Zusammenfassung
Im Folgenden findet man das Protokoll des Entwicklertreffens vom 24.05.2018.
Thema des außerplanmäßigen Talks war der Austausch über DSGVO mit Kiki. Es konnten alle Fragen rund um dieses Thema gestellt werden.
Protokoll
Ampelmännchen+w: Einen wunderschönen guten Abend euch allen! <PIC> .........Schön, dass ihr so zahlreich erschienen seid.
Ampelmännchen+w: Ein paar kurze Worte zum Ablauf. Wir würden ungern einen moderierten Channel für unsere Runde nutzen. Viel lieber wäre uns, wenn wir alle in einen Dialog einsteigen. Wir würden es daher erstmal so versuchen und hoffen, wir kommen da auf eine gemeinsame Welle. :) .........Jede*r von euch hat die Möglichkeit Fragen loszuwerden. Wir werden dazu die Nicks in der Liste durchgehen und dann habt ihr die Möglichkeit loszuwerden, was ihr mit uns bzw. unserem Anwalt sagen wollt.
Ampelmännchen+w: Wir heißen unseren Datenschutzbeauftragen Kiki willkommen. <PIC> .........Christian ist schon seit langer Zeit unser juristischer Beistand und jetzt im Zuge der DSGVO auch offiziell unser Datenschutzbeauftragter. Ihr kennt ihn vermutlich z.B. noch als Jugendschutzbeauftragten. .........Christian ist seit 12 Jahren Anwalt und dabei Fachanwalt für IT-Recht. Er ist ebenfalls zertifizierter Datenschutzbeauftragter.
Kiki: Hallo zusammen!
<PIC> >> Krieger des Waldes ist egal, ob die anderen nach Yves Saint Laurent, Lady Million oder Jean Paul Gaultier riechen... Sie jedenfalls riecht fantastisch. <PIC>
Ampelmännchen+w: Dann fangen wir doch direkt oben an
Ampelmännchen+w: Bluebird1 - möchtest du etwas loswerden?
Bluebird1: ja moment, habe 3 Fragen mitgebracht <PIC>
Zide: Ich hätte da auch ne Frage..
Bluebird1: 1) Einige größere Channel setzen ja die Zutrittsbeschränkung hoch auf 16 Jahre. Ist derartiges wirklich notwendig? Gerade als Questchannel sollte man doch den Zutritt zum Questchannel nicht verwehren. ......... .........2) Manche Foren haben ein sogenanntes Forum für die Appentwicklung, aber auch als Plattform für die User (Fragen, Kritik usw). Immer wieder hört man hier Halbwissen, wie sieht hier die rechtliche Handhabe aus? Fallen solche Foren nicht eigentlich noch in den persönlichen Bereich, sofern man selbst damit kein Geld verdient, ggf aber (nur!) der Hoster durch Werbung? Oft hört man auch, dass angeblich SSL Pflicht wäre, was aber nach meinem jetzigen Kenntnissstand kostenpflichtig wäre.
Bluebird1: 3) Wenn ein User die Löschung seiner Daten verlangt, müsen wir das machen? Respektive gibt es durchaus heikle Daten, die dem Schutz der Channelleitung / des Betreibers dienen. Konkretes Beispiel: Eine App speichert die X letzten Einkäufe des Users im Shop der App. Diese Daten dienen nicht nur der Prüfung auf Bugs, sondern auch als Schutz vor Diffamierung. Man stelle sich einfach vor, man müsste solche Daten löschen und danach kommt der User und unterstellt einem Betrug. Der Betreiber könnte es ohne die Daten nicht mehr nachweisen und auch nicht mehr auf Bugs prüfen. Sowas hat also auch das Potential, den Channels massiv zu schaden.
Innerlichboese: Zide dann tipp sie shcon mal, und kopier sie rein, wenn du dran bist
Zide: Ok
Son of a Glitch: @Bluebird1: zu #2 schau dir mal Lets Encrypt an. Kostenfreie SSL Zertifkate von Vertrauenswürdigen stellen.
Pega16: @Innerlichboese darf man Fragen (wie zum Beispiel zu den Kosten für SSL) mit Fachwissen beantworten, oder obliegt dies dem Anwalt?
Pega16: lol, Chris... das wollt ich grad auch sagen/erklären, war mir aber bezüglich des Rahmens nicht sicher, ob dies gewünscht ist...
Zide: Cloudflare wäre auch noch eine Alternative, da ist aber noch nicht rechtlich abgedeckt inwiefern das zulässig ist, da der Traffic über die Server von Cloudflare läuft
Zide: Für SSL*
Kiki: zu 1): Notwendig ist es nicht unbedingt. Grundsätzlich dürfen keine Daten von Personen unter 16 bearbeitet werden, es sei denn, die Eltern stimmen zu. Mit Zustimmung ist das aber möglich. Es ist auch fraglich, ob diese Regelung in Deutschland nicht auch noch auf 14 geändert werden wird
Innerlichboese: wir koennen jetzt schlecht im voraus wissen, wieviel fachwissen du so hast oder ob du glaubst dass du fachwissen hast. WIr wollen nicht wild spekulieren aber wenn du was weisst, darfst du antworten
rmpg: Demnach dürfen sich Personen die 14 sind bei Knuddels nur mit elterlicher Erlaubnis anmelden?
