GDPR Compliance - well... sort of


#1

Ich hab nun folgendes Plugin installiert, das mehr oder weniger GDPR Compliance verspricht. Ist besser als nichts…

Jeder registrierte User hier kann nun in seinem Profili alles das im meta über sie/ihn gespeichert ist herunter laden.


#2

Das ist ein anfang, aber da fehlen sehr viele daten. Die tracking daten für die badges wie zb lesezeit von artikeln und sowas. Also compliant is ganz was anderes.

https://meta.it-syndikat.org/t/privacy-policy/6 gehört auch geupdated, ich glaub die discourse leute haben irgendwo ein template.

Die ToS sollten wir vl. auch mal ausfüllen oder entfernen: https://meta.it-syndikat.org/t/terms-of-service/4. Da steht momentan so nette placeholder wie “The Website is owned and operated by company_full_name (“company_short_name”).”


#3

https://www.discoursehosting.com/your-discourse-forum-and-the-gdpr/


#4

Lt. Plenum Juni 2018 hier die Punkte, die noch abgearbeitet werden müssen um das IT-Syndikat GDPR Compliant zu machen:

  • Bekannt geben welche Daten wir bei Discourse speichern

For visitors, regardless whether they have an account, browsing a Discourse forum, the following data is being collected:

Pages visited
IP address
Incoming and outgoing links
Reading times per post
User profiles viewed
If they have an account then there is some additional data being collected,

Likes given and flags being requested
Registration IP address

  • Bekanntgeben was wir sonst noch speichern
    • Alles vom Meta (siehe oben)
    • Name, E-Mail-Adresse der Mitglieder für finanzielle Abwicklung
    • Mails und benutzerdefinierte Config sofern jemand einen Mailaccount mit ...@it-syndikat.org hat
    • Mails die rein geschickt werden
  • Häckchen bei registrierung muss noch rein
  • Terms of Service gehören von uns mal durchgelesen und angepasst
  • Privacy statement gehört von uns mal durchgelesen und angepasst

Erledigt:

  • website Aapache logt nichts mehr
  • yxorp nginx logt nix mehr
  • Meta Legal Plugin: aktuelle version sollte jetzt alle Daten zur Verfügung stellen (ich hätt nichts gesehen dass was fehlt)

#5

Serendpity sollte noch die comments verlieren,
macht der @robelix


#6

update serendipity_entries set allow_comments="false";

done.

Die insgesamt 6 vorhandenen Comments hab ich mal gelassen. (davon sind auch noch ganze 4 von mir selbst)


#7

@gwrx Daten von unauthentifizierten usern dürfen prinzipiell auch nicht ohne consent gespeichert werden. Die frage ist ob die daten unter PII fallen, da sie aber warscheinlich mit der IP verknüpft sind und die als PII in kombination anderer daten gilt tendier ich eher zu schon.

Als referenz die definition von “personal data”:

‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

Man bemerke “online identifier”, denk damit wollen sie entweder auf @handles oder IPs raus.


#8

Ad Vereinsdaten, wenn man die vereinsmigliedschaft als vertrag ansieht könnte Art 6 Abs 1b zutreffen:

Processing shall be lawful only if and to the extent that at least one of the following applies:

[…]
(b) processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract;
[…]

Also ich glaub nicht dass wir für die nicht existierende mitgliederliste oder finanzielle daten irgendwelchen consent brauchen.


#9

Ja, Nutzerbezogene Daten - dadurch dass wir keine Daten von nichtautentifizierten Nutzern speichern, die es erlauben jemanden mit diesen Daten zu identifizieren halt ich das für zulässig.


#10

Nein so funktioniert das nicht. Lies nochmal die definition von “personal data” von oben. Es geht um alle date die mit einer identifizierbaren natürlichen person verknüpft sind. Durch die IP ist so eine person identifizierbar. Die WKO stimmt mir da auch zu,

[…] Die IP-Adresse gilt als personenbezogenes Datum.

siehe https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Auswirkungen-auf-Websites.html.

Die datenschutzbehörde sagt dazu folgendes:

Die wesentliche Aussage: Gemäß Art. 2 Buchst. a der
Richtlinie 95/46/EG des Europäischen Parlaments und
des Rates vom 24. Oktober 1995 zum Schutz natürlicher
Personen bei der Verarbeitung personenbezogener Daten
und zum freien Datenverkehr ist eine dynamische
IP-Adresse, über die ein Nutzer die Internetseite eines
Telemedienanbieters aufgerufen hat, für Letzteren ein
„personenbezogenes Datum“, soweit ein Internetzugangsanbieter über weitere zusätzliche Daten verfügt,
die in Verbindung mit der dynamischen IP-Adresse die
Identifizierung des Nutzers ermöglichen.

(aus https://www.dsb.gv.at/documents/22758/115212/Newsletter_DSB_1_2017.pdf/7593481f-1711-4166-b7a3-6108329fd39a)

95/46/EG ist der vorgänger der DSGVO aber ich denke nicht dass sich in der interpretation was geändert hat.


#11
  • Hackerl bei Registrierung ist gesetzt
  • TOS: global variable gesetzt
  • TOS von meta.discourse.org für uns unpassend weil US
  • Privacy Seite von uns eh brauchbar

#12

Ad Supybot: Aktuell logt er Command aufrufe mit, und zwar in folgender Form:

INFO 2018-07-07T11:19:41 supybot isitopen called by "Konfusius!DlyJ069KXS@unaffiliated/uberkonfusius".

Ansonsten werden nur Texte gespeichert, die bestimmte Plugins brauchen. Zum Beispiel !Later tell, !Quote etc. Chatlog wird keiner gespeichert.