EU-DSGVO: Speichern der Kontaktdaten

Das steht auch gar nicht zur Debatte.
Es handelt sich bei diesen Mailadressen nicht um private Daten, sondern um Provider-Kontaktdaten.
Und da greift schlicht kein Datenschutz.So wie bei den Impressums-Angaben auf Webseiten auch kein Datenschutz greift. Die müssen auch öffentlich sein, sofern man (legal) eine Webseite in Deutschland betreiben möchte.

Nachtrag,

Um keine EMail mehr zu erheben; und damit die Kontaktmöglichkeit zum Kontenbetreiber (Dienstanbieter => muss irgendwo/irgendwie erreichbar sein) müsst ihr in Bochum entsprechend eine Firmware ausrollen bei der dieses Feld nicht mehr vorhanden ist (LUCI Oberfläche ändern).
Man könnte jetzt nachsehen in wie fern der Dienstanbieter verpflichtet ist erreichbar zu sein - und somit eventuell eine Überprüfung der eingetragenen Kontaktdaten einbauen. Muss mal halt mal nachfragen in wie weit der Provider diese Kontaktdaten haben möchte.

Alternativ habt ihr die Möglichkeit die EMail in der Weboberfläche des Knoten im laufenden Betrieb „aus zu blenden“

=> GitHub - ffac/ffac-status-page-api

Sie wird dennoch veröffentlicht und ist nach wie vor für jeden innerhalb des Netzes abrufbar.

Die IP des Knoten ist Aufgrund der eingesetzten Technik grundsätzlich öffentlich. Genau so öffentlich wie jeder x beliebige Server der irgendetwas mit Infrastruktur zu tun hat (DNS; Zeit,Routing).

Nicht öffentlich sind die IPs die der Client (Nutzer) bekommt, die kennt nur der Provider(Verein) und der Dienstbetreiber (Knotenaufsteller) und für diese => würde die DSGVO greifen.

Betrachten wir die Map etwas näher =>
Wir haben öffentliche Informationen die Freiwillig vom Dienstanbieter (Knotenbetreiber) und vom Provider (Verein/Infrastruktur Dienstanbieter) zur Verfügung gestellt werden, die zum einen zum Betrieb des Netzes nötig sind und zum anderen laut PPA verpflichtend sind.

Genau, die Daten sind ja freiwillig. Wir müssen die Besucher der Map nur per Datenschutzerklärung informieren, dass die erhobenen Daten dort angezeigt werden. Das reicht!

Im Config Mode müsste nur ein Link zu einer Datenschutzerklärung für die Knoten verlinkt werden, wo begründet werden müsste, warum man die Kontaktdaten gerne im Netzwerk hätte. Und wo die genau bereitgestellt werden (per respondd/alfred, PPA, etc.).

Eine Checkbox mit Einwilligung sollte man möglichst vermeiden, da die User dadurch das Recht auf Löschung der Daten erst erhalten würden. Ein Config Mode ohne Checkbox, mit nur einem Link zum Text, der beschreibt, wie man die Daten aus dem Knoten wieder löscht, reicht wohl.

Es dürfte sogar reichen wenn man auf der Downloadseite der Firmware einen Text mit hinterlegt.

„Hier gehts zur Firmware und mit Nutzung dieser bist du einverstanden mit dem hier (PPA) und weißt hierdurch (Technikgebrabbel) warum wir das brauchen. Ändern kannst du das jederzeit über diese (Anleitung um in den Configmode zu kommen) Wege“

Vom Grundsatz her wie z.b. bei sämtlichen Treiber/Hersteller Seiten (Darfst du nur runterladen wenn du nicht aus dem Iran oder Nordkorea kommst)

Wenn man es dann noch Wasserdicht haben will → Auf der Map ggf. unter „Über“ nochmal Verlinken woher die Daten kommen, was ich jedoch nicht unbedingt für nötig halte wenn die Map eindeutig einem Projekt einer Community zugeordnet werden kann (map.freifunk-woauchimmer.tld); Was sie ja vom Prinzip durch die Subdomain ist…

Da die Router ihre Statusseite per ipv6 (IdR) weltweit anbieten:
Da müsste ggf auch die Impressums-Pflicht beachtet und eine Datenschutzerklärung hinterlegt werden.

moin,

ich denke nicht; nach spontaner Suche würde ich sagen das die Statuspage etwa das Niveau einer Wartungsseite, Informationsseite bzw. privaten Webseite hat - dort entfällt die Impressumspflicht. Da sie nur öffentliche, Informationen zum Gerätezustand und dem Netz enthält und diese im Grunde ähnlich aufbereitet wie die Map.

