MyBB.de Forum

Hallo Leute,

einige von euch haben es schon mitebekommen, und in einigen Threads (u.a. Wünsche für MyBB 2) wurde es schon angeschnitten: Die neue Datenschutzgrundverordung für die EU, die ab 25.Mai in Kraft tritt.

Um eine zu zerstreute Diskussion zu vermeiden, möchte ich dieses Thema als "Sammelstelle" nutzen.

Vorab:
Ist die DSGVO überhaupt relevant für Forenbetreiber?

Antwort:
JA, ist sie. Ganz gleich, ob gewerblich oder nicht, ob groß oder klein. Ob MyBB oder eine andere Forensoftware.
Einzige Ausnahme: Es handelt sich um eine rein private, also abgeschottete Instanz, die ausschließlich für sich selbst, Familie und/oder nahe Freunde besteht. Spätestens ab dem Moment, wo ihr öffentliche Registrierungen zulasst, seit ihr im Sinne der Verordnung nicht mehr privat.

Warum?
Weil -jede- Forensoftware personenbezogene Daten verarbeitet. Laut deutschem Recht zählen dazu auch E-Mail Adressen und IP-Adressen. D.h. auch für mybb.de gilt die DSGVO.
Argumente, wie "Trash Mail" Adressen, oder Proxies haben keinen Bestand, da mittelbar der Durchschnittsuser über diese Merkmale eindeutig identifiziert werden kann.

Was bedeutet das?
Da eine Forensoftware, um seine Funktionalität zu erhalten nicht alle personenbezogenen Daten pseudonymisieren kann (z.B. E-Mail Adresse), müssen Mechanismen entwickelt werden, um rechtskonform agieren zu können.
Die DSGVO hat hierbei konkrete Forderung an Webseitenbetreiber.

• Allgemeine Auskunftspflicht gegenüber den Nutzern:
  Welche personenbezogenen Daten werden verarbeitet? Zu welchem Zweck?
  In leicht verständlicher Sprache. (Datenschutzerklärung)
  
• Spezifische Auskunftspflicht:
  Welche personenbezogenen Daten sind über <User> gespeichert?
  
• Löschanspruch
  Echtes löschen oder pseudonymisieren von personenbezogenen Daten nach Anforderung des Nutzers.
  
• Portabilitätsanspruch
  Herausgabe aller personenbezogenen Daten über <User> in einem lesbaren Format (CSV, ...)
  
• Nachweis über Einwilligung zur Verarbeitung personenbezogener Daten (Rechenschaftspflicht)
  
• Privacy by Design - Nur das speichern, was wirklich notwendig ist
  
• Privacy by Default: Datenschutzfreundliche Standardeinstellungen
  
• Weitere Pflichten bei gewerblichen Foren (Datenschutzbeauftragter, ...)
  
  

Was für folgen kann es geben?
Zunächst einmal ist zu beachten, dass es sich bei der DSGVO nicht um deutsches, sondern um EU-Recht handelt. D.h. Abmahnung u.ä. können aus der ganzen EU auf euch zukommen. Sanktionsmöglichkeiten sind z.T. abhängig von den nationalen Gesetzen. Unklar ist noch, ob Sanktionsregelungen von z.B. Österreich Anwendung finden, wenn ein Österreicher ein in Deutschland gehostetes Forum nutzt und dort ein Grund zum Rechtsstreit findet. (Öffnungsklauseln der DSGVO)



Was wäre zu tun?
Aus den vorher aufgezählten Punkten ergibt sich die Forderung an die MyBB Software Forenbetreiber in diesem Belangen besser zu unterstützen. Konkret gibt es folgende Ideen:

1. Funktion im UCP, damit Nutzer ihre eigenen Daten exportieren können
   
2. Grundsätzliches vorhandensein eines "Datenschutz" Bereiches zur Pflege von Inhalten. Dieser muss stets über ein Klick von jeder Seite aus erreichbar sein. (ähnlich Impressum)
   
3. Speicherung des Aktivierungsdatums eines Nutzeraccounts, ggf. inkl. zu dem Zeitpunkt gültiger AGB / Datenschutzerklärung (Rechenschaftspflicht, Nachweispflicht, Revisionssicher)
   
4. Da es sich hier um EU-Recht handelt, wäre Core Support aller DSGVO relevanten Belange sinnvoll und wünschenswert.
   

Meine Auflistung erhebt keinen Anspruch auf Vollständigkeit.
Sie ist das Ergebnis eigener Recherche + allg. Anwaltsberatung.

