Zu diesem gesamten Kladeradatsch habe auch ich mir laienhafte Gedanken gemacht und mir die Punkte notiert, die ich klären muß. Als Nichtjurist kämpfe ich jedoch mit groooßen Verständnisproblemen beim DSGVO. Wie soll ich Privatperson DSGVO-Gesetzes-konform absichern, wenn ich Teile davon nicht verstehe und wie soll ich diese meinem Forumsbesucher dann in einer einfachen Sprache transparent und verständlich darlegen? Auch gibt es noch keine Grundsatzurteile, nach denen man sich richten könnte.
Darüber hinaus bin ich als Privatanbieter eines toten (soll aber wiederbelebt werden) und eines neu angedachten Forums, auf die Informationen
- meines Webhosters,
eines Juristen
sowie einer zu rechtlich verbindlichen Aussagen befugten phpBB-Anlaufstelle
angewiesen. Auch muß ich mir so allmählich Gedanken über eine fundierte Versicherung machen - auch als Privatpeson. Übersteigen die Kosten mein Budget, so werde ich alles ad acta legen müssen, schade drum, macht mir nämlich Spaß.
Das DSVGO betrifft auch die Verarbeitung von Cookies, wenn in diesen personenbezogene Daten hinterlegt sind. Personenbezogene Daten sind Daten, die eine Person identifizierbar machen. Meines Erachtens nach bei phpBB-Mindestanforderung für die Forumsmitgliedschaft die eMail-Adresse und die IP-Adresse.
zu klären: Wann zählt der Nickname zu den personenbezogenen Daten? Immer oder nur, wenn die Person identifizierbar wird, weil er seinen reellen Namen angegeben hat. Kümmert es mich, wenn dieser Nick noch anderswo im WorlWideWeb genutzt wird. Woher soll ich wissen, ob es ein und dieselbe Person ist?
zu klären: Wie müssen zusätzliche Felder (wie z.B. Geburtsdatum, Ort ...) behandelt werden? Sollten diese nicht mehr auswählbar sein?
Laut dem, was ich aus der DSGVO verstanden haben, dürfen Cookies nur angelegt werden, wenn der Besucher dem zustimmt. Aber, besucht ein Gast die tote Seite meines Mannes, werden direkt mal 4 Cookies (Endung ..._u + ..._k + ..._sid + ..._lang) angelegt. Auch wenn man cookieconsent (im ACP unter Cookies zu aktivieren) einsetzt, werden diese, ohne die Bestätigung des Besuchers abzuwarten, direkt angelegt.
zu klären: Wie kann ich dieses Verhalten verhindern?
zu klären: Werden personenbezogene Daten auch bei phpBB Gästen erhoben? Ich vermute mal ja - IP-Adresse.
zu klären: Werden diese Daten in der Datenbank nachgehalten? Wenn ja, wie lange?
Im DSGVO steht das Recht auf Information auch im besonderen Fokus. Was ist bei mehrsprachigen phpBB-Seiten?
zu klären: Wie sind phpBB User rechtlich verbindlich zu informieren, wenn das in Deutschland angedockte Internetangebot mehrsprachig ist? Ist deutsch die maßgebliche Sprache?
Weitere Gedanken zum
DSGVO
Artikel 5: Grundsätze für die Verarbeitung personenbezogener Daten
Absatz 1
a) ... und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden ...
zu klären: Muß begründet werden?
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden ...
zu klären: Wie könnten phpBB-Anbieter, die AdSense usw. im Einsatz haben, dies legitimieren?
d) ... es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden ...
zu klären: Muß man sich im Vorfeld selber oder durch eine phpBB-Extension eine Routine schaffen, die dies erledigen würde? Woher weiß ein 0-8-15-phpBB-Anbieter, wo welche Daten nachgehalten werden, wo ist derartiges dokumentiert?
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist ...
zu klären: Aspekt der Vorratsdatenspeicherung, deshalb - sobald die Zweckbindung entfällt (ein phpUser die Löschung verlangt), müßten spätesten nach 7 Tagen die Daten gelöscht werden?
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung ...
zu klären: Was ist, wenn man keinen eigenen Server hat, sondern auf fremde Dienstleistung (Webhosting) zugegreift? Welche Informationen muß man vom Hoster verlangen? Wie ist der phpBB-User zu informieren?
Artikel 6: Rechtmäßigkeit der Verarbeitung
Absatz 1
Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) ... hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben ...
b) die Verarbeitung ist für die Erfüllung eines Vertrags ... erforderlich, die auf Anfrage der betroffenen Person erfolgen ...
Artikel 7: Bedingungen für die Einwilligung
Absatz 1
Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
zu klären: Wie muß man den Nachweis für die Einwilligung organisieren?
zu klären: Über welchen Zeitraum ist dieser nachzuhalten?
Absatz 2
Erfolgt die Einwilligung ... durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung ... von den anderen Sachverhalten klar zu unterscheiden ist ...
zu klären: Wann ist die Einwilligungserklärung klar von den anderen Informationen abgegrenzt, insbesondere bei Gästen?
Absatz 3
Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. ... Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.
zu klären: Wo sollte die Möglichkeit auf Widerruf der Einwilligung angedockt sein?
Artikel 13: Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
Absatz 1
Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt ... zum Zeitpunkt der Erhebung dieser Daten folgendes mit:
a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
zu klären: Reicht hier wirklich das Impressum?
c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
zu klären: Was versteht man unter "Rechtsgrundlage"?
zu klären: Diese Punkte müssen in den Aufklärungsteil vor der Einwilligung aufgenommen werden.
Absatz 2
Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:
zu klären: Alle Punkte dieses Absatzes müssen im Aufklärungsteil vor der Einwilligung aufgegriffen sein.
Artikel 14: Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
Absatz 1 + Absatz 2
zu klären: All diese Punkte sind, falls externe Server genutzt werden, vom Webhoster zu beantworten, damit dann der phpBB-User informiert werden kann.
Artikel 17: Recht auf Löschung („Recht auf Vergessenwerden“)
Absatz 3
Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist
a) zur Ausübung des Rechts auf freie Meinungsäußerung und Information
zu klären: Was ist damit gemeint?
Allgemein zu diesem Artikel 17:
zu klären: Darf man zwar die User-Registrierungsdatenn löschen, aber den Beitrag desjenigen Users eventuell sogar mit der Nickunterschrift bzw. seinem vollen Namen von der Löschung ausschließen? Denn das Eine ist erhoben bzw. notwendig, um den vollen phpBB-Forenumfang nutzen zu können, das Andere freiwillig.
zu klären: Wenn die Beiträge des zu vergessenwerdenden Users personenbezogen Daten beinhalten und diese eventuell aus dem Text zu entfernen wären, wie sieht es mit Zitaten innerhalb des Forums aus? Wie, wenn im WWW irgendwo dieser Beitrag zitiert ist?