Selbst wenn der Knotenbetreiber eine Wirtschaftstätigkeit ausübt (er verkauft Waren), kann er über die Statusseite keinerlei Werbung oder ähnliches Schalten. Der persönliche Zweck steht im Vordergrund, denn es werden ausschließlich Informationen für die Teilnehmer des Freifunks bereit gestellt.

Noch ein Gedanke für den Betrieb der Map:

Es werden öffentlich abrufbare Daten gelistet und aufbereitet, ähnlich wie bei einer Suchmaschine. Und dort gibt es das „Recht auf Vergessen“ - Nach Ende der Teilnahme und dem Ablauf von 15 Tagen (oder wie der Zeitraum in der DB definiert ist) findet die automatische Löschung statt. Folglich braucht auch niemand das Recht großartig einfordern. Wir (der Mapserverbetreiber) kommt diesem Recht ungefragt nach.

Ich sehe die Map eher in diesem Bereich - hat da schon jemand dran gedacht?

Teil der Freifunk Satzungen:

1.Zweck des Vereins ist die Erforschung, Anwendung und Verbreitung freier Netzwerktechnologien sowie die Verbreitung und Vermittlung von Wissen über Funk & Netzwerktechnologien.

Liebe alle,

meines Erachtens wäre für die Angabe und Anzeige von Email-Adresse, IP-Adresse und Geopositionen entsprechend Artikel 6 DSGVO eine explizite Einwilligung der Freifunkknotenbetreiber der einzig sichere Weg, um den in der DSGVO ziemlich unklar formulierten „Auswegen / Ausnahmen“ ausweichen zu können.
M.E. wäre das auch der transperentere Weg. das würde m.E. dann bedeuten, dass

• in der Software auf der gleichen Oberfläche wo derzeit diese Angaben erfolgen eine Einwilligung abzugeben wäre, die über die Zwecke der Erhebung aufklären…

• Die Freifunk-Maps, dieses Forum und die Freifunk-Webseiten eine valide Datenschutzerklärung brauchen.

Klingt nach Arbeit, ist aber bis auf dieses Forum wohl einfach zu stemmen. Beim Forum fallen mir keine Antworten auf den freundlichen Folterfragebogen ein.

Ich gehe übrigens bisher davon aus, dass die Email-Adressen und IP-Adressen neben der öffentlichen Nutzung in der Karte auch von den Freifunkgruppen aufbewahrt werden, um Freifunker bei Bedarf kontaktieren zu können. Auch das ist dann eine unter DSGVO fallende Handlung . Dafür braucht es nach Artikel 6 DSGVO eine rechtliche Grundlage.

Viele Grüße aus dem leider kartenfreien Bochum, Andres

Denke nicht das dies passt. Da die wenigstens Maps beim Verein auf ner VM laufen, bzw. nicht direkt mit dem Verein zu verknüpfen sind. Die Daten die von „Dritten“ (Mapbetreiber) aus dem Netz gezogen werden und „weiter verarbeitet“ werden passen darunter.

Folglich die Definition:

• Dienstanbieter => Knotenbetreiber
  laut PPA dazu verpflichtet in irgendeiner Art und Weise eine Kontaktmöglichkeit zu bieten
• öffentliche IP des Dienstanbieters => (im Freifunk Netz)
  wesentlicher technologischer Bestandteil der durch den Provider zur Verfügung gestellten Infrastruktur und
• Client IP => NutzerIP => Schützenswert
  höchstens vom Dienstanbieter und Infrastrukturanbieter sichtbar, es findet keine Speicherung statt
• Kontaktdaten des Dienstanbieters sowie IP werden und dürfen laut Satzung des Providers zur Weiterentwicklung, Instandhaltung und Betrieb des Netzes ausgewertet werden
• Die Map hat die Funktion einer Suchmaschine => sie hängt passiv am Netz und „lauscht“
  sie zeigt für die Dauer des Betriebs (zuzüglich laut Grundeinstellung 15 Tage beim Meshviewer)
  den Knoten grafisch an.

