Wie sieht es mit DSGVO und Cookie Banner bei smf aus?

Started by Techni, August 13, 2022, 10:27:13 AM

Previous topic - Next topic

Techni

Ich habe bislang vbulletin Forum und bin nicht mehr so recht Zufrieden mit Support dort. Was tagt denn SMF als Alternative? Wie sieht das denn mit DSGVO aus?

Gibt es Cookie Banner mit Einwilligung damit man beispielsweise Adsense einbinden kann?

Was geschieht beim import von vbulletin Einträgen mit externen Bildern, die dürfen ja nicht eingebunden werden. (DSGVO).

Hier werden z.B. einige Google Cookies gesetzt, ich glaube ich wurde vorher nicht gefragt. Kann das sein?

TEST BILD



peter_mein

Das ist kein Deutsches Forum und damit hat es
andere Regeln. Es muss nicht impliziert zugestimmt werden, es
reicht auch aus wenn es in den Bestimmungen auf der Seite steht.
Bei Deutschen Foren muss halt das rein was so wichtig ist.
Das reicht dann.

Techni

Ja aber ist halt Einwilligung vor dem Cookie setzen auf deutschen Foren überhaupt mit smf möglich?

peter_mein

Ja du kannst wenn sich ein User registriert, seine Zustimmung
verlangen, sonst kann er sich nicht registrieren. Das ist eine
Einstellung. Aber wie gesagt ist nicht nötig, aber ist machbar.

Techni

Das reicht nicht! Eine Zustimmung muss ja vor der Anzeige von Werbung oder reCaptcha gegeben werden, damit sie auch Gäste sehen! Und natürlich ist das bei jedem Forum nötig das von deutschem betrieben wird, es spielt keine Rolle in welchem Land es programmiert wurde.

peter_mein

Wie ich schon schrieb, es muss nicht eine manuelle Zustimmung
erfolgen. Es reicht schon wenn es in den Bestimmungen steht.
Dieses Forum wird nicht von Deutschen betrieben.
Aber wenn du sowas haben willst mit Bestätigung, das Forum
selber bietet es nicht an aber vielleicht gibt es eine Modification dafür.
Da musst du selber mal in der Kategorie hier im Forum nachschauen.


Techni

Haben will ist gut, als deutscher muss ich es leider haben sonst wäre es ja gesetzeswidrig! Ich dachte hier kennt man sich im deutschen Bereich etwas aus, daher frage ich ja. Ich suche Forum-Anbieter welcher das DSGVO schon richtig berücksichtigt und man nicht alles nachrüsten muss.

jjsa

Ein Cookie Banner ist nicht notwendig, wenn diesen lediglich funktionale Cookies sind (Sitzung-ID).

mr.cabrio

QuoteIn der praktischen Anwendung müssen Sie beim ersten Besuch des Nutzers ein Cookie-Banner (auch Cookie-Hinweis genannt) einblenden, die Cookie-Richtlinie integrieren und dem Nutzer die Möglichkeit geben, eine Einwilligung abzugeben – es sei denn, Ihre Website verwendet ausschließlich technisch notwendige, nicht einwilligungspflichtige Cookies (was höchst unwahrscheinlich ist). Vor der Einwilligung können keine Cookies laufen oder installiert werden – mit Ausnahme von technisch notwendigen, nicht einwilligungspflichtigen Cookies.

Quelle: https://www.iubenda.com/de [nofollow]


Ich hab bei mir eine Webseite vorgeschaltet und damit das Problem eh schon gelöst.
Wichtig ist, wenn Du das Theme änderst, nutzen einige Themes dann Schriften über Netzwerk, was nicht mehr legal ist. Auch hier habe ich das Standard-Theme selbst umgeschrieben um dieses Problem aus dem Weg zu gehen.

Louis

Quote from: mr.cabrio on December 10, 2022, 08:05:09 AM
Quote from: iubenda.comes sei denn, Ihre Website verwendet ausschließlich technisch notwendige, nicht einwilligungspflichtige Cookies (was höchst unwahrscheinlich ist)
Das ist doch Unsinn und mittlerweile wirklich nicht mehr schwer. Man kann sehr wohl eine Webseite mit lediglich den technisch notwendigen Cookies betreiben.

Wichtig im Hinblick auf Datenschutz ist bei SMF aber auch:
  • jQuery lokal einsetzen
  • keine Fonts von Google laden (Google Fonts kann man bei Bedarf lokal hosten und einbinden, muss man dann aber auch tun)
  • tracking nicht mit Google, besser Matomo ohne Cookies


Ob DSGVO/GDPR gilt, hängt übrigens nicht am Serverstandort oder Seitenbetreiber, sondern streng genommen am Publikum: sobald Besucher aus dem Geltungsbereich der DSGVO auf die Seite zugreifen können, gelten die Bestimmungen automatisch. (Ob dieser Ansatz realistisch und durchsetzbar ist, steht auf einem anderen Blatt...)
It is your mind that creates this world (Buddha)

knut

Eigentlich hat das nichts mit 'nur deutschen' Webseiten zu tun.

