DSGVO - MyBB Handlungsbedarf - Druckversion +- MyBB.de Forum (https://www.mybb.de/forum) +-- Forum: MyBB 1.8.x (https://www.mybb.de/forum/forum-87.html) +--- Forum: Sonstiges (https://www.mybb.de/forum/forum-91.html) +--- Thema: DSGVO - MyBB Handlungsbedarf (/thread-35403.html) |
RE: DSGVO - MyBB Handlungsbedarf - Danie - 01.05.2018 Danke DeGato mybb und die dsgvo - Itstechtalk - 05.05.2018 Hey. Bald tritt ja die dsgvo in Kraft und ich wollte einfach Mal fragen worauf ich als Mybb Benutzer achten sollte. RE: mybb und die dsgvo - The Incredible - 05.05.2018 Wenn du die Suche benutzen würdest, hätte dich direkt mindestens ein Thread nahezu "angesprungen". Da findest du aber auch nur Tipps und Hinweise von Laien. Eine anwaltliche Beratung kann das nicht ersetzen! RE: DSGVO - MyBB Handlungsbedarf - Jockl - 05.05.2018 Habe das mal hierher verschoben.... RE: DSGVO - MyBB Handlungsbedarf - Greenwich - 14.05.2018 Hallo zusammen! Ich habe mir gerade nochmal die Cookie Dokumentation von mybb durchgelesen und überlege gerade wegen des allgemeinen Cookie Hinweises, den die DSGVO fordert und auch schon seit einigen Jahren in der EU Pflicht ist, aber etwas nachlässig behandelt wurde. Nachdem sich die Datenschutzbeauftragten der Länder letztens noch einmal zusammen gesetzt haben, kam dabei ja raus, dass Inhalte nutzbar sein müssen, auch wenn man den Cookiebestimmungen nicht zustimmt und dann auch nicht getrackt werden darf. Das würde von der Mybb Forensoftware fordern, dass Cookies erst in dem Moment nachgezogen werden, in dem der "OK" Button auf dem Cookie Flag angeklickt wurde. Das ist wahrscheinlich einer dieser Punkte, die entweder keine Beachtung finden oder wenn eine Weile brauchen um in der mybb Forensoftware umgesetzt zu werden. Deshalb sinniere ich gerade über vorübergehende Alternativen und habe die allgemeine Frage: Braucht mybb Cookies damit man das Forum als Gast nutzen und auch Gastbeiträge erstellen kann? Wenn nein, wäre es rein theroetisch möglich, den Nutzer erst bei der Registrierung oder Anmeldung auf die Nutzung von personenbezogenen Daten und das Setzen von Cookies hinzuweisen und sie diesem zustimmen zu lassen. Wie seht ihr das? Ist das eine Option oder ein totales Hirngespinst? Klar, bisher sind die festen Regeln regelrecht schwammig, aber im Endeffekt würde ich in diesem Fall keine Cookies setzen solange bis sich jemand bei mir einloggt und ihn im selben Zug darüber aufklären. Zwei Fliegen mit einer Klappe^^ RE: DSGVO - MyBB Handlungsbedarf - berni3 - 16.05.2018 Ich habe vor einigen Wochen das Gesetz mal im Originallaut durchgelesen, weil mir alles, was ich zur DSGVO im Internet gefunden habe, sehr schwammig erschien. Im Gegensatz dazu war das Gesetz recht klar und gut verständlich. Nach erstem Frust, finde ich es inzwischen ziemlich gut gelungen - man muss dafür nur einmal den Hut vom Forenbetreiber zum Webseitenbenutzer wechseln - dass meine Daten bei diversen Online-Shops genauso leicht gelöscht werden können, wie sie erhoben wurden, habe ich mir schon oft gewünscht. Und an vielen Stellen möchte ich auch wissen, was da über mich gespeichert wurde... Mein Kritikpunkt ist eher, dass man von diesem Gesetz nicht schon früher erfahren hat und dass es nirgendwo brauchbare Listen gibt, was man tun muss, die man einfach der Reihe nach abhaken kann. Das erzeugt jetzt natürlich eine Menge Stress und man kann nur hoffen, dass die Aufsichtsbehörden für einen gewissen Zeitraum viel Kulanz zeigen werden... Die Beiträge hier im Forum dazu, empfinde ich als ziemliches Chaos. Ähnlich sieht es im analogen Thread im englischsprachigen Forum aus. Deswegen hier mal ein Überblick, was meines Erachtens für Forenbetreiber alles an diesem Gesetz relevant ist. Und sicherheitshalber: Ich bin kein Jurist. Das kann aus juristischer Sicht auch alles kompletter Blödsinn sein. Es ist einfach nur, wie es sich mir darstellt:
Ganz schön viel, finde ich. Ich werde jetzt mal versuchen, das bei meinem Forum, soweit ich das kann, umzusetzen und bereichte dann weiter. Aber einige Dinge werde ich einfach nicht leisten können - vor allem das Verzeichnis der Verarbeitungstätigkeiten müsste von Leuten erstellt werden, die deutlich mehr in der Sortware drin stecken, als ich. RE: DSGVO - MyBB Handlungsbedarf - frostschutz - 17.05.2018 (16.05.2018, 13:26)berni3 schrieb: Die Beiträge hier im Forum dazu, empfinde ich als ziemliches Chaos. Ja, uff. Und dein Beitrag nicht? (16.05.2018, 13:26)berni3 schrieb: Ich würde es so lösen, dass man zusätzlich zu "Ich stimme zu" auch noch "Ich bin älter als 16 oder meine Erziehungsberechtigten haben zugestimmt." mit aufnimmt. Das ist dann eine Erhebung von Daten, die mich überhaupt nicht interessieren. Das Alter der User wird bislang nirgends abgefragt (edit: Okay, optionale Angaben im Profil könnte ich auch mal streichen) und ich weiß auch nicht, wozu das gut sein soll: überprüfen kann ich es so oder so nicht. Es sei denn ich bitte jeden User erstmal vor die Webcam und dann Hose runter äh Perso vorzeigen, wie bei SIM-Karten. Das ist doch krank. (16.05.2018, 13:26)berni3 schrieb: Laut Gesetztestext (Art.4) fällt da alles drunter, was man irgendwie einer Person zuordnen kann, also insbesondere auch jeder Post und jede PN, jede Bewertung etc.) Mir machen solche allumfassenden Exportfunktionen etwas Angst. Es wird nicht lange dauern, bis irgendeine Seite in Verbindung mit so einer zusammengeschusterten Funktion einen Datenunfall hat und auch Daten anderer User gleich mit exportiert. Es gibt gerade im MyBB so viele Sonderfälle mit moderierten, abgelehnten, noch nicht freigegebenen usw. Beiträgen, da kommt es regelmäßig vor, daß MyBB selbst die Abfrage nicht richtig hinbekommt. Dann ist die Frage, exportiert man das in Rohdaten / Sourcecode oder in HTML-geparster Form? Schließt man von anderen Usern zitierte Texte (Fullquotes) mit ein? Usw. Und wie gestaltet man die Sicherheitsabfrage so einer Funktion? Denn der Schritt zu einem JavaScript-Exploit der den Usern untergejubelt wird und deren Daten ohne deren Wissen exportiert, ist dann auch nicht mehr weit. Ich werde sowas nicht in mein Forum einbauen, ohne es selber geschrieben, oder gründlichst durchgesehen zu haben. Ich bin aus dem Stand gar nicht in der Lage, das so umzusetzen, daß es wasserdicht ist und kein Sicherheitsrisiko darstellt. Und ein Datenschutzgesetz das mich zwingt, potentielle Sicherheitslücken ins Forum einzubauen, ist (16.05.2018, 13:26)berni3 schrieb: Ganz schön viel, finde ich. Ganz schön viel Kopf- und Bauchschmerzen und wenig realer Mehrwert für Datenschutz. Aus der Sicht eines kleinen Forums, dessen Kernnutzerschaft man mal locker ins nächste Lokal auf Stammtisch einladen könnte, ohne dafür gleich einen ganzen Saal reservieren zu müssen. So eine lange Liste von Anforderungen die einfach sinnlos sind für ein 0815 Forum, ohne finanzielle Interessen, ohne Werbung, ohne Einbindung von Drittanbietern, Sozialnetzwerken und anderen Datenkraken. Nur das was man im 0815 