EU-DSGVO: Speichern der Kontaktdaten


#15

adorfer: wer betreibt den den kartendienst? der Provider etwa? Oder doch die Community, die mal ein eingetragener und mal ein nicht eingetragener verein ist? Auf wessen Namen laufen denn die Domains? Auf wessen Namen die Server? Ist das der Provider FFRL?
Und selbst wenn Du es so darstellen magst: Darf ein Provider personenbezogene Daten ungeschützt im Netz veröffentlichen? Ich denke kaum.

ich sehe kein Problem darin, dass auf den Knoten selbst Kontaktdaten veröffentlicht werden. Jeder darf seine eigenen Daten verarbeiten und veröffentlichen wie er will.

Problematisch sind ausschließlich Kartenserver. Hier werden IPs und Kontaktdaten gespeichert.
Problematisch sind auch die eigentlich nicht. Wir könnten, wie im Ticket beschrieben ganz simpel unseren Informations und Einwilligungspflichten nachkommen. Aber stattdessen diskutieren wir ja lieber ob wir nicht irgendwie über dem Gesetz stehen. Der Bochumer Kartenserver ist offline und wird es auch bleiben bis es eine Lösung gibt.


#16

Der Verein ist kein Provider, der ist ein Verein. Du schaust in die falsche Richtung.

Es geht darum, wo die Daten herkommen, die verarbeitet werden. Diese kommen NICHT von Privatpersonen, sondern von Providern, die sich an einem PPA-basierten Netz beteiligen.

Es sind also Daten der Knoten, die jeweils Providerstatus haben.


#17

IP Adressen und Kontaktdaten sind personenbezogene Daten. Sonst wären ja alle IPs Daten des Routers… das ist haarsträubend. Ebenso sind Mailadressen selbstverständlich keine Daten die wir veröffentlichen dürfen ohne dass es eine Einwilligung und Aufklärung gibt.

Der Verein ist ein Verein und als solcher ist er als Service Provider Tätig.


#18

Sie sind es, wenn sie von Privatpersonen sind.
Sie sind es nicht, wenn es um KommunikationsanbieterInnen geht.

Wer im gewerblichen Verkehr teilnimmt, der muss Auflagen erfüllen. Dazu gehört z.B. ein Mindestmaß an Transparenz. Dafür gibt es Regelungen wie Impressumspflicht auf Webseiten oder eben im Falle von Providern solche Regelungen wie das PPA. Dazu gehört in diesem Fall -dem hat man zugestimmt, wenn man dort mitmachen möchte- dass man eine erreichbare Mailadresse veröffentlicht.
Dazu wird niemand gezwungen. Wer es nicht möchte, der macht halt schlicht bei dem PPA-basierten Netz nicht mit.

(Wenn man sich auf einen Zentralismus beruft a la “nur der Verein und dessen Vorstand ist Provider”, dann wäre es genau das, was zumindest nach meinem Gefühl die Mehrheit der Freifunkenden eben nciht wollen.)

Wenn wir uns darauf berufen möchte, dass wir ein gleichberechtigtes Netz bauen möchten, das ein Providerprivileg für sich beansprucht, dann müssen wir auch mit den Konsequenzen zurechtkommen. Dazu gehört eben z.B. “Transparenz gegengenüber den Nutzenden” (hier: Clients), und daben eben auch eine erreichbare Mailadresse zu jedem Knoten zu veröffentlichen. Damit die Clients jemanden haben an den sie sich wenden können, wenn es zu Problemen kommt.


#19

Schauen wir in den Wortlaut:

(42) Die in dieser Richtlinie hinsichtlich der Verantwortlichkeit festgelegten Ausnahmen decken nur Fälle ab, in denen die Tätigkeit des Anbieters von Diensten der Informationsgesellschaft auf den technischen Vorgang beschränkt ist, ein Kommunikationsnetz zu betreiben und den Zugang zu diesem zu vermitteln, über das von Dritten zur Verfügung gestellte Informationen übermittelt oder zum alleinigen Zweck vorübergehend gespeichert werden, die Übermittlung effizienter zu gestalten. Diese Tätigkeit ist rein technischer, automatischer und passiver Art, was bedeutet, daß der Anbieter eines Dienstes der Informationsgesellschaft weder Kenntnis noch Kontrolle über die weitergeleitete oder gespeicherte Information besitzt.

