Serendipity Forums

pixel32 wrote:Super, sehe gerade, das Plugin ist bereits fertig und in Spartacus verfügbar! Für alle die es jetzt schon installieren möchten (müssen), hier der Link: DSGVO / GDPR: General Data Protection Regulation.

Das Plugin bietet neben der von der EU geforderten Checkbox in den Kommentaren und im Kontaktformular einen Cookie-Hinweis von CookieConsent, einen optionalen Link zur eigenen Datenschutzseite im Footer sowie einen Mustertext für die Datenschutzerklärung. Texte und Style lassen sich natürlich anpassen.

Besten Dank an die Entwickler!
Grüße
Gerhard

Ich dachte, dieses Thema verdient vielleicht einen eigenen Thread.

Auch von mir besten Dank für dieses Plugin, das sehr viele DSGVO-bedingte Probleme adressiert und mir enorm weitergeholfen hat.

Ich hätte eine Frage zur Anonymisierung von IPs, die das Plugin anbietet ... oder eigentlich zwei oder drei:

1. Einmal aktiviert, gilt die Anonymisierung nur für neue Kommentare oder überschreibt das Plugin auch nachträglich die IP alter Kommentare mit Nullen? Einmal aktiviert, ist das wahrscheinlich unumkehrbar, oder?

2. Wäre es möglich, diese Option durch die Funktionalität zu ergänzen, dass dies nach einer festzulegenden Zeitspanne automatisch passiert?

Grund: Einerseits hat man als Blogbetreiber nach meinem Verständnis gemäß Art. 6 Abs. 1 lit. f DSGVO ein berechtigtes Interesse am Speichern der IPs, um z.B. nicht für rechtswidrige Postings belangt zu werden. Andererseits sind ja auch Telekom & Co. nur eine bestimmte Zeitspanne gezwungen, Verbindungsdaten zu speichern (Stichwort Vorratsdatenspeicherung ... weiß jetzt spontan gar nicht, was da der letzte Stand ist). In jedem Fall macht es wirklich keinen Sinn, die IPs von jahrealten Kommentaren vorzuhalten.

Toll wäre es deshalb, wenn man Serendipity sagen könnte: Speichere die IP bitte, aber anonymisiere sie nach z.B. 2 Wochen.

Ich habe das hier verwendet und ins Impressum eingebunden, nachdem ich es an meine Bedürfnisse angepasst habe. Damit dürfte man auf der sicheren Seiten sein:

https://dg-datenschutz.de/muster-datenschutzerklarung/

jlr wrote:1. Einmal aktiviert, gilt die Anonymisierung nur für neue Kommentare oder überschreibt das Plugin auch nachträglich die IP alter Kommentare mit Nullen?

Nur für neue.

jlr wrote:Einmal aktiviert, ist das wahrscheinlich unumkehrbar, oder?

Um es wieder umzukehren, müsstest Du ja wissen, wie es vorher war, und das müsstest Du ja speichern. Da beißt sich die Katze in den Schwanz.

jlr wrote:2. Wäre es möglich, diese Option durch die Funktionalität zu ergänzen, dass dies nach einer festzulegenden Zeitspanne automatisch passiert?

Disclaimer: Ich bin kein PHP-Coder.

Ich glaube nicht, dass das so ohne Weiteres geht, weil es dazu irgendeine™ Möglichkeit bräuchte, zeitgesteuert Wartungsarbeiten auszuführen, also z.B. einen Cronjob. Müssten Garvin oder onli was zu sagen.

jlr wrote:… nach meinem Verständnis …

Damit wäre ich vorsichtig.

jlr wrote:Andererseits sind ja auch Telekom & Co. nur eine bestimmte Zeitspanne gezwungen, Verbindungsdaten zu speichern (Stichwort Vorratsdatenspeicherung ... weiß jetzt spontan gar nicht, was da der letzte Stand ist).

Naja, vor allem Stichwort Aufbewahrungspflicht, die für Dich als – nehme ich an – privaten Blogbetreiber (vermutlich, ich bin kein Anwalt) nicht gilt.

YL

Bei der Gelegenheit: vielen Dank an alle Beteiligten für dieses Plugin!

Auch von mir ein Danke für das plugin!

