[#12444] DSGVO - Datenschutz-Grundverordnung

@Akeem,

ja, sicher.

Beste Grüße
Bigtuber

Bigtuber schrieb:@Minthouse,

verlink mir mal bitte einen Forum-Hoster, der SSL-Zertifikate kostenlos anbietet.

Beste Grüße
Bigtuber

Sei mir bitte nicht böse und es ist auch nicht persönlich gemeint... Das Internet ist gross und weit...
Mein Gedanke ist eben: Wenn FORUMIEREN.DE, also die Angebot-Seite, HTTPS ist, dann könnte dies auch für Foren sein. Kostenlos natürlich. Auf kurz oder lang wird Forumieren umdenken müssen.

Dann können wir den Dienst einstellen. 170.000 Foren (deutsch) mit HTTPS versehen? Wer soll das bezahlen?

Beste Grüße
Bigtuber

Bigtuber schrieb:@Minthouse,

verlink mir mal bitte einen Forum-Hoster, der SSL-Zertifikate kostenlos anbietet.

Beste Grüße
Bigtuber

 Das Zertifikat gibt es kostenlos im Netz gibt


https://letsencrypt.org/

Vielen Dank für deine Mühe und Geduld, @Bigtuber, aber so langsam werde ich fassungslos.

Forumieren hat bei den Behörden keinen Datenschutzbeauftragten benannt (zumindest finde ich keinen benannten auf den Forumieren-Seiten). Ist Forumieren wirklich ein Kleinstbetrieb? Vielleicht war ein solcher in Frankreich bislang keine Pflicht (was ich nicht glaube), aber spätestens zum 25.05.2018 muss einer benannt sein.

Die EU-DSGVO ersetzt keine nationalen Gesetze. Du glaubst doch nicht ernsthaft, dass man hier aus lauter Langeweile und weil es so unglaublich lustig ist das "BDSG neu" zum 25.05.2018 verabschiedet hat. Und das TMG bleibt selbstredend in Kraft, ebenso wie alle anderen Datenschutzrichtlinien, z.B. das NetzDG. Eben diese Gesetze werden jetzt mithilfe der EU-DSGVO "durchgesetzt", heißt: die DSGVO ist ein Verstärker, um denen, die das jahrelang haben schleifen lassen, Beine unterm Hintern zu machen.

Ob hier jemand ein SSL-Zertifikat benötigt oder nicht, kann Forumieren kaum beurteilen. Im Moment ist noch strittig, ob beispielsweise die Werbung in den Foren oder auch schon nur der Link zu Forumieren als "geschäftsmäßig" zu bewerten ist. "Geschäftsmäßig" ist nicht mit gewerblich gleichzusetzen. Für das TMG spielt es auch keine Rolle, ob dabei ein Entgelt erhoben wird oder nicht. Zudem kenne ich Forumieren-Foren, die sehr nah "geschäftsmäßig" genutzt werden.

Der Onlinedienst Forumieren weiß ganz offensichtlich nicht, wann und wo er Verantwortlicher, Alleinverantwortlicher, Verarbeiter oder Auftragsverabeiter ist. Ebenso offensichtlich hat man sich im Hause Forumieren bis zu den Anfragen in den Foren nicht mit dem Thema Datenschutz und DSGVO so intensiv beschäftigt, als dass man halbwegs vernünftige Auskünfte geben könnte. Stattdessen wird jetzt mit der heißen Nadel gestrickt und den Kunden suggeriert, sie hätten keine Haftung, die läge bei Forumieren. Bei solch fahrlässigen Aussagen fasse ich mir echt an den Kopf!

Die hiesigen Datenschutzbehörden werden ganz sicher nicht auf die kleinen Foren- und Blogbetreiber mit Geldbußen einschlagen - das haben sie schon so öffentlich kommuniziert. Unsere Abmahnindustrie wird auch noch einen Moment die Füße stillhalten. Sobald die aber in den fraglichen Punkten Rechtssicherheit sehen, legen die los. Ich bin gespannt, wie viel Haftung Forumieren übernimmt und wie viele Unterlassungserklärungen Forumieren unterzeichnet.

Tut mir echt leid, dass ausgerechnet du das jetzt abbekommst. Aber ein Datenschutzbeauftragter ist wohl nirgends im Hause aufzutreiben.

