Hallo, Gast! (Registrieren)

Letzte Ankündigung: MyBB 1.8.38 veröffentlicht (30.04.24)


Benutzer, die gerade dieses Thema anschauen: 3 Gast/Gäste
DSGVO - MyBB Handlungsbedarf
#11
(22.04.2018, 21:15)Sebijk schrieb: Das müsste dann aber auch geloggt werden, denn sonst weiß man ja nicht, wann sie akzeptiert wurden.
Im PlugIN Einverständniserklärung Nutzungsbedingungen wird ein timestamp gesetzt. User können im Benutzer-CP selbst sehen wann (Datum-Uhrzeit) den Nutzungsvereinbarungen zugestimmt wurde.
Sollte ich der Ansicht sein helfen zu können biete ich Hilfe(n) an!  ...ich bitte jedoch nicht darum helfen zu dürfen!
Tools [Unixzeit ⇔ Realzeit] ♦ [BOM-Finder] ♦ [SQL-Prefix-Changer] ♦ [USV-Rechner] ♦ [PlugIns]
Zitieren
#12
Speichert Mybb eigentlich auch die IP von postenden Gästen? Falls ja: Kann man diese Speicherung irgendwie abschalten?
Zitieren
#13
Warum möchtest du das abschalten? Die können durch aus gespeichert werden für den Fall von Rechtsverletzungen! Wenn du alle IPs anonymisierst, öffnest du Leuten Tür und Tor die ohne Angst vor Strafverfolgung nach Herzenslust beleidigen, diffamieren oder Propaganda betreiben.
Cheers
Zitieren
#14
(25.04.2018, 17:55)The Incredible schrieb: Warum möchtest du das abschalten? Die können durch aus gespeichert werden für den Fall von Rechtsverletzungen! Wenn du alle IPs anonymisierst, öffnest du Leuten Tür und Tor die ohne Angst vor Strafverfolgung nach Herzenslust beleidigen, diffamieren oder Propaganda betreiben.
Das ist richtig, aber ich kontrolliere eh täglich alle Beiträge. Ich möchte diesen denkbaren Angriffspunkt für Abmahnanwälte (?) im Zusammenhang mit der DSGVO von vorne herein entfernen.
Zitieren
#15
Das ist kein Angriffspunkt und auch DSGVO konform wenn IPs gespeichert werden!

Du bist nur verpflichtet diese zu anonymisieren oder zu löschen (alle personenbezogenen Daten!) wenn es jemand möchte. Entsprechende Datenschutzerklärung für dein Forum natürlich vorausgesetzt!
Cheers
Zitieren
#16
(25.04.2018, 18:13)The Incredible schrieb: Das ist kein Angriffspunkt und auch DSGVO konform wenn IPs gespeichert werden!

Du bist nur verpflichtet diese zu anonymisieren oder zu löschen (alle personenbezogenen Daten!) wenn es jemand möchte. Entsprechende Datenschutzerklärung für dein Forum natürlich vorausgesetzt!
Okay, ich werde das Thema weiter beobachten...
Zitieren
#17
(25.04.2018, 18:13)The Incredible schrieb: Das ist kein Angriffspunkt und auch DSGVO konform wenn IPs gespeichert werden!

Du bist nur verpflichtet diese zu anonymisieren oder zu löschen (alle personenbezogenen Daten!) wenn es jemand möchte. Entsprechende Datenschutzerklärung für dein Forum natürlich vorausgesetzt!


Hm, ich habe es so verstanden, dass IP Adressen unabhängig von einer Datelöschungsaufforderung nach einer in den Datenschutzbestimmungen festgelegten Zeit gelöscht werden müssen. MyBB speichert leider alle IPs zu den Beiträgen dauerhaft und bietet keine Löschfunktion an.
Die Datenschutzbestimmungen , die ich bisher gefunden habe, geben zwischen 3 Wochen und 6 Monaten an.

MyBB speichert meiner Kenntnis nach die IPs auch nicht in einer Tabelle mit Querversweis, sondern die IPs in den Beiträgen und nochmal in den Benutzerdatenbanken. Besser wäre eine eigene Tabelle mit Querverweis.

Ich weiß auch noch nicht, wie ich damit umgehen soll.
Die IPs aufwändig in der Datenbank zu löschen ist sicher nicht sinnvoll.

In den Beiträgen wäre es auch egal. Aber die IP_Adressen aus dem Benutzerprofil sollten im ACP löschbar sein. Z.B. die IPs löschen, die älter als x Tage sind.

Was denkt Ihr?
Viele Grüße von
Danie

Zitieren
#18
Wenn ein User sich bei dir meldet und die Löschung seiner personenbezogenen Daten fordert, musst du das eben machen. Ob MyBB da eine Funktion bietet weiß ich nicht. Es wäre aber natürlich mehr als sinnvoll das es eine solche geben würde.

User A schreibt eine PN oder E-Mail und bittet darum seine personenbezogenen Daten zu löschen. Nun sollte es eine Funktion geben (wenn man den Nutzer löscht z.B.) die gespeicherten IP Adressen zu löschen oder zumindest zu anonymisieren. In allen seinen Beiträgen, Profil und wo die eben sonst noch so gespeichert werden.

Wenn MyBB da nicht nachrüstet sieht es düster aus mit der Forensoftware. Da bleibt einem dann eventuell nur der Umstieg auf ein anderes System welches DSGVO konform ist. Bei Systemen aus Übersee ist es den Entwicklern aber oft, so scheint es zumindest, herzlich egal. Denn die betrifft ja die DSGVO eh nicht.

Zudem benötigt man ein rechtssicheres Impressum und eine Datenschutzerklärung die eben ausweist welche personenbezogene Daten gespeichert werden.

Man darf sich also fragen wie es weiter geht hier. Wird auf die DSGVO eingegangen? (Sollte ja im Kern der Software verankert sein). Oder sucht man sich besser Alternativen? Die Entscheidung kann man dem einzelnen User bzw. Userin nicht abnehmen.
Cheers
Zitieren
#19
(26.04.2018, 10:01)The Incredible schrieb: Wenn MyBB da nicht nachrüstet sieht es düster aus mit der Forensoftware. Da bleibt einem dann eventuell nur der Umstieg auf ein anderes System welches DSGVO konform ist. Bei Systemen aus Übersee ist es den Entwicklern aber oft, so scheint es zumindest, herzlich egal. Denn die betrifft ja die DSGVO eh nicht.

Das ist so nicht korrekt.
Jede Website, die ihre Dienste aktiv auch in der EU anbietet, muss die DSGVO erfüllen. Für entsprechende Rechtsbelange sind oder werden entsprechende Rechtsbeihilfeabkommen geschlossen. (Steht auch im DSGVO Text)
Sofern keine Ländersperren eingebaut sind, und die genutzte Sprache nicht national beschränkt ist, betrifft das also -alle- Foren. (National beschränkt = Diese Sprache wird ausschließlich in dem Land gesprochen).

Zudem ist eine kommerzielle Softwareschmiede, die Foren Software anbietet, natürlich auf größtmöglichen Absatz orientiert. Wenn sie den gesamten EU-Markt mit einer DSGVO konformen Forensoftware erschließen können, wären sie ziemlich ignorant, diese Möglichkeit nicht zu nutzen.
Bei Open Source Projekten ist die Lage ganz ähnlich. Wenn sie eine höhere Verbreitung und somit ggf. auch mehr Entwickler & Co. durch DSGVO Konformität erzielen können, werden sie nachziehen.

Bei MyBB gibt es seit längerem auch Support für USA relevante Belange (COPPA). Auf dieselbe Art und Weise könnte der Core auch für die EU rechtskonform erweitert werden.

Die bisher beschriebenen Szenarien in diesem Thread sind dabei eine wunderbare Orientierung, was eigentlich zu tun ist.
MyBB muss sich dabei natürlich ausschließlich um die Daten kümmern, die ihre Software erhebt.
Alles rund um Serverlogs usw. muss ggf. mit dem Hoster und deren Tools erledigt werden. Speziell hier gibt es für den technischen Betrieb und Rechtssicherheit auch Erlaubnisse, die entsprechend geregelt sind. Z.B. ist man nicht verpflichtet dem Löschersuchen eines Nutzers nachzukommen, wenn dieser rechtswidrig gehandelt hat (Volksverhetzung o.ä.).


Idealvorstellung sähe aus meiner Sicht so aus:
  • Pro Nutzer gibt es eine "Collection" von Personenbezogenen Daten
    • An diese können sich auch Plugins "anmelden", um sie zu erweitern und zu nutzen; Damit hat man stets alle personenbezogenen Daten an einem Fleck.
  • Jeder Datensatz aus dieser Collection kann mit einem Ablaufdatum zur Löschung oder Anonymisierung versehen werden, inkl. der Option "dauerhaft speichern"
  • Datensätze können individuell aus der automatischen Bereinigung genommen werden (Beispiel: Ein Nutzer hat gegen geltendes Recht verstoßen, und die zugehörigen Daten müssen eingefroren werden)
  • Wenn ein Nutzer einen legitimes Löschersuchen stellt, müssen lediglich die zugehörige Collection gelöscht / anonymisiert werden + die normalen Accountdaten
  • Es gibt einen Editorbereich für die Datenschutzerklärung
  • Auf Basis der Collection könnten Teilinhalte der Datenschutzerklärung automatisch generiert werden. Beispielsweise wenn es darum geht, was gespeichert wird, werden einfach die "typen" der Collection ausgelesen.

    In der Praxis könnte so ein Teilinhalt der Datenschutzerklärung aussehen:
    Zitat:Wir erheben folgende personenbezogene Daten:
    - IP-Adressen bei Registrierung, Anmeldung und Beitragserstellung
    - E-Mail Addressen bei Registrierung für Mailing von Abonnements, ...

    Dieser Ansatz könnte mittels templates erweitert werden, und jedes Plugin, dass personenbezogene Daten erhebt oder nutzt könnte nach einem festen Format einen "Erklärungstext" beisteuern, der entsprechend ausgegeben wird.
    Dabei muss pro personenbezogenes Datum angegeben werden, WAS, WANN und zu welchem ZWECK gespeichert wird.

Perspektivisch könnte ich mir vorstellen, dass es eine Art "Datenschutz-API" auf JSON/XML Basis gibt, sodass bei einem legitimen Löschanspruch vollautomatisch auch Serverlogs bereinigt werden können. Dies ist allerdings nicht Gegenstand dieser Diskussion Smile

Soviel erstmal von mir.
Zitieren
#20
(26.04.2018, 05:12)Danie schrieb: ... Aber die IP_Adressen aus dem Benutzerprofil sollten im ACP löschbar sein. Z.B. die IPs löschen, die älter als x Tage sind.

Was denkt Ihr?

Dazu hab ich grade dort https://www.mybb.de/forum/thread-35472-p...#pid233470 etwas geschrieben.
Zitieren