Linuxmuster.net und DS-GVO


#1

Liebe Mitstreiter,
ab dem 25.5.18 gilt die neue Datenschutz-Grundverordnung (EU-DSBV), die als BDSG neu in nationales Recht überführt wurde. Unter https://it.kultus-bw.de/,Lde/Startseite/IT-Sicherheit/Datenschutz+an+Schulen findet man einige Hinweise dazu. Meine Frage ist nun, ob das Verfahrensverzeichnis der aktuellen linuxmuster.net noch den Anforderungen der DSGVO entspricht.
Viele Grüße
Bernd Kaiser


#2

Hallo,

off Topic und Rant on:

Ich zitiere mal aus dem Dokument Handreichung für Datenschutzfolgenabschätzung:

  1. Zusammenstellung des DSFA-Teams
    Eine DSFA kann im Allgemeinen nur von einem interdisziplinären Team erstellt wer-
    den, das über Kompetenzen im Bereich Datenschutz, Risikoermittlung und Fachpro-
    zesse verfügt. Der Datenschutzbeauftragte steht diesem Team während des gesam-
    ten Prozesses beratend zur Seite. Es kann sinnvoll oder notwendig sein, z. B. Auf-
    tragsverarbeiter oder Hersteller von IT-Systemen ebenfalls mit einzubeziehen.
  2. Prüfplanung
    Da eine DSFA meist ein komplexer Prozess ist, der viele Mitwirkende einbindet, ist
    eine Prüfplanung (z. B. mit Methoden des Projektmanagements) empfehlenswert.

Datenschutz ist wichtig, man muss drüber nachdenken, man sollte sich Gedanken machen, aber wer soll das denn machen nebenher für nichts. Noch nicht mal der bDSB bekommt ja in irgendeiner Form eine Ermäßigung oder sonstige Entlohnung, und dann soll man mit “Methoden des Projektmanagements” ein “interdispziplinäres Team” bilden? Sorry, wer hat denn denen ins Hir** gesch**?

VG

Frank


#3

Hallo,

zum eigentlichen Thema. Meine Einschätzung ist, dass das Verfahrensverzeichnis für linuxmuster.net nach wie vor ausreichend ist.

Die DSGVO setzt nach allem, was ich bislang so quergelesen habe, auf den bislang geltenden Datenschutz im wesentlichen drei Dinge auf:

  1. Dokumentationspflicht und Nachweis der Prozesse: Du musst jetzt nachweisen können, wann du Sicherheitsupdates einspielst und andere Maßnahmen triffst.
  2. Auskunftsrecht der Betroffenen: Du musst Menschen Auskunft geben können, welche Daten du gespeichert hat und warum (zu welchem Zweck).
  3. Folgeabschätzung bei besonders sensiblen Daten (Gesundheit u.ä.). Man muss sich also überlegen, welche Folgen es hat, wenn ein Datenleck auftritt.

In Bezug auf linuxmuster:

  1. Hier könnte man dem Admin evtl unter die Arme greifen, indem man dist-uprades entsprechend loggt und audruckbar macht. Oder indem man einen Zettel zum Verfahrensverzeichnis dazutut, so nach dem Motto: “Maßnahmenprotokoll Datenschutz”, wo man z.B. Standardmaßnahmen ankreuzbar macht (Updates u.ä.), ein Feld für Bemerkungen, Datum, Unterschrift.
  2. Da liefert das Verfahrensverzeichnis ja schon, denn das steht da ja drin.
  3. Das ist füt linuxmuster.net per se nicht gegeben, wenn eine Schule innerhalb von lmn solche Daten speicherN will, muss sie das selbst machen und protokollieren, da muss das Verfahrensverzeichnis dann eben “ergänzt” werden.

Nichtsdestotrotz wäre es natürlich sinnvoll, wenn sich jemand fände, der sich da für linuxmuster.net nochmal durschwurschtelt. So könnte man unseren Nutzern vielleicht einen “Minimalleitfaden” an die Hand geben.

Die Lage ist derzeit finde ich ziemlich verworren, und die Schulen haben ja bei weitem nicht die Ressourcen, das selbst nur annhähernd korrekt zu machen. Wie das KuMi das da auf seiner Seite hinschreibt, das ist IMHO wirklich eine blanke Unverschämtheit, die aber zu unserer neuen Chefin super passt, immerhin bleibt die konsistent in Ihrer Unfähigkeit.

