DSGVO: Exportfunktion für Benutzer, um ihre Daten herunterzuladen.

Trapper · May 12, 2018 at 6:25 PM

Ich muss als Betreiber laut DSGVO in der Lage sein, dem User auf Anfrage alle persönlichen Daten in einem "strukturierten, gängigen und maschinenlesbaren Format" zur Verfügung zu stellen, die ich über ihn speichere.

Dabei würde eine entsprechende Exportfunktion in der Software sehr helfen, mit der es möglich wäre, alle Daten, die der Benutzer selbst in mein System eingegeben oder hochgeladen hat und die potentiell benutzerbezogene Daten enthalten könnten, zu exportieren, zum Beispiel für Textinhalte als XML- oder JSON-File(s). Also alle Postings, Konversationsbeiträge, Galeriebilder, Kommentare zu Galeriebildern, Dateianhänge, etc.

Der Hintergrund steht in diesem Thread:

DSGVO: Benutzern ihre Daten zur Verfügung stellen -- wie?

Auch wenn dort Uneinigkeit herrscht, ob vielleicht der Verweis auf das Nutzerprofil, über das das alles ja irgendwie abrufbar ist, als Antwort auf eine solche Anfrage schon ausreicht -- meiner Einschätzung nach ist wahrscheinlich, dass sich die Auffassung durchsetzt, dies sei nicht ausreichend.,

TheSonic · May 15, 2018 at 4:40 PM

Stimme ich vollkommen zu... Ob man das den Benutzer selber machen lässt oder es als Option im AdminPanel anbietet, ist zweitrangig - Hauptsache ein solcher Export ist einfach zu erstellen... Vorzugsweise würde ich ein XML-Export bevorzugen.

gn5VmUKCtv6ekrMf · May 15, 2018 at 4:50 PM

PIP zur Erkennung von Spalten mit IP-Adressen oder anderen personenbezogenen Daten

Modellbahn mit Spass · May 17, 2018 at 9:04 PM

Quote from TheSonic

Vorzugsweise würde ich ein XML-Export bevorzugen.

Aus dem Bauch raus sage ich, ein .txt wäre das sicherste. Nicht, das dann ein DAU daherkommt, seine Daten nicht lesen kann, und den Betreiber verklagt.

SoftCreatR · May 17, 2018 at 9:05 PM

Quote from fjtreiber

Nicht, das dann ein DAU daherkommt, seine Daten nicht lesen kann, und den Betreiber verklagt.

Kann er ja tun, kommt er nur nicht besonders weit mit

Sonnenfrau · May 18, 2018 at 9:00 AM

Ist es denn erlaubt, die Datenschutzerklärung dieser Website zu nutzen, in leicht angepasster Form? Weil besser könnte ich es nicht ausdrücken. Ich habe noch das Board 4.0.13 und meine bisherige Datenschutzerklärung dürfte nicht mehr auf dem neuesten Stand sein.

https://www.woltlab.com/de/privacy-policy/

Ich betreibe ein kleines Vogelforum als Privatprojekt und habe jetzt viele Fragezeichen, mir erscheint es fast zu gefährlich, überhaupt noch ein Forum zu betreiben. Ich habe auch nicht die Kohle, mir Anwälte zu leisten oder weitere Abos abzuschließen, da mein Forum wirklich nur Hobby ist und ich es nebenbei aus meinem schmalen Budget betreibe. Als Frührentnerin ist es nicht so einfach, noch mehr Geld auszugeben, was man einfach nicht hat.

MfG Sonnenfrau

SoftCreatR · May 18, 2018 at 9:09 AM

Um sicher zu gehen, kannst du auch die frei verfügbare Erklärung nutzen. Diese findest du zum Beispiel hier: https://support.softcreatr.de/thread/2191-di…12896#post12896

Trapper · May 18, 2018 at 9:36 AM

Gerade als kleines Privatforum (also ohne Werbeeinblendungen) würde ich da keine Panik schieben.

