Auskunftsersuchen bei Discourse

Ich betreibe derzeit ein Forum, das auf smf basiert. Ich überlege auf Discourse umzusteigen, aber was mir noch Sorgen bereitet, ist die (möglichst automatisierte) Beantwortung von Ansprüchen nach Art. 15 DSGVO.

Kennt da jemand eine brauchbare Lösung? Weiß jemand, wie das hier gehandhabt wird?

Jedenfalls lese ich gerade mit Interesse Nutzungsbedingungen und Datenschutzerklärung.

Was wären das für Ansprüche? Etwas in der Art von:

Schicken Sie mir alle zu meiner Person gespeicherten Daten?

Es ist übrigens möglich, im eigenen Profil die eigenen Beiträge herunterzuladen. Das ist schon sehr ausführlich. Hier die Dateien aus einem aktuellen Export meiner Profildaten:

1 „Gefällt mir“

Oh, vielen Dank! Ja, Art. 15 ist der Anspruch auf Auskunft über alle zur Person verarbeiteten Daten. Ich hatte letztens einen Fall, wo der User auch wissen wollte, ob Beiträge von ihm gemeldet worden sind. Könnte man das da auch erkennen?

(Wobei ich mir nicht sicher bin, dass darauf Anspruch besteht…)

An wen oder wohin gemeldet?

Sorry, das war unklar formuliert. Es ging um Beiträge, die andere User der Moderation als Verstoß gegen die HO oder mit der Bitte um Umsortierung etc. gemeldet hatten.

Er war der Ansicht, dass auch das eine Verarbeitung seiner Daten sei.

1 „Gefällt mir“

Nein, ich sehe diese Information nicht. Lediglich die selbst abgegebenen Meldungen sind dabei.

Vielen Dank. Ich bin mir aber, wie gesagt, keinesfalls sicher, ob man diese Daten überhaupt als „Verarbeitung personenbezogener Daten“ betrachten kann.

Man könnte aber noch weiterdenken: Angenommen, ich verstoße gegen die Nutzungsbedingungen hier, aber in einem schwierigen Fall. Mods und Admins diskutieren den Fall. Verarbeiten sie jetzt gerade meine persönlichen Daten? Vielleicht schon, insb. wenn eine Meinungsäußerung von mir im Vordergrund stehen würde. Andererseits könnte ich mir vorstellen, dass solche Gespräche auch irgendwie geschützt sein müssten. Ich bin mir daher sehr unsicher, wie weit ein solcher Anspruch wohl gehen würde.

Ich denke, Meldungen sind grundsätzlich personenbezogene Daten des Melders, als Subjekt.
Für das Objekt, das gemeldet wird (Mensch, Tier, Maschine oder Sachverhalt), ist es kein eigenes Datum.

1 „Gefällt mir“

Das dachte ich auch. Ich versuche aber parallel dazu mit Google etwas zu finden, und da gibt es Rechtsprechung zu Arbeitgebern, die Gesprächsnotizen genau dazu nach Art. 15 DSGVO preisgeben müssen. Deshalb bin ich mir gerade so unsicher!

„Grundsätzlich“ schließt ja besondere Umstände nicht aus.
Im personalrechtlichen Verhältnis zwischen Arbeitnehmer und -geber liegen m.E. solche „besonderen“ Umstände:
Der AN hat andere Rechte auf Einsicht in die ihn betreffenden Bewertungen und Maßnahmen (um ihm sein Widerspruchsrecht zu ermöglichen), als beispielsweise der Nutzer eines (öffentlichen) Forums (der nicht zwingend ein Widerspruchsrecht haben muss).

1 „Gefällt mir“

Ich denke gerade noch ein bisschen weiter herum. Angenommen, Mods und Admin diskutieren (im Forum, aber in einem Bereich, den ich nicht lesen kann) meinen Post und verhängen eine Moderationsmaßnahme gegen mich.

Ich möche dann nach Art. 15 Auskunft.

Diskutiert wurde (softwarelogik!) nicht der Post von mir selbst, sondern die Meldung. Der Vorgang ist mit meinem Profil zunächst nicht verbunden. Es würde also zu diesem Zeitpunkt (!) eine zusätzliche Datenverarbeitung bedeuten, ihn mit meinem Profil und damit mit personenbezogenen Daten zu verbinden. → Auskunft wohl nicht nötig.

