EU-DSGVO: Speichern der Kontaktdaten

So rein interessehalber (weil es mich ja als Knotenbetreiber auch betrifft). Wo kann ich den ohne meinen Freifunkrouter anzufassen sehen, was dabei rausgekommen ist?

Ok, habs vermutlich schon selbst gefunden. Quelle. Wenn sich alle so sicher sind, dass das reicht, kriegt Bochum ja vielleicht die Karte wieder :wink:

wir gehen nur von Gluon aus, wer danach was mit den Daten macht ist davon nicht 100% abgedeckt - weil du einfach nicht weißt, was die Öffentlichkeit mit den öffentlichen Daten macht.

Aber die API fur die Weitergabe der Daten an die Karte/Öffentlichkeit (json) könnt ihr im Sinne der Zweckbindung schon beschreiben?

@rotanid,
Der Text in dem requests ist aber falsch, es ist verpflichtend eine Kontaktmöglichkeit anzugeben (siehe ppa), daher ist der Text dort an der falschen Stelle, er muss vor den Download. Ihr könnt das in Bochum ja trotzdem so ausrollen über ein Firmware Update

@aquator
Es ist keine API sondern Teil der „vpn Technik“ (respondd, Batman, Alfred), die json ist nur das was die map Software raus macht. Die Zweckbindung ergibt sich aus der Satzung und der Funktionsweise der Suchmaschine

mit Bochum habe ich nichts am Hut.
Und Gesetze stehen über Agreements wie dem PPA.

1 „Gefällt mir“

Es geht nicht um „über dem Gesetz“ stehen. Sondern um „Klarstellen, dass das Gesetz hier gar keine Geltung hat“. Weil es ein Gesetz für das Recht von KundInnen ist und nicht eines für Provider/Diensteanbieter. Oder kann z.B. die Telekom jetzt auf Grundlage dieses Gesetzes auch abfordern, was ich mir hier für Notizen zu Vorgängen an meinem Anschluss gemacht habe?

Ich habe zumindest nach wie vor keinen Erklägung dafür gefunden, dass die im Router hinterlegte E-Mail-Adresse nicht (eher) einer Impressumsangabe eines Telemedien/Dienstanbieters entspricht (->Impressumspflicht).
Mag sein, dass man inzwischen auch keinen Apache oder nginx mehr downloaden und/oder installieren, ohne eine DSGVO-Einwilligung „für das Impressum“ abzugeben.

Halte ich jedoch nach wie vor Vergleichbar.
Wer Provider werden will (und das wird man, wenn man einen Freifunk-Router hinstellt und sich daran beteilgit, gemeinsam mit anderen ein Netz von Internet-Knoten zu bauen zur gleichberechtigten Teilnahme), dann gelten die Regeln des geschäftlichen Verkehrs und eben nicht „VerbraucherInnenrechte“.

Und ja: Das PPA definiert klar, dass es hier um „Provider sein“ gilt. Und eben NICHT um „Provider-Kunde werden“.

Wir drehen uns einfach im Kreis. Ich finde es schade, dass hier rumargumentiert wird ohne konkrete Gesetzesstellen zu benennen auf die man sich bezieht. Denn dann würdest Du sehen, dass sich Deine Einschätzung im Gesetzestext nicht wiederfinden lässt. Du glaubst Du gehörst nicht in den Anwendungsbereich? Dann zietiere wo das steht.

Kein Problem:
Jemand veröffentlicht selbst seine Daten an seinem Router über seinen Anschluss im Internet. Hier informieren wir, dass das passiert und alles ist gut.
Warum?

DSGVO Art. 2 (2)
Diese Verordnung findet keine Anwendung auf die Verarbietung personenbezogener Daten […]c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.

→ Man kann der Auffassung sein, dass hier jemand persönlich seinen eigenen Daten ins Netz stellt. Selbst gehostet. Selbst verantwortlich. Die Daten sind bei niemand anderem ausser der Privatperson selbst gespeichert und werden auch nur dort verarbeitet

  1. DSGVO Art 6 (1) f)
    Die Verarbietung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
    f) die Verarbeitung ist zur Wahrung berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

→ Der Freifunk ist ein Dezentrales Netz. Es ist im interesse aller Teilnehmer die anderen Teilnehmer kontaktieren zu können. Es besteht die Möglichkeit eine Anonyme Kontaktmöglichkeit (wie eine extra hierfür angelegte Mailadresse) zu nutzen. Der Interessenabwägung ist hiermit nach meiner Rechtsauffassung entsprochen worden.

Ein Problem:
Mapserver

Jemand anderes verarbeitet Daten.
Art 2 DSGVO (1)
Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Kommen wir auch hier zur Rechtsgrundlage:
Nach Artikel 6 trifft nur (1) a) zu: Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben.

(Anm. Das Wort „bestimmte“ ist ernst zu nehmen. Zwecke sind in der Einwilligung zu benennen, fällt der Zweck wird die Einwilligung nichtig.)

Ich hoffe hier kann Einigkeit erzielt werden. Wenn jemand das anders sieht, soll er sagen wo es steht. Dieses Gerede ohne Ross und Reiter zu benennen bringt uns nicht weiter. Die Auffassung, dass die DSGVO für uns nicht gilt habe ich oben bereits zitiert widerlegen können. Die Ausnahmebestimmung ist hier offensichtlich nicht zutreffend, weil ein Mapserver eben Daten nicht unverändert weiterleitet. Die Ausnahme gilt nur für reine übermittlertätigkeiten, nicht auf den Betrieb z.B. eines Diensteservers mit eigener Datenverarbeitung und Speicherung.

Wir brauchen also nun eine Einwilligung. Wie kann diese erfolgen:
Ich sehe keinen anderen Weg als auf den Routern selbst. Hier muss informiert werden. Hier muss eingewilligt werden. Wir haben ein dezentrales Netzwerk. Spätestens bei mesh-only Knoten wäre es nicht möglich die Knoten ohne Zustimmung rauszuhalten.

DIe Umsetzung ist eigentlich ganz einfach:
Ein Aufklärungstext und eine Checkbox auf den Router… ach siehe oben… ich rede mir den Mund fusselig.

Alternative Idee:
Man lässt im Router eine Konfiguration zu, ob die Kontaktdaten zur Verwendung von Dienstenblabla via respondd zur Verfügung gestellt werden.

Mich persönlich ärgert sehr, wie hier mit Datenschutz umgegangen wird. Anstatt alles einfach konform zu regeln (uns würde echt kein Zacken aus der Krone brechen und der Aufwand ist überschaubar) wird rumargumentiert weshalb man meint über dem Gesetz zu stehen. Selbstverständlich ohne irgendeine Grundlage hierfür zu zitieren.

Genau das ist es eben nicht bei einem Freifunk-Router.
Es handelt sich weder um „persönliche“, noch um „familäre“ Tätigkeiten, sondern um das Anbieten von Telekommunkationsleistungen für Dritte (genauer: Eine nicht näher bestimmt Öffentlichkeit).
Daher ist eine Anbieterkennung erforderlich.
Zumindest läuft auf den meisten Router eine Statusseite und damit greift potentiell die Anbieterkennzeichnungspflicht TMG §5, insbesondere wenn so ein Router z.B. bei einem Gastwirt oder anderem Kleingewerbe steht.

1 „Gefällt mir“

Ich habe eine andere Rechtsauffassung, in der Summe kommen wir aber zum gleichen Ergebnis: Das Anzeigen auf der Statusseite ist unproblematisch.
Nun zu Mapservern.

Das ist ein Anbieter-Verzeichnis von Wireless-Internet-Providern.
Die Zusammenstellung fällt eventuell unter Datenbankschutz.

Zumindest bei Nord scheint sich einer der Administratoren vor einiger Zeit dafür geopfert zu haben. Bei einigen Knoten die ich mal irgendwo hingestellt habe steht seid einiger Zeit eine E-Mail Addresse die ich nie dort hinterlegt habe anstatt der die ich hinterlegt habe. Das löst zumindest dieses Problem temporär wenn auch wenig elegant.

Das Eintragen einer E-Mail Addresse, Telefonnummer, Twitteraccount, Facebookseite und/oder von Koordinaten ist ein sehr bewusster Vorgang. Daher sollte eine Warnung ausreichen das ebendiese Daten veröffentlicht werden und man auf dieser Grundlage entscheiden sollte ob und was man da einträgt.

Der Datenbankschutz wird dort eingegrenzt wo Personenbezogene Daten ins Spiel kommen. Hier ist zunächst eine rein Urheberrechtliche Betrachtung. Es geht um Investitionsschutz. Das wird kaum ziehen. Würde man das weiterdenken würde jeder Verarbeitung personenbezogener Daten unter Datenbankschutz stehen… das ist offensichtlich nicht haltbar.

Ich gehe weiter davon aus, dass wir eine Einwilligung brauchen.
Mein Hauptproblem ist gerade, dass mir durch bloßes „will aber nicht“ die möglichkeit genommen wird mich korrekt zu verhalten. Ich muss deshalb den Kartendienst abschalten. Ich halte gluon für ein Framework. Wenn jmd. meint er steht über dem Gesetz: Soll er machen. Mich ärgert aber dass das anderen aufgezwungen werden soll, wenn sie ihre Dienste nicht abschalten.