Was ggf. fehlt oder müsste nachgerüstet werden:

• Ein Hinweis im Bereich des Downloads der Firmware - bevor man zu ihr gelangt, mit dem Verweis auf die Satzung des Providers, der PPA, der Datenschutzerklärung ggf. technischer Hintergrund.
• Ein Hinweis innerhalb der Map woher die Daten kommen und in wie weit sie verarbeitet/gespeichert werden

Was nicht realisierbar ist/Was nicht gemacht werden muss:

• Eine Checkbox (Harken setzen) =>
  Dies würde bedeuten das man eine Wahl hat, die hat man aber nicht, entweder man macht mit oder nicht; die Entscheidung sich an den „Vertrag“ (PPA) zu halten trifft man mit Inbetriebnahme.

• die IP des Dienstanbieters nicht veröffentlichen =>
  sie ist wesentlicher Bestandteil der Mesh und Tunneltechnik, würde bedeuten abschalten der Infrastruktur

• Impressum auf der Statusseite =>
  für rein private und technische Informationen die man veröffentlicht muss man kein Impressum hinterlegen, „Dies ist ein Apacheserver Version 73“

Wenn man auf das Problem von @aquator und @Zumpel nun genauer eingeht;
IP ist ungleich IP => die IPs die innerhalb des Freifunknetzes einem Knoten vergeben werden fallen in den Bereich des Infrastrukturanbieters (den Supernodebetreibers) welcher sich der PPA und der Vereinssatzung (Provider) verpflichtet hat, sonst dürfte er nicht in Eigenregie das Netz betreiben. Dieser „Vertrag“ beinhaltet auch das der Dienstanbieter (Knotenbetreiber) in irgendeiner Art und Weise eine zeitnahe/schnelle Kommunikation ermöglichen muss.

Was meine Ich mit IP ist ungleich IP =>
Die IP des Knotens ist nicht gleich zu setzen mit der IP des Clients; der Knoten ist ein Teil der Infrastruktur des Freifunknetzes diese ist und darf öffentlich sein. Die ClientIP (Nutzer) dagegen ist absolut schützenswert und wenn überhaupt nur durch den Knotenbetreiber oder Supernodebetreiber feststellbar.

Ihr vergesst das ihr auf der Map ausschließlich Infrastrukturinformationen verarbeitet
keine Personenbezogenen.

Eine Analogie zum Straßenverkehr: Freifunknetz ist wie ein privater Radweg (VPN) auf den ansonsten privaten und öffentlichen Straßen. Jeder den Radweg mit gestalten und ausbauen möchte muss ein Schild(Knoten) aufstellen. Damit man weiß wem das Schild gehört falls es im Weg steht => muss seinen Namen anbringen. Anschließend darf jeder ungefragt (Clients/WLan Nutzer) dort Fahrrad fahren.

Ich kann nur für die drei Instanzen im Niersufer sprechen => nö, es wird nichts länger gespeichert als nötig, sofern überhaupt gespeichert wird. Das was gespeichert wird => die Loginversuche zu irgendwelcher Infrastruktur und nen bisschen der Stats Kram für die Map, 15 Tage oder sowas dann fällt es hinten rüber.

Ich hab bestimmt wieder etwas vergessen…

Vergesst auch nicht die bestehenden Nodes.
Die laufen und die Betreiber haben nirgendwo zugestimmt.