Forum eben findet, und was MyBB von Haus aus anbietet, also von Usern selbst eingebettete Bilder und so Zeug. Ich muss mir noch eine Datenschutzerklärung aus den Fingern saugen, den Copy-Paste von einem Generator wie man ihn jetzt schon in vielen Foren sieht, will ich eigentlich nicht mitmachen. Diese Texte entsprechen nicht der Realität und zielen mehr darauf ab, daß sie keiner lesen und verstehen kann. RE: DSGVO - MyBB Handlungsbedarf - doylecc - 17.05.2018 (17.05.2018, 14:35)frostschutz schrieb: Ich muss mir noch eine Datenschutzerklärung aus den Fingern saugen, den Copy-Paste von einem Generator wie man ihn jetzt schon in vielen Foren sieht, will ich eigentlich nicht mitmachen. Diese Texte entsprechen nicht der Realität und zielen mehr darauf ab, daß sie keiner lesen und verstehen kann. Stimmt, da bin ich auch noch am überlegen. Die Erklärung soll ja für wirklich jeden einfach und leicht verständlich sein. Ich dachte mir schon, vielleicht sollte man dafür eine ganz klassische Erklärweise wählen wie: Zitat:Cookies RE: DSGVO - MyBB Handlungsbedarf - berni3 - 17.05.2018 (17.05.2018, 14:35)frostschutz schrieb:(16.05.2018, 13:26)berni3 schrieb: Die Beiträge hier im Forum dazu, empfinde ich als ziemliches Chaos. Das müssen andere entscheiden... und schrieb:(16.05.2018, 13:26)berni3 schrieb: Ich würde es so lösen, dass man zusätzlich zu "Ich stimme zu" auch noch "Ich bin älter als 16 oder meine Erziehungsberechtigten haben zugestimmt." mit aufnimmt. Naja, du sollst das Alter der Benutzer ja auch nicht speichern, sondern nur irgendwie sicherstellen, dass sie die Einwilligung unterschreiben dürfen. Ich seh' die Problematik, dass man das nicht sinnvoll überprüfen kann. Aber zumindest kannst du dann sagen, dass der Benutzer dich angelogen hat und du keine andere Möglichkeit hattest, als ihm zu vertrauen. und schrieb:(16.05.2018, 13:26)berni3 schrieb: Laut Gesetztestext (Art.4) fällt da alles drunter, was man irgendwie einer Person zuordnen kann, also insbesondere auch jeder Post und jede PN, jede Bewertung etc.) Ich würde es auch nicht vollautomatisch rausschicken - du hast einen Monat lang Zeit, die Daten zu schicken. Und da solche Anfragen vermutlich eher selten auftreten werden, kann man da immernoch manuell prüfen, ob die Exportfunktion alle Daten richtig rausgehauen hat. und schrieb:Dann ist die Frage, exportiert man das in Rohdaten / Sourcecode oder in HTML-geparster Form? Naja, der Empfänger der Daten soll ja irgendwas damit anfangen können. Also muss es wohl menschenlesbar sein. Für den Versand der Daten an Dritte schreibt das Gesetz vor, dass die Daten in einem maschinenlesbaren, gängigen Datenformat sein sollen. Wenn man alle drei Eigenschaften in einem Datenformat vereint, braucht man die Funktion nur einmal zu schreiben. Was zum Beispiel geht: Alle Daten in einem PHP-Array sammeln und dann mit den entsprechenden PHP-Befehl nach YAML konvertieren. und schrieb:Und wie gestaltet man die Sicherheitsabfrage so einer Funktion? Denn der Schritt zu einem JavaScript-Exploit der den Usern untergejubelt wird und deren Daten ohne deren Wissen exportiert, ist dann auch nicht mehr weit. Siehe oben. Den eigentlichen Export kann nur ein Admin machen und da kann man es auch so lösen, dass die Daten lediglich irgendwo auf dem Server gespeichert werden (wo man von außen nicht dran kommt) und von da via scp runtergeladen werden müssen. Da kann dann der Exploit so oft er will exportieren, da wird jedesmal nur wieder ein Haken in der