Das Bits und Bäume Forum und der Datenschutz

Es geht nicht um die Tracker, es geht um die Übermittlung der IP. Das steht auch so im Beitrag, es werden Verbindungen zu den Servern aufgebaut OHNE ausdrückliche Einwilligung und das ist nicht legal. Also auch wenn ein Favicon oder was auch immer, z. B. von LinkedIn oder so eingebaut ist und das wird von Linkedin geladen dann baut mein Rechner eine Verbindung auf und Linkedin bekommt die IP. IP ist personenbezogen und dafür braucht es einen AV Vertrag (durch Bits und Bäume) und eine vorherige Zustimmung BEVOR etwas übermittelt wird und das findet ja beides nicht statt. Deswegen sollte man es umgehend abschalten.

Liebe Leute, lasst uns erst mal Ruhe bewahren und den Sachverhalt Schritt für Schritt nachvollziehen. Ggf. gibt es Verbesserungsbedarf, vllt. besteht hier und da ein Missverständnis. @anon73183378 jedenfalls erst mal Danke für die Hinweise, wir werden diesen nachgehen.
B&B ist an einem sauberen Datenschutz interessiert + wenn es in diesen Bereichen Nachholbedarf gibt, dann wahrsch. aufgrund von Zeitmangel, da B&B ehrenamtlich läuft. Das soll keine Entschuldigung sondern eine Erklärung sein.
Wir checken die Punkte einfach erst mal gemeinsam durch und schauen dann, wo es Verbesserungsbedarf gibt, den wir bestenfalls zusammen erarbeiten.

EDIT: ah ok, @mcnesium hat nochmal geantwortet, nicht gesehen :slight_smile:

1 „Gefällt mir“

@mcnesium FYI: bei Discourse läuft das ganze scheinbar unter dem Namen onebox. Hab grade mal schnell in den Admineinstellungen geschaut – die Deaktivierung der Favicons ist in diesen scheinbar nicht möglich.

Ah guter Hinweis @tantebootsy. Das ist wohl bekannt und liegt tatsächlich an der Dateiendung .ico. Die ist alt und doof und wird per default nicht mehr als Anhang unterstützt (zu Recht!). Wenn man sie jedoch zu den erlaubten Anhängen hinzufügt, werden die Favicons wohl irgendwann auch gecached.

Hier mal ein Test:

https://meta.discourse.org/t/onebox-favicons-and-cloudflares-hotlink-protection/120219/4

In dem Post danach steht noch „a couple of days later“. Bißchen dünne, ehrlich gesagt. Alternativ könnte man die onebox-Vorschau abschalten. Das wär zwar bißchen schade, aber auch kein Weltuntergang. Was denkt ihr dazu?

1 „Gefällt mir“

Hast du .ico bereits zu authorized extensions hinzugefügt? War nämlich bereits drin.

Der bringt in unserem Fall, wenig, da meta.discourse.org keine .icos verwendet :wink:

Also muss noch mal der gute alte SWR herhalten:

Scheint zu funzen:

Capto_Capture 2020-05-29_10-29-30_PM

jedoch nur für neue onboxes. Die alten verweisen weiter auf das Original. Wahrscheinlich kam es Chris von meta.discourse deshalb so vor, als ob es ein paar Tage dauert, bis der Effekt eintritt.

Ob es hier zur rechtlichen Absicherung nun der Editierung der bisherigen onboxes braucht muss letztlich Tilman entscheiden. Auch sollte er sich drum kümmern, dass das Forum in die Datenschutzerklärung aufgenommen wird.

Zumindest habe ich diese nun auf der about-Seite verlinkt (ein Standard seitens Discourse), das ist jedoch wiederum ein Deeplink, daher eig. auch so nicht ganz rechtens.