Der 0815 Forenadmin hat doch überhaupt keine Ahnung, wie eine Webseite funktioniert und welche Daten somit sein Forum direkt wie indirekt verarbeitet.

Somit auch nicht in der Lage eine Datenschutzerklärung zu schreiben, die den Tatsachen entspricht.

Was bleibt ist Rechtsunsicherheit und Angst vor Abmahnungen.

Da braucht sich niemand zu wundern, wenn immer mehr Foren zumachen und das alles zu Reddit und anderen großen Seiten abwandert. Nur kann man da fest davon ausgehen, daß die Big Data machen. Da ist dem Datenschutz geholfen.

Seufz.

(16.03.2018, 14:29)frostschutz schrieb: [ -> ]Der 0815 Forenadmin hat doch überhaupt keine Ahnung, wie eine Webseite funktioniert und welche Daten somit sein Forum direkt wie indirekt verarbeitet.

Dafür ist dann ein technischer Admin da. Ein Forenbetreiber heute sollte in der Lage sein zu erkennen, welche Daten verarbeitet werden und auch die aktuellen Transportverschlüsselungen einsetzen. Dies ist ja schon seit 2015 Pflicht. Oder vertraut man heutzutage einen unverschlüsselten Dienst noch Daten an?

Natürlich sind die ganzen Anforderungen für einen einzelnen Betreiber schon Krass, aber da soll es ja von einer Datenschutz-Organisation Hilfe geben.

Eine Exportfunktion hat MrBrechreiz unter https://www.mybb.de/forum/thread-33745-p...#pid231820 geteilt. (Hier fehlt glaub ich noch aber eine Liste mit allen IPs, die in Beiträgen gespeichert sind)

Datenschutzerklärunggenerator, die DSGVO-konform sein soll
Zum https://www.activemind.de/datenschutz/da...-generator

Wenn man IP-Adressen nicht braucht, kann auch dieses Plugin installieren: https://github.com/Destroy666x/MyBB-Store-Fake-IPs

Was also noch fehlt sind:
Echtes löschen oder pseudonymisieren von personenbezogenen Daten nach Anforderung des Nutzers. (Ist möglich, aber ich weiß nicht wie es mit IP-Adressen in Beiträgen ausschaut, ob diese auch gelöscht werden oder nicht. Das kann aber mit einem Datenbankbefehl gelöst werden.)
Nachweis über Einwilligung zur Verarbeitung personenbezogener Daten (Rechenschaftspflicht) (Es gibt keine Bestätigung, dass das Feld angeklickt wurde)

Zitat:Löschanspruch
Portabilitätsanspruch

Bin gespannt wie der 0815 Forenadmin seinen Hostingprovider darum bitten möchte, dass sein User XY mit der IP ABC doch bitte seine relevanten Daten aus den Serverlogs (Apache/nginx, ggf. postfix) haben und danach gelöscht werden will. Dazu dann bitte noch die der personenbezogenen Daten aus diversen statistischen Tools (Analytics, Matomo [ehemals Piwik], etc.), weil dem Forenbetreiber ansonsten Bußgelder angedroht werden.

Selbst wenn der Betreiber selber Zugriff auf die Serverlogs haben sollte, müssten diese erstmal mit den Daten aus einem Forum zusammengeführt werden um eben diesen Ansprüchen nachzukommen. Wie soll man dass bitte vernünftig realisieren ohne dass es in Verzweifelung ausartet?

Zitat:Was bleibt ist Rechtsunsicherheit und Angst vor Abmahnungen.

