MyBB.de Forum
DSGVO - MyBB Handlungsbedarf - Druckversion

+- MyBB.de Forum (https://www.mybb.de/forum)
+-- Forum: MyBB 1.8.x (https://www.mybb.de/forum/forum-87.html)
+--- Forum: Sonstiges (https://www.mybb.de/forum/forum-91.html)
+--- Thema: DSGVO - MyBB Handlungsbedarf (/thread-35403.html)

Seiten: Seiten: 1 2 3 4 5 6 7 8


RE: DSGVO - MyBB Handlungsbedarf - Danie - 01.05.2018

Danke DeGato


mybb und die dsgvo - Itstechtalk - 05.05.2018

Hey.
Bald tritt ja die dsgvo in Kraft und ich wollte einfach Mal fragen worauf ich als Mybb Benutzer achten sollte.


RE: mybb und die dsgvo - The Incredible - 05.05.2018

Wenn du die Suche benutzen würdest, hätte dich direkt mindestens ein Thread nahezu "angesprungen". Smile

Da findest du aber auch nur Tipps und Hinweise von Laien. Eine anwaltliche Beratung kann das nicht ersetzen!


RE: DSGVO - MyBB Handlungsbedarf - Jockl - 05.05.2018

Habe das mal hierher verschoben....


RE: DSGVO - MyBB Handlungsbedarf - Greenwich - 14.05.2018

Hallo zusammen!

Ich habe mir gerade nochmal die Cookie Dokumentation von mybb durchgelesen und überlege gerade wegen des allgemeinen Cookie Hinweises, den die DSGVO fordert und auch schon seit einigen Jahren in der EU Pflicht ist, aber etwas nachlässig behandelt wurde. Nachdem sich die Datenschutzbeauftragten der Länder letztens noch einmal zusammen gesetzt haben, kam dabei ja raus, dass Inhalte nutzbar sein müssen, auch wenn man den Cookiebestimmungen nicht zustimmt und dann auch nicht getrackt werden darf.

Das würde von der Mybb Forensoftware fordern, dass Cookies erst in dem Moment nachgezogen werden, in dem der "OK" Button auf dem Cookie Flag angeklickt wurde.

Das ist wahrscheinlich einer dieser Punkte, die entweder keine Beachtung finden oder wenn eine Weile brauchen um in der mybb Forensoftware umgesetzt zu werden.

Deshalb sinniere ich gerade über vorübergehende Alternativen und habe die allgemeine Frage: Braucht mybb Cookies damit man das Forum als Gast nutzen und auch Gastbeiträge erstellen kann? Wenn nein, wäre es rein theroetisch möglich, den Nutzer erst bei der Registrierung oder Anmeldung auf die Nutzung von personenbezogenen Daten und das Setzen von Cookies hinzuweisen und sie diesem zustimmen zu lassen.

Wie seht ihr das? Ist das eine Option oder ein totales Hirngespinst?

Klar, bisher sind die festen Regeln regelrecht schwammig, aber im Endeffekt würde ich in diesem Fall keine Cookies setzen solange bis sich jemand bei mir einloggt und ihn im selben Zug darüber aufklären. Zwei Fliegen mit einer Klappe^^


RE: DSGVO - MyBB Handlungsbedarf - berni3 - 16.05.2018

Ich habe vor einigen Wochen das Gesetz mal im Originallaut durchgelesen, weil mir alles, was ich zur DSGVO im Internet gefunden habe, sehr schwammig erschien. Im Gegensatz dazu war das Gesetz recht klar und gut verständlich. Nach erstem Frust, finde ich es inzwischen ziemlich gut gelungen - man muss dafür nur einmal den Hut vom Forenbetreiber zum Webseitenbenutzer wechseln - dass meine Daten bei diversen Online-Shops genauso leicht gelöscht werden können, wie sie erhoben wurden, habe ich mir schon oft gewünscht. Und an vielen Stellen möchte ich auch wissen, was da über mich gespeichert wurde... Mein Kritikpunkt ist eher, dass man von diesem Gesetz nicht schon früher erfahren hat und dass es nirgendwo brauchbare Listen gibt, was man tun muss, die man einfach der Reihe nach abhaken kann. Das erzeugt jetzt natürlich eine Menge Stress und man kann nur hoffen, dass die Aufsichtsbehörden für einen gewissen Zeitraum viel Kulanz zeigen werden...

