Avatar

GDPR, DSGVO (Regulation (EU) 2016/679) (General)

by Auge ⌂ @, Tuesday, March 13, 2018, 13:30 (161 days ago) @ Martin66

Hallo

Ab Mai gelten europaweit verschärfte Datenschutzbestimmungen. Das betrifft auch Forenbetreiber. Hat sich hier schon jemand Gedanken darüber gemacht?

Um ehrlich zu sein, ich noch nicht. Das Thema poppt zwar immer wieder in meinem Sichtfeld auf, ich habe mich aber noch nicht näher damit beschäftigt.

Zum einen ist dieses Forum hier selbst davon betroffen, aber eben auch jeder, der diese Forensoftware nutzt.

Schauen wir mal.

Folgende sechs Grundsätze zitiert der deutschsprachige Wikipedia-Artikel [1]:

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
Zweckbindung (Verarbeitung nur für festgelegte, eindeutige und legitime Zwecke)
Datenminimierung („dem Zweck angemessen und erheblich sowie auf das […] notwendige Maß beschränkt“)

Für ein Posting müssen folgende persönlichen Daten angegeben werden:
- ein Synonym (Name)

Zum anlegen eines Benutzeraccounts müssen folgende persönliche Daten angegeben werden:
- ein Synonym (Name)
- eine gültige E-Mail-Adresse

Alle weiteren Angaben, wie z.B. Wohnort, Website-URL, Geburtstag) sind freiwillig. Soweit zur Rechtmäßigkeit, Zweckbindung und dem angemessenen Umfang der Datenerhebung. Der Admin ist bezüglich der gespeicherten Benutzerdaten auskunftsfähig, was, soweit ich informiert bin, die Transparenz abdeckt. Zudem kann der Benutzer selbst diese Daten in seinem eigenen Profil sehen, bearbeiten und löschen.

Richtigkeit („es sind alle angemessenen Maßnahmen zu treffen, damit [unrichtige] personenbezogene Daten unverzüglich gelöscht oder berichtigt werden“)

Das kann, wie schon oben geschrieben, der Benutzer selbst oder ein Admin tun.

Speicherbegrenzung (Daten müssen „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es […] erforderlich ist“)

Ist der Account aktiv, sind die zum anlegen des Accounts eingegebenen Daten erforderlich, andere Daten kann der Benutzer selbst löschen. Wird der Account gelöscht, bleibt nur der Benutzername, der nun in den Datensätzen der vom Benutzer stammenden Postings gespeichert wird, übrig. Es ist dann auch nicht mehr erkennbar, dass die Postings von einem ehedem registrierten Benutzer stammen. Eine weitergehende Synonymisierung ist schwer, da ein Benutzername von mehreren Besuchern verwendet werden könnte. Eine Änderung an den Postings des Besuchers Willibald beträfe auch Postings eines anderen Willibalds.

Bleibt die IP-Adresse, die bei der Registrierung und beim posten eines Beitrags gespeichert wird. Es gibt den Einstellungsschlüssel delete_ips, der bestimmt, wie alt gespeicherte IPs werden dürfen (Löschung erfolgt dann mit den anderen täglichen Aufgaben). Ob sich die Löschung auch auf die IP bei der Registrierung bezieht, wäre zu ermitteln. Die dürfte schon wenige Tage nach der Registrierung keinerlei Relevanz mehr haben.

Integrität und Vertraulichkeit („angemessene Sicherheit der personenbezogenen Daten […], einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“)

Tja, das ist wohl der einzige Punkt, an dem wir definitiv keine Garantie übernehmen können. Auf Fehlkonfigurationen der Server auf denen das Programm läuft haben wir keinen Einfluss. Bugs im Programm selbst, die zu unbefugtem Zugriff auf die Benutzerdaten führen können, müssen behoben werden, wenn sie uns bekannt werden. Bugs, von denen wird nichts wissen, können wir allerdings nicht beheben. Ich denke mal, die Formulierung „angemessene Sicherheit der personenbezogenen Daten“ trägt dieser prinzipbedingten Unsicherheit Rechnung.

Bleiben folgende Punkte:

Anforderung an eine Einwilligung

Werden wir einen gespeicherten Wert für die erfolgte Einwilligung zur Speicherung der Daten brauchen?

Recht auf Datenübertragbarkeit

Ich schlage vor, eine Struktur im JSON-Format für den Export und Import von Benutzerdaten zu definieren. Mit der kann ein Benutzer seine Daten von einer zu einer anderen Instanz mitnehmen [3] oder sie für den Gebrauch in einer anderen Software restrukturieren.

[edit]Was mir noch einfällt. Die DSGVO gilt für Firmen erst ab einer bestimmten Größe. Inwieweit jede der Bestimmungen auf (typischerweise) privat betriebene Foren anzuwenden ist, kann ich nicht beurteilen.[/edit]

Das ist natürlich keine fertig durchdachte Analyse, zumal ich dafür nur den deutschsprachigen Wikipedia-Artikel [1] überflogen habe. Hast du, abseits der unten verlinkten Wikipedia-Artikel weiteren verständlichen Lesestoff?

Tschö, Auge

[1] https://en.wikipedia.org/wiki/General_Data_Protection_Regulation
[2] https://de.wikipedia.org/wiki/Datenschutz-Grundverordnung
[3] Ausname bei Import sollten die Daten, die beim neuen Account mit an Sicherheit grenzender Wahrscheinlichkeit abweichen werden, sein ( Name, Passwort, Registrierungsdatum).

--
Trenne niemals Müll, denn er hat nur eine Silbe!

Tags:
2016/679


Complete thread:

 RSS Feed of thread

powered by my little forum