Amateurfunk Forum - Archiv

[quote]Hi Gerhard,

bei Links gilt das was du geschrieben hast. Hier geht es aber um das Einbinden fremder Bilder über den "Img"-tag im BB-Code. Das Bild vom fremden Server wird also direkt angezeigt.
[color=#FF0000:15334qr7]Die "Img"-tag im BB-Code sollten gesperrt werden.
[/color:15334qr7]
Zu den Punkten 3 ff kann ich nur sagen, dass mir so eine Interpretation zwar sehr recht wäre, das aber nicht der allgemein üblichen Interpretation entspricht. Das Forum verarbeitet personenbezogene Daten weil sie gespeichert werden und durch die Benutzer wieder angezeigt werden können. Das fällt alles unter den Begriff "Verarbeitung".

Du hast zwar Recht damit, dass Daten aus dem Forum nicht an Google, Facebook oder Werbetreibende gehen aber das hilft an der Stelle leider nicht weiter.
[/quote]

Hallo Michael,
dieses Forum ist ein geschlossenes Amateurfunkforum für Fragen, Antworten, Neuigkeiten, Projektvorstellungen und für den Bereich Amateurfunk gedacht. Außenstehende User und Suchmaschinen können hier lesen, kommen aber nicht an die persönlichen Daten der User. Das können nur angemeldete User, die sich auch angemeldet (login) gemacht haben und sonst keiner. Das hier Daten bevorratet werden sollen, wird ja auch gesetzlich geregelt, damit Behörden noch die nötigen Daten zu einer Anzeige/Verfolgung sichern können.

Das sollte jeder angemeldete User wissen und akzeptieren oder sich nicht anmelden. Hier hätten wir die Wahl, das Du ein Script für eine erneute Anmeldung schreibst, wo die Bedingungen enthalten sind und alle vorhandenen User abmeldest und diese Frage auch stellst, ob sie einverstanden damit sind, das Ihre persönlichen Daten für den Betrieb weiterhin intern für das Forum benutzt werden dürfen mit der Antwortmöglichkeit:

- JA, ich möchte das Forum weiter benutzen dürfen.

- NEIN, das User-Profil mit den persönlichen Daten wird im Forum gelöscht und die Beiträge wie es bereits in den Bedingungen beschrieben wurde, verbleiben im Forum.

Insofern reicht für ein privates Forum https und die Bestätigung der Teilnehmer zu unseren Bedingungen zur Teilnahme in diesem Forum. Die Verordnung DSGVO trifft dann hier nicht zu.

Viele Grüße
Gerhard

[quote]- NEIN, das User-Profil mit den persönlichen Daten wird im Forum gelöscht und die Beiträge wie es bereits in den Bedingungen beschrieben wurde, verbleiben im Forum. [/quote]

Das widerspricht im weiteren Sinn dem Grundsatz des "Recht auf Vergessenwerdens". Wenn, mußt Du die Abfrage dreistufig machen. Ja, Nein mit Beiträgen, Nein ohne Beiträge. Wobei dann strenggenommen auch Zitate wegeditiert werden müßten... Ob man das rechtlch einfach so umgehen kann, ist die große Frage. Bei Facebook gings bei dem Musterprozeß damals ja in der Nebenklage genau um sowas. Der Verweis auf technische Nichtmachbarkeit dürfte leider nicht beeindruckend wirken

Dank Datenschutz, befeuert von Datenkraken, muß das ein Admin heute ja alles berücksichtigen. Inwiefern das einfach geht mit der BB-Software, weiß ich nicht. Wenn das aber noch so ähnlich aussieht, wie vor 10 Jahren, ist das Script sehr einfach gehalten und Zitate sind einfach nur Textbausteine - ohne interne Quellenvermerke. Das läßt sich automatisiert dann nicht suchen. Ich weiß ja, wie ich Zitate einfüge: Copy & Paste. Das geht ja glatt an der Software vorbei...

Ich persönlich würde mal noch ein paar Tage zuwarten. Wie ich in meinem eigenen Postfach gesehen habe, sind ja nun zum 30. April und 1. Mai bereits einige neue Datenschutzerklärungen verschickt worden. Diese einfach mal studieren und schauen, wie die sich in ihrer entsprechenden Anwendung verhalten. Die meisten wollen sich um die Nacharbeit drücken und werden ihre Rechtsabteilungen entsprechend auf den Plan gerufen haben.