Für die Speicherung von IP-Adressen, insbesondere der letzte Absatz: http://www.lfd.niedersachsen.de/themen/ ... 95008.html

Zum Generator von Hadley: Der ist ja identisch mit dem von WBS Solmecke. Dazu gibt es eine interessante Seite: https://omr.com/de/dsgvo-datenschutzerk ... kbuilding/

ICE wrote:Für die Speicherung von IP-Adressen, insbesondere der letzte Absatz: http://www.lfd.niedersachsen.de/themen/ ... 95008.html

Danke, guter Link!

yellowled wrote:Naja, vor allem Stichwort Aufbewahrungspflicht, die für Dich als – nehme ich an – privaten Blogbetreiber (vermutlich, ich bin kein Anwalt) nicht gilt.

Da hast du recht. Ich hatte das mit dem berechtigten Interesse und den IP-Adressen auch nur aus irgendeinem Muster abgeschrieben, die zur Zeit kursieren, und fand es ganz sinnvoll, weil -- für mich -- die IP-Adressen ja nicht bestimmten Nutzern zuordenbar sind, nur theoretisch für die Justiz, falls es einen Grund dafür gäbe und man sie mit den Informationen der Zugangsprovider zusammenführen würde. Und ich erlaube aktuell auch anonymes Posten ohne (gültige) Email-Adresse. Habe also eigentlich so richtig gar keine Möglichkeit, Kommentare Personen zuzuordnen, wenn die nicht wollen.

Danke jedenfalls für die Möglichkeit zur Anonymisierung der IPs. Ist sehr nützlich, die zu haben.

jlr wrote:Ich hatte das mit dem berechtigten Interesse und den IP-Adressen auch nur aus irgendeinem Muster abgeschrieben, die zur Zeit kursieren, und fand es ganz sinnvoll, weil -- für mich -- die IP-Adressen ja nicht bestimmten Nutzern zuordenbar sind, nur theoretisch für die Justiz, falls es einen Grund dafür gäbe und man sie mit den Informationen der Zugangsprovider zusammenführen würde.

Ich finde das "magische Denken" - nicht nur - rund um das Thema DSGVO durchaus faszinierend.

Der Grundgedanke des Datenschutzrechts und v.a. auch der DSGVO ist ja recht einfach:

Wer personenbezogenen Daten erhebt, sie speichert, verarbeitet, übermittelt, tveröffentlicht, braucht dafür eine Rechtfertigung, eine Erlaubnis, eine Rechtsgrundlage. Außerdem muss er über die Datenverarbeitung umfassend und verständlich informieren. Soweit die Rechtsgrundlage der Datenverarbeitung nur die Zustimmung des Nutzers sein kann, muss dessen Zustimmung vor oder mit der Verarbeitung eingeholt werden. Diese Zustimmung muss informiert erfolgen, der Nutzer also genau wissen, was mit seinen Daten passiert, und sie soll ausdrücklich erfolgen.

Das ist im Grundsatz einfach, in der Umsetzung und im Detail aber knifflig - schon weil man auf Anhieb vielleicht gar nicht so genau weiß, welche Daten man erhebt, warum und was damit geschieht, und vor allem, wie man ggf. vorher eine Zustimmung einholen soll.

Der richtige Weg kann daher m.E. nur über eine umfassende Bestandsaufnahme führen, bei der man sich selbst einmal Rechenschaft darüber ablegt, welche Daten "man" erhebt: richtiger wohl, was die ganze Software, die man mal installiert hat, an Daten erfasst und was sie damit tut. Erst danach kann man vielleicht auf manche Daten verzichten, sich für andere um die Rechtsgrundlage kümmern und danach - ganz zum Schluss! - diese Erkenntnisse in einer Datenschutzerklärung niederlegen.

Wer mit der Datenschutzerklärung anfängt, zäumt das Pferd von hinten auf. Rechtsprobleme lassen sich durch das Abwandeln von Muster oder das Einkopieren "magischer Formeln" ebenso wenig lösen wie technische Problem durch das Einkopieren von Code. Voraussetzung ist immer, dass man weiß, was man tut - wenn man also Muster anpasst, auf Basis der eigenen Bestandsaufnahme weiß, ob das Muster passt, und aufgrund welcher rechtlichen Regelungen genau diese Information erforderlich ist.