Was mich etwas beruhigt: Die Landesdatenschutzbeauftragten werden - wie auch die Schulen - bei weitem nicht die nötigen Ressourcen haben, das zu kontrollieren.

Was ich befürchte: Das ist eine typische Regulation, die kleine Player (und damit auch Selbsthosting) verdrängt, weil man den Bürokratieaufwand nicht stemmen kann. So werden wir in 5 Jahren alle mit Office 365 dasitzen, weil das “datenschutzkonform” ist, solche Argumente hört man bereits jetzt von vielen Fortbildnern im Tabletumfeld. Aber dann pack ich halt das karierte Heft wieder aus und bring mir eine Schiefertafel mit :wink:

VG

Frank


#4

Hallo,

soweit ich die Thematik verstanden habe, sind einige Änderungen an der Projektseite nötig, um der neuen Datenschutzverordnung gerecht zu werden. Diese Dokument führt die wesentlichen Punkte auf, z.B. Google Fonts und so:

Weitere Punkte sind:

  • Speicherung von IP Adressen bei Kommentaren
  • Akismet
  • Wordpress Emojis
  • Datenschutzerklärung sollte angepasst werden

Die Liste ist bestimmt noch nicht vollständig, aber ein Anfang.

vG Stephan


#5

Hai,

Viel spannender ist diesbezüglich eigentlich das Forum… Insgesamt habe ich da ziemlich resigniert. Ich versuche seit etwa 4 Monaten zu verstehen, was man denn jetzt machen muss und letztlich steht das wirklich nirgends, weil der deutsche Gesetzgeber die Rechtsanwälte beschäftigen will anstatt Gesetze zu machen. Also hoffe ich halt, dass andere zuerst abgemahnt werden, bis man dann weiß, was das letztlich soll.

Das ist - wie auch die derzeit diskutierte neue Urheberrechtsrichtline - letztlich ein Werkzeug, das Internet zum neuen Kabelfernsehen zu machen. Ich habe in den vergangenen Monaten mindestens 10 Blogs schließen sehen. Meine schuportolio-online Werbeseite hab ich auch vom Netz genommen, bei OSP denke ich ernsthaft darüber nach.

Was die HP angeht bin ich für Kommentarfunktion deaktivieren, die Fonts kopier ich auf den Server. Und dann ist da noch Piwik, das schalt ich auch besser ab.

Und das Discourse - keine Ahnung wie man das retten kann.

VG

Frank

Edit: Vielleicht so - und dann per VPN aus Amerika?


#6

Moin!

Das wäre ja das schlimmste wenn das Forum weg fiele. Super angenommen und dann so verlieren. Nee, danke!

Kann es doch auch nicht sein, denke an den Patriot Act.

Also dann lieber Geld aus der Vereinskasse nehmen und einen Anwalt der sich im Umfeld von FOSS umtreibt (z.B. den der im Linux-Magazin immer Rechtliches unter die Lupe nimmt) anheuern.

Beste Grüße

Thorsten


#7

Ich noch keinen, gibt’s da Beispiele fuer? Vielleicht bewege ich mich in einem schmerzfreien Umfeld, aber bisher hat noch niemand auch nur bewogen etwas zu aendern - mich inbegriffen.

Ich verstehe das Problem gerade nicht, auch bzgl. dem Forum.


#8

Hallo,

Das sind, die ich auf die Schnelle grad zur Hand habe.

Deutlich wird das Ganze schön an dem Schwachsinn, den die DSK vergangene Woche verzapft hat zum Tracking mit Piwik oder GA. In der Folge ist das Netz jetzt voll mit “juristischen Einschätzungen”, mit den unterschiedlichsten Ergebnissen:

Ich habe die “Werbeseite” zu meinem Schupo Hosting wegen der Abmahngefahr abgeschaltet.

Beim Forum ist ein zusätzliches Problem letztlich der Docker Container: Hier kann ich nicht einfach dem Apachen sagen, er soll die IPs nimmer loggen. @MachtDochNix ein Anwalt hilft da erst mal auch nix.

