GSGVO - Auswirkungen für den Forums-Betrieb


#1

Ausgehend von

https://www.heise.de/ct/ausgabe/2018-5-Die-DSGVO-bringt-den-Buergern-neue-Rechte-3965940.html#zsdb-article-links

haben die Leute bei heises c’t (ernsthaft) Framstags inzwischen steinalten Folterfragebogen aufgewertet und zu einem ernsthaften Instrument umgebaut.

Wenn man im Selbsttest den Bogen hier anwendet, dann kommt man -meiner Einschätzung nach- passabel durch.

Ich habe es mal versucht mit einem (vermutlich laienhaften Angang)

a)

  • Gespeichert werden von angemeldeten Nutzenden

    • Gewähltes Pseudonym
    • hinterlegte Email-Adresse
    • “gesalteter” Hash des gewählten Passwords.
    • ggf. ID eines von den Nutzenden gewählten ID-Providers (github, google, facebook)
    • die letzte jeweils genutzte IP-Adresse während des Logins (ich sehe keinen “IP-Verlauf”, zumindest habe ich keinen solchen bislang gefunden. Ist aber durchaus diskussionswürdig.)
    • Cookies
    • vom Nutzenden selbst angelegtes Nutzerprofil inkl. der dort evtl. hochgeladenen Avatarbilder/Fotos.
    • die selbst verfassten Beiträge (PMs und Foren-Postings.)
    • das was andere aus diesen Beiträgen per Quote-Funktion übernehmen.
  • von nicht angemeldeten Nutzenden werden keine Daten erhoben und KEINE Cookies gesetzt.

  • für alle gilt: Es wird kein Usertracking vorgenommen. (Weder direkt über Google, IWF etc, noch über “Werbeeinblendungen”)

b) Verarbeitungszweck

  • Zweck ist der Betrieb des Forums. IP-Adresse des letzten Logins wird erhoben zu Verbesserung der Abwehr von Reklame-Bots und SpammerInnen.

c) Kategorien

  • siehe a)

d) Datenweitergabe

  • Empfänger der Daten sind Forenteilnehmende im Rahmen der Nutzungsbedingungen.
  • Die öffentlich einsehbaren Inhalte des Forums werden für gewöhnlich von Suchmaschinen inidiziert und sind gemäß deren Maßgabe durchsuchbar.
  • Eine aktive Datenweitergabe an Dritte findet nicht statt, weder entgeltlich, noch unentgeltlich.

e) geplante Dauer der Speicherung

  • Die Speicherung der Daten erfolgt bis auf Widerruf. Der Zweck des Forums besteht darin, den Nutzenden Kommunikationsinhalte zur Verfügung zu stellen. Dieses bedingt eine aktive Zustimmung zu diesem Zweck.

f) Recht der Berichtigung

  • Nutzende haben das Recht auf Berichtigung und/oder Widerspruch gegen die Speicherung.
  • Löschung von selbst übermittelten Daten (“öffentliche Postings”) erfolgt im Regelfall durch Anonymisierung/Löschung des ehemaligen gewählten Pseudonyms. Der Textkörper der veröffentlichten Beiträge bleibt dabei erhalten. Zudem wird auf “von anderen Nutzenden in öffentlichen Postings übernommene Textpassagen” (“Quote-Funktion”) keinen Einfluss genommen. Auf expliztes Verlangen ist die Entfernung von zu benennenden Testpassagen/Beiträgen möglich. Gegen diese Regelung und/oder deren Umsetzung kann bei der/dem Datenschutzbeauftragten des Landes Nordrhein-Westfalens Einspruch erhoben werden.

g) Datenerhebung durch Dritte

  • Wenn Nutzende über einen Identity-Provider (siehe oben) einen Login vornehmen, werden die in diesem Rahmen angefragten und übermittelten Daten nach Vorgabe des Identity-Providers gespeichert. Auskunft über Art, Umfang und Herkunft dieser Daten sind beim jeweiligen ID-Provider verfügbar. In der Regel umfassen die übermittelten Information, sofern verfügbar
    • E-Mail-Adresse
    • mit der E-Mail-Adresse verknüpfte User-ID
    • die Tatsache, dass ein aktueller User-Client aktuell beim ID-Provider-Dienst erfolgreich angemeldet ist
    • der bevorzugte Username/Nick
    • die bevorzugte Dialog-Sprache und Regionsauswahl (Datumsformat…)
    • der beim ID-Provider hinterlegte Avatar/das öffentliche Benutzerbild