Datenschutzerklärung muss „über nur einen Klick“ erreichbar sein. Sprich es muss auch im Forum einen Link geben, der überall gut erkennbar ist, durch nichts verdeckt und sofort zu erreichen und muss natürlich alle Angaben, was mit den Daten passiert enthalten (IP Speicherung, Trackingdienste, Kontolöschung, Datenspeicherung, Host, Verantwortlicher usw. usw.). Dient schließlich in erster Linie dafür die User zu informieren, weshalb es auch wichtig ist (sich nicht nur wegen Bußgeld) damit zu befassen.

genau das meinte ich mit „nicht so ganz rechtens“ :wink:

1 „Gefällt mir“

Okay, ich baller mal.

Danke für den @anon73183378

Europäische aussen Grenzen?
Saufen oder er saufen?

Bist du noch ganz sauber? Sich wissentlich nicht an Gesetze halten, Bußgeld in Kauf nehmen, Nutzer verarschen und dann noch dumme Sprüche…
Viel Spaß beim Zahlen…wenn du das einer Behörde antwortest. Und sowas auch noch von einem Moderator mit Vorbildfunktion. Wirklich armseelig.

Nochmals: Leute bleibt bitte sachlich und fangt hier jetzt kein Bashing an. Das bringt uns inhaltlich nicht weiter und erzeugt nur sinnlos negative Gefühle. @PattyLuzina kontaktierst du Tilman? Oder @MathiasRenner du? Ansonsten mach ich im Namen von euch, wenn’s ok ist.

Ich habe ihn bereits kontaktiert inkl. nach dem Post die Berliner Datenschutzbeauftragte sowie das Kernteam. Nach Hinweisen, dass der Betrieb nicht legal ist (Fakt und belegbar), dann bekommen euere User gleich Nazibilder und müssen sich Diskussionen auf saufen und ersaufen anhören. Dafür habe ich keinerlei Verständnis und habe vorher den Dialog gesucht. Meine Zeit ist mri aber zu wertvoll um mit uneinsichtigen Menschen zu diskutieren. Missbrauch bei Google und Co. anprangern und selbst so agieren, das sind mir die liebsten. Daher sollen das die Behörden klären, das TMG ist seit Mitte der 90er bekannt, das BDSG seit den 70ern. (Daten)missbrauch ist kein Kavaliersdelikt.

Und bei sowas steht im Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e.V. im Impressum. Bei so einer Forumskultur möchte ich auch nicht Mitglied sein, da ist mir meine Zeit zu wertvoll.

Ganz ehrlich, Dialog gesucht? Der Ton macht die Musik! So sehr ich Dein Engagement für Datenschutz respektiere und gut finde, so wenig verstehe ich Deine Vorgehensweise hier. Es gibt unzählige Webseiten, die gegen die DSGVO mutmaßlich wissentlich verstoßen. Da muss man doch nicht ein fortschrittliches, ehrenamtliches Netzwerk vor den Kadi ziehen, das trotz begrenzter Ressourcen schnell einen (kleinen) Fehler eingestanden und eine Lösung in Aussicht gestellt hat. Bin mir ziemlich sicher, dass das auch offizielle Stellen ähnlich sehen und es deshalb zu keinerlei Strafen kommen wird. Nur eben zu weniger Zeit, die wirklichen Datenmissbrauchenden zu verfolgen.

Genießt das gute Wetter draußen!

1 „Gefällt mir“

Wie du meinst. Weil andere wissentlich verstoßen dürfen es auch Aktivisten? Was ist dass denn für eine Logik?
Fakt ist es gab keinen Ansprechpartner und ich habe ihn hier gesucht bis ich von Magnesium erst als Troll dann als Rechts dargestellt worden bin, als die Situation sich dann etwas gebessert hat nochmal von der Forumskultur bei saufen und ersaufen hängen geblieben bin. Kein Verständnis. Wirklich nicht.

Da es keine Datenschutzerklärung gibt und auch Nutzer sich wohl nicht selbst löschen dürfen und es auch keinerlei Ansprechpartner hier gibt oder einen User, der auf den ersten Blick als Admin erkennbar ist - fordere ich hiermit gem. Artikel 15 DSGVO per E-Mail eine Auskunft über die über mich bei euch gespeicherten Daten an (in einem maschinenlesbaren tabellarischen Format) per E-Mail oder PN

Ich verlange gem. Artikel 17 DSGVO (https://dsgvo-gesetz.de/art-17-dsgvo/) die vollständige und restlose Löschung meines Accounts und damit verbundenen Informationen inkl. möglicher gespeicherter IP Adressen nachdem ich die Informationen erhalten und bestätigt habe.