Meinen Bekannten im Datenschutz werde ich mal anhauen. Evtl. kann er mir einen Tipp geben, wie man das in solch einem Forum anwenden kann. Ob eine Antwort kommt und wie weit man die als "wasserdicht" ansehen kann, sieht man dann.

@Michael: kümmere mich in der kommenden Woche drum, Du bekommst dann eine Mail - sollte ich was erreichen!

Die DSGVO trifft natürlich auch weiterhin zu. Das was du vorschlägst erfasst ja auch schon die wesentlichen Punkte des DSGVO.

[list:b6xl1bne]
[*:b6xl1bne] Umstellung auf HTTPS[/*:m:b6xl1bne]
[*:b6xl1bne] Wechseln zu einem Hoster der dies ermöglicht und mit diesem einen Vertrag zur Auftragsdatenverarbeitung schließen[/*:m:b6xl1bne]
[*:b6xl1bne] Rückbau der Forensoftware auf ein normales phpBB-Forum[/*:m:b6xl1bne]
[*:b6xl1bne] Anonymisierung aller alten Forenbeiträge[/*:m:b6xl1bne]
[*:b6xl1bne] Löschen aller Bildverweise in alten Beiträgen[/*:m:b6xl1bne]
[*:b6xl1bne] Löschen aller Bildanhänge in alten Beiträgen[/*:m:b6xl1bne]
[*:b6xl1bne] Formulierung einer umfassenden Datenschutzerklärung[/*:m:b6xl1bne]
[*:b6xl1bne] Neuregistrierung aller Benutzer, die unter den neuen Bedingungen (die den alten Bedingungen entsprechen, nur ausformulierter sind) noch teilnehmen möchten[/*:m:b6xl1bne]
[*:b6xl1bne] Sperren des "IMG"-Tags[/*:m:b6xl1bne]
[*:b6xl1bne] Hochladen von Bildern verbieten[/*:m:b6xl1bne]
[*:b6xl1bne] phpBB-Modifikation einbinden, welche es überhaupt erst erlaubt eine Datenschutzerklärung wirksam und nachweisbar einzubinden. Weiterhin muss sie bewirken, dass Cookies erst nach Zustimmung der Cookie-Richtlinie gesetzt werden.[/*:m:b6xl1bne]
[*:b6xl1bne] Funktion zum einfachen Export aller personenbezogenen Daten (müsste ich momentan noch von Hand machen)[/*:m:b6xl1bne]
[*:b6xl1bne] Funktion zum einfachen Löschen aller personenbezogenen Daten (muss ich momentan von Hand machen)[/*:m:b6xl1bne][/list:u:b6xl1bne]

Die Liste ist sicher noch nicht vollständig. Wenn ich sehe wieviel Arbeit in diesen Punkten jeweils steckt, frage ich mich ob ich das leisten kann und möchte. Ich habe das Forum einst erstellt, weil es mir Spaß gemacht hat das Forum technisch zu betreuen. Mittlerweile finde ich für die Betreuung kaum mehr Zeit. Aber jetzt müsste ich auch einen ganzen Haufen Zeit in nicht-technische Dinge stecken, die mir eigentlich keinen Spaß machen.


Grüße
Michael

@Jörg
In dieser Frage habe ich auch schon recherchiert. Meiner Ansicht nach handelt es sich bei den allermeisten Beiträgen nicht um personenbezogene Daten. Wenn natürlich mal jemand personenbezogene Daten hineinschreibt, lässt sich das nicht verhindern. Die Daten wurden aber nicht als personenbezogene Daten erhoben und könnten ja auch überhaupt nicht in einer Datenschutzerklärung berücksichtigt werden. Nach entsprechendem Hinweis auf konkrete Beiträge, die eine Personen identifizierbar machen, würde ich diese natürlich löschen.

[quote].... [color=#FF0000:21bj0vra]Die "Img"-tag im BB-Code sollten gesperrt werden.
[/color:21bj0vra][/quote]Hallo Gerd und Michael, das img-Problem gilt auch für Avatare. Mir ist vor kurzen aufgefallen, daß bei mir offene URL-Requests im TCP/IP hingen, die durch ein Useravatar ausgelöst wurden. Inzwischen per PN geklärt und gelöst. Problem war, der Avatar wurde extern aufgerufen (nicht nach upload vom Server) und die Link hatte sich geändert.