Sollte müsste so vor dem Firmwaredownload reichen:

Übrigens müssen wir aufgrund der neuen Datenschutzverordnung einen Hinweis mit einbringen:

Mit Installation der Firmware und Nutzung und somit dem Ausbau des Freifunknetz
erklärt sich der Knotenbetreiber mit der Satzung des Vereins Freifunk Rheinland e.V
einverstanden und akzeptiert die PPA. Dies beinhaltet auch dass die IP des Knotens
(NICHT DIE DES NUTZERS) öffentlich abrufbar ist, denn sie ist ein unverzichtbarer Teil
der Infrastuktur des Freifunknetzes. Die IP unterscheidet sich grundlegend von der
IP des DSL/Zugangsanbieters und lässt sich nach unserem Wissen nicht miteinander Verknüpfen.
Zusätzlich wird man bei der Konfiguration des Knotens nach einer Kontaktmöglichkeit gefragt. Diese wird im gleichen Umfang wie die IP des Knotens veröffentlicht. Sie ist nicht
unbedingt „direkt“ abrufbar, wird jedoch zur Kontaktaufnahme mit dem Betreiber des Knotens
benötigt. Weitere Informationen zur Infrastuktur und dem Aufbau des Freifunknetzes findet
man auf den Seiten des Freifunk Rheinland e.V

Hallo Vincent,

ich möchte mich nicht um Rechtsauslegungen streiten, weil mir das irgendwie nicht so richtig zielführend scheint. Ich bin eher daran interessiert, einen für alle zufriedenstellenden Weg zu finden, die Anforderungen der DSGVO umzusetzen.
Ob eine Einwilligung vor oder bei der Installation erfolgt, scheint mir deshalb relativ egal. Die DSGVO verlangt jedoch, dass sich der Vertragspartner darüber im klaren ist, dass im Rahmen des Vertragsverhältnisses personenbezogenen Daten erhoben werden und das er über seine Rechte aufgeklärt wird (DSGVO, Art. 13). Deshalb ist es wichtig, diese Informationen nicht nur „versteckt“ anzubieten.
Bei den IP-Adressen hat die aktuelle Rechtssprechung meiner Kenntnis nach bisher nicht zwischen verschiedenen Typen von IP-Adressen unterschieden, sondern grundsätzlich festgelegt, dass IP-Adressen personenbezogene Daten sind, die ohne definierten Zweck nicht länger als 7 Tage aufzubewahren sind. M.E. hilft also die getroffene Unterscheidung vor Gericht nicht.
Für die Ausführung zum Impressum ist mir keine Stelle in der DSGVO bekannt, die Deine Ansicht bestätigt.

Ich bleibe dabei, dass es sinnvoll ist, nicht nach Ausnahmen zu suchen, die ziehen könnten.
VG Andres

PS: die Datenschutzerklärung der Bochumer scheint mir da schon sehr gut. Das einzige was hier noch zu fehlen scheint, ist der Hinweis auf die zuständige Aufsichtsbehörde:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Helga Block
Postfach 20 04 44
40102 Düsseldorf
oder
Kavalleriestraße 2-4
40213 Düsseldorf
Email: poststelle@ldi.nrw.de
Öffentlicher PGP-Key
PGP-Fingerprint: C638 12C7 8854 FBF9 BEB6 3A40 04E3 1A13 6AD6 2811

Ja ist richtig, aber die IP über die wir hier Sprechen hat nichts mit einer Person zu tun sondern mit einer Infrastruktur. Die Laut DSGVO zu beachtende IP ist die des Client, also der Person die sich per WLan oder Lan ins Netz begibt.

Die personenbezogene IP Adresse (die des Nutzers) wird nirgends gespeichert. Sie wird nach dem Ende der Verbindung neu an den „nächsten“ der die Verbindung nutzt weiter gereicht.

Das gleiche gilt für die EMail/Kontaktadresse => sie ist ein Teil der Infrastruktur nicht des „Endbenutzers“

Der Knoten gleicht klassisch gesehen einem Server - der Hardware selbst → er ist Teil des Internets und der Besitzer/Betreiber muss erreichbar sein. Seine IP ist öffentlich sonst würde dieser Server nicht erreichbar sein. Die IP des Einwahlknoten deines Internet Anbieters ist doch auch öffentlich.
Es ist keine Rechtsauslegung sondern ein Überblick über die Infrastruktur.