Wer etwas über IP-Adressen und berechtigtes Interesse aus Mustern abschreibt, ohne sich Gedanken zu machen, warum und wann IP-Adressen (nach der relevanten Rechtsauffassung) personenbezogene Daten sind, wo, zu welchem Zweck und wie lange er sie speichert, der kann ein ggf. bestehendes Datenschutzproblem nicht lösen, sondern allenfalls verschlimmern. Denn er behauptet ja, die Rechtsgrundlage der Speicherung sei sein berechtigtes Interesse daran. Zum berechtigten Interesse gehört aber immer die Abwägung der Interessen des Speichernden und des Nutzers, dessen Daten gespeichert werden. Diese Abwägung - die man ja ggf. darlegen müsste - kann man aber nicht durchführen, wenn man sich selbst nicht sicher ist, warum man die Daten eigentlich speichert.

Mir ist durchaus bewusst, dass ich nicht immer weiß, was ich tue. Deshalb frage ich hier um Rat.

Mein Problem ist, dass durch die DSGVO eine solche Verunsicherung erzeugt wird, dass man als einfacher Blogger den Eindruck vermittelt kriegt, im Netz nicht mehr erwünscht zu sein. Ich habe mir in den 90ern etwas HTML bei einem Freund abgeguckt, seitdem werkle ich an meinen Webseiten. Ich werde aber nie ein Experte sein so wie andere hier -- weder für die technische noch die rechtliche Seite. Ich versuche nur in der wenigen Freizeit, die mir bleibt, eine andere Lösung als "alles löschen" zu finden. Ohne irgendwelche Muster im Netz ist das für Leute wie mich kaum zu schaffen. Wenn dich das "fasziniert", schön.

ICE wrote:Zum Generator von Hadley: Der ist ja identisch mit dem von WBS Solmecke. Dazu gibt es eine interessante Seite: https://omr.com/de/dsgvo-datenschutzerk ... kbuilding/

Natürlich hab ich den Link im Footer sofort gesehen, mir war/ist das aber egal. Ich sehe das als ein Danke an, denn wenn ich mir die ganzen Texte zusammensuchen müsste, das hätte ich nie geschafft. Ich hab den Text auch auf sehr fragwürdigen Seiten eingesetzt, mit denen der Handyverkäufer sicher nichts zu tun haben will.

Ich hätte noch eine Frage zum Cookie Consent: Im Plugin-Code finde ich
Dargestellt wird in der Schaltfläche ein "Got it!" (siehe Anhang). Wie kann ich den Text des "Got it!" anpassen, bzw. ist ein "ablehnen" überhaupt vorgesehen?

jlr wrote: ↑Fri May 25, 2018 12:33 pmWie kann ich den Text des "Got it!" anpassen, bzw. ist ein "ablehnen" überhaupt vorgesehen?

Das müsste eigentlich heißen, und das ist das Key-Value-Paar für diesen Buttontext, also was auch immer rechts vom Doppelpunkt in dieser Zeile in Anführungsstrichen steht. (Nach dem ändern natürlich speichern.) Ich vermute, Du hast das Plugin entweder schon installiert, als es noch nicht übersetzt war, oder … ist Dein Blog eventuell in Englisch?

Zum Ablehnen: Nein, das ist nicht vorgesehen. Es ist schlicht technisch kaum möglich/sinnvoll, Serendipity komplett ohne Cookies zu betreiben.

YL

Dankeschön Ja, mein Backend ist auf Englisch und irgendwas ging mit den Sprachen wohl durcheinander. Funktioniert jetzt!

Eine Frage: Das DSGVO Plug-in zeigt als kleines "footer"-Banner die Schaltfläche "Akzeptieren" an.
Inzwischen wird man an immer mehr Stellen von flächendeckenden Pop-Ups mit weltfremden Auswahlmöglichkeiten bombardiert, welche Cookies man denn nun annehmen möchte und welche nicht.
Ist es also inzwischen notwendig, seine Nutzer mit diesen Pop-Ups zu belästigen, oder genügt noch der "Akzeptieren"-Footer? Und wenn ein solches Pop-Up denn sein muss, gäbe es da schon ein Plug-in für s9y?

Zum Einsatz kommt eine herkömmliche S9y-Installation ohne Einbindung sozialer Medien, mit Ausnahme von eingebetteten YouTube- und Flickr-iframes an manchen Stellen (erstere im "erweiterten Datenschutzmodus" eingebunden). Auf der Seite wird nichts verkauft, keine Kundendaten erhoben usw.