Beste Grüße
gnadenlos

Ich fand nun, weil mich diese SSL-Zertifikat-Sache einfach absolut verwirrt mit "alle Formulare brauchen Verschlüsselung" und "nur gewerbliche Seiten mit Kontaktformularen" und "wer Newsletter anbietet" etc.; diesen Artikel von einem Wirtschaftsjurist, der kurz die Entwicklung der Verschlüsselungspflicht anreist und in seinem Fazit schreibt:

"Die Website oder der Online-Shop sollten durch eine SSL-Verschlüsselung (https://) abgesichert werden. Verschiedene Datenschutzaufsichtsbehörden fordern schon länger eine SSL-Verschlüsselung bei Kontaktformularen, Login-Bereichen und Bestellprozessen. Abschließende Rechtsprechung zu dieser Frage liegt bislang noch nicht vor. Wir empfehlen aus Vorsichtsgründen, trotzdem alle (zumindest gewerblichen) Internetseiten mit einer SSL-Verschlüsselung auszustatten. Ab dem 25. Mai 2018 gilt die SSL-Pflicht ohnehin, so dass sich kaum noch Gründe gegen SSL finden lassen."


Auf dieser Seite (Artikel bereits von 2015) nun allerdings steht etwas von Blogs und Kommentarfunktionen - es ist keine weitere Rede von Gewerbstätigkeit der Blogs; und schließlich wieder Login-Formularen.

"Da im deutschen Recht sehr viele Daten als personenbezogen gelten, dürften praktisch alle Webformulare betroffen sein, beispielsweise auch die Kommentarformulare in Blogs. Denn hier werden (zur Spamvermeidung) in der Regel persönliche Daten wir Name und Mailadresse abgefragt, und beides gilt als personenbezogenes Datum. Dabei dürfte unerheblich sein, ob diese Angaben veröffentlicht werden oder nicht. Denn wann immer sie im Formular abgefragt werden, werden sie auch übertragen und müssen dabei geschützt werden. Damit würden auch alle Blogseiten, die ein Kommentarformular enthalten, unter die Verschlüsselungspflicht fallen – und genau dies bestätigte uns das LDA Bayern telefonisch auf Nachfrage auch.

Weiterhin müssen alle Formulare, die Logindaten transportieren, besonders geschützt werden. Hierzu schreibt das LDA [Landesamt für Datenschutzaufsicht] Bayern in seinem Tätigkeitsbericht 2014:

Sofern personenbezogene Daten über das Web (HTTP) übertragen werden, ist eine HTTPS-Verschlüsselung einzusetzen. Dies betrifft z. B. die Eingabe von Zugangsdaten im Rahmen einer Authentifizierung (Login-Name und Passwort), die Übermittlung von Inhaltsdaten als auch Session-Token, die einen mittelbaren Personenzug herstellen können."


Und das ist eben das Problem, das ich habe, vielleicht auch einige andere. Überall gibt es Meinungen (die von Bigtuber zuvor gelinkte Seite ist für mich durch die Formulierung "However, for most small businesses [...] I believe that the risks to customer privacy are so small that a certificate is not required." nur eine Meinung.) und diese widersprechen sich.

Bigtuber schrieb:Dann können wir den Dienst einstellen. 170.000 Foren (deutsch) mit HTTPS versehen? Wer soll das bezahlen?

Beste Grüße
Bigtuber

Verständlich. Man muss aber auch bedenken, dass da sehr viele Testforen und Forenleichen dabei sind.

Ich hatte ja schon mal vorgeschlagen, dass forumieren zumindest das SSL-Zertifikat einzeln anbieten sollte.

Eine andere Möglichkeit wäre es, wenn ihr den Nutzern die Mittel zur Verfügung stellt, sich selbst ein SSL-Zertifikat einzurichten, zum Beispiel noch mit einem Tutorial versehen und einem Hinweis im Adminbereich zu diesem Tutorial.
Als Einzelnutzer ist Let's Encrypt nämlich immer kostenlos und ihr spart euch auch noch die Bearbeitungsgebühren.

Damit werden auch zum Beispiel Forenleichen, die eh niemand besucht, nicht unnötig mit SSL-Zertifikaten versehen und beide Seiten sind glücklich.
Das ist jedenfalls besser, als hier bei einer schwammigen Rechtslage über deren Auslegung zu mutmassen.