Die Beiträge hier im Forum dazu, empfinde ich als ziemliches Chaos. Ähnlich sieht es im analogen Thread im englischsprachigen Forum aus.

Deswegen hier mal ein Überblick, was meines Erachtens für Forenbetreiber alles an diesem Gesetz relevant ist. Und sicherheitshalber: Ich bin kein Jurist. Das kann aus juristischer Sicht auch alles kompletter Blödsinn sein. Es ist einfach nur, wie es sich mir darstellt:

  1. Art. 4. Hier sind zahlreiche Definitionen zu finden. Vor allem die erste, nämlich was "personenbezogene Daten" sind, ist wichtig. Das ist nämlich alles, was man einer Person zuordnen kann. (Also alle Datenbanktabellen mit "uid"-Eintrag.) Weiter wird definiert, was "Verarbeitung" ist. Das ist sehr umfangreich definiert; eigentlich alles, was man mit Daten so tun kann. Als Informatiker würde ich sagen: Speichern, Auslesen, Verändern, Löschen (also die vier grundlegenden SQL-Befehle).
  2. Art. 5, Abs. 1b) Vor der Erhebung und Verarbeitung muss bereits der Zweck festgelegt werden. (Im Falle eines Forums ist der Zweck: Betrieb eines Forums zum Thema "xxx".) Dieser bestimmt die Dauer der Speicherung. (Bis zur Benutzerlöschung. Benutzerbeiträge sind Teil des Archivs und werden deswegen erst gelöscht, wenn das Forum dauerhaft vom Netz geht, s.u.) Verarbeitung, die nicht mit diesem Zweck übereinstimmt, darf dann mit den Daten nicht mehr durchgeführt werden. (Irgendwelche Datenbankanfragen, die mit dem Betrieb des Forums nichts mehr zu tun haben, sind nicht erlaubt. Geschweige denn, Webseiten, auf denen solche Informationen angegeben werden.) Ausnahme: Im öffentlichen Interesse liegende Archivzwecke/Statistik. (Muss man für jedes Forum separat prüfen, aber oftmals dürfte das Archivieren der Posts im öffentlichen Interesse liegen.)
  3. Art. 5, Abs. 1f) Schutz vor unbefugter Verarbeitung. (Wer hat Zugriff auf die Datenbank? Diese Personen sollten auf das Datengeheimnis verpflichtet werden. Weiterhin sollten Verträge mit den Auftragsverarbeitern (also Provider) geschlossen werden.)
  4. Art. 6, Abs. 1) Die Verarbeitung muss rechtmäßig erfolgen. (Für Foren heißt das in aller Regel, dass der Benutzer zugestimmt hat. Hier gibt es zumindest schon mal das Plugin von doylecc.)
  5. Art. 7 Die Zustimmung des Benutzers muss freiwillig erfolgen und er muss diese jederzeit auf genauso einfache Weise widerrufen können, wie er zugestimmt hat. (Die Einwilligungserklärung sollte also irgendwo zugänglich sein und darunter die Möglichkeit, diese zu widerrufen. Da sollte auch über die Folgen des Widerrufs aufgeklärt werden - Datenlöschung halte ich da für am sinnvollsten.) Außerdem muss die Einwilligungserklärung klar und einfach zu Verstehen sein, und von anderem gut zu unterscheiden.
  6. Art. 8 Im Falle eines Kindes müssen die Erziehungsberechtigten die Einwilligungserklärung unterschreiben oder zugestimmt haben, dass das Kind diese unterzeichnet. (Wie das im Internet sinnvoll gehandhabt werden kann, da sind sich die Experten derzeit uneinig. Ich würde es so lösen, dass man zusätzlich zu "Ich stimme zu" auch noch "Ich bin älter als 16 oder meine Erziehungsberechtigten haben zugestimmt." mit aufnimmt. (In Österreich muss die 16 durch eine 13 ersetzt werden. Unklar ist mir, wie das gehandhabt wird, wenn jetzt ein 14jähriger Österreicher sich in einem deutschen Forum anmeldet und umgekehrt.))
  7. Art. 13 Bei der Erhebung von Daten müssen die betroffenen Personen über eine ganze Liste an Dingen informiert werden. (Da man das nicht bei jedem einzelnen Posting wieder machen will, sollte man diese Informationen komplett mit in die Einwilligungserklärung aufnehmen, dass ist laut Abs. 4 nämlich auch OK.) - Das sind folgende Informationen: Name und Kontaktdaten des Verantwortlichen, die Zwecke (s.o.), wer die Daten alles einsehen kann, Dauer der Speicherung, Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Übertragbarkeit, Beschwerderecht, Folgen der Nichtbereitstellung der Daten, ob Profiling stattfindet. (Schwierig ist das alles allerdings, wenn Daten von "Gästen" erhoben werden. Ich glaube, man kann das Forum auch so einstellen, das Postings von Gästen erlaubt sind. Außerdem werden in der DB-Tabelle mybb_session auch personenbezogene Daten (von Nichtangemeldeten) gespeichert, da dort auch die IP gespeichert wird. Wie man damit umgehen will, ist mir unklar.)