Nochmal: Du hast für Deine Auslegung keine Belege. Die DSGVO kennt die Unterscheidung zwischen IP des Klienten und einer Infrastruktur nicht. Jede IP und jede Email-Adresse ist ein personenbezogenes Datum. Bitte belege, wo die DSGVO die von Dir angenommene Unterscheidung trifft.

zum Thema Impressum => gibt einige Gerichtsurteile

Anderer Ansatz danach geb ich auf.

EuGH (Az. C-582/14, Urt. v. 19.10.2016): Dynamische IP-Adressen können danach personenbezogene Daten und somit datenschutzrelevant sein, wenn der Betreiber der Website „über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen“. Im Klartext: IP-Adressen sind für Website-Betreiber personenbezogene Daten, wenn Nutzer von Online-Diensten unter Zuhilfenahme des jeweiligen Zugangsproviders identifiziert werden können. (Quelle)

Wir haben hier keine IP Adresse die irgendetwas besuchen kann oder irgendwo auftaucht. Wir haben eine IP Adresse die als fester Bestandteil eines Netzwerkes genutzt wird. Als (Mit)Betreiber bist du verpflichtet (PPA Satzung etc.) erreichbar zu sein. Bist du dies nicht oder möchtest du es nicht, darfst du nicht Teil nehmen und musst somit deinen Knoten abschalten.

Die DSGVO bezieht sich nicht auf die hausinterne Infrastruktur eines Providers sondern auf das Verhältniss zwischen Nutzer (Client) und Dienstanbieter (Knotenbetreiber, Supernodebetreiber, Provider, Webseite)

Frage:

• Die IP deines DNS Servers → fällt die unter die DSGVO?
• Die IP deines Telefons im Freifunk fällt die unter die DSGVO?

Hallo Vincent,

danke für das schnelle Feedback und entschuldige meinen vielleicht barsch klingenden Ton von eben.

Wir haben eine IP Adresse die als fester Bestandteil eines Netzwerkes genutzt wird. Als (Mit)Betreiber bist du verpflichtet (PPA Satzung etc.) erreichbar zu sein.

Ich denke, diese Stelle macht gut deutlich, dass IP-Adresse und Email personenbezogene Daten nach DSGVO - und entsprechend des zitiertes EuGH-Urteils - sind. Sie ermöglichen die Identifizierung eines (Mit)Betreibers.
Zu Deinen Fragen: Für beide ja

Wie kommen wir von dieser Diskussion wieder weg? Was wäre den noch zu tun, damit die Karte, das Forum und die Freifunk-Websites der DSGVO entsprechen? Ich hätte nämlich die Karte sehr gerne wieder

VG Andres

okay, wir nähern uns dem Problem;

Antwort auf die Fragen lauten: Nein, Ja

DNS Server gibt deinem Endgerät die Info hinter welchem Namen sich welche Nummer befindet und den Weg dort hin. Anschließend vergisst er das dein Endgerät da war. Keine personenbezogene Adresse.
Die IP deines Telefons ist personenbezogen da du damit identifizierbar bist.

Nehmen wir meine IP: 2a03:2260:50:3f00:a4a7:f543:d5df:1a1b
Die dazugehörige EMail-Adresse schreib ich hier nicht rein ^^
Diese ist personenbezogen (Client)

Die meines Knotens : 2a03:2260:50:3f00:4ee6:76ff:fef9:6065
Die dazugehörige EMail-Adresse lautet übrigens hallo[at]freifunk-duisburg_de

Diese ist Teil der Infrastruktur, nicht personenbezogen, öffentlich innerhalb der Instanz sichtbar und diese IP/Mail ist es über die wir sprechen und welche auf der Map auch auftaucht.

Du kannst nicht die DSGVO nutzen, um Dich an einer Impressumspflicht (für IT-Diensteanbieter) herumzumogeln.

Hab ich ja zum Glück auch nie behauptet

Zumindest was die Änderungen in der Gluon-Firmware angeht haben da zwei Anwälte drüber geguckt bevor es integriert wurde.
An dieser Stelle ist jede weitere Laien-Diskussion meiner Meinung nach hinfällig.