Die Datenschutzerklärung muss man halt anpassen, aber das Abmahnrisiko ist bei solchen Foren m.E. auch eher gering, weil es keine Konkurrenten gibt, die wegen Wettbewerbsverstößen abmahnen könnten. Und die Datenschutzbehörden sollten auch besseres zu tun haben...

Ich würde in dem Fall möglichst alle Funktionen und Addons, die fremde Dienste nutzen wie Google Maps oder Social Media Buttons deaktivieren.

Cadeyrn · May 18, 2018 at 9:47 AM

Quote from Trapper

Ich würde in dem Fall möglichst alle Funktionen und Addons, die fremde Dienste nutzen wie Google Maps oder Social Media Buttons deaktivieren.

Die DSGVO besagt nicht, dass man diese Funktionen nicht mehr nutzen dürfte. Wieso also deaktivieren?

Trapper · May 18, 2018 at 10:06 AM

Natürlich sind die nicht verboten, ich rede nur davon, wie man sich möglichst wenig Arbeit macht. Alle diese Funktionen erfordern ein informiertes, dokumentiertes Einverständnis der User.

Christopher Walz · May 18, 2018 at 10:40 AM

Auch WordPress bietet nun ein Exportfeature an: https://de.wordpress.org/2018/05/wordpress-4-9-6/

Trapper · May 23, 2018 at 6:45 AM

Ich möchte mich an dieser Stelle mal herzlich bei Woltlab bedanken, dass die Funktion für die personenbezogenen Daten im engeren Sinne mit dem aktuellen Patch umgesetzt wurde, und zwar netterweise nicht nur für die aktuelle Version, sondern auch für das WCF 2.1, das wir einsetzen. Nicht selbstverständlich, und wirklich gut.

Sonnenfrau · May 23, 2018 at 6:54 PM

Sehe ich das richtig, dass es für das WBB 4.0 keinen Patch gibt?

ReeN · May 23, 2018 at 6:57 PM

Ja, das siehst du richtig.

Burning Board 4.0 – Einstellung der Unterstützung

Geronimo · May 23, 2018 at 8:03 PM

Klasse, dass man jetzt die Möglichkeit hat, die Daten zur Verfügung zu stellen. Aber seltsamerweise werden IP-Adressen ausgegeben, obwohl die Erhebung von IP-Adressen deaktiviert ist, und ich sogar schon die SQL-Abfragen zum Entfernen bestehender IP-Adresse durchgeführt habe. Sind z. B. bei mir auch einige verschiedene, so dass ich ausschließen würde, dass es sich um die Daten der aktuellen Sitzung handelt. Wie kann denn das zustanden kommen?

Schlaubi · May 23, 2018 at 8:05 PM

Ist möglicherweise das hier: Speicherung von IP Adressen, trotz deaktiviertem Modul

Outrush · May 24, 2018 at 12:20 AM

Quote from Geronimo

so dass ich ausschließen würde, dass es sich um die Daten der aktuellen Sitzung handelt.

laut Timestamp aber doch?

Geronimo · May 24, 2018 at 9:44 AM

Timestamp ist da keiner dabei.

Barungar · May 24, 2018 at 9:49 AM

Quote from Geronimo

Timestamp ist da keiner dabei.

Bei mir sind, wenn IPs exportiert werden, auch die jeweiligen Zugriffszeiten im Export.

Aus welchem "Modul" stammen die IPs denn? Auch das kann man dem JSON entnehmen.

Das sieht bei mir z.B. so aus:

Code

    "com.woltlab.wbb": {
        "ipAddresses": [
            {
                "ipAddress": "xxxx:908:37c:yy:53a:zzz:xx:c384",
                "time": 1526909479

Outrush · May 24, 2018 at 9:59 AM

Genau und daran erkennt man das es sich um Sitzungs-IPs handelt.

Oder sehe ich das falsch?

Participate now!