Das Bits und Bäume Forum und der Datenschutz

Da ich hier nun schon ein paar Tage angemeldet bin und auch keine aktive Datenschutzerklärung für das Forum finden konnte dachte ich prüfe mal was das Forum so sendet…und leider musste ich feststellen, dass zu folgenden Seiten eine Internetverbindung aufgebaut wird sprich meine vollständige IP (personenbezogene Information) wird übermittelt, ich wurde nicht vorher informiert oder habe aktiv eingewilligt (Grundvoraussetzung für einen datenschutzkonformen Betrieb).

Die Liste:
discourse. bits-und-baeume.org
akamaihd.net
pdodswr-a. akamaihd.net
drk-wohlfahrt.de
golem.de
www. golem.de
heise.de
markosaric.com
mastodon.social
swr.de
www. swr.de
swrfernsehen.de
www. swrfernsehen.de

Interessant, Datenverarbeitungen für das SWR, Mastodon.social (auch wenn das datenschutzfreundlich ist), heise, golem, drk Wohlfahrt etc. habe ich nicht zugestimmt…
Des Weiteren wird durch die Verbindung auch mehr Traffic generiert (Energie verbraucht, was auch im Kontrast zu dem Forum steht). Hab mir von Open Source Befürwortern, die auch nach Alternativen eigentlich erhofft, dass eine Alternative geschaffen wird und nicht das sowas im Hintergrund läuft…

Ich frage mich wie ihr bei Recht auf Löschung gewährleisten wollt, dass heise und Co. (weil bestimmt kein AV-Vertrag geschlossen wurde) die IPs der Besucher löschen, wenn das ein User fordert?

Das wirft auch die Frage auf, ob man sich dann über andere datenschutzrelevante Dinge Gedanken gemacht hat bspw. ein Löschen oder kürzen der IPs, wenn Beiträge veröffentlicht werden oder man sich einloggt…zumindest nach einer bestimmten Zeit…

Ich kann dir zum momentanen Status Quo des Forums sagen, wir haben nicht alles geschafft gehabt. Da ich die technische Administration des Forum nicht mache, versuche ich auch nicht weiter darauf einzugehen. Danke für Deinen Hinweis. Selbstverständlich nehmen wir das ernst und werden uns natürlich kümmern.

Magst du mithelfen wollen?

@MathiasRenner @tantebootsy

Das ist schon ein ernstes Problem und hätte dringend Bedacht / behandelt werden müssen, ihr riskiert hier ein staatliches Bußgeld. Da zählt die Aussage, haben wir nicht geschafft nicht. Die zählt auch nicht fürs Finanzamt und Datenübermittlung ohne Erlaubnis ist kein Kavaliersdelikt - gerade nicht, weil eure User das eigentlich ernst nehmen. Die DSGVO gibt es seit 2 Jahren und ohne Datenschutzerklärung und mit aktiv eingebundenen Tracking kann das richtig teuer werden…

Zitat vom LFDI Ba-Wü

Anbieter von Telemediendiensten, die Elemente integrieren, die das Nutzerverhalten insbesondere über Website- oder Geräte-Grenzen hinweg (also z.B. über verschiede Domains verschiedener Anbieter) zusammenfassen, benötigen die aktive, ausdrückliche, informierte, freiwillige und vorherige Einwilligung (Artikel 6 Absatz 1 lit. a DSGVO) der Nutzer (vgl. Seite 8 ff der Orientierungshilfe und Frage 5 dieser FAQ). Dies gilt insbesondere (aber nicht nur) für die Einbindung von Plugins von Social-Media-Anbietern , großen Online-Plattform-Betreibern und Werbenetzwerken . Aber auch der Betreiber selbst darf nicht beliebig personenbezogene Daten der Nutzer ohne Einwilligung zusammenführen.

Die Daten der Nutzer, die ich nicht weitergeleitet habe, frage ich jetzt ungern bei den Leuten an, denen ich sie schon im Vorfeld nicht übermitteln wollte. Ich kann hier und da Tipps geben, aber ich bin schon in sehr vielen Organisationen zu dem Thema und da wäre es gut, wenn sich auch mal andere damit ernsthaft beschäftigen. Aber so ist das gerade mit jeden Tag wo das unfertig ist wunderbar für alle die Interesse haben auch abzumahnen (z. B. Konzerne).