  8. Art. 15 Recht auf Auskunft, ob Daten verarbeitet werden, und wenn ja zahlreiche Details dazu, u.a. Rechte, Zwecke, Dauer, Empfänger, etc. und auch die kompletten Daten (Letzteres macht das Export-Plugin von MrBrechreiz. Ich habe mir das Plugin noch nicht im Detail angeschaut, vermute aber, dass es den Begriff "personenbezogene Daten" zu eng fasst. Laut Gesetztestext (Art.4) fällt da alles drunter, was man irgendwie einer Person zuordnen kann, also insbesondere auch jeder Post und jede PN, jede Bewertung etc.)
  9. Art. 17 Recht auf Löschung. Wenn der Benutzer das will (und in aller Regel auch wenn er die Einwilligung widerruft) und auch wenn die Einwilligung nicht erteilt wird, müssen alle Daten gelöscht werden, soweit dies nicht in die Rechte Dritter eingreift. Hinzu kommt noch das mit dem Archiv/Statistik-Zeugs von oben. (Es ist mir unklar, ob hier die Funktion "Benutzer löschen" aus dem Admin-CP ausreicht, oder ob darüberhinaus weitere Daten gelöscht werden müssen. Meiner Ansicht nach müssen Posts nicht gelöscht werden, weil hier ein öffentliches Interesse am Archiv vorhanden ist. - Kann aber sein, dass das in einigen Foren nicht der Fall ist. Auch unklar ist beim Löschen von Posts, ob hier in die Rechte Dritter eingegriffen wird. Wenn jemand auf einen gelöschten Post geantwortet hat, steht der möglicherweise blöd da, weil sein Posting keinen Sinn mehr ergibt. Ein weiteres Problem sind PNs. Sind diese dem Sender, dem Empfänger oder beiden zuzuordnen? Wann genau müssen sie gelöscht werden?)
  10. Art. 18 Recht auf Einschränkung. Das meint, dass die Daten eingefroren werden; also noch vorhanden sind, aber nicht mehr genutzt werden. (Mir ist unklar, wie man das im Forum umsetzen will; es könnte einen massiven Aufwand bedeuten, bei dem bei allen Routinen noch das "Eingeschränkt"-Häckchen aus der DB überprüft werden muss. Evtl. ist es einfacher, die Daten zuerst zu Exportieren - muss man ja eh können, und dann zu löschen und im Zweifelsfalle von Hand den Export wieder einfügen.)
  11. Art. 20 Recht auf Datenübertragbarkeit - die Daten müssen auf Wunsch des Benutzers in einem gängigen, maschinenlesbaren Format an Dritte weitergegeben werden. (Idealerweise setzt man die Export-Funktion so um, dass diese bereits ein entsprechendes Format ausgibt (z.B YAML, weil das auch für Menschen noch ganz gut lesbar ist). Dann muss man beim Benutzer nur noch abfragen, an welche E-Mail diese Daten geschickt werden sollen...)
  12. Art. 22 Profiling - darunter versteht man, Daten so zusammenzufügen, dass man so viel wie möglich über den Benutzer kennenlernt. (Ich denke, sowas sollte man im Forum einfach komplett ausschließen. Wer das machen möchte, soll sich selber kundig machen, was er da zu berücksichtigen hat.)
  13. Art. 25 Benutzerfreundliche Voreinstellung (da müsste man auch mal durchsehen, was man da ändern muss; beispielsweise, dass das Geburtsdatum nicht automatisch angezeigt wird, sondern nur, wenn der Benutzer das irgendwo freigeschaltet hat.)
  14. Art. 28 Regeln für Auftragsverarbeiter. (Das betrifft bei Foren in der Regel nur den Provider. Also nochmal, steht schon oben: Mit dem Provider einen entsprechenden Vertrag abschließen! - Die Provider haben dafür meist schon Musterverträge vorbereitet. Könnte sich aber auch auf Moderatoren und dergleichen beziehen.)
  15. Art. 30 Man muss ein Verzeichnis der Verarbeitungstätigkeiten erstellen und ggfs. der Aufsichtsbehörde zur Verfügung stellen. Zu jeder solchen Tätigkeit müssen auch wieder diverse Informationen gespeichert werden: Name/Kontaktdaten des Verantwortlichen, Zwecke, betroffene Personen, Empfänger der Daten, Löschfristen, organisatorische Maßnahmen für die Sicherheit etc. (Das dürfte einiges werden, was für alle gleich ist. Es wäre gut, sowas gemeinsam zu erstellen. Beispielsweise: Anzeigen eines Threads. Anzeigen der Benutzerdaten im Admin-CP. Speichern einer PN. Und so fort. Scheint mir ziemlich umfangreich zu sein und mir ist unklar, was das Forum so alles kann... Aber das muss alles in dieses Verzeichnis rein.)
  16. Art. 37 Datenschutzbeauftragter. Steht nicht direkt im DSGVO, aber in der deutschen Ergänzung BDSG-neu: Wenn mindestens 10 Leute regelmäßig Zugriff auf die Daten haben, wird ein Datenschutzbeauftragter benötigt. (Also: Admins und Moderatoren zählen und vielleicht auch noch Leute, die auf die DB Zugriff haben.)