Kiki: zu 2): Für Datenerhebungen, die nur privater oder familiärer Natur sind, gelten die Regelungen der DSGVO nicht
Innerlichboese: chris... kannst du den auslauf fuer deine smileyfeatures vielleicht in nem anderen channel einrichten? <PIC>
Kev777: die nur privater ...Natur sind, bedeutet was konkret?
neugierig39m: die einladung ist doch schwasinn heute aben!!!
Bluebird1: genau das frage ich mich auch Kev777, was alles zu persönlich dazugehört
Innerlichboese: neugierig39m hat doch gerade erst angefangen, urteilst du da nicht ein bisschen frueh?
martin070476: Noch mal als Hinweis: der Inhalt des Chat kann hier nachgelesen werden : https://knuddels-wiki.de/index.php?title=Entwicklertreffenvom24.05.2018(DSGVOTalk)
<PIC>djchrisnet: @Innerlichboese Wollte nur das alle aufpassen, drum Captcha´s aktiviert <PIC>
neugierig39m: warum wer hat denn genau die bestimmung geleseb Innerlichboese
neugierig39m: und denn missbrauch was andere channel gemacht haben??
Kiki: zu 3) Grundsätzlich ist auf Verlangen zu löschen. Es gibt aber Ausnahmen dazu, die in Art. 17 der DSGVO festgehalten sind. Dazu gehört z.B. öffentliche Interessen oder die Erfüllung rechtlicher Verpflichtungen
rmpg: <PIC>https://knuddels-wiki.de/index.php?title=Entwicklertreffen_vom_24.05.2018_(DSGVO_Talk)
Zide: Was fällt unter Erfüllung rechtlicher Verpflichtungen?
Ampelmännchen+w: Du warst schneller, danke <PIC>
Piet1987: Danke rmpg ^^
Innerlichboese: neugierig39m kiki hat die bestimmung gelesen
Bluebird1: Daten, die unserem Schutz dienen, würde ich also darunter zählen?
KatNightmare: Vielleicht wartest du bis du an der reihe bist und schilderst dann dein problem neugierig39m
Pega16: @Kiki, wie ist das mit den EachAccessibleUser? diese müssen auf Verlangen ja auch gelöscht werden können... wir Entwickler können das aber nicht... müssen wir diesbezüglich auf die CL verweisen?
Ampelmännchen+w: Ich fänds gut, wenn wir keine Seitengespräche anfangen. Das wär cool.
Zuckerwattenprinz: Ich habe das Gefühl, ohne Moderation wird das nichts.. <PIC>
Kiki: Wenn Du selbst in keinem finanziellen Interesse handelst, sondern nur z.B. im Rahmen eines Hobbys, ist das privat. Wenn der Hoster Werbung schaltet, betrifft Dich das nicht
Innerlichboese: bitte wartet mit euren fragen bis ihr dran seid, damit wir hier nicht den ueberblick verlieren (sonst muessen wir mod einschalten, das waere irgendwie nicht so cool)
neugierig39m: jepp Zuckerwattenprinz
<PIC>djchrisnet: Holt euch VIP wenn ihr früher ran wollt Mädels <PIC>
Innerlichboese: djchrisnet<PIC> du bist dran, sach an!
<PIC>djchrisnet: 1. Die Apps verwarbeiten und greifen auf persönliche Daten zu, diese werden bei euch gespeichert/gehostet. Hetzner bietet als Hoster eine Auftragsdatenvertrag an, den man mit dennen Online abschließen kann. Wann wird das mit euch möglich sein? ......... .........2. Muss ich im konkreten Fall die Daten eines Störenfriedes aus meiner Blackliste löschen, wenn er dies beantragt?
Son of a Glitch: #2 wurde doch bereits erklärt. Daten die der öffentlichen Sicherheit dienen (in dem Falle dem Channel) sind davon befreit.
Krieger des Waldes: Die Blacklist dient aber nicht der öffentlichen Sicherheit. Ein ähnliches Fall gab es bei einer App, die es letztlich nichtmal in der Übergabezeit machen durfte. <PIC>
Krieger des Waldes: *Übergangsphase
Kev777: #2 dient aber einem berechtigten interesse des channelbetreibers, nämlich seine freie entscheidung wen er in den channel läßt durchzusetzen. *denk*
TobyB: vielleicht schreibt er auch nur "langsam" weil er seine antworten wohl überlegt, wie es sich für einen juristen gehörtt? :P
Kiki: Zur Auftragsverarbeitung: Wer personenbezogene Daten im Auftrag eines Verantwortlichen für andere Personen verarbeitet, ist Auftragsverarbeiter.