Aber ich sehe gerade, dass zumindest die Tracker/IP Übermittlungen auf den ersten Blick entfernt wurden.

Ich nehme es zurück. Heise.de ist schon wieder da und dort werden IPs übermittelt…

hi @anon73183378 magst mal sagen wo/wie du die Tracker findest? Bin da kein Pro drin und würde es gerne nachvollziehen.

Liebe Grüße,
Micha

@tantebootsy z. B. kannst du dir unter Firefox ublock und umatrix instalieren. umatrix zeigt dir an, zu welchen Seiten verbindungen aufgebaut werden und durch was (z. B. Skripte, Bilder usw.). Kann man natürlich auch über ublock und umatrix blockieren.

Natürlich kann man das auch im Quelltext nachsehen, aber da lasse ich mal die Anleitung weg.

Ich habe schon herausgefunden, dass sehr viele der Übermittlungen nur stattfinden, weil die Vorschau im Forum aktiv ist, wenn man einen Link postet (auch wenn man diesen nicht besucht). Dann wird ohne eine Seite besucht zu haben sofort die IP übermittelt und auch wenn man ein Thema zurückspringt bleibt die Übertragung (? nur oberflächig geprüft).
Im Endeffekt braucht nur jemand zu irgendeinem Verschörungsportal, Sexseite, Spamseite etc. verlinken (und die Moderatoren merken es nicht) und schon fließen da IPs hin, die man mit anderen Daten verknüpfen kann. Das ist nicht gut…nicht nur aus Datenschutzgründen.

Am besten NACH der umatrix Installation und Aktivierung einmal hierhin gehen und umatrix beobachten: Die Utopie retten – Wie wir die Entwertung von Nachhaltigkeit verhindern

und dann in andere Themen wechseln und schauen, wie es wächst…

Ich interpretiere diesen Thread als Vorwurf, das Bits-und-Bäume-Forum würde absichtlich mit Third-Party-Trackern betrieben werden, und zwar unter anderem mit jenen von den bekannten Werbenetzwerken heise.de, swr.de und drk-wohlfahrt.de. Ganz schlimm ist discourse.bits-und-baeume.org, also wirklich! Die Beweisführung ist stichhaltig und lässt keine Wenns und Abers zu.

Mein lieber Herr Gesangsverein, was bitte ist das denn für ein Unfug?

Zunächst erstmal könntest du bei der Auflistung der Domains stutzig werden, denn nichts davon ist auch nur ansatzweise mit Tracking in Verbindung zu bringen (akamai vielleicht mal ausgenommen). Man hätte an Iframes oder so denken können, aber die gibt es in dem Thread nicht. Als nächstes stützt sich dein Vorwurf auf die Aussage eines Browser-Plugins, von dem du nicht mal einen Screenshot da gelassen hast. Man kann also nicht mal nachvollziehen, was du da eigentlich gesehen hast. Nicht zuletzt klingt dein Tonfall nicht nach Bug-Report sondern eher danach, dass du der Bits-und-Bäume-Bewegung Inkonsequenz und Doppelmoral vorwirfst. Das verstört mich, und ich frage mich, warum du das tust?

Hier mein Ratschlag: nimm bitte mal einen Browser ohne jegliche Plugins oder sonstige Konfiguration, oder starte deinen Firefox mit firefox -P und wähle ein neues Profil aus. Damit besuchst du dann den von dir genannten Beweis-Thread, ohne Login und ohne weitere Aktion. Als nächstes drückst du mal strg+shift+e, womit du im Netzwerk-Tab der Developer-Tools landest, und lädst am besten die ganze Seite nochmal neu. Dann wirst du feststellen, dass bei deinem Request nicht eine einzige Domain außer discourse.bits-und-baeume.org aufgerufen wird, die aber eben die Adresse dieses Forums ist, weshalb ich es besonders merkwürdig finde, dass du sie oben in deiner Liste überhaupt aufführst. Selbst das Vorschaubild der anderen Seite ist serverseitig gecached und wird von der selben Domain geladen.

Lieber @anon73183378 , ich weiß nicht, was du gemacht hast, um in diesem Thread dort Requests auf die von dir genannten Seiten zu sehen. Vielleicht hat dir dein uMatrix einen Streich gespielt. Ich bin mir auch nicht sicher, ob du vielleicht ein Troll bist. Darum schreib ich diesen Text hier auch nicht für dich, sondern damit andere Forenbesucher sich von Inhalten wie diesen hier nicht in die Irre führen lassen.

Dieses Forum hier besteht aus der free and open source Software Discourse. Die kann man runterladen und installieren, und in diesem ursprünglichen Zustand ist die Software frei von Third-Party-Requests. Daran kann man sicher was ändern, aber das muss man schon wollen, und das wär dann tatsächlich zu hinterfragen. Aber ist ja zum Glück nicht der Fall.

Alles in Allem kann man sagen, dass hier ein paar Aktivisten in ihrer Freizeit eine Kommunikationsplattform betreiben, die als Musterbeispiel für Alternativen zu kommerziellen Plattformen gesehen werden kann. Wenn da irgendwas nicht optimal läuft, dann liegt das an fehlendem Knowhow, fehlender Zeit, fehlender Manpower oder allgemeiner Verpeiltheit, aber ganz bestimmt nicht an bösen Absichten. Darum muss ich den Vorwurf glatt zurückweisen.

Also ich bin in dem Bereich ausgebildet und momentan ist das eine Straftat. Punkt aus.
Da kannst du vor den Behörden argumentieren was du möchtest und wenn du das verharmlost dann darfst du dafür gerne gerade stehen…ist nunmal so, dass wenn man Foren etc. aufsetzt sich auch mit der Legislative auseinandersetzen muss sprich TMG, DSGVO usw.
Ich hätte es auch gleich an die Behörden leiten können…und darauf hab ich nach so einer Antwort wirklich gut Lust.
Da es hier ja auch kein Impressum oder eine Datenschutzerklärung (trotz Voraussetzung) gibt ist der genaue Ansprechpartner (wenn nicht im WHOIS überhaupt aktuell) unklar…und da bleibt dann nur öffentlich darauf aufmerksam machen, DAS da etwas mit den Daten passiert und wenn ihr euch mit dem Thema befasst merkt ihr auch, dass es so nicht in Ordnung ist.

Nachdem ich diesen ausführlichen Post geschrieben und abgeschickt hab, hab ich nochmal in einem der anderen noch offenen Tabs rumgeklickt und musste feststellen, dass in diesem Thread tatsächlich zwei Requests zu Heise und dem DRK vorbeigescrollt sind. Ich muss also die Zurückweisung des Vorwurfs nochmal etwas revidieren.

Was du da gesehen hast, sind keine Tracker oder irgendwelche anderen heimlichen Datentransfers, sondern die Favicons der Seiten, von denen es Links im Thread und darum automatisch generierte Vorschauen gibt.

Ich hatte schon die gecacheten Vorschaubilder genannt. Man könnte davon ausgehen, dass das für alles gilt, aber die Favicons werden offenbar direkt von den Originalseiten durchgereicht. Das ist natürlich ein Problem, da bin ich völlig deiner Meinung. Allerdings könnte man statt DSGVO, Bußgeld!, Straftat! und so weiter auch „ich habe da einen Fehler gefunden, seht euch das doch mal an“ schreiben. „Straftat!“ erinnert mich an den hier, und wenn du dich mit so einem gemein machst, dann weiß ich gleich, in welches Schubfach ich dich schieben muss.

Ich werde jedenfalls einen Bugreport bei den Entwicklern der Discourse-Software einreichen, denn das ist es, was man meiner Meinung nach in dem Fall tun sollte, falls man es nicht selber reparieren und das Ergebnis dann als Pull-Request upstream einfließen lassen kann. Open Source Software eben

Es geht nicht um die Tracker, es geht um die Übermittlung der IP. Das steht auch so im Beitrag, es werden Verbindungen zu den Servern aufgebaut OHNE ausdrückliche Einwilligung und das ist nicht legal. Also auch wenn ein Favicon oder was auch immer, z. B. von LinkedIn oder so eingebaut ist und das wird von Linkedin geladen dann baut mein Rechner eine Verbindung auf und Linkedin bekommt die IP. IP ist personenbezogen und dafür braucht es einen AV Vertrag (durch Bits und Bäume) und eine vorherige Zustimmung BEVOR etwas übermittelt wird und das findet ja beides nicht statt. Deswegen sollte man es umgehend abschalten.

