, etc.
- andererseits (auf Wunsch des Users) eine komplette Auflistung seiner Daten (die "verarbeiteteten Daten"); "Der Verantwortliche hat sich einer klaren und einfachen Sprache zu bedienen"

Da die DS-GVO für alle Bereiche gilt, ist eben die Frage, wie das auf ein Forum umzulegen ist.
Hat da jemand schon mehr konkretes Wissen (natürlich nicht rechtsverbindlich) dazu und würde es hier teilen?

https://www.datenschutz.org/personenbezogene-daten/
dort wird endlich mal mit ein paar Beispielen aufgelistet, welche Daten "personenbezogen sind" und daher auch bei einer Auskunft an den User gegeben werden müssen:
[ externes Bild ]

Weiters wurde dort explizit nach einem User in einem Forum gefragt:

Hallo,
muss ich personenbezogene Daten löschen, wenn ein User eines Forums gesperrt wird oder erst, wenn sein Account gelöscht wird?
Darf der User eines Selbsthilfeforums auf Löschung seiner Beiträge bestehen, auch wenn sie dann den Sinn der folgenden Beiträge verfälschen?

Datenschutz.org says
23. März 2018 at 16:07
Hallo,

die Löschung oder Unzugänglichmachung der Daten ist regelmäßig dann erforderlich, wenn der Zweck der Erhebung entfällt. Da auch Beiträge eines Users zu den personenebezogenen Daten zählen, sind auch öffentlich zugänglich gemachte Informationen auf Antrag des Betroffenen in der Regel zu entfernen. Bei Unsicherheiten ist der Gang zu einem Datenschutzbeauftragten stets zu empfehlen.

Die Redaktion von Datenschutz.org

D.h. auch Postings sollten gelöscht werden... wobei es ja hoffentlich auch genügt, den Usernamen zu verändern auf zB. Gast1234 oder so - sonst kann man jeden Topic bald in die Tonne treten.

Aber: da Postings auch zu den personenbezogenen Daten zählen, müssen die ja folglich auch in der Auskunftsdatei enthalten sein.
... was ist mit PNs? die hat ja öffentlich nur der User und der Empfänger. Beim Löschen des Users sollten die ja IMO dann auch verschwinden - beim Empfänger ebenso?

Gumfuzi hat geschrieben:Aber: da Postings auch zu den personenbezogenen Daten zählen...

Hi,

hm, das hätte ich niemals gedacht. Das ist spannend, das sehe ich eigentlich anders. Klar kann er in Beiträgen persönliche Daten schreiben, die dann sicherlich gelöscht werden müssen. Aber generell alle Beiträge zu löschen wenn User aus dem Board ausscheiden, wäre der Tot für viele interessante Beiträge in Foren. Da würden viele Informationen verloren gehen

Das würde ja auch noch weiter gehen: was ist mit Zitaten, die ein anderer User von Beiträgen eines zu löschenden Benutzers gemacht hat?

Gruß
Dennis

Beiträge sind keine persl. Daten, das ist unfug.

Hallo Highsider

Leider ist bei Umbenennung des User diese Zitate nicht mit einbegriffen.
Dieses muss man leider über die Datenbank regeln, wie ein paar andere Dinge auch.
Dazu haben wir hier auch geschrieben viewtopic.php?f=145&t=241314
Wenn da noch fragen auf sind in der Sache, dann bitte dort schreiben.
Beiträge müssen nicht gelöscht werden.

musashi hat geschrieben:Beiträge sind keine persl. Daten, das ist unfug.

Im Sinne dieser Verordnung bezeichnet der Ausdruck "personenbezogene Daten" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind

(Quelle siehe meine vorigen Postings)
Du kannst also ausschließen, dass das bei den Postings deiner User nicht der Fall ist?
Klar, wo kein Kläger, da kein Richter - aber drauf verlassen?

So viel ich weiß müssen nur Beiträge entfernt werden wie zum Beispiel Lebenslauf oder Detaillierte persönliche Informationen, die man einer Person zuordnen kann.

Jetzt so Beiträge wie wir sie hier verfassen, fallen nicht darunter.

Wenn jemand schreibt, dass er kein Geld hat, dass er die die neue CPU kaufen kann, wenn jemand schreibt, dass er (wann auch immer) eine Moschee besucht, wenn jemand schreibt, dass er gegen "die Mutti" ist bzw. sie nicht gewählt hat, wenn jemand schreibt, dass er in seinem youtubechannel samt Link etwas drin hat, etc.
... das MUSS nicht zwingend unter die von mir vorhin gequotete Definition fallen, aber ausschließen kann ich das definitiv nicht - noch dazu müsste ich dann jeden Beitrag überprüfen auf solche Inhalte. Ich bin kein Experte, will es aber nicht drauf ankommen lassen, denn diese Abmahnkanzleien werden wie die Pilze aus dem Boden wachsen, denn da ist Geld zu holen. Auch wenn man dann ev. Recht hat, der ganze Aufriss mit den Anwälten, den Gerichten... nö, muss nicht sein.

Jedenfalls habe ich mir ein Skript gebastelt, wo der User alle PNs, Postings, Userdaten, etc. einsehen und runterladen kann.

Das Löschen ist ein anderes Thema, auch in Bezug auf die Quotes - Name vor dem Löschen ändern in Gast1234 ist schon gut, aber dann alle Quote-Varianten seit phpBB2 da im search-pattern zu berücksichtigen ist auch nicht ohne.

Eine Extension für das Umbenennen in Gast{user_id} und mit den Quotes wäre fein - sonst muss ich mir das auch noch schreiben...

Anyway, phpbb.com dürfte die DSGVO jedenfalls am ... vorbeigehen, oder habe ich was verpasst? Immerhin gibt es die Verordnung bereits mehrere Jahre und muss eben jetzt definitiv umgesetzt werden.

So viel ich weiß, geht es denen am ... vorbei.
Die können doch nur abmahnen, wenn die den Auftrag dazu haben.
Nur weil Martin Mustermann vor Jahren mal was persönliches geschrieben hat, muss man das nicht alles nachträglich heraus suchen.
Stell dir Foren mit über 1 Mio Beiträgen. Da müsste ja das ganze WWW geändert werden und alle verklagt werden.
Aber alles rückwirkend zu ändern, dürfte ein Fass ohne Boden sein.

Sehe ich auch so - hoffen wir, dass diese Kanzleien nicht nur das Geld sehen (unwahrscheinlich bei einigen, wie die Vergangenheit gezeigt hat).
Denn so ein Serienbrief mit einer Abmahnung ist rasch erstellt, als Begründung sucht mach per Google nach Postings mit bestimmten "Reizwörtern" die bedingt persönliche Daten beinhalten könnten und wenn dann nur 10% den Betrag zahlen (und viele werden es einfach zahlen, damit Ruhe ist), dann hat sich das tausend mal gerechnet für die.
War früher auch schon so, warum also nicht jetzt auch?

Ich hoffe, dass ich falsch liege...