Das Forum und die DSGVO

Nach unten

Das Forum und die DSGVO

Beitrag von Akeem am 17.05.18 22:19

Hallo Leute,

einige wissen es vielleicht, für andere ist es eine neue Information. Ab dem 25.05.2018 gilt in der EU eine neue Datenschutzverordnung (kurz DSGVO), an die sich alle Webseitenbetreiber halten müssen, die persönliche Daten erheben und verarbeiten. 
Dazu gehört auch unser Forum, denn wie ihr alle wisst, müsst ihr bei der Registrierung eine E-Mail-Adresse hinterlegen und ein Passwort angeben. Diese gelten auch schon als persönliche Daten, mit denen besonders umgegangen werden muss.
Ich habe es schon im Discord angeschnitten, aber muss es wohl auch hier in aller Dringlichkeit sagen: Wir wissen nicht, ob das Forum dieser Verordnung entsprechen wird. Ziel für Behörden sind wir sicher keins, aber es ist durchaus möglich, dass es zu einer Abmahn-Welle kommen könnte, weil ein paar Kanzleien bisschen Kohle abgreifen wollen.
So einer Abmahnung wollen wir natürlich entgegen wirken und es gar nicht so weit dazu kommen lassen, allerdings müssten wir dafür einige Maßnahmen ergreifen, die auch mit Kosten verbunden wären (so der derzeitige Stand). Allerdings ist die rechtliche Lage für solche Webseiten, wie es unser Forum ist, ziemlich schwammig und wir wissen im Grunde nicht, ob selbst die kostenpflichtigen Maßnahmen, die wir treffen könnten, überhaupt ausreichend wären, weswegen wir derzeit zögern, sie zu ergreifen.
Uns bleibt derzeit nichts anderes übrig, als auf ein offizielles Statement von Forumieren zu warten. Allerdings scheinen diese sich derzeit noch etwas bedeckt zu halten und rücken selbst jetzt, acht Tage vorher, nicht wirklich mit der Sprache raus, was sie nun tun werden als Vorbereitung für die neue Verordnung. (Wer möchte, kann die Diskussion z.B. hier mitlesen: http://hilfe.forumieren.com/t43399-12444-dsgvo-datenschutz-grundverordnung )

Also was werden wir jetzt tun?
Erst mal werden wir die Finger still halten und selbst bis zum 25.05.2018 keine Maßnahmen treffen. Ich bin nicht bereit für etwas Geld auszugeben, das am Ende trotzdem nicht vollständig der Verordnung entspricht und schon gar nicht bereit, ein Paket zu kaufen, wenn später die wichtigen Komponenten doch kostenlos verteilt werden.
Also werden wir hoffen, dass bis zum 25.05. sie sich erbarmen können, ein Statement zu geben und Dinge klarzustellen. Sollte es nicht der Fall sein, werden wir das Forum am 25.05.2018 in den Wartungsmodus setzen und solange darin verweilen, bis wir unsere erdenklichen Möglichkeiten ausgeschöpft haben.
Das heißt ihr könnt das Forum in der Zeit leider nicht verwenden. Vermutlich würde diese Zustand für etwa 5-7 Tage vorherrschen. Wir bitten um Verständnis, aber wir müssen leider wirklich auf Nummer sicher gehen...
Gerne kann sich jemand, der mehr Ahnung von Recht hat, als wir es haben, bei uns melden und eventuell etwas richtig stellen! Also wenn Anwälte unter euch sind... Bitte vortreten.

