Datenschutz: E-Mail Adressen im Adminbereich für ALLE ausblenden

  • App
    WoltLab Suite Core

    Hallo,

    da in unserem Forum auch andere Ränge als Admin Zugang zum Mitgliederbereich haben, um bei der großen Anzahl an Mitgliedern diesen die Ränge zuzuweisen, haben sie automatisch auch Zugriff auf Benutzer und Benutzergruppen im Adminbereich.

    Hinsichtlich des Datenschutzes ist es geradezu tödlich, dass jeder der entsprechend den Zugang hat, die E-Mail-Adressen der Benutzer (und zwar aller) sehen kann und rein theoretisch auch für Zwecke benutzen könnte, die sagen wir mal "nicht so fein" sind (dabei sind Streiche/Scherze noch das geringste Übel).

    Wäre es also möglich für ein Woltlab Forum komplett abzustellen, dass die E-Mail-Adressen angezeigt werden? Es würde ja reichen wenn es eine Option gäbe, die nur der Admin entsprechend an/aus schalten kann, sodass er im Ernstfall die E-Mails dennoch sehen kann falls es nötig ist, aber so würde unterbunden werden dass jeder die E-Mails sehen kann.

    Wäre das umsetzbar?

  • Die Zuordnung zu den Gruppen und auch die Entfernung von Mitgliedern aus einer solchen Gruppe kann durch den/die Gruppenleiter direkt im Frontend ohne ACP-Zugriff erfolgen.


    Gruß norse

    Zugang zu meinen Arbeiten und dem dazugehörigen Support bekommt Ihr bei Interesse hier und hier.

  • da in unserem Forum auch andere Ränge als Admin Zugang zum Mitgliederbereich haben, um bei der großen Anzahl an Mitgliedern diesen die Ränge zuzuweisen,

    Hinsichtlich des Datenschutzes ist es geradezu tödlich, dass jeder der entsprechend den Zugang hat, die E-Mail-Adressen der Benutzer (und zwar aller) sehen kann und rein theoretisch auch für Zwecke benutzen könnte, die sagen wir mal "nicht so fein" sind (dabei sind Streiche/Scherze noch das geringste Übel).

    Hallo,

    unabhängig von der technisch besseren Möglichkeit des Plugins würde ich mir auch grundsätzlich die Frage stellen, ob und wie sinnvoll es ist, vielen Usern Zugriff zum ACP zu gewähren.

    Und wie sehr man diesen überhaupt vertraut, gerade auch in Hinblick auf die zweite zitierte Aussage.

    Wenn schon dieser "Verdacht" besteht, fände ich es in der Tat tödlich, mehr als 2 oder maximal 3 (wirklich vertrauenswürdigen) Personen Zugriff zum ACP zu gewähren. Nach der Maxime "so wenig wie möglich, so viel wie unbedingt nötig".

    Gruß

    Jörg

    (Jaydee)

  • Alexander Ebert 9. Februar 2021 um 13:52

    Hat das Label Geplant hinzugefügt.
  • Alexander Ebert 9. Februar 2021 um 20:06

    Hat das Label 5.4.x hinzugefügt.
    • Offizieller Beitrag

    Hallo,

    ich setze das hier auf „Implementiert mit 2.1”, da seitdem die E-Mail-Adressen nur eingesehen werden können, wenn man diese auch editieren kann: https://github.com/WoltLab/WCF/co…d6b22694af27d8c (hatte ich auch so in meinem vorherigen Beitrag erklärt).

    Mit Core 5.3.5 wird allerdings noch eine Fehlerkorrektur vorgenommen, siehe hier: RE: Recht "E-Mail-Adressen exportieren" explizit erteilen (oder nicht)

  • Tim Düsterhus 12. Februar 2021 um 16:00

    Hat das Label von Geplant auf Umgesetzt geändert.
  • Tim Düsterhus 12. Februar 2021 um 16:00

    Hat das Label von 5.4.x auf 2.1.x geändert.
  • Hallo,

    da in unserem Forum auch andere Ränge als Admin Zugang zum Mitgliederbereich haben, um bei der großen Anzahl an Mitgliedern diesen die Ränge zuzuweisen, haben sie automatisch auch Zugriff auf Benutzer und Benutzergruppen im Adminbereich.

    Hinsichtlich des Datenschutzes ist es geradezu tödlich, dass jeder der entsprechend den Zugang hat, die E-Mail-Adressen der Benutzer (und zwar aller) sehen kann und rein theoretisch auch für Zwecke benutzen könnte, die sagen wir mal "nicht so fein" sind (dabei sind Streiche/Scherze noch das geringste Übel).

    Wäre es also möglich für ein Woltlab Forum komplett abzustellen, dass die E-Mail-Adressen angezeigt werden? Es würde ja reichen wenn es eine Option gäbe, die nur der Admin entsprechend an/aus schalten kann, sodass er im Ernstfall die E-Mails dennoch sehen kann falls es nötig ist, aber so würde unterbunden werden dass jeder die E-Mails sehen kann.

    Wäre das umsetzbar?

    Suchmaschinen kriegen die Software mehr und mehr geöffnet damit die sich nehmen können was sie für nützlich erachten, aber registrierte Mitglieder, denen man aus Vertrauen zur Person Zugriff auf das ACP gibt, stehen unter Generalverdacht Datendiebe zu sein?

    Da würde ich mal ganz hart auf den Standstreifen ausweichen den Wagen anhalten und nachdenken, "wie kann ich jemandem Zugriff gewähren, wenn ich ihm Datendiebstahl vorwerfe?