Datenbank gesetzt. Mehr passiert da erst mal nicht. und schrieb:Ganz schön viel Kopf- und Bauchschmerzen und wenig realer Mehrwert für Datenschutz. Aus der Sicht eines kleinen Forums, dessen Kernnutzerschaft man mal locker ins nächste Lokal auf Stammtisch einladen könnte, ohne dafür gleich einen ganzen Saal reservieren zu müssen. Ja, ich denke auch, dass das nicht unsere Aufgabe sein kann, sondern vieles davon im MyBB-Kern eingebaut werden sollte. Dann muss man (wer auch immer das ist) es einmal richtig machen und hat es dann für alle. Zitat:Ich muss mir noch eine Datenschutzerklärung aus den Fingern saugen, den Copy-Paste von einem Generator wie man ihn jetzt schon in vielen Foren sieht, will ich eigentlich nicht mitmachen. Diese Texte entsprechen nicht der Realität und zielen mehr darauf ab, daß sie keiner lesen und verstehen kann. Oder sind so blödes Geschwurbel, dass man das auch nicht auf seiner Webseite haben will. ("Wir sind ein ganz besonderes Unternehmen und deswegen verbinden wir mit Datenschutz selbstverständlich..." oder sowas.) Die Erklärung auf dudle finde ich recht knackig und steht immerhin auf einer Seite von einem Professor für Datenschutz. Ob die Erklärung bereits DSGVO-konform ist, weiß ich nicht. Aber sie kann als Vorbild dienen, finde ich. RE: DSGVO - MyBB Handlungsbedarf - Aletheia - 18.05.2018 Moin, da das hier alles nicht so mega übersichtlich ist und man sich durch den DSGVO-Dschungel arbeiten muss, schreib ich euch mal auf was ich bisher gemacht habe und versucht habe aus all den Postings im Internet und diversen Foren herauszulesen. Ob das der Weisheit letzter Schluss ist wage ich zu bezweifeln, ihr dürft mich gerne belehren:
Warum werden diese Sachen gespeichert? Wer kann diese Daten einsehen? An wen werden Daten übermittelt? Lösung: Datenschutzerklärung einstellen; z.b. mit nemm Generator - activeMind.ag oder ähnliches
Lösung: https://www.mybb.de/erweiterungen/18x/plugins-verschiedenes/einverstaendnis-nutzungsbedingungen/
Zertifikat besorgen, beim Webspace
https://www.mybb.de/erweiterungen/18x/plugins-sicherheit/dvz-secure-content/ und Zusatz für html bedenken: https://www.mybb.de/forum/thread-31692-post-233648.html#pid233648 Muss ich noch prüfen: Ob das auch alles für den BBcode so passt.
Lösung: https://www.mybb.de/erweiterungen/18x/plugins-admincp/ip-ghost2/ Infos: https://www.mybb.de/forum/thread-30302.html Möglicherweise einfach Fake-IPs generieren: https://www.mybb.de/erweiterungen/18x/plugins-verschiedenes/store-fake-ips/ EDIT: Im Nutzerhinweis-Plugin (oben aufgeführt), kann man angeben wie lange IPs gespeichert werden. Hier noch einmal doppelt: https://www.mybb.de/erweiterungen/18x/plugins-verschiedenes/einverstaendnis-nutzungsbedingungen/ Unsicherheiten: Na so ganz sicher bin ich hier noch nicht, ob das alles erfüllt, aber besser als nichts.
https://www.mybb.de/forum/thread-33745-post-231941.html#pid231941 Unsicherheiten: Es fehlen noch diverse Dinge die exportiert werden müssten. alle Daten, Fotos/Bilder (zB Avatar, Attachments), Texte, Private Nachrichten, Emails über die Foren-Funktion, Entwürfe,Freunde-/Ignorierliste, Attachments, Entwürfe, Abonnierte Themen, Abonnierte Foren, Social Sites (Plug-In)
https://www.mybb.de/erweiterungen/18x/plugins-startseite/cookie-law2/ Soweit mal meine persönliche Übersicht die ich mit euch teilen möchte. Anregungen, Kritik gerne gesehen Das ist quasi meine Idee wie ich in dem Durcheinander irgendwie einen Roten Faden ziehen möchte. Grüße Ale |