Was geholfen hätte, wäre ein Gesetzgeber, der das Europarecht in ordentliche Gesetze gießt, die z.b: für ein Forum wie dieses, bei dem keinerlei Datenweitergabe oder Verknüpfung erfolgt klare, einfache und transparente Regeln gemacht hätte.

Ahso: @zefanja Listen wie die von dir verlinkte gibts natürlich auch 100, für Wordpress hat sich da so eine Art Kanon herausgebildet - das heißt aber dennoch nicht, dass du nicht doch für das Cookie irgendeiner Extension, die du übersehen hast abgemahnt wirst.

VG

Frank


#9

Dann werde ich wohl bald allein hier sein… :slight_smile:


#10

Ich seh das alles relativ enstpannt, 10% Illegalitaet sparen 90% Arbeit und ich habe auch das Gefuehl, dass einige “Aussteiger” keine rechte Lust mehr hatten - kann mich aber dabei arg taeuschen.

Grundsaetzlich finde ich es ja auch ok, dass man den Datenkraken keine Informationen in Form von Blogbesuchern ungefragt zum Frass vorwirft und wer bei Google und Co. hostet, macht das ja automatisch mit seinen Lesern.

Ich versteh das technische Problem nicht, da ich nicht mit Docker arbeite, aber wenn ich das dem Apachen nicht sagen kann, dann taugt das System aus meiner Sicht nicht. Wenn das der Preis ist, den ich fuer Docker zahlen muesste, dann verzichte ich gerne auf Docker - meine Versuche mit Docker sind aber auch alle irgendwann/irgendwie in die Hosen gegangen, vielleicht bin ich zu alt dafuer, aber fuer mich sinkt die Komplexitaet bei Docker nicht, sondern sie steigt.


#11

Hallo,

Für ein privates Blog seh ich das ich so, für den Verein oder sobald du entfernt geschäftsmäßig unterwegs bist, ist die DSGVO ein Albtraum, und zwar nicht wegen des berechtigten Anspruchs der Benutzer auf Datenschutz, sondern wegen des bekloppten deutschen Wettbewerbsrechts.

Du wirst als kleiner Verein oder privater Blogger höchstwahrscheinlich nicht durch eine Beanstandung der Datenschutzaufsicht ruiniert, sondern von genau denselben minderwertigen Subjekten aus den Kreisen der Juristen, die momentan noch das Web nach dem fehlenden Link auf die CC Lizenz abgrasen und Leute abmahnen. Die werden halt künftig schauen, ob du jedes Furzcookie deines Blogs in der Datenschutzerklärung hast - schwupps 1300€.

Das mit Docker kratzt nur an der Oberfläche:

  • Discourse wird von den Entwicklern ausschließlich als Docker Container zur Verfügung gestellt. Das ist weit außerhalb der Trivialität, das händisch aufzusetzen, besonders weil das halt auch nicht dokumentiert ist.
  • Das mit dem Apachen (der eh ein Nginx ist, glaub ich…) kann man sicher in der Datenschutzerklärung abfangen.

Aber da hängen viele weitere Fragen dran:

  • Mails Einsammeln tut die Mail2Forum Funktion über ein zu diesem Zweck angelegtest Gmail Konto.
  • Auth für das Forum geht mit Google, FB, GitHub. Da ist - soweit ich das verstanden habe, weil eine gescheite Info dazu gibt’s ja nicht - eigentlich für jeden Dienst ein Vertrag zur Auftragsdatenverarbeitung fällig. Das ist ein sinnleeres Blatt für gar nix.
  • Ist es notwendig, dass die letzte IP beim Login in der DB gespeichert wird oder muss der Nutzer da einwilligen?
    U.s.w.

Da ich grad immer noch praktisch nicht Tippen kann, hör ich hier auf und mach auch sonst erst Mal nix, 1200€ hammer ja sicher :roll_eyes:

Frank


#12

Hallo Frank!

Schone deine Hand!/Arm und was sonst noch dran hängt! Wir brauchen dich ganz! :slight_smile:

Was ich damit meine ist, dass einer der sich mit der Materie auskennt, sich der Sache annimmt. Es zahlt sich bestimmt aus, wenn man einen Kündigen an seiner Seite weiß, der eben diese Sachen abgeklopft hat. Wenn dann die erste Abmahnung ins Haus flattert, dann kann derjenige schon den richtigen "Ton " zur Antwort finden. Ob das unter den genannten 1200,- Euro bleibt, hängt davon ab, ob man einen Juristen findet der von FOSS überzeugt ist.