Die Datenschutz-Grundverordnung (DSGVO, englisch GDPR) ist eine Verordnung der Europäischen Union. Daher gilt sie in allen Mitgliedstaaten.

peter_mein

Das Forum ist in den USA und hat mit unseren DSGVO nichts zu tun.
Es gelten die Regeln in dem Land wo der Server steht.

Louis

Quote from: peter_mein on May 13, 2023, 07:51:56 AMDas Forum ist in den USA und hat mit unseren DSGVO nichts zu tun.
Es gelten die Regeln in dem Land wo der Server steht.
Da liegst du leider komplett falsch, lies mal Artikel 3 Satz 2:
Quote(2) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht
    a)    betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;
    b)    das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.
(Ich wiederhole mich gerne: Ob dieser Ansatz realistisch und durchsetzbar ist, steht auf einem anderen Blatt...)

Abgesehen davon geht es bei der Fragestellung nicht explizit und ausschließlich um das Forum von simplemachines.org, sondern generell um Foren, die mit dieser Software aufgesetzt sind.
It is your mind that creates this world (Buddha)

peter_mein

Das bezieht sich auf Geschäfte im Ausland. Das hat mit dem Forum überhaupt nichts
zu tun. Es werden weder Personen bezogene Daten erhoben noch wird eine Ware oder
Dienstleistung angeboten. Wie schon geschrieben es gelten die Regeln in dem Land wo der Server
steht. Ob es dann noch zusätzliche Bestimmungen gibt muss man im Land dann selber herausfinden.

Louis

Trollst du hier eigentlich?

Falsche oder veraltete Rechtsauffassungen werden auch durch ständige Wiederholungen nicht richtiger. Und auch nicht ohne Quellenangaben.

Ich probiere mal eine kurze Erklärung des Artikel 3 Satz 2 im Schnelldurchgang:
  • jeder ist hier mit seiner Mailadresse registriert, zusätzlich speichert das Forum die IP-Adressen zusammen mit einem Zeitstempel - beides gehört zu personenbezogenen Daten im Sinne der DSGVO (siehe Artikel 4 und gängige Rechtsprechung). Damit hätten wir den ersten Teil schon erfüllt: dieses Forum verarbeitet peronenbezogene Daten.
  • Wir beide sind hier im Forum registriert, sind also "betroffene Personen". Und wir befinden uns in der EU (also ich jedenfalls). Zweiter Teil erfüllt.
  • Dass der Verantwortliche (simplemachines) nicht in der EU niedergelassen ist hast du ja bereits mehrfach erwähnt. Dritter Teil erfüllt.
  • natürlich wird hier eine Dienstleistung angeboten: Informationsaustausch und Hilfestellung zur Software Simplemachines. Diese Dienstleistung wird offensichtlich auch uns angeboten, also ist Halbsatz a) komplett erfüllt.
Die Ausrede mit dem Serverstandort zieht nicht mehr, das Argument ist seit Inkrafttreten der DSGVO nicht mehr juristisch haltbar. Wer eine eigene Instanz von Simplemachines aufsetzt, die innerhalb der EU erreichbar ist, unterliegt automatisch der DSGVO - egal ob er will oder nicht. Betreiber innerhalb der EU haben zusätzlich den "Nachteil", dass die DSGVO gegen sie auch ziemlich einfach durchgesetzt werden kann.
It is your mind that creates this world (Buddha)

peter_mein

Das ist doch Blödsinn.
Jedes Land hat ihre eigene DSGVO. Und die gilt dann auch wenn man aus dem Ausland
auf den Server drauf zu greift. Wenn ich außerhalb der EU was kaufe so gilt zuerst
einmal die dort gültige DSGVO. Es gibt Länder die haben ein abkommen wo dann unsere DSGVO
teilweise Gültigkeit hat. Aber es gibt genug Länder da gibt es das Abkommen nicht und auch
dort kann ich einkaufen. Aber es gibt in der DSGVO noch viele Beispiele die viel Spielraum
zur Interpretation lassen.

Louis

Das ist auf so vielen Ebenen halb bis ganz falsch...
Noch ein letzter Denkanstoss: was meinst du denn, welches Recht gilt, wenn du dein Forum mit der .de Domain auf einem Server in USA hostest?

