Personenbezogene Daten ohne Anmeldung verfügbar - DSGVO-Verstoß?

Hi Discourse Admins,
die URL https://discourse.bits-und-baeume.org/u?order=posts_read&period=all im Discourse offenbart m.E. personenbezogene Daten und macht sie zudem unbeteiligten Dritten verfügbar, da die Seite scheinbar auch ohne Authentifzierung aufgerufen werden kann.

Ist das nicht in Sachen DSGVO problematisch?

Also ich fühl mich gerade jedenfalls nicht so ganz wohl dabei, daß mein Nutzungsverhalten von jedermann studiert werden kann.

Grüsse
Roland

Da die dort aufgeführten Daten auch aufrufbar sind, wenn du unangemeldet durch Forum surfst und da das Forum die Möglichkeit der Pseudonymisierung bietet (Klarnamen sind nicht Pflicht) ist hier kein Verstoß vorhanden, denke ich.

Zur Einordnung des Ganzen: Das offizielle Discourse-Forum https://meta.discourse.org/ zeigt das selbe Verhalten: https://meta.discourse.org/u

Ich bin kurz durch die Adminoberfläche gegangen und habe nichts gefunden, um die Sichtbarkeit zu limitieren. Anscheinend gibt es auch keine Anleitung zum Betrieb von Discourse.

2 Like

man kann privatspären einstellungen machen - aber das ändert offenbar nix an der tatsache, daß man da gelistet wird. ich hätte erwartet das mit „hide my public profile“ auch diese statistik einträge verschwinden, was aber scheinbar nicht der fall ist.

https://meta.discourse.org/t/data-privacy-concern/153787

das jetzt an den datschenschutz-beauftragten (https://bits-und-baeume.org/datenschutz/de ) zu reichen macht sicher nur ein fass auf - es einfach so zu lassen und nix tun ist aber m.E. auch nicht der richtige weg.

schlage vor man bringt das mal (neutral) als thema in der discourse community auf.
Ist DAS eigentlich der discourse bugtracker, oder wie werden die getrackt?
https://meta.discourse.org/c/bug/1

Ich bin kurz durch die Adminoberfläche gegangen und habe nichts gefunden, um die Sichtbarkeit zu limitieren.

doch , es geht - nur leider nur global, dann ist das user-verzeichnis inkl. statistik komplett weg - was ja auch nicht im sinne des erfinders ist…

Naja, das kann man durchaus mal diskutieren.

Die Liste der aktiven Nutzer in einer Forensoftware gibts wohl schon immer™. Sie diente vermutlich hauptsächlich zum angeben, wie angesagt bzw. erfolgreich die jeweilige Plattform im Web 1.0 ist.

Ich finde, dieser Thread könnte dazu dienen, um herauszufinden, ob diese Gepflogenheit heutzutage noch nötig ist, oder ob man die Funktion aus Datensparsamkeitsgründen vielleicht tatsächlich abschalten kann.

ich denke eine öffentliche diskussion wäre da vielleicht gut - auf der anderen seite könnte das schlafende dsgvo hunde wecken und negativ-publicity bedeuten… entscheidet ihr.

fakt ist für mich: im moment gibts keinen weg diese öffentliche funktionalität loszuwerden ohne daß es auch nicht-öffentlich einschränkungen hätte. zu sehen wer alles „an bord“ ist und ggf. auch aktiv oder inaktiv, ist ja für foren-member schon ganz nützlich…

Kannst du bitte erläutern, was genau an der Benutzerliste deiner Meinung nach nicht DSGVO-konform ist? Schon in deinem ersten Post hast du nur pauschal „in Sachen DSGVO“ gesagt, ohne auszuführen, was genau das Problem sein soll.

Die Betreiber des Forums sind keine Juristen, sondern Aktivisten aus vielerlei Richtungen, die in ihrer Freizeit versuchen, ihren kleinen Beitrag zur Rettung der Welt zu leisten. Wohlmeinende Hinweise sind immer willkommen, und natürlich auch Kritik. Jedoch sollte die Kritik konstruktiv sein und nicht nur aus Geraune oder gar Anschuldigungen bestehen, sonst bringt sie uns nicht weiter, sondern macht nur schlechte Laune.

Darum möchte ich dich hiermit erneut bitten, deine Bedenken genauer auszuformulieren.

wenn schon IP-Adressen in Webserver Logs persönliche Daten darstellen, die gekürzt werden müssen (während die nichtmal öffentlich abrufbar sind) - was sind denn dann post&lesestatistiken die man direkt einem User zuordnen kann und die öffentlich JEDER abrufen kann?

https://www.datenschutz-praxis.de/fachartikel/datenschutzgerechte-webstatistiken/

„Setzt der Website-Betreiber ein Analyse-Tool ein, das Daten über das Nutzungsverhalten betroffener Personen an Dritte weitergibt, reicht ein berechtigtes Interesse an der Reichweitenmessung als rechtliche Grundlage der Verarbeitung nicht mehr aus…Auch Analysesoftware, die lokal implementiert ist, zählt dazu…Damit ist insbesondere der Betreiber der Website in der Verantwortung, die personenbezogenen Daten zu schützen…“

Bitte lasst uns diese Diskussion öffentlich weiterführen, damit sie mehr Leuten zugute kommt.

gern. ich mach nen post

Können wir den Thread nicht in ein offenes Forum verschieben?

Laut diesem Post war das offenbar ein Bug, der in der aktuellen Version 2.6.0 gefixt ist. Da mach ich doch mal ein Update, wa? :construction_worker_man:

1 Like

wusste garnicht daß man in discourse threads/topics verschieben kann (wie? finde das auf die schnelle nicht, muss vermutlich ein admin machen?), also ich hab da kein problem mit…

Er ist jetzt in Hilfe und Feedback.

So, also die Version ist jetzt aktuell:

und meine Einstellung hab ich angepasst:

Trotzdem taucht mein Nutzer nach wie vor in der Liste auf…

Könnt ihr das bestätigen? Hab ich was vergessen? :thinking:

1 Like

Neben der globalen Statistik gibt es noch eine persönliche Statistik, die auch öffentlich und anonym einsehbar ist - allerings kann man die Sichtbarkeit durch seine privacy settings einstellen und das zieht auch:

https://discourse.bits-und-baeume.org/u/$username/summary

Discourse Installationen dieser Welt kann man übrigens (z.B. zum Vergleichen) mit shodan.io finden.

Ich hab das mal gemeldet: https://meta.discourse.org/t/more-data-privacy-concerns/158044

1 Like

@mcnesium Danke fürs Melden. Jeff Atwood hat im Forum den entsprechenden Hinweis gegeben und ich habe das Benutzerverzeichnis hier deaktiviert. Ich habe die entsprechende Checkbox nicht gesehen, als ich die Liste mit den Einstellungen durchgegangen bin.