Jetzt kommt es aber zu einem Bann. In dem Moment wurde die Diskussion mit meinem Account verbunden (stimmt das?) und damit ein Auskunftsrecht begründet. → Auskunft nötig.

Richtig?

Das Arbeitsgespräch des TEAMs ist intern und nicht zu veröffentlichen. Es ist auch kein persönliches Datum des Objekts (siehe voriger Beitrag).

In einer Auskunft nach § 15 DSGVO würde es gar keine Erwähnung finden.

Sämtlicher Datenverarbeitung innerhalb des Forums hat jeder Teilnehmer bei der Registrierung zugestimmt. Anders könnte das Forum nicht funktionieren und wäre paradox.

Ein Bann wird dem Betroffenen per eMail automatisch als Ergebnis der TEAM-Entscheidung mitgeteilt. Das muss aber nicht unbedingt sein, es ist eine Frage des Anstandes.
Wenn es um den Selbstschutz des Forums geht und schnell reagiert werden muss, könnte darauf verzichtet werden.
Wenn die eMail-Adresse des Betroffenen nicht sofort funktioniert, ist die Mitteilung nicht möglich, danach ist die eMail-Adresse mit dem Profil gelöscht.

Das klingt sehr einleuchtend! :+1:

Allerdings blockiert mein smf die Email als Schutz gegen eine Neuregistrierung - die wird also nicht gelöscht. Ist das bei Discourse anders?

Man kann jemanden so löschen, daß IP und eMail-Adresse künftig blockiert werden.

Das sind aber verschiedene automatische Prozesse und niemand macht sich die Mühe, in der Datenbank herumzusuchen, um eine eingangsseitig geblockte eMail-Adresse nur für eine händische Nachricht an einen Gelöschten herauszupicken und dann noch nach dem Fehler zu recherchieren, warum die nicht funktioniert hat.

Im Normalfall, wenn die eMail-Adresse in Ordnung ist, stellt der Bot die Abschiedsmail zu und wir sehen nur den User verschwinden.

Wenn die Email-Adresse mit dem Account gelöscht wird, sind auch keine Daten mehr da, mihilfe deren man ein Auskunftsersuchen einem gelöschten Account zuordnen könnte. Schließlich muss man sich für eine Auskunft legitimieren. Ohne Daten geht das nicht. Dies würde ich bevorzugen. Daten, die nicht da sind, können auch nicht mitgeteilt werden.

Da zeigt sich die Doppelzüngigkeit des Löschens:
Wenn man gleichzeitig verhindern möchte, daß sich der Teilnehmer direkt wieder anmeldet, muss man ihn blockieren und dazu muss das System die Kriterien erkennen.

Das heißt:

  • entweder man hat keine Daten, kann keine Auskunft geben, muss aber damit rechnen, daß er in Reinkarnation zurück kommt (das ist sehr häufig so, solange dort noch Wut ist);
  • oder man blockt erfolgreich, muss aber zugeben, die eMailadresse und IP noch im System zu haben und ist auskunftspflichtig – und sei es mit der Auskunft, daß außer den Blockadekriterien keine Daten mehr vorhanden sind.

Oder man hashed die Emailadresse, und vergleicht Neuanmeldungen gegen den Hash.

Prinzipiell richtig, aber ich weiß nicht, ob Discourse diese Option bietet und darum ging es Dir ja hier.
Händisch oder mit anderer Software kann man das sicher so machen.

Also erstmal vielen Dank an alle, die sich an der Diskussion beteiligt haben. Ich kriege juristisch die Frage noch nicht genau erfasst, warum Moderationsinterne Entscheidungsvorgänge nicht von dem Auskunftsanspruch umfasst sind - das fühlt sich zwar richtig an, aber eine „harte“ juristische Argumentation ist das noch nicht.

Aber alles in Allem wird ein Umstieg die DSGVO-Compliance wohl eher erleichtern, nicht erschweren.

Weil ja i.d.R. der Post (kein personenbezogenes Datum) und nicht die Person diskutiert wird.

Außerdem ist nicht alles wo man erwähnt wird (solange man noch auf der Plattform angemeldet ist) ein personenbezogenes Datum.

Wenn Discourse es wie die BigPlayer machen würde, würde man wahrscheinlich nur die Informationen erhalten, die man selbst in den Einstellungen unter Konto eingibt.

1 „Gefällt mir“