h) Profiling

  • Ein öffentliches Profiling findet statt über die Benutzerseite der jeweiligen Teilnehmenden. Abei werden z.a. erfasst
    • Posting-Verlauf (“letzte Beiträge”)
    • Datum der Erstanmeldung (“Mitglied seit”)
    • erhaltene “Likes” von anderen Teilnehmenden
    • Erhaltene Auszeichnungen, z.B. für das verfasste besonders beliebter Beiträge und besonders oft genutzter Weblinks.
  • Nichtöffentliche Profiling
    • Es werden vom Forensystem im Rahmen der Spam-Kontrolle Regeln angewendet, die bei “Übertretung” zu Logfile-Einträge und ggf. automatischen Aktionen (idr. “Stummschaltung des Accounts”) führen, die dann am Userprofil vermerkt werden. Diese sind z.B.
    • Verfassen vieler Beiträge in einem unplausibel kurzem Zeitraum
    • Verfassen von Beiträgen unplausibel hohen Anzahl von Weblinks.
    • Verfasste Anzahl von Beiträgen in Relation zur bisherigen Lese-Zeit.
    • Verfassen von Beiträgen mit Weblinks und/oder Wörter auf einer Sperr-Liste
    • Verfassen von vielen inhaltsähnlichen PMs in kurzem Zeitraum.
    • Daten zu “von der Community gemeldeten Beiträgen”
    • Daten zu “vom Moderationstem augesprochenen Verwarnungen”
    • (Diese Liste erhebt keinen Anspruch auf Vollständigkeit.)

In Konsequenz erhält der betroffene Account eine PM, die über eine ggf. vorgenommene automatische Einschränkung der Nutzungsmöglichkeit (z.B. “Keine öffentliche Postings”, “keine PMs, abgesehen von an Moderatoren/Administratoren”) informiert. Moderatoren und und Adminstratoren des Systems können in diese Log-Dateien und Vermerke an Userprofilen im Rahmen ihrer Tätigkeit Einsicht nehmen.

i) Übermittlung in Drittländer

Das Forensystem wird Regie des Freifunk Rheinland e.V. in einem angemieteten Hostingstandort in Deutschland betrieben. Der Hoster hat keinen logischen Zugriff auf gespeicherte Inhalte und Daten.
Kommunkationsinhalte werden vom/zum Forensystem über Ende-zu-Ende-Verschlüsselung zu den Nutzenden in Form von SSL/TLS nach Stand der Technik durchgeführt, sofern dies beim Client (Nutzenden) verfügbar ist.
Insbesondere bei der Nutzung des Forums “via E-Mail” (Notification/E-Mail-Reply) wird Nutzenden geraten zu prüfen, dass der von Ihnen gewählte E-mail-Provider den Versand und den Empfang von Mail mit geeigneter Transportverschlüsselung vornimmt. Dieses sei hier betont vor dem Hintergrund, dass der “Laufweg” von E-Mail nicht immer sicher als “nur in Deutschland” vorhergesagt werden kann.
Gemeint ist als nicht nur die Übermittlung “vom und zum Mail-Client der Nutzenden”, sondern auch “zu anderen Servern” (als zwischen z.B. forum.freifunk.net und mailbox.net. Dort ist dieses beispielsweise gewährleistet.)

j) Datenkopie:

  • Ein TakeOut kann im eigenen Userprofil unter “Aktivität”/“Herunterladen” erfolgen. Die Daten werden nach Anforderung innerhalb weniger Minuten als Downloadlink (Benachrichtigung per PM) zur Verfügung gestellt.
    Alternativ ist auf Anfrage auch eine aktive Übermittlung an ein anzugebenes Ziel möglich.
  1. Datenlöschung:

Eine Datenlöschung ist bei Löschung des Accounts möglich. Einer Löschung kommen wir auf Gesuch im Rahmen der oben dargelegten Bedingungen (Löschung des User-Account und der persönenbezogenen Daten) nach. Eine Löschung von persönenbeziehbaren Daten (“Recht auf vergessen”) wird durch Entfernen des Usernamens aus den Postings und Entfernen der Links (auf das nicht mehr vorhandenen Userprofil) durchgeführt. Eine weitergehende Löschung von zuvor von Nutzenden selbst veröffentlichen Textpassagen bedarf der individuellen Behandlung. Zu deren Entfernung bitten wir um deren (wörtliche) Wiedergabe und Referenzierung über jeweils die URL (“exakte Webadresse”) über die sie abrufbar sind.

Ergänzungen?
Verbesserungsvorschläge?


#2

P.S. Privacy Policy - Freifunk Forum müssen wir dringend mindestens ergänzen um eine TMG-konforme deutschsprachige Fassung.


#3

Danke Andreas für die saubere Arbeit!!