Ganz schön viel, finde ich. Ich werde jetzt mal versuchen, das bei meinem Forum, soweit ich das kann, umzusetzen und bereichte dann weiter. Aber einige Dinge werde ich einfach nicht leisten können - vor allem das Verzeichnis der Verarbeitungstätigkeiten müsste von Leuten erstellt werden, die deutlich mehr in der Sortware drin stecken, als ich.


RE: DSGVO - MyBB Handlungsbedarf - frostschutz - 17.05.2018

(16.05.2018, 13:26)berni3 schrieb: Die Beiträge hier im Forum dazu, empfinde ich als ziemliches Chaos.

Ja, uff. Und dein Beitrag nicht? Sad

(16.05.2018, 13:26)berni3 schrieb: Ich würde es so lösen, dass man zusätzlich zu "Ich stimme zu" auch noch "Ich bin älter als 16 oder meine Erziehungsberechtigten haben zugestimmt." mit aufnimmt.

Das ist dann eine Erhebung von Daten, die mich überhaupt nicht interessieren. Das Alter der User wird bislang nirgends abgefragt (edit: Okay, optionale Angaben im Profil könnte ich auch mal streichen) und ich weiß auch nicht, wozu das gut sein soll: überprüfen kann ich es so oder so nicht. Es sei denn ich bitte jeden User erstmal vor die Webcam und dann Hose runter äh Perso vorzeigen, wie bei SIM-Karten. Das ist doch krank.

(16.05.2018, 13:26)berni3 schrieb: Laut Gesetztestext (Art.4) fällt da alles drunter, was man irgendwie einer Person zuordnen kann, also insbesondere auch jeder Post und jede PN, jede Bewertung etc.)

