DSGVO - MyBB Handlungsbedarf - Druckversion +- MyBB.de Forum (https://www.mybb.de/forum) +-- Forum: MyBB 1.8.x (https://www.mybb.de/forum/forum-87.html) +--- Forum: Sonstiges (https://www.mybb.de/forum/forum-91.html) +--- Thema: DSGVO - MyBB Handlungsbedarf (/thread-35403.html) |
DSGVO - MyBB Handlungsbedarf - Raphael - 14.03.2018 Hallo Leute, einige von euch haben es schon mitebekommen, und in einigen Threads (u.a. Wünsche für MyBB 2) wurde es schon angeschnitten: Die neue Datenschutzgrundverordung für die EU, die ab 25.Mai in Kraft tritt. Um eine zu zerstreute Diskussion zu vermeiden, möchte ich dieses Thema als "Sammelstelle" nutzen. Vorab: Ist die DSGVO überhaupt relevant für Forenbetreiber? Antwort: JA, ist sie. Ganz gleich, ob gewerblich oder nicht, ob groß oder klein. Ob MyBB oder eine andere Forensoftware. Einzige Ausnahme: Es handelt sich um eine rein private, also abgeschottete Instanz, die ausschließlich für sich selbst, Familie und/oder nahe Freunde besteht. Spätestens ab dem Moment, wo ihr öffentliche Registrierungen zulasst, seit ihr im Sinne der Verordnung nicht mehr privat. Warum? Weil -jede- Forensoftware personenbezogene Daten verarbeitet. Laut deutschem Recht zählen dazu auch E-Mail Adressen und IP-Adressen. D.h. auch für mybb.de gilt die DSGVO. Argumente, wie "Trash Mail" Adressen, oder Proxies haben keinen Bestand, da mittelbar der Durchschnittsuser über diese Merkmale eindeutig identifiziert werden kann. Was bedeutet das? Da eine Forensoftware, um seine Funktionalität zu erhalten nicht alle personenbezogenen Daten pseudonymisieren kann (z.B. E-Mail Adresse), müssen Mechanismen entwickelt werden, um rechtskonform agieren zu können. Die DSGVO hat hierbei konkrete Forderung an Webseitenbetreiber.
Zunächst einmal ist zu beachten, dass es sich bei der DSGVO nicht um deutsches, sondern um EU-Recht handelt. D.h. Abmahnung u.ä. können aus der ganzen EU auf euch zukommen. Sanktionsmöglichkeiten sind z.T. abhängig von den nationalen Gesetzen. Unklar ist noch, ob Sanktionsregelungen von z.B. Österreich Anwendung finden, wenn ein Österreicher ein in Deutschland gehostetes Forum nutzt und dort ein Grund zum Rechtsstreit findet. (Öffnungsklauseln der DSGVO) Was wäre zu tun? Aus den vorher aufgezählten Punkten ergibt sich die Forderung an die MyBB Software Forenbetreiber in diesem Belangen besser zu unterstützen. Konkret gibt es folgende Ideen:
Meine Auflistung erhebt keinen Anspruch auf Vollständigkeit. Sie ist das Ergebnis eigener Recherche + allg. Anwaltsberatung. RE: DSGVO - MyBB Handlungsbedarf - frostschutz - 16.03.2018 Der 0815 Forenadmin hat doch überhaupt keine Ahnung, wie eine Webseite funktioniert und welche Daten somit sein Forum direkt wie indirekt verarbeitet. Somit auch nicht in der Lage eine Datenschutzerklärung zu schreiben, die den Tatsachen entspricht. Was bleibt ist Rechtsunsicherheit und Angst vor Abmahnungen. Da braucht sich niemand zu wundern, wenn immer mehr Foren zumachen und das alles zu Reddit und anderen großen Seiten abwandert. Nur kann man da fest davon ausgehen, daß die Big Data machen. Da ist dem Datenschutz geholfen. Seufz. RE: DSGVO - MyBB Handlungsbedarf - Sebijk - 14.04.2018 (16.03.2018, 14:29)frostschutz schrieb: Der 0815 Forenadmin hat doch überhaupt keine Ahnung, wie eine Webseite funktioniert und welche Daten somit sein Forum direkt wie indirekt verarbeitet. Dafür ist dann ein technischer Admin da. Ein Forenbetreiber heute sollte in der Lage sein zu erkennen, welche Daten verarbeitet werden und auch die aktuellen Transportverschlüsselungen einsetzen. Dies ist ja schon seit 2015 Pflicht. Oder vertraut man heutzutage einen unverschlüsselten Dienst noch Daten an? Natürlich sind die ganzen Anforderungen für einen einzelnen Betreiber schon Krass, aber da soll es ja von einer Datenschutz-Organisation Hilfe geben. Eine Exportfunktion hat MrBrechreiz unter https://www.mybb.de/forum/thread-33745-post-231820.html#pid231820 geteilt. (Hier fehlt glaub ich noch aber eine Liste mit allen IPs, die in Beiträgen gespeichert sind) Datenschutzerklärunggenerator, die DSGVO-konform sein soll Zum https://www.activemind.de/datenschutz/datenschutzhinweis-generator Wenn man IP-Adressen nicht braucht, kann auch dieses Plugin installieren: https://github.com/Destroy666x/MyBB-Store-Fake-IPs Was also noch fehlt sind: Echtes löschen oder pseudonymisieren von personenbezogenen Daten nach Anforderung des Nutzers. (Ist möglich, aber ich weiß nicht wie es mit IP-Adressen in Beiträgen ausschaut, ob diese auch gelöscht werden oder nicht. Das kann aber mit einem Datenbankbefehl gelöst werden.) Nachweis über Einwilligung zur Verarbeitung personenbezogener Daten (Rechenschaftspflicht) (Es gibt keine Bestätigung, dass das Feld angeklickt wurde) RE: DSGVO - MyBB Handlungsbedarf - Scarabaeus - 14.04.2018 Zitat:Löschanspruch Bin gespannt wie der 0815 Forenadmin seinen Hostingprovider darum bitten möchte, dass sein User XY mit der IP ABC doch bitte seine relevanten Daten aus den Serverlogs (Apache/nginx, ggf. postfix) haben und danach gelöscht werden will. Dazu dann bitte noch die der personenbezogenen Daten aus diversen statistischen Tools (Analytics, Matomo [ehemals Piwik], etc.), weil dem Forenbetreiber ansonsten Bußgelder angedroht werden. Selbst wenn der Betreiber selber Zugriff auf die Serverlogs haben sollte, müssten diese erstmal mit den Daten aus einem Forum zusammengeführt werden um eben diesen Ansprüchen nachzukommen. Wie soll man dass bitte vernünftig realisieren ohne dass es in Verzweifelung ausartet? Zitat:Was bleibt ist Rechtsunsicherheit und Angst vor Abmahnungen. Korrekt. Dies führt meiner Meinung nach dazu, dass viele Seiten aus dem Netz verschwinden werden. Was ist mit Seiten die bei wix, jimdo, wordpress.com, etc. liegen, welche Kommentare zu verfassten Beiträgen erlauben? Selbst wenn dort die Datenschutzerklärung der Betreiber greifen sollte und entsprechende Mechanismen vorhanden sind um der DSGVO gerecht zu werden, landet eine Beschwerde erstmal bei "Lieschen Müller von Nebenan". In der Konsequenz wird höchstwahrscheinlich dass naheliegendeste - nämlich die Schließung der eigenen Seite - getan um zukünftig den Stress mit sowas zu vermeiden. Weiterhin denke ich, dass jene die vielleicht eine gute Idee für einen Webservice und dass Wissen zur Umsetzung haben, gar nicht erst damit an den Start gehen werden weil eben diese Abmahnangst zu groß sein wird und ein entsprechendes Bußgeldbudget (man muss es in der Folge ja so nennen) nicht vorhanden ist. Datenschutz und Transparenz für den Nutzer ist ja alles schön und gut, nur ist die Regelung meiner Meinung nach derart umfangreich und auf Großbetreiber ausgelegt, dass alle anderen - die im Netz vertreten sein wollen - nicht damit zurecht kommen werden. RE: DSGVO - MyBB Handlungsbedarf - falcao1010 - 19.04.2018 Ich denke darüber nach, keine Registrierungen mehr zu ermöglichen, so dass dann halt nur noch Gäste miteinander diskutieren. Das zumindest so lange, wie die technischen und rechtlichen Fragen nicht sicher geklärt sind. Denn ich will diese ganzen Abmahn-Risiken nicht auf mich nehmen. Ich bin sicher, dass schon wieder einige auf Abmahnungen spezialisierte Anwälte auf der Lauer liegen und das große Geschäft wittern. Schlimm, dass die Politik nichts gegen diese Verbrecher unternimmt. RE: DSGVO - MyBB Handlungsbedarf - bv64 - 19.04.2018 sobald jemand auf deiner Seite etwas kommentieren kann, egal ob als Gast oder registrierter User, zieht die DSGVO! RE: DSGVO - MyBB Handlungsbedarf - falcao1010 - 19.04.2018 Das mag sein. Aber wie will jemand von mir Daten fordern, wenn er nicht registriert ist. Ich sehe das als Notlösung, bis die Themen geklärt sind. Oder sogar als Dauerlösung. RE: DSGVO - MyBB Handlungsbedarf - SvePu - 19.04.2018 (14.04.2018, 00:15)Sebijk schrieb: ...... So etwas lässt sich aber mit etwas PHP, Html und Javascript leicht umsetzen. Hier ein Beispiel für der Nachweis, dass die Nutzungsbedingungen akzeptiert wurden, denn ohne Haken geht es nicht weiter geht. Diese Art der Bestätigung kann man auch für andere Sachen, wie z.B. die "Einwilligung zur Verarbeitung personenbezogener Daten" nutzen. RE: DSGVO - MyBB Handlungsbedarf - Sebijk - 22.04.2018 (19.04.2018, 20:19)SvePu schrieb: Hier ein Beispiel für der Nachweis, dass die Nutzungsbedingungen akzeptiert wurden, denn ohne Haken geht es nicht weiter geht. Das müsste dann aber auch geloggt werden, denn sonst weiß man ja nicht, wann sie akzeptiert wurden. Ansonsten gibt es unter https://www.woltlab.com/article/105-umsetzung-der-dsgvo/ Empfehlungen von einem kommerziellen Forenhersteller. Was in der Liste also fehlt ist die Verschlüsselungspflicht, weil man ja mit Privaten Nachrichten nichtöffentliche Beiträge schreiben kann. RE: DSGVO - MyBB Handlungsbedarf - Danie - 23.04.2018 (14.04.2018, 00:15)Sebijk schrieb: Wenn man IP-Adressen nicht braucht, kann auch dieses Plugin installieren: https://github.com/Destroy666x/MyBB-Store-Fake-IPs Naja, nicht brauchen. Es besteht ja eine Löschpflicht. Mir wäre es am liebsten, wenn nur die letzten 5 IPs plus der Registrierungs-IP je Benutzer gespeichert würden. Aber es sind ja in den Daten der Benutzer alle IPs im ACP einsehbar, mit denen der User je online war. Noch besser wäre man könnte im ACP einstellen, wieviel IPs gespeichert werden sollen. Gibt es dafür eine Lösung, die ich nur nicht gefunden habe Bin ja manchmal n bisschen blind |