(43) Ein Diensteanbieter kann die Ausnahmeregelungen für die “reine Durchleitung” und das “Caching” in Anspruch nehmen, wenn er in keiner Weise mit der übermittelten Information in Verbindung steht. Dies bedeutet unter anderem, daß er die von ihm übermittelte Information nicht verändert. Unter diese Anforderung fallen nicht Eingriffe technischer Art im Verlauf der Übermittlung, da sie die Integrität der übermittelten Informationen nicht verändern.

(44) Ein Diensteanbieter, der absichtlich mit einem der Nutzer seines Dienstes zusammenarbeitet, um rechtswidrige Handlungen zu begehen, leistet mehr als “reine Durchleitung” und “Caching” und kann daher den hierfür festgelegten Haftungsausschluß nicht in Anspruch nehmen.

Das Betreiben eines Mapservers ist weit mehr als Weiterleitung.


#20

ave,

Nicht ganz richtig und gleichzeitig nicht ganz falsch; Die frei verfügbaren Daten werden nur grafisch dargestellt.
Die dargestellten Daten werden Freiwillig von jedem Knotenbetreiber durch das Teilnehmen am Ausbau des Freifunknetzes bereit gestellt und sind für den Betrieb unerlässlich.

IPs/Kontaktdaten einzelne “Clients/Nutzer” => was personenbezogen wäre; sind nicht abrufbar.

Bedenke wo die Daten des Mapservers her kommen, wenn du verhindern willst das die Daten anfallen, musst du das Netz selbst abschalten.

gruß


#21

Das steht auch gar nicht zur Debatte.
Es handelt sich bei diesen Mailadressen nicht um private Daten, sondern um Provider-Kontaktdaten.
Und da greift schlicht kein Datenschutz.So wie bei den Impressums-Angaben auf Webseiten auch kein Datenschutz greift. Die müssen auch öffentlich sein, sofern man (legal) eine Webseite in Deutschland betreiben möchte.


#22

Nachtrag,

Um keine EMail mehr zu erheben; und damit die Kontaktmöglichkeit zum Kontenbetreiber (Dienstanbieter => muss irgendwo/irgendwie erreichbar sein) müsst ihr in Bochum entsprechend eine Firmware ausrollen bei der dieses Feld nicht mehr vorhanden ist (LUCI Oberfläche ändern).
Man könnte jetzt nachsehen in wie fern der Dienstanbieter verpflichtet ist erreichbar zu sein - und somit eventuell eine Überprüfung der eingetragenen Kontaktdaten einbauen. Muss mal halt mal nachfragen in wie weit der Provider diese Kontaktdaten haben möchte.

Alternativ habt ihr die Möglichkeit die EMail in der Weboberfläche des Knoten im laufenden Betrieb “aus zu blenden”

=> GitHub - ffac/ffac-status-page-api

Sie wird dennoch veröffentlicht und ist nach wie vor für jeden innerhalb des Netzes abrufbar.

Die IP des Knoten ist Aufgrund der eingesetzten Technik grundsätzlich öffentlich. Genau so öffentlich wie jeder x beliebige Server der irgendetwas mit Infrastruktur zu tun hat (DNS; Zeit,Routing).

Nicht öffentlich sind die IPs die der Client (Nutzer) bekommt, die kennt nur der Provider(Verein) und der Dienstbetreiber (Knotenaufsteller) und für diese => würde die DSGVO greifen.

Betrachten wir die Map etwas näher =>
Wir haben öffentliche Informationen die Freiwillig vom Dienstanbieter (Knotenbetreiber) und vom Provider (Verein/Infrastruktur Dienstanbieter) zur Verfügung gestellt werden, die zum einen zum Betrieb des Netzes nötig sind und zum anderen laut PPA verpflichtend sind.


#23

Genau, die Daten sind ja freiwillig. Wir müssen die Besucher der Map nur per Datenschutzerklärung informieren, dass die erhobenen Daten dort angezeigt werden. Das reicht!

Im Config Mode müsste nur ein Link zu einer Datenschutzerklärung für die Knoten verlinkt werden, wo begründet werden müsste, warum man die Kontaktdaten gerne im Netzwerk hätte. Und wo die genau bereitgestellt werden (per respondd/alfred, PPA, etc.).

Eine Checkbox mit Einwilligung sollte man möglichst vermeiden, da die User dadurch das Recht auf Löschung der Daten erst erhalten würden. Ein Config Mode ohne Checkbox, mit nur einem Link zum Text, der beschreibt, wie man die Daten aus dem Knoten wieder löscht, reicht wohl.


#24

Es dürfte sogar reichen wenn man auf der Downloadseite der Firmware einen Text mit hinterlegt.

