DSGVO-konformes Forum: 6 Fakten, die du kennen musst!

Photo by Giammarco Boscaro on Unsplash.com

Datenschutz ist für den Betreiber eines Forums spätestens seit dem Inkrafttreten der DSGVO ein wichtiges Thema. WoltLab bietet mit der WoltLab Suite eine professionelle Forum-Software für einen DSGVO-konformen Betrieb eines eigenen Forums an. Wir erklären die wichtigsten Dinge, die es dabei zu beachten gibt.

Jetzt Forum erstellen mit WoltLab Suite

1. Datenschutzerklärung

Dein Forum benötigt eine Datenschutzerklärung, in der die Nutzer des Forums über die Verarbeitung ihrer personenbezogener Daten, die in deinem Forum stattfindet, informiert werden.

Folgende Angaben sollte die Datenschutzerklärung in jedem Fall enthalten:

  • Name und die Anschrift des Verantwortlichen
  • Zwecke, zu denen personenbezogene Daten verarbeitet werden
  • Rechtsgrundlagen für die Datenverarbeitung
  • Speicherdauer der Daten
  • Rechte der Betroffenen

WoltLab Suite liefert bereits eine fertige Datenschutzerklärung mit, die den Standardfunktionsumfang abdeckt. Das schließt z.B. die Nutzung des Kontaktformulars, Drittanbieter-Logins oder Medienanbieter wie YouTube ein. Trotzdem kann es aus folgenden Gründen sinnvoll sein, die im Forum mitgelieferte Datenschutzerklärung individuell über die Seitenverwaltung in der Administrationsoberfläche anzupassen:

  1. Der Name und die Anschrift des Betreibers des Forums muss in der Datenschutzerklärung genannt werden.
  2. Die Datenschutzerklärung sollte keine unnötigen Inhalte haben. Passagen, die überflüssig sind, weil die dazugehörige Funktion im Forum nicht genutzt wird bzw. deaktiviert ist, sollten deshalb aus der Datenschutzerklärung entfernt werden.
  3. Die mitgelieferte Datenschutzerklärung deckt keine Bereiche ab, die potenziell durch eigene Anpassungen oder das Installieren von Drittanbieter-Plugin entstehen. Das kann z.B. ein Einbinden von Werbeeinblendungen (z.B. Google AdSense), Analyse-Tools (z.B. Google Analytics), zusätzliche Drittanbieter-Logins, Medienanbieter usw. sein. Bei der Nutzung von derartigen Funktionen muss die Datenschutzerklärung ggf. entsprechend um weitere Passagen ergänzt werden. Viele Drittanbieter bieten hierfür bereits fertige Textbausteine an, die man nur noch einfügen muss.

2. Speicherung von IP-Adressen

Die langfristige Speicherung von IP-Adressen im Forum ist aus rechtlicher Sicht problematisch, da die DSGVO fordert, dass personenbezogene Daten (wozu auch IP-Adressen zählen), nur so lange wie nötig gespeichert werden. Darüber hinaus hat ein Benutzer das Recht, eine Auskunft über die zu ihm gespeicherten Daten anzufordern, sowie die vollständige Löschung der Daten zu verlangen. Beides wäre in der Praxis schwierig umzusetzen, wenn sich zu einem Benutzer, der z.B. viele Foren-Beiträge geschrieben hat, viele gespeicherte IP-Adressen angesammelt haben. Wir empfehlen daher die Abschaltung der dauerhaften Speicherung von IP-Adressen. Die entsprechende Einstellung ist in der Administrationsoberfläche unter "Konfiguration -> Optionen -> Module -> System -> Speicherung von IP-Adressen" zu finden.

Datenbank-Abfrage zur Entfernung gespeicherter IP-Adressen

Die Deaktivierung der Speicherung von IP-Adressen verhindert lediglich die zukünftige permanente Erfassung von IP-Adressen. Bei bereits bestehenden Inhalten ist es bei Bedarf notwendig, die IP-Adressen einmalig per Datenbank-Abfrage zu entfernen.

3. SSL/TLS-Verschlüsselung

Die DSGVO erfordert geeignete technische und organisatorische Maßnahmen, um die in Formularen eingegebenen Daten vor dem Zugriff Dritter zu schützen. Die SSL/TLS-Verschlüsselung sichert die Kommunikation zwischen dem Nutzer und der Website ab und stellt somit einen geeigneten Schutz dar. Darüber hinaus wird die Nutzung einer Verschlüsselung durch einige Suchmaschinen, z. B. Google, ausdrücklich empfohlen und wirkt sich positiv auf die Platzierung aus.

Die Aktivierung von SSL/TLS-Verschlüsselung erfolgt durch den Webserver, wenden Sie sich ggf. an Ihren Anbieter um dies zu erreichen. Weder in WoltLab Suite 3.x/5.x noch in Burning Board 4.1 ist eine Anpassung in der Software notwendig!

4. Einbetten von externen Inhalten

Das Einbetten von externen Inhalten wie Bilder oder Videos in z. B. nutzergenerierten Foren-Beiträgen führt zu einer direkten Datenübertragung durch den Browser an die jeweilige Drittseite, bei der auch personenbezogene Daten übermittelt werden. Über eine derartige Datenübermittelung müssen Nutzer in der Datenschutzerklärung unter Angabe einer Rechtsgrundlage aufgeklärt werden. Da die Aufklärung hierbei für jeden externen Anbieter separat erfolgen muss, empfiehlt es sich, die Anzahl der Anbieter möglichst klein zu halten und die Einbettung von externen Bildern über die Konfiguration grundsätzlich zu verbieten und stattdessen die integrierte Dateianhangsfunktion zu nutzen.

5. Recht auf Löschung (Art. 17 DSGVO)

Nutzer können vom Betreiber eines Forums verlangen, dass die sie betreffenden personenbezogenen Daten vollständig gelöscht werden. Dies schließt z. B. die E-Mail-Adresse, eventuell gespeicherte IP-Adressen, aber auch Foren-Beiträge, sofern diese personenbezogene Daten enthalten, mit ein. Über die Benutzerverwaltung der WoltLab Suite können sowohl das Benutzerprofil als auch die von einem Nutzer erstellten Inhalte bequem und einfach gelöscht werden.

6. Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Nutzer des Forums haben das Recht, die sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. In der WoltLab Suite steht in der Benutzerverwaltung eine passende Funktion für den entsprechenden Export dieser Daten zur Verfügung.