(26.04.2018, 10:01)The Incredible schrieb: Wenn MyBB da nicht nachrüstet sieht es düster aus mit der Forensoftware. Da bleibt einem dann eventuell nur der Umstieg auf ein anderes System welches DSGVO konform ist. Bei Systemen aus Übersee ist es den Entwicklern aber oft, so scheint es zumindest, herzlich egal. Denn die betrifft ja die DSGVO eh nicht.
Das ist so nicht korrekt.
Jede Website, die ihre Dienste aktiv auch in der EU anbietet, muss die DSGVO erfüllen. Für entsprechende Rechtsbelange sind oder werden entsprechende Rechtsbeihilfeabkommen geschlossen. (Steht auch im DSGVO Text)
Sofern keine Ländersperren eingebaut sind, und die genutzte Sprache nicht national beschränkt ist, betrifft das also -alle- Foren. (National beschränkt = Diese Sprache wird ausschließlich in dem Land gesprochen).
Zudem ist eine kommerzielle Softwareschmiede, die Foren Software anbietet, natürlich auf größtmöglichen Absatz orientiert. Wenn sie den gesamten EU-Markt mit einer DSGVO konformen Forensoftware erschließen können, wären sie ziemlich ignorant, diese Möglichkeit nicht zu nutzen.
Bei Open Source Projekten ist die Lage ganz ähnlich. Wenn sie eine höhere Verbreitung und somit ggf. auch mehr Entwickler & Co. durch DSGVO Konformität erzielen können, werden sie nachziehen.
Bei MyBB gibt es seit längerem auch Support für USA relevante Belange (COPPA). Auf dieselbe Art und Weise könnte der Core auch für die EU rechtskonform erweitert werden.
Die bisher beschriebenen Szenarien in diesem Thread sind dabei eine wunderbare Orientierung, was eigentlich zu tun ist.
MyBB muss sich dabei natürlich ausschließlich um die Daten kümmern, die ihre Software erhebt.
Alles rund um Serverlogs usw. muss ggf. mit dem Hoster und deren Tools erledigt werden. Speziell hier gibt es für den technischen Betrieb und Rechtssicherheit auch Erlaubnisse, die entsprechend geregelt sind. Z.B. ist man nicht verpflichtet dem Löschersuchen eines Nutzers nachzukommen, wenn dieser rechtswidrig gehandelt hat (Volksverhetzung o.ä.).
Idealvorstellung sähe aus meiner Sicht so aus:
- Pro Nutzer gibt es eine "Collection" von Personenbezogenen Daten
- An diese können sich auch Plugins "anmelden", um sie zu erweitern und zu nutzen; Damit hat man stets alle personenbezogenen Daten an einem Fleck.
- Jeder Datensatz aus dieser Collection kann mit einem Ablaufdatum zur Löschung oder Anonymisierung versehen werden, inkl. der Option "dauerhaft speichern"
- Datensätze können individuell aus der automatischen Bereinigung genommen werden (Beispiel: Ein Nutzer hat gegen geltendes Recht verstoßen, und die zugehörigen Daten müssen eingefroren werden)
- Wenn ein Nutzer einen legitimes Löschersuchen stellt, müssen lediglich die zugehörige Collection gelöscht / anonymisiert werden + die normalen Accountdaten
- Es gibt einen Editorbereich für die Datenschutzerklärung
- Auf Basis der Collection könnten Teilinhalte der Datenschutzerklärung automatisch generiert werden. Beispielsweise wenn es darum geht, was gespeichert wird, werden einfach die "typen" der Collection ausgelesen.
In der Praxis könnte so ein Teilinhalt der Datenschutzerklärung aussehen:
Zitat:Wir erheben folgende personenbezogene Daten:
- IP-Adressen bei Registrierung, Anmeldung und Beitragserstellung
- E-Mail Addressen bei Registrierung für Mailing von Abonnements, ...
Dieser Ansatz könnte mittels templates erweitert werden, und jedes Plugin, dass personenbezogene Daten erhebt oder nutzt könnte nach einem festen Format einen "Erklärungstext" beisteuern, der entsprechend ausgegeben wird.
Dabei muss pro personenbezogenes Datum angegeben werden, WAS, WANN und zu welchem ZWECK gespeichert wird.
Perspektivisch könnte ich mir vorstellen, dass es eine Art "Datenschutz-API" auf JSON/XML Basis gibt, sodass bei einem legitimen Löschanspruch vollautomatisch auch Serverlogs bereinigt werden können. Dies ist allerdings nicht Gegenstand dieser Diskussion
Soviel erstmal von mir.