Hej Auge,

Da die Datenschutzgrundverordnung (DSGVO, 2016/679) jetzt, kurz vor der Angst, in aller Munde angekommen ist, möchte auch ich mich mit einigen Fragen daran beteiligen.

Wie immer vorab: wenn du es genau und rechtssiecher haben möchtest, gehe zum Anwalt.

Darüber hinaus meine persönliche Meinung:

Die Wikipedia dazu: „Das Recht auf Vergessenwerden … umfasst einerseits, dass eine betroffene Person das Recht hat, das Löschen aller sie betreffenden Daten zu fordern, wenn die Gründe für die Datenspeicherung entfallen. Darüber hinaus muss aber auch der Verarbeiter selbst aktiv die Daten löschen, wenn es keinen Grund mehr für eine Speicherung und Verarbeitung gibt.“

Kann man sich IMHO selbst beantworten. Ist es beispielsweise sinnvoll und nötig, von jemandem, der sich seit drölf Jahren nicht mehr angemeldet hat, denAccount mit den personenbezogenen Daten noch vorzuhalten?

Ich finde, hier sollte eine Obergrenze von z.B. einem Jahr genutzt werden, um Accounts automatisch zu löschen.

Wer danach wieder mitmachen möchte, muss sich halt neu registrieren.

In einem Forum ist (normalerweise) beim erstellen von Postings die Angabe eines Namens/Pseudonyms und eventuell einer E-Mail-Adresse erforderlich

Normalerweise ist das nicht nötig (jedenfalls city aus technischer Sicht), es wird aber dennoch verlangt und benötigt, um Komfort-Funktionen anzubieten.

und weitere Angaben, wie z.B. die URL zu einer Website oder manchmal auch die E-Mail-Adresse freiwillig. Auf welche dieser Angaben erstreckt sich das Recht auf Vergessenwerden? Speziell zum Punkt, dass der Verarbeiter selbst aktiv Daten löschen muss, wenn der Grund für die Speicherung und Verarbeitung nicht mehr besteht, wann trifft das für welchen Teil der Daten in einem Forum zu?

Auch die würde ich mit dem Löschen des Accounts nach beispielsweise einem Jahr entfernen. Was gelöscht wird, muss natürlich mitgeteilt werden. In einem kurzen Hinweistext bei der Registrierung und mit einer kurzen Nachricht an die hinterlegte E-Mail-Adresse einen Monat, eine Woche und einen Tag vor der Löschung — mit einem Tipp, wie man seinen Account erhalten kann (z.B. irgendwo aktiv zustimmen).

Das Recht auf Datenübertragbarkeit

Die Wikipedia dazu: „… verlangt Artikel 20, dass eine betroffene Person das Recht hat, sie betreffende Daten in einem „strukturierten, gängigen und maschinenlesbaren Format zu erhalten“, auch und insbesondere für den Zweck, sie anderen „ohne Behinderung durch den Verantwortlichen“ zu übermitteln.“.

Wenn eine Person in einem Forum einen Account betreibt, werden dafür Daten gespeichert. Einige sind für den Betrieb des Accounts erforderlich (typischerweise Pseudonym und E-Mail-Adresse), andere freiwillig (Website, Geburtstag, Hobbies) und wieder andere ergeben sich aus der konkreten technischen Lösung des Betriebsablaufs (Zeitpunkt des letzten Logins, IP beim posten) und zählen wohl auch nicht zu den persönlichen oder personenbeziehbaren Daten. Für einen Export von Benutzerdaten können also nicht alle dieser Daten relevant sein.

Doch. Weil es nicht um Benutzerdaten geht, sondern um alle eine Person betreffenden Daten… 😉

Gibt es für den Export und Import schon einen Quasistandard?

Keine Ahnung. Dem rechtlichen Anspruch sollte aber jedes XML oder CSV-File genügen…

Marc

hallo

Da die Datenschutzgrundverordnung (DSGVO, 2016/679) jetzt, kurz vor der Angst, in aller Munde angekommen ist, möchte auch ich mich mit einigen Fragen daran beteiligen. Es geht darum, wie in einem Forum mit zweien der Rechte umzugehen ist.