Mir machen solche allumfassenden Exportfunktionen etwas Angst. Es wird nicht lange dauern, bis irgendeine Seite in Verbindung mit so einer zusammengeschusterten Funktion einen Datenunfall hat und auch Daten anderer User gleich mit exportiert.

Es gibt gerade im MyBB so viele Sonderfälle mit moderierten, abgelehnten, noch nicht freigegebenen usw. Beiträgen, da kommt es regelmäßig vor, daß MyBB selbst die Abfrage nicht richtig hinbekommt.

Dann ist die Frage, exportiert man das in Rohdaten / Sourcecode oder in HTML-geparster Form? Schließt man von anderen Usern zitierte Texte (Fullquotes) mit ein? Usw.

Und wie gestaltet man die Sicherheitsabfrage so einer Funktion? Denn der Schritt zu einem JavaScript-Exploit der den Usern untergejubelt wird und deren Daten ohne deren Wissen exportiert, ist dann auch nicht mehr weit.

Ich werde sowas nicht in mein Forum einbauen, ohne es selber geschrieben, oder gründlichst durchgesehen zu haben. Ich bin aus dem Stand gar nicht in der Lage, das so umzusetzen, daß es wasserdicht ist und kein Sicherheitsrisiko darstellt. Und ein Datenschutzgesetz das mich zwingt, potentielle Sicherheitslücken ins Forum einzubauen, ist Rolleyes

(16.05.2018, 13:26)berni3 schrieb: Ganz schön viel, finde ich.

Ganz schön viel Kopf- und Bauchschmerzen und wenig realer Mehrwert für Datenschutz. Aus der Sicht eines kleinen Forums, dessen Kernnutzerschaft man mal locker ins nächste Lokal auf Stammtisch einladen könnte, ohne dafür gleich einen ganzen Saal reservieren zu müssen.

So eine lange Liste von Anforderungen die einfach sinnlos sind für ein 0815 Forum, ohne finanzielle Interessen, ohne Werbung, ohne Einbindung von Drittanbietern, Sozialnetzwerken und anderen Datenkraken. Nur das was man im 0815 Forum eben findet, und was MyBB von Haus aus anbietet, also von Usern selbst eingebettete Bilder und so Zeug.

Ich muss mir noch eine Datenschutzerklärung aus den Fingern saugen, den Copy-Paste von einem Generator wie man ihn jetzt schon in vielen Foren sieht, will ich eigentlich nicht mitmachen. Diese Texte entsprechen nicht der Realität und zielen mehr darauf ab, daß sie keiner lesen und verstehen kann.


RE: DSGVO - MyBB Handlungsbedarf - doylecc - 17.05.2018

(17.05.2018, 14:35)frostschutz schrieb: Ich muss mir noch eine Datenschutzerklärung aus den Fingern saugen, den Copy-Paste von einem Generator wie man ihn jetzt schon in vielen Foren sieht, will ich eigentlich nicht mitmachen. Diese Texte entsprechen nicht der Realität und zielen mehr darauf ab, daß sie keiner lesen und verstehen kann.

Stimmt, da bin ich auch noch am überlegen. Die Erklärung soll ja für wirklich jeden einfach und leicht verständlich sein.
Ich dachte mir schon, vielleicht sollte man dafür eine ganz klassische Erklärweise wählen wie:
Zitat:Cookies
Auf deinem Computer werden Cookies gespeichert. Cookies bedeutet auf deutsch Kekse - klingt erst mal komisch, ist aber so.



RE: DSGVO - MyBB Handlungsbedarf - berni3 - 17.05.2018

(17.05.2018, 14:35)frostschutz schrieb:
(16.05.2018, 13:26)berni3 schrieb: Die Beiträge hier im Forum dazu, empfinde ich als ziemliches Chaos.

Ja, uff. Und dein Beitrag nicht? Sad

Das müssen andere entscheiden... Rolleyes

und schrieb:
(16.05.2018, 13:26)berni3 schrieb: Ich würde es so lösen, dass man zusätzlich zu "Ich stimme zu" auch noch "Ich bin älter als 16 oder meine Erziehungsberechtigten haben zugestimmt." mit aufnimmt.