Du mußt praktisch alles verhindern, was nicht als externe URL sichtbar ist, aber auf eine externe Link weiter routed. Möglicherweise gibt es noch mehr als img und Avatar. Bei sichtbarer URL kannst Du per allgemeinen Hinweis die Verantwortung ablehnen, alles andere muß raus.

73 Peter

Jetzt hat es sich überlappt: Bilder MÜSSEN hochgeladen werden, wenn sie nicht explizit mit eigener externer Link im Text stehen und damit dem User als externe Link erkenntlich sind. Betrifft zumindest den Avatar als Beispiel.

Historische Posts bzw. Threads löschen wäre m.E. durchaus eine Option. Die User können sich die Posts selber sichern, d.h. Frist dazu. Ich sichere mir Seiten mit Informationen schon und hebe mir damit einiges an Tips auf. Wenn jetzt in 2 Wochen alles weg wäre, hätte ich Infos, die mich interessieren nach wie vor. Eventuell könntest Du auch befristet Löschen von eigene Beiträgen frei geben. Müßte man diskutieren.

Beitrag gelöscht?

http://m.spiegel.de/netzwelt/web/dsgvo- ... sponfakt=6

[quote]Jemand bindet über die "IMG"-Formatierung ein Bild in seinen Beitrag ein. Bei Aufruf der Seite wird also ein Bild von einem fremden Server geladen und bei der Abfrage natürlich diverse Daten wie die IP übermittelt. Nach der DSGVO müsste ich mit jedem Webseitenbetreiber, dessen Bilder in Beitrage eingebettet wurden und werden einen Vertrag zur Auftragsdatenverarbeitung abschließen.[/quote]

Warum eigentlich? Der Browser des Users lädt die Bilder von einem Server von $Anbieter herunter. Du leitest direkt keine Daten an $Anbieter weiter und erhältst auch keine. Wenn $Anbieter nun Daten (IP, angefragte URL, Request-Header inkl. Referrer, etc.) speichert, müsste eben jener Anbieter den User wiederum nach DSGVO um Erlaubnis bitten und informieren. Du als "Linkbereitsteller" hast ja damit nichts zu tun - das dürfte bei allen Linkarten gleich sein.

Aber es gibt noch ein anderes Problem: SSL mit eingebetteten Inhalten von nicht-SSL Seiten ist nicht so toll: https://developer.mozilla.org/de/docs/S ... xedContent

73, Sascha

[quote]Warum eigentlich? Der Browser des Users lädt die Bilder von einem Server von $Anbieter herunter. Du leitest direkt keine Daten an $Anbieter weiter und erhältst auch keine. Wenn $Anbieter nun Daten (IP, angefragte URL, Request-Header inkl. Referrer, etc.) speichert, müsste eben jener Anbieter den User wiederum nach DSGVO um Erlaubnis bitten und informieren. Du als "Linkbereitsteller" hast ja damit nichts zu tun - das dürfte bei allen Linkarten gleich sein.[/quote]

Hallo Sascha,

das stimmt für normale Verweise. Du lawndest dann auf einer anderen Seite und diese muss dich dann darüber informieren, dass eventuell Cookies gesetzt werden oder welche anderen Daten über dich gespeichert werden. Bei Einbettung fremder Bilder oder auch Youtube-Videos und IFrames landest du aber ja nicht wirklich auf einer fremden Seite und kannst dadurch auch nicht über die Datenverarbeitung informiert werden. Deshawlb muss der Seitenbetreiber, der diese Dinge einbettet dich stattdessen darüber informieren.

Im Nachbarforum sieht es übrigends ähnlich düster aus: https://hamradioboard.de/wbb/index.php/ ... #post91227

Dabei hatte ich insgeheim gehofft, dass es auch ohne mein Forum einfach an anderer Stelle weitergehen kann.

Auch andere machen sich schon bereit zum Abschalten:
https://www.heise.de/newsticker/meldung ... 40471.html

Es gibt dort auch ein paar interessante Kommentare wie diesen hier zu einer Standard-Wordpress-Installation:
https://www.heise.de/forum/heise-online ... 9335/show/

Da merkt man, dass vor allem die technisch involvierteren Personen die Machbarkeit einer DSGVO-Konformität kritisch beurteilen. Entweder man entwickelt mit Fokus auf DSGVO ein eigenes System oder man muss vorhandene Systeme wie Wordpress und phpBB bis ins Detail durchdringen um DSGVO-konform zu sein.