Und bevor das hier komplett zum Taubenschach verkommt steige ich an dieser Stelle aus - wir sind sowieso schon meilenweit von der eigentlichen Frage abgekommen.
It is your mind that creates this world (Buddha)

Andreasjv

Hallo ihr Lieben,

ich bin schon erschrocken, wie wenig in diesem deutschsprachigen Bereich auf die DSGVO eingegangen wird und abgewiegelt wird. Die DSGVO stellt ein Gesetz dar und Forumsbetreiber können eine saftige Abmahnung erhalten, wenn sie nicht darauf eingehen und das europaweit.
PHPBB hat keinerlei Probleme, auf das Thema einzugehen und verlinkt sogar auf die Datenschutzerklärung:

So etwas erwarte ich bei SMF auch. Natürlich nicht als pöse Absicht, wo doch alles kostenlos ist, sondern als jemand, der DSGVO-konform eine Webseite betreiben möchte mit dem Forum und keine Lust auf Strafen und Gerichtsverfahren hat, weil mir dafür zum Beispiel das Geld fehlt.

Dem Forum auf meinen Webseiten ist zwar eine Webseite vorgeschaltet, auf der ich alles erklären könnte, was bei der Benutzung des Forums rechtlich wichtig ist. Aber ich will dann schon sagen können, welche Datenschutzrichtlinie meine Besucher erwartet, wenn sie auf das Forum zugreifen. (Siehe oben PHPBB). Auch Google hat eine Datenschutzrichtlinie, auf die man verlinken kann.
Weiterhin wird man mein Forum und einzelne Posts wegen Google auch irgendwann direkt aufsuchen können. Dann hat man keine vorgeschaltete Erklärung und kein Cookie-Banner.

Ich halte die DSGVO nicht für beliebig, bin aber auch kein Erbsenzähler.

Danke für eure Bemühungen!

Gruß,
Andreas

Andreasjv

SMF 2.1.4
ProCurve Theme

Hallo ihr Lieben,

genug geschumpfen.  Ich will ja keine schlechte Laune verbreiten.  :)

Ich bin kein Experte, was Webdesign bzw. PHP angeht, aber ich denke, dass man in Richtung DSGVO-Konformität geht, wenn man ein paar Dinge ändert bzw. hinzufügt. (Bitte gern ergänzen, wenn etwas falsch ist oder fehlt.)

Nach einem Cookie-Scan von meinem Forum von der Webseite hxxp:gesellschaft-datenschutz.de [nonactive] gibt es bei meinem Forum mit einer DE-Endung drei Dinge, die auffallen:
1) Es gibt pro Seite nur ein Cookie. Das ist ein Sitzungs-Cookie. Das brauch man ja nur in der Datenschutzerklärung erwähnen.

2) Es gibt keinen direkten Link zum Impressum und zur Datenschutzerklärung.
Unten im Footer (?) gibt es ja den Link: "Nutzungsbedingungen und Regeln". Den könnte man umbenennen in "Nutzungsbedingungen, Impressum und Datenschutzerklärung". Klickt man auf den Link, kommt man zur Webseite u. a. mit der Überschrift "Datenschutzrichtlinien". Die Überschrift könnte man abändern in "Impressum und Datenschutz". Die Datenschutzerklärung kann man im Administrations-Bereich des Forums ja eingeben. Wenn man dort nun auch zusätzlich den Text für das Impressum eingibt, sollte es genügen.

3) Weiterhin zeigt die Analyse, dass es vom "Font Awesome CDN" einen externen Link im Forum gibt:
hxxp:use.fontawesome.com/releases/v6.4.0/css/all.css [nonactive]
Der Provider ist Cloudflare und sitzt in den USA.
Der Rechtsanwalt von hxxp:e-recht24.de [nonactive] geht darauf ein: 
hxxp:e-recht24.de/dsg/12647-font-awesome.html [nonactive]
Die Lösung ist, dass dieser Font lokal auf der Webseite eingebunden wird und von dort auch geladen wird. Dann ist es DSGVO-Konform.
mr.cabrio hat oben ja schon erwähnt, dass er das Theme in diesem Sinn umgeschrieben hat.

Gibt man bei Google ein "Font Awesome lokal einbinden", gibt es mehrere Hinweise, wie man das Umsetzen kann.
Bis ich diese Dinge geändert habe, werden bestimmt ein paar Wochen vergehen.
Ich berichte dann wieder.

Ich bin kein Programmierexperte und auch kein Anwalt. Deshalb ist mein Geschreibsel nur ein Gedankenaustausch und ganz bestimmt nicht reflektiert rechtssicher!

Herzliche Grüße und noch einen schönen Sonntag,

Andreas

p.s.: Ach ja: Das SMF ist klasse!


Advertisement: