14.03.2018, 15:36
(Dieser Beitrag wurde zuletzt bearbeitet: 14.03.2018, 15:46 von Raphael.
Bearbeitungsgrund: Kleine Ergänzung + Typo Korrektur
)
Hallo Leute,
einige von euch haben es schon mitebekommen, und in einigen Threads (u.a. Wünsche für MyBB 2) wurde es schon angeschnitten: Die neue Datenschutzgrundverordung für die EU, die ab 25.Mai in Kraft tritt.
Um eine zu zerstreute Diskussion zu vermeiden, möchte ich dieses Thema als "Sammelstelle" nutzen.
Vorab:
Ist die DSGVO überhaupt relevant für Forenbetreiber?
Antwort:
JA, ist sie. Ganz gleich, ob gewerblich oder nicht, ob groß oder klein. Ob MyBB oder eine andere Forensoftware.
Einzige Ausnahme: Es handelt sich um eine rein private, also abgeschottete Instanz, die ausschließlich für sich selbst, Familie und/oder nahe Freunde besteht. Spätestens ab dem Moment, wo ihr öffentliche Registrierungen zulasst, seit ihr im Sinne der Verordnung nicht mehr privat.
Warum?
Weil -jede- Forensoftware personenbezogene Daten verarbeitet. Laut deutschem Recht zählen dazu auch E-Mail Adressen und IP-Adressen. D.h. auch für mybb.de gilt die DSGVO.
Argumente, wie "Trash Mail" Adressen, oder Proxies haben keinen Bestand, da mittelbar der Durchschnittsuser über diese Merkmale eindeutig identifiziert werden kann.
Was bedeutet das?
Da eine Forensoftware, um seine Funktionalität zu erhalten nicht alle personenbezogenen Daten pseudonymisieren kann (z.B. E-Mail Adresse), müssen Mechanismen entwickelt werden, um rechtskonform agieren zu können.
Die DSGVO hat hierbei konkrete Forderung an Webseitenbetreiber.
Zunächst einmal ist zu beachten, dass es sich bei der DSGVO nicht um deutsches, sondern um EU-Recht handelt. D.h. Abmahnung u.ä. können aus der ganzen EU auf euch zukommen. Sanktionsmöglichkeiten sind z.T. abhängig von den nationalen Gesetzen. Unklar ist noch, ob Sanktionsregelungen von z.B. Österreich Anwendung finden, wenn ein Österreicher ein in Deutschland gehostetes Forum nutzt und dort ein Grund zum Rechtsstreit findet. (Öffnungsklauseln der DSGVO)
Was wäre zu tun?
Aus den vorher aufgezählten Punkten ergibt sich die Forderung an die MyBB Software Forenbetreiber in diesem Belangen besser zu unterstützen. Konkret gibt es folgende Ideen:
Meine Auflistung erhebt keinen Anspruch auf Vollständigkeit.
Sie ist das Ergebnis eigener Recherche + allg. Anwaltsberatung.
einige von euch haben es schon mitebekommen, und in einigen Threads (u.a. Wünsche für MyBB 2) wurde es schon angeschnitten: Die neue Datenschutzgrundverordung für die EU, die ab 25.Mai in Kraft tritt.
Um eine zu zerstreute Diskussion zu vermeiden, möchte ich dieses Thema als "Sammelstelle" nutzen.
Vorab:
Ist die DSGVO überhaupt relevant für Forenbetreiber?
Antwort:
JA, ist sie. Ganz gleich, ob gewerblich oder nicht, ob groß oder klein. Ob MyBB oder eine andere Forensoftware.
Einzige Ausnahme: Es handelt sich um eine rein private, also abgeschottete Instanz, die ausschließlich für sich selbst, Familie und/oder nahe Freunde besteht. Spätestens ab dem Moment, wo ihr öffentliche Registrierungen zulasst, seit ihr im Sinne der Verordnung nicht mehr privat.
Warum?
Weil -jede- Forensoftware personenbezogene Daten verarbeitet. Laut deutschem Recht zählen dazu auch E-Mail Adressen und IP-Adressen. D.h. auch für mybb.de gilt die DSGVO.
Argumente, wie "Trash Mail" Adressen, oder Proxies haben keinen Bestand, da mittelbar der Durchschnittsuser über diese Merkmale eindeutig identifiziert werden kann.
Was bedeutet das?
Da eine Forensoftware, um seine Funktionalität zu erhalten nicht alle personenbezogenen Daten pseudonymisieren kann (z.B. E-Mail Adresse), müssen Mechanismen entwickelt werden, um rechtskonform agieren zu können.
Die DSGVO hat hierbei konkrete Forderung an Webseitenbetreiber.
- Allgemeine Auskunftspflicht gegenüber den Nutzern:
Welche personenbezogenen Daten werden verarbeitet? Zu welchem Zweck?
In leicht verständlicher Sprache. (Datenschutzerklärung)
- Spezifische Auskunftspflicht:
Welche personenbezogenen Daten sind über <User> gespeichert?
- Löschanspruch
Echtes löschen oder pseudonymisieren von personenbezogenen Daten nach Anforderung des Nutzers.
- Portabilitätsanspruch
Herausgabe aller personenbezogenen Daten über <User> in einem lesbaren Format (CSV, ...)
- Nachweis über Einwilligung zur Verarbeitung personenbezogener Daten (Rechenschaftspflicht)
- Privacy by Design - Nur das speichern, was wirklich notwendig ist
- Privacy by Default: Datenschutzfreundliche Standardeinstellungen
- Weitere Pflichten bei gewerblichen Foren (Datenschutzbeauftragter, ...)
Zunächst einmal ist zu beachten, dass es sich bei der DSGVO nicht um deutsches, sondern um EU-Recht handelt. D.h. Abmahnung u.ä. können aus der ganzen EU auf euch zukommen. Sanktionsmöglichkeiten sind z.T. abhängig von den nationalen Gesetzen. Unklar ist noch, ob Sanktionsregelungen von z.B. Österreich Anwendung finden, wenn ein Österreicher ein in Deutschland gehostetes Forum nutzt und dort ein Grund zum Rechtsstreit findet. (Öffnungsklauseln der DSGVO)
Was wäre zu tun?
Aus den vorher aufgezählten Punkten ergibt sich die Forderung an die MyBB Software Forenbetreiber in diesem Belangen besser zu unterstützen. Konkret gibt es folgende Ideen:
- Funktion im UCP, damit Nutzer ihre eigenen Daten exportieren können
- Grundsätzliches vorhandensein eines "Datenschutz" Bereiches zur Pflege von Inhalten. Dieser muss stets über ein Klick von jeder Seite aus erreichbar sein. (ähnlich Impressum)
- Speicherung des Aktivierungsdatums eines Nutzeraccounts, ggf. inkl. zu dem Zeitpunkt gültiger AGB / Datenschutzerklärung (Rechenschaftspflicht, Nachweispflicht, Revisionssicher)
- Da es sich hier um EU-Recht handelt, wäre Core Support aller DSGVO relevanten Belange sinnvoll und wünschenswert.
Meine Auflistung erhebt keinen Anspruch auf Vollständigkeit.
Sie ist das Ergebnis eigener Recherche + allg. Anwaltsberatung.