Edit:
Und noch was wegen dem Finanziellen:
Wenn es so bitter aussieht, spart doch lieber bei den kostenlosen Domains. Die kosten auch einiges und jetzt, wo sie ohnehin besser versteckt wurden, könnte man sie eigentlich auch direkt abschaffen, statt sie nur noch wenigen Foren nach Lust und Laune zur Verfügung zu stellen (dir trotzdem noch danke für unsere, @BigTuber).
Im englischen Support hat sogar derjenige Admin, der in dem einen Thread geschrieben hat, dass die immer noch kostenlos wären (wenn das Forum aktiv genug ist), jemandem, der gefragt hat, wie er diese weiterhin kostenlos erhalten könne, die Pakete aufgeschwatzt. Anstelle von solchen Aktionen wäre eine gänzliche Abschaffung da schon fairer.

Asciugamano schrieb:
Eine andere Möglichkeit wäre es, wenn ihr den Nutzern die Mittel zur Verfügung stellt, sich selbst ein SSL-Zertifikat einzurichten, zum Beispiel noch mit einem Tutorial versehen und einem Hinweis im Adminbereich zu diesem Tutorial.
Als Einzelnutzer ist Let's Encrypt nämlich immer kostenlos und ihr spart euch auch noch die Bearbeitungsgebühren.

Damit werden auch zum Beispiel Forenleichen, die eh niemand besucht, nicht unnötig mit SSL-Zertifikaten versehen und beide Seiten sind glücklich.
Das ist jedenfalls besser, als hier bei einer schwammigen Rechtslage über deren Auslegung zu mutmassen.

Gute Idee! Hoffentlich wird sie aufgegriffen.

Mal etwas anderes:
Um ganz sicher zu sein, würde ich in mein Forum gerne ein Impressum einbauen, das auf die Verantwortlichkeit von Forumieren verweist und sie als Ansprechpartner für mögliche Rückfragen angibt.
Hat da vielleicht jemand zufällig schon so etwas und wäre bereit das zu teilen?
Oder wird so etwas auch noch von offizieller Seite eingepflegt @BigTuber ?

Minthouse schrieb:

Asciugamano schrieb:
Eine andere Möglichkeit wäre es, wenn ihr den Nutzern die Mittel zur Verfügung stellt, sich selbst ein SSL-Zertifikat einzurichten, zum Beispiel noch mit einem Tutorial versehen und einem Hinweis im Adminbereich zu diesem Tutorial.
Als Einzelnutzer ist Let's Encrypt nämlich immer kostenlos und ihr spart euch auch noch die Bearbeitungsgebühren.

Damit werden auch zum Beispiel Forenleichen, die eh niemand besucht, nicht unnötig mit SSL-Zertifikaten versehen und beide Seiten sind glücklich.
Das ist jedenfalls besser, als hier bei einer schwammigen Rechtslage über deren Auslegung zu mutmassen.

Gute Idee! Hoffentlich wird sie aufgegriffen.

Glaubst Du wirklich dran?
Ich habe mich geistig darauf eingestellt meine drei Foren am 24.05. in den Wartungsmodus zu schalten und ggf. zu löschen.

Ich verstehe nicht.
Es gibt doch eine verbindliche Aussage von Forumieren, dass sie für alles verantwortlich sind und alles erledigen werden. Wieso wollt ihr dann noch eure Foren löschen?

Ich habe aus Sicherheit eine Datenschutzerklärung bereits in meinem Forum eingebaut, da hier sehr viele Bilder von Veranstaltungen usw. aufgeladen werden. Bei 3761 Mitgliedern (bei weitem nicht alle aktiv) kommt da was zusammen. Schaut doch mal selber HIER nach

https://www.mein-datenschutzbeauftragter.de/datenschutzerklaerung-konfigurator/

Den personalisierten Text stellt ihr dann ähnlich einem Impressum (das ja Jeder haben sollte) deutlich sichtbar in das Portal / Forenansicht. Das dürfte erstmal weiterhelfen. Im Endeffekt sind WIR als Forengründer der erste Anlaufpunkt bei Problemen, und nicht Forumieren. Wenn eine Schokolade nicht schmeckt, schreibt man auch nicht beim Hersteller, sondern sagt es - wenn überhaupt - beim Händler.

Achtung: dies ist meine Meinung und mein Beitrag als Mitglied und eigener Forengründer, dies ist KEINE Rechtsberatung!