Eines vorab. Wichtiger als das Gesetz ist die Arbeit am Bewusstsein. Und damit stelle ich mich der Frage, wie hätte ein Forum mit Benutzerdaten umzugehen, und wie würde ich das umsetzen.

Erforderliche userinformation: Email-Adresse (geschützt/unsichtbar). Aus dieser wird über eine HMAC Funtion eine User-ID abgeleitet. Diese ID wird weiter verwendet und gilt für die interne Adressierung auch und gerade zwischen Usern.

Autoren können zwar einen Penname definieren/ändern, aber dieser muss weder ein Unikat sein, noch wird er direkt in Methoden unterstützt. Wann immer er benutzt wird, gibt es eine maschinelle Referenz zur UserID. Es werden Methoden angeboten, welche eine spätere Anonymiserung erleichtern.

Zusätzlich wird eine anonyme UserID erzeugt, die im Laufe des Forumbetriebs zum Einsatz kommt. Ein Forum-Anwender soll nicht in der Lage sein, maschinell die anonyme UserID und die operative UserID in Beziehung zu setzen.

Recht auf Vergessen. In einem Forum gibt es sehr schnell Interessenkonflikte. Das Maximum das man bieten kann, ist die Anonymisierung jeglicher Benutzeridentifizierender Information. In keiner Art und Weise soll dem User ein Recht auf selektives Vergessen zugestanden werden, ohne das Einverständnis der betroffenen Parteien.

Archivierung:

Eine Archivierung ist so zu behandeln, als ob für einen Beitrag das Recht auf Vergessen gesetzt wurde. Links in solchen Beiträgen sind in eine Queue für periodische Linküberprüfung zu stellen. Obsolete Links werden anonymisiert und deaktiviert. Die operative UserIDs in solchen Beiträgen werden durch anonyme UserIDs ersetzt.

Threads sind per default auf no-archive gesetzt. Ein Archivierungstag muss explizit gesetzt werden. Dies kann auch für Teilthreads geschehen.

Löschen des Acounts:

Userbezogene Information wird entfernt. Es bleibt eine anonyme UserID. Diese anonyme UserID verbindet viele Beiträge im Archiv, bleibt also individuell. Jedoch ist keine personenbezogene Information dazu recherchierbar.

Abfragen:

Wo immer Datenabfragen implementiert sind, soll ein User auch Abfragen ihn betreffender Daten ausführen und referenzieren können.

Hi,

was die Legitimation betifft: Die sollte auf einem anderen Weg erfolgen als über HTTP/HTTPS. Zum Beispiel in schriftlicher Form oder auch telefonisch. Und ja, das funktioniert sehr gut, wenn es ein Vertrauensverhältnis gibt. Ich habe schon Leute an der Stimme erkannt von denen ich 40 Jahre nichts gehört hatte.

Und was das Recht auf Löschen betrifft, das würde ich dann schon sehr wohl beanspruchen wollen wenn mein Name öffentlich in den Schmutz gezogen wird!!!

Das ist das Mindeste, was eine Demokratie hergeben sollte!

Und was mein Geistiges Eigentum betrifft (Übertragbarkeit der Daten), das dürfte aus der Sicht eines Forumsbetreibers schwierig werden wenn beim Schreiben von Beiträgen/Artikeln keine Legitimation erfolgte. Unabhängig davon kann ja jeder selbst ein Protokoll führen über das was er wann/wo veröffentlicht hat und siehe da, dann hat er die Daten sowieso schon auf der eigenen Festplatte.

MfG

@@Auge

Da die Datenschutzgrundverordnung (DSGVO, 2016/679) jetzt, kurz vor der Angst, in aller Munde angekommen ist …

Working Draft hat dem Thema eine Revision gewidmet: Revision 336: DSGVO ☞ Audio (mp3)

LLAP 🖖