Beste Grüße
Thorsten

Beste Grüße


#13

Hallo,

Nachdem ich jetzt seit ca.4 Monaten relativ motiviert Versuche, da surchzusteigen, spricht mit dieser Tweet aus dem Herzen:

VG

Frank


#14

… Und ganz konkret:

Discourse bettet ja sehr schön externe Links in Beiträge ein, wie z.B. den Tweet oben.

So wie ich das verstanden habe könnte das ohne Vertrag zur Auftragsdatenverarbeitung mit dem Zie künfig verboten sein, weil dabei ja die eure IP an die Originalseite weitergegeben wird. Das kann ich ja aber gar nicht, weil ich nicht weiß auf was die User alles verlinken.
Damit wäre ein für mich extrem cooles Feature kaputt - so man es denn abstellen kann.

Und an dieser Stelle würde die DS-VGO einfach das Web effektiv kaputtmachen, da die freie “Vernetzung” letztlich verboten würde und es, zumindest für kleine Entitäten wie dieses Forum, unkalkulierbare Risiken beinhalten würde, User Generated Content zuzulassen, was im Endeffekt dazu führt, dass wir uns nur noch über große Firmen und Plattformen austauschen können. Und in schlechten Momenten bin ich mir nicht sicher, ob das nicht genau das Ziel ist.

VG

Frank


#15

Hallo,

nachdem ich jetzt den halben Tag zugebracht habe die Datenschutzerklärungen für HP und Forum an die DSGVO zu adaptieren, kommt halt der Tiefschlag in Form eines Blog-Beitrags von Kristian Köhntopp:

http://blog.koehntopp.info/index.php/3156-self-hosted-wordpress-and-gdpr-compliance/

der ja nun kein Ahnungsloser ist…

Extrem frustrierte Grüße,

Frank


#16

Ich seh das immer noch entspannt und die Angst 80% der Leser zu verlieren schreckt mich auch nicht wirklich. Wenn der Leser youtube, fb und twitter “inkludiert” benoetigt, dann soll er sich das holen, wo es das gibt. Ist schade um die Features, aber irgendwas ist ja immer.

Waere derUmzug auf z.B. wordpress.com eigentlich die Loesung? Falle ich dann nicht auch unter deutsches/EU-Recht?


#17

Hallo,

ich halt nicht, weil dieses Forum Zeug aus allen Ecken der Welt schon eingebettet hat, und es eben schon x Accounts mit SSO gegen FB/Google und so weiter gibt. Das will ich eigentlich nicht abschalten, dann sind die nämlich erst mal raus.

Nach der Meinung zahlreicher Artikel, die ich in den vergangenen Monaten gelesen habe, derzeit nicht.

Jürgen Greuter vertritt in seinem FB Post ja die Ansicht, dass mittelfristig Googe/FB mit genau diesem Servicemodell (“wir machen dir das rechtssicher”) das Web letztlich zu Tode monopolisieren werden. https://www.facebook.com/JGeuter/posts/10211611505868513

Wenn der Gesetztgeber da nicht gegensteuert, und du als Privatperson mit einer Homepage praktisch dauernd damit rechnen musst, abgemahnt zu werden, wird er da wohl recht haben.

VG

Frank


#18

Irgendwie “die Geister, die ich rief”, den Post von Juergen Geuther von Koehntopp verlinkt kann ich z.B. mal nicht ganz lesen. Wieso feuern die ihren ganzen Kram auf FB, Twitter…wohin auch immer? Eigentlich sind sie doch alle schon weg auf “social media”, Narzissten und/oder Businesskasper

Oder Koehntopps Verlinkungen zu “sich” im Blog, da geht’s genau um eine Person.

koentopp


#19

Hai,

du kennst den nicht, was? Solltest du aber, von dem kann man viel lernen, das hat mit Narzissmus wenig zu tun.

VG

Frank


#20

Ich kenn ihn nicht und er interessiert mich auch nicht, das ist off topic, aber gerade so Leute befeuern doch mit ihrer Multipraesenz auf allen zur Verfuegung stehenden Datenkraken das Datenschutzproblem, machen dann doch recht unreflektiert beim grossen Spektakel mit.