Hier gehts zur Firmware und mit Nutzung dieser bist du einverstanden mit dem hier (PPA) und weißt hierdurch (Technikgebrabbel) warum wir das brauchen. Ändern kannst du das jederzeit über diese (Anleitung um in den Configmode zu kommen) Wege”

Vom Grundsatz her wie z.b. bei sämtlichen Treiber/Hersteller Seiten (Darfst du nur runterladen wenn du nicht aus dem Iran oder Nordkorea kommst)

Wenn man es dann noch Wasserdicht haben will -> Auf der Map ggf. unter “Über” nochmal Verlinken woher die Daten kommen, was ich jedoch nicht unbedingt für nötig halte wenn die Map eindeutig einem Projekt einer Community zugeordnet werden kann (map.freifunk-woauchimmer.tld); Was sie ja vom Prinzip durch die Subdomain ist…


#25

Da die Router ihre Statusseite per ipv6 (IdR) weltweit anbieten:
Da müsste ggf auch die Impressums-Pflicht beachtet und eine Datenschutzerklärung hinterlegt werden.


#26

moin,

ich denke nicht; nach spontaner Suche würde ich sagen das die Statuspage etwa das Niveau einer Wartungsseite, Informationsseite bzw. privaten Webseite hat - dort entfällt die Impressumspflicht. Da sie nur öffentliche, Informationen zum Gerätezustand und dem Netz enthält und diese im Grunde ähnlich aufbereitet wie die Map.

Selbst wenn der Knotenbetreiber eine Wirtschaftstätigkeit ausübt (er verkauft Waren), kann er über die Statusseite keinerlei Werbung oder ähnliches Schalten. Der persönliche Zweck steht im Vordergrund, denn es werden ausschließlich Informationen für die Teilnehmer des Freifunks bereit gestellt.

Noch ein Gedanke für den Betrieb der Map:

Es werden öffentlich abrufbare Daten gelistet und aufbereitet, ähnlich wie bei einer Suchmaschine. Und dort gibt es das “Recht auf Vergessen” - Nach Ende der Teilnahme und dem Ablauf von 15 Tagen (oder wie der Zeitraum in der DB definiert ist) findet die automatische Löschung statt. Folglich braucht auch niemand das Recht großartig einfordern. Wir (der Mapserverbetreiber) kommt diesem Recht ungefragt nach.


#27

Ich sehe die Map eher in diesem Bereich - hat da schon jemand dran gedacht?

Teil der Freifunk Satzungen:

1.Zweck des Vereins ist die Erforschung, Anwendung und Verbreitung freier Netzwerktechnologien sowie die Verbreitung und Vermittlung von Wissen über Funk & Netzwerktechnologien.


#28

Liebe alle,

meines Erachtens wäre für die Angabe und Anzeige von Email-Adresse, IP-Adresse und Geopositionen entsprechend Artikel 6 DSGVO eine explizite Einwilligung der Freifunkknotenbetreiber der einzig sichere Weg, um den in der DSGVO ziemlich unklar formulierten “Auswegen / Ausnahmen” ausweichen zu können.
M.E. wäre das auch der transperentere Weg. das würde m.E. dann bedeuten, dass

  • in der Software auf der gleichen Oberfläche wo derzeit diese Angaben erfolgen eine Einwilligung abzugeben wäre, die über die Zwecke der Erhebung aufklären…

  • Die Freifunk-Maps, dieses Forum und die Freifunk-Webseiten eine valide Datenschutzerklärung brauchen.

Klingt nach Arbeit, ist aber bis auf dieses Forum wohl einfach zu stemmen. Beim Forum fallen mir keine Antworten auf den freundlichen Folterfragebogen ein.

Ich gehe übrigens bisher davon aus, dass die Email-Adressen und IP-Adressen neben der öffentlichen Nutzung in der Karte auch von den Freifunkgruppen aufbewahrt werden, um Freifunker bei Bedarf kontaktieren zu können. Auch das ist dann eine unter DSGVO fallende Handlung :wink: . Dafür braucht es nach Artikel 6 DSGVO eine rechtliche Grundlage.

Viele Grüße aus dem leider kartenfreien Bochum, Andres


#29

Denke nicht das dies passt. Da die wenigstens Maps beim Verein auf ner VM laufen, bzw. nicht direkt mit dem Verein zu verknüpfen sind. Die Daten die von “Dritten” (Mapbetreiber) aus dem Netz gezogen werden und “weiter verarbeitet” werden passen darunter.