Smellcaster:
Zum einen geht das nur in Communities wo der Admin Zugriffsrechte auf jeden Knoten hat. Das halte ich für schwierig, zum anderen gibt es eben gute Gründe weshalb man die Knotenbetreiber kontaktieren will und die Konatkmöglichkeit in seiner Community als Vorraussetzung sich am Netz zu beteiligen definieren möchte.

Mundfusseln…es geht recht unkompliziert

Ich kann einfach nicht nachvollziehen weshalb man sich derart gegen eine Umsetzung sperrt

1 „Gefällt mir“

Wir haben bestehende E-Mail Adressen beim Wechsel weg vom Knotenformular so codiert das man sich an das Admin Team wenden kann.

Das wurde mittels Gluon Paket realisiert.

Zugriff zu den Knoten haben wir nicht.

1 „Gefällt mir“

Wer keine funktionsfähige E-Mail-Adresse mit einem Knoten veröffentlichen möchte, der (oder die) darf kein Freifunk betreiben.
Das ist klar im PPA §2.3 geregelt und wurde durch das MoU auch nochmal bekräftigt. Die Regeln des PPA sind nicht verhandelbar in der Community.

Wer das nicht will, der hat auch früher schon ein einen Markenrechts-Verstoß gegenüber dem Förderverein begangen und sollte (muss!) den Router abschalten.

  1. Offene Kommunikatione

    Der Eigentümer erklärt, alle Informationen zu veröffentlichen, die für die Verbindung mit seiner Netzwerkinfrastruktur notwendig sind.

    • Diese Information soll (muss?) unter einer freien Lizenz (free licence) veröffentlicht werden.
    • Der Eigentümer erklärt, erreichbar zu sein und wird dazu wenigstens eine E-Mail-Adresse bekanntgeben.

Okay, Thema Knoten ist vom Tisch;

Sehen wir uns doch mal Art 6 genauer an:

a)
Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

durch z.b. einen Hinweis auf der Downloadseite, eine Erweiterung der PPA ?
(unter 5. Lokale (individuelle) Zusätze)

e)
die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f)
die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz persone…

Sieht man sich die Sache „Erwägungsgrund“ an…

Grund 4:
1Die Verarbeitung personenbezogener Daten sollte im Dienste der Menschheit stehen.

Aber besser noch…

Erwägungsgrund 47 Überwiegende berechtigte Interessen*

Erwägungsgrund 47 Überwiegende berechtigte Interessen*

1Die Rechtmäßigkeit der Verarbeitung kann durch die berechtigten Interessen eines Verantwortlichen, auch eines Verantwortlichen, dem die personenbezogenen Daten offengelegt werden dürfen, oder eines Dritten begründet sein, sofern die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen; dabei sind die vernünftigen Erwartungen der betroffenen Personen, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen. 2Ein berechtigtes Interesse könnte beispielsweise vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht. 3Auf jeden Fall wäre das Bestehen eines berechtigten Interesses besonders sorgfältig abzuwägen, wobei auch zu prüfen ist, ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird.

@Zumpel hast du ein „Berechtigtes Interesse zur weiteren Verarbeitung?“

Also ich bin auch wie einige hier der Meinung, dass die Freifunk Router nicht von der DSGVO betroffen sind.

Ich hatte ja bereits Art.89 verlinkt, was gekonnt ignoriert wurde, aber da wir ein Mitmach und Forschungsnetz
betreiben mit einem Bildungsauftrag sehe ich hier immer noch eine Verbindung zu diesem Punkt.

Des weiteren unterliegt jeder Freifunk Router Betreiber einem Vertrag „PPA“, und ist diesem verpflichtet.
Dazu sagt Art. 6 ganz klar, das eine Bedienung erfüllt sein muss um die Daten Rechtmäßig verarbeiten zu
dürfen. Dazu bitte 1b, 1c und 1f beachten, denn diese stehen in direkten Zusammenhang mit der PPA Punkt 2,
wofür bisher auch Art.29 im BDSG herhalten konnte.

Das hier jeder eine andere Auffassung hat ist klar, aber vielleicht kommen wir ja noch zum Ziel :wink:

2 „Gefällt mir“

oh hab noch einen der noch besser passt…

Erwägungsgrund 49

Netz- und Informationssicherheit als überwiegendes berechtigtes Interesse

50 passt auch irgendwo… ich lese mir nun nicht alle 170 stk durch
Da diese Erägungsgründe ja sozusagen Erläuterungen und Deutungen sind… wird man sicherlich noch einiges andere finden.

Ich habe hier mal ein pad eröffnet in dem wir einen Text verfassen, den wir auf allen Freifunk-Firmware-Download Seiten einbiinden können:

https://pad.freifunk.net/p/dsgvo-konformer-download-text

4 „Gefällt mir“

Bzgl. Kartenserver: Sind der Standort(Koordinaten) auch personenbezogene Daten? Ich denke ja