Liebe Leute, lasst uns erst mal Ruhe bewahren und den Sachverhalt Schritt für Schritt nachvollziehen. Ggf. gibt es Verbesserungsbedarf, vllt. besteht hier und da ein Missverständnis. @anon73183378 jedenfalls erst mal Danke für die Hinweise, wir werden diesen nachgehen.
B&B ist an einem sauberen Datenschutz interessiert + wenn es in diesen Bereichen Nachholbedarf gibt, dann wahrsch. aufgrund von Zeitmangel, da B&B ehrenamtlich läuft. Das soll keine Entschuldigung sondern eine Erklärung sein.
Wir checken die Punkte einfach erst mal gemeinsam durch und schauen dann, wo es Verbesserungsbedarf gibt, den wir bestenfalls zusammen erarbeiten.

EDIT: ah ok, @mcnesium hat nochmal geantwortet, nicht gesehen

@mcnesium FYI: bei Discourse läuft das ganze scheinbar unter dem Namen onebox. Hab grade mal schnell in den Admineinstellungen geschaut – die Deaktivierung der Favicons ist in diesen scheinbar nicht möglich.

Ah guter Hinweis @tantebootsy. Das ist wohl bekannt und liegt tatsächlich an der Dateiendung .ico. Die ist alt und doof und wird per default nicht mehr als Anhang unterstützt (zu Recht!). Wenn man sie jedoch zu den erlaubten Anhängen hinzufügt, werden die Favicons wohl irgendwann auch gecached.

Hier mal ein Test:

https://meta.discourse.org/t/onebox-favicons-and-cloudflares-hotlink-protection/120219/4

In dem Post danach steht noch „a couple of days later“. Bißchen dünne, ehrlich gesagt. Alternativ könnte man die onebox-Vorschau abschalten. Das wär zwar bißchen schade, aber auch kein Weltuntergang. Was denkt ihr dazu?

Hast du .ico bereits zu authorized extensions hinzugefügt? War nämlich bereits drin.

Der bringt in unserem Fall, wenig, da meta.discourse.org keine .icos verwendet

Also muss noch mal der gute alte SWR herhalten:

Scheint zu funzen:

jedoch nur für neue onboxes. Die alten verweisen weiter auf das Original. Wahrscheinlich kam es Chris von meta.discourse deshalb so vor, als ob es ein paar Tage dauert, bis der Effekt eintritt.

Ob es hier zur rechtlichen Absicherung nun der Editierung der bisherigen onboxes braucht muss letztlich Tilman entscheiden. Auch sollte er sich drum kümmern, dass das Forum in die Datenschutzerklärung aufgenommen wird.

Zumindest habe ich diese nun auf der about-Seite verlinkt (ein Standard seitens Discourse), das ist jedoch wiederum ein Deeplink, daher eig. auch so nicht ganz rechtens.

Datenschutzerklärung muss „über nur einen Klick“ erreichbar sein. Sprich es muss auch im Forum einen Link geben, der überall gut erkennbar ist, durch nichts verdeckt und sofort zu erreichen und muss natürlich alle Angaben, was mit den Daten passiert enthalten (IP Speicherung, Trackingdienste, Kontolöschung, Datenspeicherung, Host, Verantwortlicher usw. usw.). Dient schließlich in erster Linie dafür die User zu informieren, weshalb es auch wichtig ist (sich nicht nur wegen Bußgeld) damit zu befassen.

genau das meinte ich mit „nicht so ganz rechtens“

Okay, ich baller mal.

Danke für den @anon73183378

Europäische aussen Grenzen?
Saufen oder er saufen?

Bist du noch ganz sauber? Sich wissentlich nicht an Gesetze halten, Bußgeld in Kauf nehmen, Nutzer verarschen und dann noch dumme Sprüche…
Viel Spaß beim Zahlen…wenn du das einer Behörde antwortest. Und sowas auch noch von einem Moderator mit Vorbildfunktion. Wirklich armseelig.