Trueman schrieb:
Ich habe mich geistig darauf eingestellt meine drei Foren am 24.05. in den Wartungsmodus zu schalten und ggf. zu löschen.

das werde ich vermutlich ebenfalls machen, ich seh momentan aufgrund einer unklaren Rechtslage keine andere Möglichkeit, möchte aber nicht am Ende die A***karte in der Hand halten weil sich Abmahnkanzleien mit sowas 100% sehr stark befassen.

Ich geh momentan davon aus das ich unser Forum später lösche..

Akeem schrieb:Ich verstehe nicht.
Es gibt doch eine verbindliche Aussage von Forumieren, dass sie für alles verantwortlich sind und alles erledigen werden. Wieso wollt ihr dann noch eure Foren löschen?

Weil das Ganze so nicht unbedingt stimmt. Es kursieren zu viele widersprüchliche Informationen herum, vor allem bezüglich SSL-Zertifikaten und ADV-Vertrag.
Edit: Wo ich deinen Beitrag in deinem eigenen Forum sah, vielleicht solltet ihr eine Maßnahme doch vornehmen, denn die ist Pflicht für alle: Richtet eine Datenschutzerklärung ein, die von jeder Seite aus erreichbar ist im Forum (eine Verlinkung im Forenfuß, dort wo Kontakt und der Link zu Forumieren selbst sind, macht sich immer gut).

Ins foreneigene Impressum kommen deine Kontaktdaten rein, nicht die von Forumieren, weil dir das Forum gehört und du es verwaltest, Forumieren hostet den Server für das Forum nur. Bei Rechtsfragen zu deinem Forum, ist Forumieren da kein Ansprechpartner.

Danke erstmal für die Tipps!
Müssen zwingend die Kontaktdaten des Forumgründers ins Impressum oder gingen auch die des Verwalters?
Unser Gründer ist nämlich nicht sehr aktiv.

Ich würde mich aus dem Fenster lehnen wenn ich sagen würde, ich wüsste es genau. Laut TMG heißt es, der Anbieter/Existenzgründer (demnach Forengründer) müsse seine Daten in das Impressum schreiben und dementsprechend auch kontaktierbar sein bei Fragen und Problemen. Wie aktiv er im Forum ist spielt da keine Rolle, denn er muss ja seine Wohnadresse für Post angeben und die wird er schon hoffentlich bekommen - sollte der Fall eintreten, dass mal was verschickt wird. Genaueres dazu kann ich dir leider nicht sagen.

Mir wurde gestern Abend mitgeteilt, dass eine sehr ausführliche Datenschutzerklärung ausgearbeitet wurde. Diese wurde bereits ins Englische übersetzt, aber wir haben sie noch nicht erhalten.

Seid nicht besorgt, wir kümmern uns um unsere Foren und machen diese DSGVO-konform.


Beste Grüße
Bigtuber

Bigtuber schrieb:Mir wurde gestern Abend mitgeteilt, dass eine sehr ausführliche Datenschutzerklärung ausgearbeitet wurde. Diese wurde bereits ins Englische übersetzt, aber wir haben sie noch nicht erhalten.

Seid nicht besorgt, wir kümmern uns um unsere Foren und machen diese DSGVO-konform.

na, viel Zeit bleibt da ja nicht mehr..
ich werde das Forum im Laufe des 24. erstmal in den Wartungsmodus setzen
Im Grunde müssten ja innerhalb der Foren auch Anpassungen vorgenommen werden, insbesondere was Newsletter etc angeht und die Frage nach dem Bilderhoster stellt sich meiner Meinung nach ebenso. Ein Anbieter ohne Impressum ist möglicherweise eine Angriffsfläche erster Güte.. und da kommt ja nachdem man Mitglied ist keinerlei Nachricht mehr, das dahin Mailadresse etc übermittelt wird und welche Rechte man dem Hoster überträgt ist ja nicht dokumentiert, oder irre ich mich da?

viele Grüße
Reinhard

Bigtuber schrieb:Mir wurde gestern Abend mitgeteilt, dass eine sehr ausführliche Datenschutzerklärung ausgearbeitet wurde. Diese wurde bereits ins Englische übersetzt, aber wir haben sie noch nicht erhalten.

Seid nicht besorgt, wir kümmern uns um unsere Foren und machen diese DSGVO-konform.