Als Frist für die Auskunft setze ich die üblichen zwei Wochen und nach Bestätigung die unverzügliche Löschung. Wenn es dafür auch kein Konzept gibt, wird es spätestens jetzt Zeit sich hierüber Gedanken zu machen.

Es ist ja nicht so das man irgendwas in dem Bereich übersehen hat, es wurden SICH ÜBERHAUPT keinerlei Gedanken hierzu gemacht und das Verständnis ist nichteinmal soweit vorhanden, dass verstanden wurde, wie wichtig es ist.

Hallo zusammen,

die dargestellten Sachverhalte von @anon73183378 sind laut meinem Wissensstand korrekt angebracht und wichtig. Wir hatten beim Aufsetzen des Forums im letzten Jahr „Impressum und Datenschutz“ in der TODO-Liste stehen, seitdem aber nicht mehr verfolgt. Wir müssen das jetzt zeitnah anpacken. Ich hatte gerade mit @rainer.rehak dazu eine Absprache.

TODOs:

  1. Wir aktualisieren die Foren-Software hier (Discourse), es gibt dann vielleicht neue Konfigurationsmöglichkeiten, die die Weitergabe von IPs an externe Webseiten zu unterbinden. Es ist dann hoffentlich auch möglich, eigene Accounts selbstständig löschen zu können.
    Wir brauchen schon länger zwei neue Server Admins. Wer aus der Runde würde sich von den aktuellen Admins onboarden lassen und das übernehmen wollen? Der Aufwand ist bei ca. 10h pro Jahr, aber es muss zwei Augenpaare geben, die das fachlich einigermaßen können und zuverlässig erreichbar sind im Fall der Fälle. Bitte ASAP melden.
  2. Wir erstellen eine Datenschutzerklärung und ein Impressum. @rainer.rehak wird in beiden als Ansprechpartner stehen.
    Wer mit etwas Erfahrung oder kurzfristigen Einlesewillen hilft hier mit?

Ich finde den Ton der Diskussion hier von mehreren Seiten verbesserungsbedürftig. Hier sollten wir uns alle an die Nase packen!

Erfahrungsgemäß handeln die Datenschutzbehörden in solchen Fällen eher beratend als strafend. Lass uns das also optimistisch als Chance begreifen und die Themen jetzt mit Prio 1 angehen und lösen!

BG
Mathias

2 „Gefällt mir“

Ich helfe mit. Wir brauchen keine extra Datenschutzerklärung und Impressum, die bestehenden müssen lediglich ergänzt oder geändert werden.

Lass uns erst mal noch mit den von @anon73183378 genannten Plugins das Forum checken. Ggf. gibt es gar kein Bedarf mehr für neue Konfigmöglichkeiten, da die .icos ja nun ebenfalls heruntergeladen werden. Lediglich die alten Verweise auf extern müssten dann raus.

Standard-Export der Userdaten von @anon73183378 habe ich gemacht, allerdings sind darin nicht die Posts vorhanden. Kann die jemand von euch via DB oder API ziehen? Dann lasst mir diese bitte zukommen und ich füge alles in die CSV ein. Falls dafür keine Kapazitäten da sind mach ich’s halt händisch. Gebt mir bitte bis Mittwoche Bescheid diesbzgl.

1 „Gefällt mir“

Update: @Marius und ich werden heute Abend Discsourse und Mastodon auf latest Version updaten, inkl. der Plugins. Dann schlage ich vor, dass wir die genauer anschauen.

1 „Gefällt mir“

Discourse und Plugins sind jetzt auf dem aktuellsten Stand.

1 „Gefällt mir“

Das klappt ja super. Hab leider keine Doku gefunden, wie man die Previews inkl. oneboxes vollständig deaktiviert. Hat da jemand von Euch ne Idee? @tantebootsy, @mcnesium?