Das ist dann eine Erhebung von Daten, die mich überhaupt nicht interessieren. Das Alter der User wird bislang nirgends abgefragt (edit: Okay, optionale Angaben im Profil könnte ich auch mal streichen) und ich weiß auch nicht, wozu das gut sein soll: überprüfen kann ich es so oder so nicht. Es sei denn ich bitte jeden User erstmal vor die Webcam und dann Hose runter äh Perso vorzeigen, wie bei SIM-Karten. Das ist doch krank.

Naja, du sollst das Alter der Benutzer ja auch nicht speichern, sondern nur irgendwie sicherstellen, dass sie die Einwilligung unterschreiben dürfen. Ich seh' die Problematik, dass man das nicht sinnvoll überprüfen kann. Aber zumindest kannst du dann sagen, dass der Benutzer dich angelogen hat und du keine andere Möglichkeit hattest, als ihm zu vertrauen.

und schrieb:
(16.05.2018, 13:26)berni3 schrieb: Laut Gesetztestext (Art.4) fällt da alles drunter, was man irgendwie einer Person zuordnen kann, also insbesondere auch jeder Post und jede PN, jede Bewertung etc.)

Mir machen solche allumfassenden Exportfunktionen etwas Angst. Es wird nicht lange dauern, bis irgendeine Seite in Verbindung mit so einer zusammengeschusterten Funktion einen Datenunfall hat und auch Daten anderer User gleich mit exportiert.

Ich würde es auch nicht vollautomatisch rausschicken - du hast einen Monat lang Zeit, die Daten zu schicken. Und da solche Anfragen vermutlich eher selten auftreten werden, kann man da immernoch manuell prüfen, ob die Exportfunktion alle Daten richtig rausgehauen hat.

und schrieb:Dann ist die Frage, exportiert man das in Rohdaten / Sourcecode oder in HTML-geparster Form?

Naja, der Empfänger der Daten soll ja irgendwas damit anfangen können. Also muss es wohl menschenlesbar sein. Für den Versand der Daten an Dritte schreibt das Gesetz vor, dass die Daten in einem maschinenlesbaren, gängigen Datenformat sein sollen. Wenn man alle drei Eigenschaften in einem Datenformat vereint, braucht man die Funktion nur einmal zu schreiben. Was zum Beispiel geht: Alle Daten in einem PHP-Array sammeln und dann mit den entsprechenden PHP-Befehl nach YAML konvertieren.

und schrieb:Und wie gestaltet man die Sicherheitsabfrage so einer Funktion? Denn der Schritt zu einem JavaScript-Exploit der den Usern untergejubelt wird und deren Daten ohne deren Wissen exportiert, ist dann auch nicht mehr weit.

Siehe oben. Den eigentlichen Export kann nur ein Admin machen und da kann man es auch so lösen, dass die Daten lediglich irgendwo auf dem Server gespeichert werden (wo man von außen nicht dran kommt) und von da via scp runtergeladen werden müssen. Da kann dann der Exploit so oft er will exportieren, da wird jedesmal nur wieder ein Haken in der Datenbank gesetzt. Mehr passiert da erst mal nicht.

und schrieb:Ganz schön viel Kopf- und Bauchschmerzen und wenig realer Mehrwert für Datenschutz. Aus der Sicht eines kleinen Forums, dessen Kernnutzerschaft man mal locker ins nächste Lokal auf Stammtisch einladen könnte, ohne dafür gleich einen ganzen Saal reservieren zu müssen.

Ja, ich denke auch, dass das nicht unsere Aufgabe sein kann, sondern vieles davon im MyBB-Kern eingebaut werden sollte. Dann muss man (wer auch immer das ist) es einmal richtig machen und hat es dann für alle.

Zitat:Ich muss mir noch eine Datenschutzerklärung aus den Fingern saugen, den Copy-Paste von einem Generator wie man ihn jetzt schon in vielen Foren sieht, will ich eigentlich nicht mitmachen. Diese Texte entsprechen nicht der Realität und zielen mehr darauf ab, daß sie keiner lesen und verstehen kann.