Beste Grüße
Bigtuber

Schön! Hast Du eventuell die englische Version vorliegen? Wir sind ein internationales Forum, so könnte man dies einbauen.

Trueman schrieb:

Minthouse schrieb:

Asciugamano schrieb:
Eine andere Möglichkeit wäre es, wenn ihr den Nutzern die Mittel zur Verfügung stellt, sich selbst ein SSL-Zertifikat einzurichten, zum Beispiel noch mit einem Tutorial versehen und einem Hinweis im Adminbereich zu diesem Tutorial.
Als Einzelnutzer ist Let's Encrypt nämlich immer kostenlos und ihr spart euch auch noch die Bearbeitungsgebühren.

Damit werden auch zum Beispiel Forenleichen, die eh niemand besucht, nicht unnötig mit SSL-Zertifikaten versehen und beide Seiten sind glücklich.
Das ist jedenfalls besser, als hier bei einer schwammigen Rechtslage über deren Auslegung zu mutmassen.

Gute Idee! Hoffentlich wird sie aufgegriffen.

Glaubst Du wirklich dran?
Ich habe mich geistig darauf eingestellt meine drei Foren am 24.05. in den Wartungsmodus zu schalten und ggf. zu löschen.

Man weiss ja nie. Sicher sowieso nicht bis man es hat.

@Minthouse,

nein. Ich habe in diesem Moment angefragt, wann wir sie erhalten bzw. übersetzen können. Herausgeben kann ich sie dann wahrscheinlich nicht, da alle gleichzeitig veröffentlicht werden sollten.

Beste Grüße
Bigtuber

@Chronist ich befürchte das wird in unserem Fall kaum möglich sein, da der Gründer sicher nicht dazu bereit sein wird, wenn er selbst das Forum nicht nutzt.
Gibt es ein Wort zum Impressum vielleicht von offiziellerer Seite? @BigTuber

Bigtuber schrieb:@Minthouse,

nein. Ich habe in diesem Moment angefragt, wann wir sie erhalten bzw. übersetzen können. Herausgeben kann ich sie dann wahrscheinlich nicht, da alle gleichzeitig veröffentlicht werden sollten.

Beste Grüße
Bigtuber

Das ist doch schon mal positiv. Danke für Deinen Einsatz!

Letztendlich hat dann größtenteils er was zu befürchten, sollte man sich über ein fehlendes Impressum/andere Probleme, die über Kontaktdaten im Impressum hätten angesprochen werden können mockieren - ist er jedoch nicht kontaktierbar, wendet man sich an die nächstbesten - euch.
Wenn er das Forum nicht nutzt, könnte man sich vielleicht mit dem Gründer über einen Gründerwechsel oder ähnliches unterhalten. Am Ende ist es aber euch überlassen. Ich fand auf der ersten Seite von inde direkt noch ein zitat, das vielleicht hilft:

inde schrieb:

Dreami schrieb:1. Wer zählt hier als Forenbetreiber? Wessen Name muss hier ins Impressum?

Grundsätzlich ist ein Impressum etwas anderes als die DSGVO. Diese können eventuell zusammen oder aber auch nacheinander aufgelistet werden, haben jedoch unterschiedliche Inhalte.
In Deinem speziellen Fall ist dies eine Frage der Verantwortlichkeit für das Forum. Ich empfehle Dir, Dich mit dem Gründer darüber auseinanderzusetzen und die Verantwortlichkeit eindeutig festzulegen, dies sollte auch im Interesse des Gründers sein. Letztendlich sieht es doch so aus, dass im Zweifelsfall beide von euch zur Rechenschaft gezogen werden, nach dem Motto "Unwissenheit schützt vor Strafe nicht".
LG inde

Akeem schrieb:@Chronist ich befürchte das wird in unserem Fall kaum möglich sein, da der Gründer sicher nicht dazu bereit sein wird, wenn er selbst das Forum nicht nutzt.
Gibt es ein Wort zum Impressum vielleicht von offiziellerer Seite? @BigTuber

Der Verantwortliche ist Forumieren wie in der Datenschutzerklärung beschrieben. Fragst du weitere Sachen wie Namen, Stadt, etc. ab, kannst du ein Impressum anlegen, da wir diese Daten nicht verwerten.

Beste Grüße
Bigtuber