Grüße
Michael

[quote]Da merkt man, dass vor allem die technisch involvierteren Personen die Machbarkeit einer DSGVO-Konformität kritisch beurteilen. Entweder man entwickelt mit Fokus auf DSGVO ein eigenes System oder man muss vorhandene Systeme wie Wordpress und phpBB bis ins Detail durchdringen um DSGVO-konform zu sein.[/quote]
Ich nehme schwer an, eingebette Inhalte (mal Tracking wie Google Analytics, etc. ausgenommen) wird es weiter geben - sonst würde es bald ein werbefreies europäisches Internet geben, da Werbung meist über Drittanbieter vermittelt wird - muss der Werbeblocker dann nichts mehr tun?

73 Sascha

[quote]
Ich nehme schwer an, eingebette Inhalte (mal Tracking wie Google Analytics, etc. ausgenommen) wird es weiter geben - sonst würde es bald ein werbefreies europäisches Internet geben, da Werbung meist über Drittanbieter vermittelt wird - muss der Werbeblocker dann nichts mehr tun? [/quote]
Ja, das wird es alles weiterhin geben und ist auch alles erlaubt. Man muss das alles "nur" in der Datenschutzerklärung angeben. Deswegen rotieren ja schon einige Firmen um ihre Services DSGVO-konform anbieten zu können.

Man kann jetzt mit Google Analytics einen Vertrag zur Auftragsdatenverarbeitung schließen. Es gibt eine Opt-Out-Funktion um von Analytics nicht mehr getrackt zu werden. Bei Google AdSense kann man das Tracking ebenfalls ausschalten und bekommt keine personalisierte Werbung mehr sondern Werbung, die dem Thema der einbettenden Seite entspricht. Youtube-Videos lassen sich mit einem Parameter so einbinden, dass keine Cookies mehr gesetzt werden. Es tut sich diesbzeüglich also einiges aber es steckt auch ein gigantischer Aufwand dahinter.


Grüße
Michael

[quote]...... Ja, das wird es alles weiterhin geben und ist auch alles erlaubt. Man muss das alles "nur" in der Datenschutzerklärung angeben. Deswegen rotieren ja schon einige Firmen um ihre Services DSGVO-konform anbieten zu können.

Man kann jetzt mit Google Analytics einen Vertrag zur Auftragsdatenverarbeitung schließen. Es gibt eine Opt-Out-Funktion um von Analytics nicht mehr getrackt zu werden. Bei Google AdSense kann man das Tracking ebenfalls ausschalten und bekommt keine personalisierte Werbung mehr sondern Werbung, die dem Thema der einbettenden Seite entspricht. Youtube-Videos lassen sich mit einem Parameter so einbinden, dass keine Cookies mehr gesetzt werden. Es tut sich diesbzeüglich also einiges aber es steckt auch ein gigantischer Aufwand dahinter.

Grüße
Michael[/quote]Dazu hatte ich schon mal im "Datensschutz"-Thread gepostet.[quote]Es gibt auch bei den "seriöseren" Händlern einiges, was man schadlos unterdrücken kann. Ich habe z.B. für outgoing data im Firewall criteo.com geblockt, d.h. auf ignore, IP/Maske 178.250.0.0 / 255.255.252.0 . Der fiel mir im Log auf und ist ein reiner Sammler (lt. Recherche), der in einigen Seiten angesprochen wird. Nicht nur via Javascript, sondern auch ohne. Der ist am häufigsten im Log (als ignored jetzt).

Da ich ohnehin Amazon meide, habe ich dort auch etwas auf ignore gesetzt. Ein weiteres Rätsel sind Verizon-IPs, die in einigen Javascriptroutinen direkt numerisch per IP aufgerufen werden und lt. ARIN zu Verizon gehören und interessante QTHs haben....
192.229.233.249 / 255.255.225.225 und
152.195.39.132 / 255.255.225.225
Diese IPs tauchen in Standard-Scripts auf, die anscheindend vom Seitenbetreiber mit der S/W eingekauft wurden. Bisher habe ich keine Probleme, wen die keinen Output von mir kriegen.

Die genannten IPs haben nichts mit Popup & Co zu tun, daß habe ich sowieso auf NoGo. Wie ein Verkäufer arbeitet, kann man an den Floskeln erkennen (@Uwe ): Kunden die diesen Lötkolben kaufen, kauften auch den folgenden BMW 539gti-td, die AEG Waschmaschine 802deluxe , und eine 50er Packung Viagra. Dann folgen die entsprechenden Bilder.[/quote]Ich habe diese Funktionen tief im HTML-Code gefunden, mit und ohne Javascript, die IPs ist z.T. hard-coded numerisch, nicht nur als Google....... (in dem Fall waren es Verizon-IPs).