So, das ist der offizielle Teil. Und wer jetzt noch bisschen Lust hat, dem erkläre ich jetzt noch, was genau wir alles verändern müssten.
1.) Konforme Datenschutzverordnung bzw. -aufklärung im Footer der Seite verlinken und ein Impressum einfügen sowie bei der Registrierung anzeigen. Im Grunde müssen wir hier euch User belehren, was alles mit euren Daten passiert. 
Das große Problem hier ist... Das wir das nicht wissen. Denn wir erheben eure Daten zwar (könnten Profile um Felder erweitern), aber wir haben keinen direkten Zugriff auf die Datenbanken und die verarbeitendende Hardware. Wir haben keine Ahnung, welche Datenbank-User alles Zugriff auf eure Daten hat und wohin sie noch alles so verkauft werden. 
Beispielsweise teilt Forumieren ja auch Login-Daten mit ihrem eigenen Image-Hoster ServImg und erstellt euch sogar ungefragt dort einen Account, wenn ihr über den Foren-Editor ein Bild hochladet. Was alles sie noch so mit den Daten tun, können wir nur raten.
2.) Wir benötigen eine SSL-Verschlüsselung. Vielleicht habt ihr den Begriff noch nie gehört, gesehen habt ihr das aber sicher schon, dass eure Browser euch warnen, dass das Forum nicht verschlüsselt ist und die Kommunikation nicht. Bei einer SSL Verschlüsselung wird die beiderseitige Kommunikation zwischen Server (Dem Forum) und dem Client (eurem Browser) Ende-zu-Ende verschlüsselt. Das bedeutet, dass selbst wenn jemand die Datenpakete abfangen würde, diese ohne den Schlüssel, den nur der Server und der Client haben, nicht entschlüsselt werden können und keinen Sinn ergeben. 
Dies ist schon lange gängige Praxis und seht ihr auch einfach, indem ihr auf die Adresszeile im Browser achtet: Alle verschlüsselten Verbindungen beginnen mit https:// statt http:// und jetzt, mit dem DSGVO wird es Pflicht für alle Webseiten, die persönlich Daten verarbeiten und vor allem Login-Daten übertragen. 
Es ist allgemein so oder so sinnvoll so etwas zu haben und es stört mich auch schon seit gut 1,5 Jahren, dass wir das nicht haben, allerdings hat das auch einen guten Grund: Das Zertifikat, das quasi den Austausch des geheimen Schlüssel zwischen Forum und Browser regeln würde, kostet Geld. Und bei Forumieren ist es nicht möglich einfach nur ein Zertifikat zu kaufen und es einzupflegen. Nein, nein. Man muss direkt ein Premium-Paket kaufen und ein Abonnement abschließen. Dies würde im Jahr in etwa 40 Euro kosten. 
Das wäre natürlich noch zu verkraften, allerdings würde ich halt wirklich ungern dieses Geld ausgeben, ohne sicher zu sein, dass wir dann vollständig konform sind. Vor allem, weil alle anderen, im Paket enthaltenen Feature absolut langweilig und belanglos sind und die wirklich niemand haben will (z.B. 500 MB Forum Speicher... 500MB im Jahr 2018. Na danke!)




Das sind die beiden Punkte, die wir wohl auf jeden Fall bräuchten.
Aber dann gibt es noch so viele andere Fragen, die wir nicht beantworten können...




3.) Recht auf Vergessen. Man muss wohl jedem User die Möglichkeit geben, alle persönlichen Daten wieder löschen zu können. An sich können wir das, denn im Admin-Panel gibt es einen Button, über den wir Accounts löschen können... Aber da wir keinen Zugriff auf die Datenbanken haben, können wir nicht gewährleisten, dass die Accounts wirklich gelöscht wurden und nicht nur auf inaktiv gestellt wurden.
4.) Herausgabe von Daten auf Anfrage. Offenbar soll man auch bereitstellen, dass man alle Daten, die das Forum von einen hat, auch anfordern hat und zugeschickt bekommt. Aber wieder: Wir haben keinen direkten Zugriff auf die Datenbanken... Es ist technisch einfach nicht möglich, diesem Wunsch nachzukommen, das müsste auch Forumieren machen.
5.) Wird das Forum privat betrieben oder ist es eine wirtschaftliche Tätigkeit? Die Verordnung nimmt explizit private Webseiten von natürlichen Personen für private oder familiäre Zwecke heraus und befreit sie von den Pflichten. Aber ist das Forum privat? Nein, denn wir lassen auch Registrierungen und Nutzung von Fremden zu. Aber handeln wir unternehmerisch oder wirtschaftlich? Nein, denn wir erheben keine Gebühren oder Mitgliederbeiträge wie Vereine und auch mit der Werbung, die hier auf der Seite geschaltet ist, verdienen wir kein Geld, sondern nur der Hoster... Forumieren. Also sind wir nun ausgenommen, oder nicht?
5.) Wessen Name und Adresse müssen wir im Impressum angeben. Wir erheben die Daten, aber verarbeiten sie nicht. Ist nun Forumieren als Datenverarbeiter in der Pflicht, die Datensicherheit zu garantieren? Müssen wir ihre Geschäftsadresse angeben? Oder muss ich nun meine private Adresse ins Netz stellen? Ich bin doch nicht mal Besitzer eines Unternehmens.




Und. Und. Und. Umso mehr ich mich in den letzten Tagen mit dem Thema beschäftigt habe, umso wenige steige ich durch... Also wenn irgendwer einen Rat hat, wir hören ihn gerne an...




Bis dahin, hoffen wir einfach, das alles gut wird.
avatar
Akeem
normaler Rollenspieler

Männlich Alter : 26
Anzahl der Beiträge : 2419
Krümel : 2577

Nach oben Nach unten

Nach oben

- Ähnliche Themen

 
Befugnisse in diesem Forum
Sie können in diesem Forum nicht antworten