Korrekt. Dies führt meiner Meinung nach dazu, dass viele Seiten aus dem Netz verschwinden werden. Was ist mit Seiten die bei wix, jimdo, wordpress.com, etc. liegen, welche Kommentare zu verfassten Beiträgen erlauben? Selbst wenn dort die Datenschutzerklärung der Betreiber greifen sollte und entsprechende Mechanismen vorhanden sind um der DSGVO gerecht zu werden, landet eine Beschwerde erstmal bei "Lieschen Müller von Nebenan". In der Konsequenz wird höchstwahrscheinlich dass naheliegendeste - nämlich die Schließung der eigenen Seite - getan um zukünftig den Stress mit sowas zu vermeiden.

Weiterhin denke ich, dass jene die vielleicht eine gute Idee für einen Webservice und dass Wissen zur Umsetzung haben, gar nicht erst damit an den Start gehen werden weil eben diese Abmahnangst zu groß sein wird und ein entsprechendes Bußgeldbudget (man muss es in der Folge ja so nennen) nicht vorhanden ist.

Datenschutz und Transparenz für den Nutzer ist ja alles schön und gut, nur ist die Regelung meiner Meinung nach derart umfangreich und auf Großbetreiber ausgelegt, dass alle anderen - die im Netz vertreten sein wollen - nicht damit zurecht kommen werden.

Ich denke darüber nach, keine Registrierungen mehr zu ermöglichen, so dass dann halt nur noch Gäste miteinander diskutieren. Das zumindest so lange, wie die technischen und rechtlichen Fragen nicht sicher geklärt sind. Denn ich will diese ganzen Abmahn-Risiken nicht auf mich nehmen.

Ich bin sicher, dass schon wieder einige auf Abmahnungen spezialisierte Anwälte auf der Lauer liegen und das große Geschäft wittern. Schlimm, dass die Politik nichts gegen diese Verbrecher unternimmt.

sobald jemand auf deiner Seite etwas kommentieren kann, egal ob als Gast oder registrierter User, zieht die DSGVO!

Das mag sein. Aber wie will jemand von mir Daten fordern, wenn er nicht registriert ist. Ich sehe das als Notlösung, bis die Themen geklärt sind. Oder sogar als Dauerlösung.

(14.04.2018, 00:15)Sebijk schrieb: [ -> ]......
Nachweis über Einwilligung zur Verarbeitung personenbezogener Daten (Rechenschaftspflicht) (Es gibt keine Bestätigung, dass das Feld angeklickt wurde)

So etwas lässt sich aber mit etwas PHP, Html und Javascript leicht umsetzen.

Hier ein Beispiel für der Nachweis, dass die Nutzungsbedingungen akzeptiert wurden, denn ohne Haken geht es nicht weiter geht.

Diese Art der Bestätigung kann man auch für andere Sachen, wie z.B. die "Einwilligung zur Verarbeitung personenbezogener Daten" nutzen.

(19.04.2018, 20:19)SvePu schrieb: [ -> ]Hier ein Beispiel für der Nachweis, dass die Nutzungsbedingungen akzeptiert wurden, denn ohne Haken geht es nicht weiter geht.

Das müsste dann aber auch geloggt werden, denn sonst weiß man ja nicht, wann sie akzeptiert wurden.

Ansonsten gibt es unter https://www.woltlab.com/article/105-umse...der-dsgvo/ Empfehlungen von einem kommerziellen Forenhersteller.

Was in der Liste also fehlt ist die Verschlüsselungspflicht, weil man ja mit Privaten Nachrichten nichtöffentliche Beiträge schreiben kann.

(14.04.2018, 00:15)Sebijk schrieb: [ -> ]Wenn man IP-Adressen nicht braucht, kann auch dieses Plugin installieren: https://github.com/Destroy666x/MyBB-Store-Fake-IPs

Naja, nicht brauchen.
Es besteht ja eine Löschpflicht. Mir wäre es am liebsten, wenn nur die letzten 5 IPs plus der Registrierungs-IP je Benutzer gespeichert würden. Aber es sind ja in den Daten der Benutzer alle IPs im ACP einsehbar, mit denen der User je online war.
Noch besser wäre man könnte im ACP einstellen, wieviel IPs gespeichert werden sollen.
Gibt es dafür eine Lösung, die ich nur nicht gefunden habe
Bin ja manchmal n bisschen blind