Folglich die Definition:

  • Dienstanbieter => Knotenbetreiber
    laut PPA dazu verpflichtet in irgendeiner Art und Weise eine Kontaktmöglichkeit zu bieten
  • öffentliche IP des Dienstanbieters => (im Freifunk Netz)
    wesentlicher technologischer Bestandteil der durch den Provider zur Verfügung gestellten Infrastruktur und
  • Client IP => NutzerIP => Schützenswert
    höchstens vom Dienstanbieter und Infrastrukturanbieter sichtbar, es findet keine Speicherung statt
  • Kontaktdaten des Dienstanbieters sowie IP werden und dürfen laut Satzung des Providers zur Weiterentwicklung, Instandhaltung und Betrieb des Netzes ausgewertet werden
  • Die Map hat die Funktion einer Suchmaschine => sie hängt passiv am Netz und “lauscht”
    sie zeigt für die Dauer des Betriebs (zuzüglich laut Grundeinstellung 15 Tage beim Meshviewer)
    den Knoten grafisch an.

Was ggf. fehlt oder müsste nachgerüstet werden:

  • Ein Hinweis im Bereich des Downloads der Firmware - bevor man zu ihr gelangt, mit dem Verweis auf die Satzung des Providers, der PPA, der Datenschutzerklärung ggf. technischer Hintergrund.
  • Ein Hinweis innerhalb der Map woher die Daten kommen und in wie weit sie verarbeitet/gespeichert werden

Was nicht realisierbar ist/Was nicht gemacht werden muss:

  • Eine Checkbox (Harken setzen) =>
    Dies würde bedeuten das man eine Wahl hat, die hat man aber nicht, entweder man macht mit oder nicht; die Entscheidung sich an den “Vertrag” (PPA) zu halten trifft man mit Inbetriebnahme.

  • die IP des Dienstanbieters nicht veröffentlichen =>
    sie ist wesentlicher Bestandteil der Mesh und Tunneltechnik, würde bedeuten abschalten der Infrastruktur

  • Impressum auf der Statusseite =>
    für rein private und technische Informationen die man veröffentlicht muss man kein Impressum hinterlegen, “Dies ist ein Apacheserver Version 73”

Wenn man auf das Problem von @aquator und @Zumpel nun genauer eingeht;
IP ist ungleich IP => die IPs die innerhalb des Freifunknetzes einem Knoten vergeben werden fallen in den Bereich des Infrastrukturanbieters (den Supernodebetreibers) welcher sich der PPA und der Vereinssatzung (Provider) verpflichtet hat, sonst dürfte er nicht in Eigenregie das Netz betreiben. Dieser “Vertrag” beinhaltet auch das der Dienstanbieter (Knotenbetreiber) in irgendeiner Art und Weise eine zeitnahe/schnelle Kommunikation ermöglichen muss.

Was meine Ich mit IP ist ungleich IP =>
Die IP des Knotens ist nicht gleich zu setzen mit der IP des Clients; der Knoten ist ein Teil der Infrastruktur des Freifunknetzes diese ist und darf öffentlich sein. Die ClientIP (Nutzer) dagegen ist absolut schützenswert und wenn überhaupt nur durch den Knotenbetreiber oder Supernodebetreiber feststellbar.

Ihr vergesst das ihr auf der Map ausschließlich Infrastrukturinformationen verarbeitet
keine Personenbezogenen.

Eine Analogie zum Straßenverkehr: Freifunknetz ist wie ein privater Radweg (VPN) auf den ansonsten privaten und öffentlichen Straßen. Jeder den Radweg mit gestalten und ausbauen möchte muss ein Schild(Knoten) aufstellen. Damit man weiß wem das Schild gehört falls es im Weg steht => muss seinen Namen anbringen. Anschließend darf jeder ungefragt (Clients/WLan Nutzer) dort Fahrrad fahren.

Ich kann nur für die drei Instanzen im Niersufer sprechen => nö, es wird nichts länger gespeichert als nötig, sofern überhaupt gespeichert wird. Das was gespeichert wird => die Loginversuche zu irgendwelcher Infrastruktur und nen bisschen der Stats Kram für die Map, 15 Tage oder sowas dann fällt es hinten rüber.

Ich hab bestimmt wieder etwas vergessen…


#30

Vergesst auch nicht die bestehenden Nodes.
Die laufen und die Betreiber haben nirgendwo zugestimmt.