Oder sind so blödes Geschwurbel, dass man das auch nicht auf seiner Webseite haben will. ("Wir sind ein ganz besonderes Unternehmen und deswegen verbinden wir mit Datenschutz selbstverständlich..." oder sowas.) Die Erklärung auf dudle finde ich recht knackig und steht immerhin auf einer Seite von einem Professor für Datenschutz. Ob die Erklärung bereits DSGVO-konform ist, weiß ich nicht. Aber sie kann als Vorbild dienen, finde ich.


RE: DSGVO - MyBB Handlungsbedarf - Aletheia - 18.05.2018

Moin,

da das hier alles nicht so mega übersichtlich ist und man sich durch den DSGVO-Dschungel arbeiten muss, schreib ich euch mal auf was ich bisher gemacht habe und versucht habe aus all den Postings im Internet und diversen Foren herauszulesen.

Ob das der Weisheit letzter Schluss ist wage ich zu bezweifeln, ihr dürft mich gerne belehren:
  • vollständige Datenschutzerklärung
Welche Daten speichern Forenbetreiber?
Warum werden diese Sachen gespeichert?
Wer kann diese Daten einsehen?
An wen werden Daten übermittelt?

Lösung:
Datenschutzerklärung einstellen; z.b. mit nemm Generator - activeMind.ag oder ähnliches
  • Mitglieder müssen die Datenschutzerklärung (rückwirkend) bestätigen
Gäste müssen dieser auch Zustimmen, in Version 1.3 unten wird es berücksichtigt.
Lösung:
https://www.mybb.de/erweiterungen/18x/plugins-verschiedenes/einverstaendnis-nutzungsbedingungen/
  • SSL-Verschlüsselung
Lösung:
Zertifikat besorgen, beim Webspace
  • SSL-Verschlüsselung für externe und interne Bilder gewährleisten
Lösung:
https://www.mybb.de/erweiterungen/18x/plugins-sicherheit/dvz-secure-content/
und Zusatz für html bedenken:
https://www.mybb.de/forum/thread-31692-post-233648.html#pid233648


Muss ich noch prüfen:
Ob das auch alles für den BBcode so passt.
  • vollständiges Impressum mit Anschrift
Jetzt nicht DSGVO, aber muss ja trotzdem sein
  • Daten dürfen nur solange wie nötig gespeichert werden
Was auch immer da für Dauern gefordert sind und ich hoffe, dass das zunächst ausreicht:

Lösung:
https://www.mybb.de/erweiterungen/18x/plugins-admincp/ip-ghost2/

Infos:
https://www.mybb.de/forum/thread-30302.html

Möglicherweise einfach Fake-IPs generieren:
https://www.mybb.de/erweiterungen/18x/plugins-verschiedenes/store-fake-ips/

EDIT: Im Nutzerhinweis-Plugin (oben aufgeführt), kann man angeben wie lange IPs gespeichert werden.
Hier noch einmal doppelt:
https://www.mybb.de/erweiterungen/18x/plugins-verschiedenes/einverstaendnis-nutzungsbedingungen/


Unsicherheiten:
Na so ganz sicher bin ich hier noch nicht, ob das alles erfüllt, aber besser als nichts.
  • Nutzer (der Admin für den Nutzer) müssen ihre Daten exportieren können
Lösung:
https://www.mybb.de/forum/thread-33745-post-231941.html#pid231941

Unsicherheiten:
Es fehlen noch diverse Dinge die exportiert werden müssten.
alle Daten, Fotos/Bilder (zB Avatar, Attachments), Texte, Private Nachrichten, Emails über die Foren-Funktion, 
Entwürfe,Freunde-/Ignorierliste, Attachments, Entwürfe, Abonnierte Themen, Abonnierte Foren, Social Sites (Plug-In)
  • Cookie-Hinweis muss installiert werden
Lösung:
https://www.mybb.de/erweiterungen/18x/plugins-startseite/cookie-law2/


Soweit mal meine persönliche Übersicht die ich mit euch teilen möchte. 

Anregungen, Kritik gerne gesehen Smile
Das ist quasi meine Idee wie ich in dem Durcheinander irgendwie einen Roten Faden ziehen möchte.

Grüße

Ale