    Die Suchmaschinen denen der Zugriff auf unkontrollierbar Alles erlaubt ist und Scripte, die im Hintergrund wer weiß was an Daten unkontrollierbar nach extern verteilen .. DAS sind alles harmlose Probleme ..

    Aber den registrierten Mitgliedern Datendiebstahl vorwerfen, das funktioniert?

    Solche Seiten von solchen Betreibern würde ich direkt verlassen und im passenden Umfeld vor dem Generalverdacht des Datendiebstahls ausgetragen durch den Seitenbetreiber gegenüber seiner eigenen Commnity warnen. Sowas gehört nicht ins Netz ...

    Die fortschreitende Optimierung der Suchmaschinenzugriffe und die Verringerung der möglichen Gegenmaßnahmen, gegen diese Zugriffe, die kümmern Niemanden. Aber den eigenen registrierten Mitglieder, denen man im Vertrauen zur Person den Zugriff einräumt, Datendiebstahl zu unterstellen, das sollte normal strafrechtlich relevant sein, gegen den Seitenbetreiber "Alle die auf das ACP Zugriff kriegen stehlen die Daten"

    Ja genau, aber die Suchmaschinen, die dürfen sich frei bewegen, da es sich dabei ja nicht um vereinzelten möglichen Datendiebstahl sondern gewerblichen Datendiebstahl handelt, darf man da ja nichts dagegen haben ..

    Das es auch Schwarze Schafe gibt, die sich einschleimen bis sie die Zugriffsrechte haben und dann ihre zugewiesenen Rechte missbrauchen könnten, weiß ich auch, darum soll man ja nicht bei 150 Mitgliedern 151 Teammitglieder haben - ja die 1 war absichtlich gesetzt, ist ja der Seitenbetreiber

    Das man als Seitenbetreiber das Recht hat den Zugriff auf das ACP / ModCP etc. zu verweigern, scheint niemand zu wissen, das man nicht gezwungen werden kann, dem erst besten Kasper der sich anbietet, "weil es sonst keiner macht" die Rechte einzuräumen, offenbar auch nicht ..

    Der Seitenbetreiber hat die Verantwortung, völlig egal ob sich jemand an die Rechte geschleimt hat oder nicht, verantwortlich für den Missbrauch bereit gestellter Daten ist der Seitenbetreiber, da es technisch möglich war, den entsprechenden Datendieb aus dem ACP fern zu halten.

    Das gilt aber blöder Weise auch für die Datendiebstähle durch die Bots auch da ist der Seitebetreiber dran, obwohl dagegen Nichts zu machen ist, die Seite ist in der grundlegenden Konfiguration ausgelegt, Daten zu verteilen an alle Interessierten externen Parteien und das mit keinen nennenswerten Gegenmaßnahmen für den Seitenbetreiber ...

    Aber wichtig ist, der Datenschutz von Daten die nur einzelne Vertrauenswürdige erreichen könnten, wenn der Seitebtreiber ihnen die entspechenden Rechte gibt.

    Ich dachte immer normal müsste der Datenschutz für die gesamte Internetpräsenz interessieren, inklusive Suachmaschinenzugriffe auf das Frontend...

    Aber da wird dran gearbeitet und optimiert, damit die Daten reibungslos und unkontrolliert gezogen werden können - aber wenn der Seitenbetreiber dem Falschen Mitglied die Rechte für das ACP gegeben hat, wo offiziell die Suchmaschinen nicht drankommen, DA muss man dann plötzlich einschreiten?

    Hunde die bellen, beißen nicht? -> nun, ich bin kein Hund. -> Ich belle nicht. - Ich Beiße! 8o

  • Oh Mann, was hast du denn genommen? Reg dich bitte wieder ab, hier wird gar nichts unterstellt. Das ist ein wichtiges Feature, denn wenn du mehr als 10 Leuten Zugriff auf personenbezogene Daten, wie E-Mail Adressen im ACP nunmal welche sind, gibst, brauchst du einen Datenschutzbeauftragten. Aber nicht jeder, der Zugriff auf die Benutzer benötigt, benötigt auch die E-Mail Adressen. Das Beispiel, das der Themenersteller hier genannt hat, ist völlig nachvollziehbar. Daher ist das ein sehr sinnvoller Wunsch und deine Aufregung und Unterstellungen völlig übertrieben.

    Suchmaschinen sollten natürlich auch keine E-Mail Adressen in den Posts oder Profilen grabben können. Aber das ist ein ganz anderes Thema.

    Liebe Grüße
    Susi

  • Suchmaschinen, bzw. deren Bots/Crawler, würde ich nun auch nicht gerade mit reg. Benutzern vergleichen, welche ACP-Zugriff besitzen- Das sind ja nun mal 2 Paar völlig getrennte Stiefel.

    SuMa besitzen schlichtweg Gast-Rechte, nicht mehr und nicht weniger. Und wenn Gäste in einem Forum Zugriff auf Profile und sogar E-Mail Adressen besitzen, läuft dort eh etwas gründlich schief und sollte neu überdacht werden.

    Ansonsten (bei korrekter Einstellung der Rechte) können die Bots das nicht und "lesen" nur die Links und Beiträge, die auch menschliche Gäste zu sehen bekommen. Und das sind hoffentlich keine Mail-Adressen der User....

    Von daher halte ich den Vergleich zum ACP-Zugriff auch für etwas überzogen.

    Gruß

    Jörg

    (Jaydee)

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!