#31

Sollte müsste so vor dem Firmwaredownload reichen:

Übrigens müssen wir aufgrund der neuen Datenschutzverordnung einen Hinweis mit einbringen:

Mit Installation der Firmware und Nutzung und somit dem Ausbau des Freifunknetz
erklärt sich der Knotenbetreiber mit der Satzung des Vereins Freifunk Rheinland e.V
einverstanden und akzeptiert die PPA. Dies beinhaltet auch dass die IP des Knotens
(NICHT DIE DES NUTZERS) öffentlich abrufbar ist, denn sie ist ein unverzichtbarer Teil
der Infrastuktur des Freifunknetzes. Die IP unterscheidet sich grundlegend von der
IP des DSL/Zugangsanbieters und lässt sich nach unserem Wissen nicht miteinander Verknüpfen.
Zusätzlich wird man bei der Konfiguration des Knotens nach einer Kontaktmöglichkeit gefragt. Diese wird im gleichen Umfang wie die IP des Knotens veröffentlicht. Sie ist nicht
unbedingt „direkt“ abrufbar, wird jedoch zur Kontaktaufnahme mit dem Betreiber des Knotens
benötigt. Weitere Informationen zur Infrastuktur und dem Aufbau des Freifunknetzes findet
man auf den Seiten des Freifunk Rheinland e.V


#32

Hallo Vincent,

ich möchte mich nicht um Rechtsauslegungen streiten, weil mir das irgendwie nicht so richtig zielführend scheint. Ich bin eher daran interessiert, einen für alle zufriedenstellenden Weg zu finden, die Anforderungen der DSGVO umzusetzen.
Ob eine Einwilligung vor oder bei der Installation erfolgt, scheint mir deshalb relativ egal. Die DSGVO verlangt jedoch, dass sich der Vertragspartner darüber im klaren ist, dass im Rahmen des Vertragsverhältnisses personenbezogenen Daten erhoben werden und das er über seine Rechte aufgeklärt wird (DSGVO, Art. 13). Deshalb ist es wichtig, diese Informationen nicht nur “versteckt” anzubieten.
Bei den IP-Adressen hat die aktuelle Rechtssprechung meiner Kenntnis nach bisher nicht zwischen verschiedenen Typen von IP-Adressen unterschieden, sondern grundsätzlich festgelegt, dass IP-Adressen personenbezogene Daten sind, die ohne definierten Zweck nicht länger als 7 Tage aufzubewahren sind. M.E. hilft also die getroffene Unterscheidung vor Gericht nicht.
Für die Ausführung zum Impressum ist mir keine Stelle in der DSGVO bekannt, die Deine Ansicht bestätigt.

Ich bleibe dabei, dass es sinnvoll ist, nicht nach Ausnahmen zu suchen, die ziehen könnten.
VG Andres

PS: die Datenschutzerklärung der Bochumer scheint mir da schon sehr gut. Das einzige was hier noch zu fehlen scheint, ist der Hinweis auf die zuständige Aufsichtsbehörde:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Helga Block
Postfach 20 04 44
40102 Düsseldorf
oder
Kavalleriestraße 2-4
40213 Düsseldorf
Email: poststelle@ldi.nrw.de
Öffentlicher PGP-Key
PGP-Fingerprint: C638 12C7 8854 FBF9 BEB6 3A40 04E3 1A13 6AD6 2811


#33

Ja ist richtig, aber die IP über die wir hier Sprechen hat nichts mit einer Person zu tun sondern mit einer Infrastruktur. Die Laut DSGVO zu beachtende IP ist die des Client, also der Person die sich per WLan oder Lan ins Netz begibt.

Die personenbezogene IP Adresse (die des Nutzers) wird nirgends gespeichert. Sie wird nach dem Ende der Verbindung neu an den “nächsten” der die Verbindung nutzt weiter gereicht.

Das gleiche gilt für die EMail/Kontaktadresse => sie ist ein Teil der Infrastruktur nicht des “Endbenutzers”

Der Knoten gleicht klassisch gesehen einem Server - der Hardware selbst -> er ist Teil des Internets und der Besitzer/Betreiber muss erreichbar sein. Seine IP ist öffentlich sonst würde dieser Server nicht erreichbar sein. Die IP des Einwahlknoten deines Internet Anbieters ist doch auch öffentlich.
Es ist keine Rechtsauslegung sondern ein Überblick über die Infrastruktur.


#34

Nochmal: Du hast für Deine Auslegung keine Belege. Die DSGVO kennt die Unterscheidung zwischen IP des Klienten und einer Infrastruktur nicht. Jede IP und jede Email-Adresse ist ein personenbezogenes Datum. Bitte belege, wo die DSGVO die von Dir angenommene Unterscheidung trifft.