Solche Sachen fallen auf, wenn man die Firewall-Logs an hat und mitliest, bzw. später analysiert. Hier ist mir noch nichts "abartiges" aufgefallen. Es reichen ja u.a. außer der Google-Font Geschichte auch die ganzen like-Buttons, womit Facebook, Twitter & Co dann die IP haben, auch wenn man nicht anklickt.

Für Paranoiker (wie mich) als Info an "Gleichgesinnte": Früher habe ich bei DSL-Login (Client Zugang TCom) jedesmal aus dem Pool eine neue IP bekommen. Mit VoIP (die Magenta-Verträge) muß ich manuell "Trennen" (im Router Internet Menu), dann ist allerdings auch Telefon weg. Mit neuem "Verbinden" bekomme ich dann auch wieder eine neue IP. Bei der definierbaren "Zwangstrennung" behält man die IP -- habe ich von 2.00 bis 5.00 angegeben, da muß mich niemand anrufen. Ist allerdings lästig und das werde ich wohl nur selten machen. Früher bei DSL bin ich trotz Flatrate nach "getaner Arbeit" immer vom Netz gegangen und hatte beim nächsten Mal eine andere IP. (Bemerkbar bei dem einen oder anderen Händler, der mir immer das Wetter in Hinterobertupfendorf (oder anderer Ort) anzeigte, wo er mich wohl per Wohnsitz vermutete.

Unterm Strich: diese kleinen Ferkeleien sind tatsächlich in "Standardcodes" versteckt und wenn man nicht gleich alles selbst schreibt, tunken einem eventuell Dritte kräftig ein. Als Client kann ich es im Prinzip im Firewall abwürgen, aber im Server bzw. in gekaufter bzw. fertiger S/W???

73 Peter

[quote]

Da ich ohnehin Amazon meide, habe ich dort auch etwas auf ignore gesetzt. Ein weiteres Rätsel sind Verizon-IPs, die in einigen Javascriptroutinen direkt numerisch per IP aufgerufen werden und lt. ARIN zu Verizon gehören und interessante QTHs haben....
192.229.233.249 / 255.255.225.225
[/quote]

Ja, durchaus interessant: https://anti-hacker-alliance.com/index. ... 29.233.249

Das DMR System wird ab heute umgebaut wegen DSGVO.

Hallo zusammen,
es kam nach einem Einwand von unser Bundeskanzelerin von der EU folgendes Ergebnis:

https://www.heise.de/newsticker/meldung ... 48608.html

Dieses Aussage schafft etwas Zeit aber das "HTTPS- Protokoll" sollte bis dahin mindestens eingebaut sein, denn die e-mail Verschlüsselung mit mime und pgp wurden geknackt.(Quelle NDR-News, Heise, Spiegel etc... ).

------------>
Die Erklärung, das in diesem persönlichen Forum nur die privaten Daten nur für die Verwaltung des Forums verwendet werden:

[b:2jfyzjr4][u:2jfyzjr4][size=150:2jfyzjr4]DATENSCHUTZERKLÄRUNG[/size:2jfyzjr4][/u:2jfyzjr4][/b:2jfyzjr4]

- Anmeldung des Users in das Forum mit Freigabe durch den Administrator
- Beiträge des Users
- Passwort zur Anmeldung
- Anzahl der Beiträge des Users
- Datum der der letzten Anmeldung in das Forum
- Speicherung der IP-Adresse zur Ermittlung für Behörden wegen Datenvorratsspeicherungsgesetz
- Es werden keine Daten zur Verwendung an Dritte weiter gesendet
- freie Einträge in das Profil des Users, die er bekannt machen möchte, also nicht ausgefüllt werden müssen

- Bitte vor der Anmeldung im Forum (logon) nur hier anmelden, ohne das weitere Suchmaschinen wie Google,Yahoo, Bing, Facebook etc... die aktuelle
IP-Adresse hier auslesen können. In diesem Zusammenhang auch immer andere USER-IDs verwenden oder bei DuckDuckGo schauen, wie man anonym sich selbst schützen kann. Das funktioniert sehr gut und die Antworten auf Anfragen kommen immer sehr schnell, weil niemand mehr zum Tracken der Seitenaufrufe eben "kein Futter" mehr bekommt.

<----------

Vy 73
Gerhard / DC4LO