<PIC>djchrisnet: Das weiß ich, es ging um darum, wann wir die nötigen Verträge mit euch dafür endlich abschließen können
Kiki: Ich gehe davon aus, dass die App-Betreiber nicht im Auftrag von Knuddels Daten von Knuddels bearbeiten
rmpg: Nun wir verarbeiten aber Nutzerdaten
Kev777: aber knuddels speichert doch im auftrg des appentwicklers daten auf seinen servern?
<PIC>djchrisnet: Aber andersherum
Son of a Glitch: Und Knuddels wird selbst zum Auftragsdatenverarbeiter, wenn Knuddels die Daten an die User App übergibt, denn diese entscheidet in dem Moment, wie sie mit den Daten umgeht.
Kiki: Die Daten eines Störenfriedes musst Du nicht löschen, wenn es in Deinem berechtigten Interesse zur Aufrechterhaltung des Chatfriedens steht und keine Unverhältnismäßigkeit besteht
rmpg: Erkläre bitte unverhältnismäßigkeit in diesem Zusammenhang
Kev777: @rmpg nur das speichern was unbedingt nötig ist um ihn draussen zu halten.
<PIC>djchrisnet: Im myChannelbereich gibts das nicht, es sei den du machts nen afrofilter
rmpg: Also im Grunde nur die User ID oder die UserData ... aber nicht den Grund warum? oder wie?
Kiki: okay, ich habe das andersherum verstanden. Wer für nicht private Zwecke eigene Daten erhebt und mit Knuddels eine Vertrag über Auftragsverarbeitung (mit Knuddels als Auftragsverearbeiter) schließen möchte, der soll sich bitte unter community@knuddels.de melden
Son of a Glitch: Das betrifft jede User App die irgendwas zu einem Nutzer speichert.
Son of a Glitch: Ramnip wird sich freuen.
Kev777: @Son of a Glitch für nicht private Zwecke
Krieger des Waldes: ôo
<PIC>djchrisnet: für nicht private Zwecke = Monetarisierung, also doch mehr User
TobyB: vermutlich sind die meisten App-Entwickler und demnach auch Apps rein privat und brauchen das demnach nicht, vermute ich mal. :)
Kiki: unverhältnismäßig ist, wenn das Interesse zur Löschung Dein Interesse überwiegt
Ampelmännchen+w: Korrekt Toby
Kev777: @rmpg wenn der user die löschung seiner daten bei dir verlangt dann würde ich sagen kannst du auch den grund löschen. einfach ein flag setzen das er gesperrt ist und ruhe is.
blutendesEngelschen: wie ist das denn mit der vk app? das ist ja eine team app? also privat?
Ampelmännchen+w: Noch mal der Reminder: Bitte wartet bis ihr dran seid.
Zuckerwattenprinz kann nicht mit ansehen, dass Ampelmännchen+w so traurig ist, und spendet Ampelmännchen+w Trost.
Innerlichboese: Uranus237 du bist dran
Ampelmännchen+w: zu oben: Es betrifft nach unserer Einschätzung die gewerblichen Apps.
<PIC><PIC><PIC><PIC><PIC>Uranus237: ich hab nichts <PIC> ich les nebenbei gern alles mit
Narkol: @TobyB wenn ich aber mir geld anstatt kn auszahlen lasse bin ich dann noch privat, weil wirtschaftlcihes interesse? ^^
Ampelmännchen+w: Dann ist Son of a Glitch dran :)
Son of a Glitch: Wo ist da dann die Abgrenzung? Eine meiner App wird, wie die von einige Anderen, in vielen Channels genutzt, ich stelle sie aber kostenfrei und ohne kommerziellen Hintergedanken zur Verfügung. - Die App selbst arbeitet mit sehr vielen Daten der Nutzer, da sie diverse Moderationsverbesserung zum Beispiel mitbringt. - Das ganze Projekt an sich ist dennoch kostenfrei und privat.
<PIC><PIC><PIC><PIC><PIC>Finomosec: Die Apps in System-Channeln wurden (so wurde mir gesagt) alle von Knuddels-Mitarbeitern im Auftrag von Knuddels entwickelt und sind somit als User-App zu ignorieren.
<PIC>djchrisnet: ähm nein
Zuckerwattenprinz: Falsch.
Zuckerwattenprinz: Dazu komme ich aber noch.. Wenn ich dran bin.
<PIC>djchrisnet: Ich hab eine in Mafia
<PIC>djchrisnet: Wo is mein Gehaltscheck?
SternchendesSüdens: xD
Krieger des Waldes: Ich glaube ich kaufe mir mal eben Gold Vip <PIC>
Pega16: gut reagiert @djchrisnet
Kiki: Wenn Du die App nur aus privatem Interesse betreibst, verfolgst Du auch nur private Zwecke (Hobby). Das die App dann von vielen genutzt wird, spielt keine Rolle
Ampelmännchen+w: Hast du noch was Son of a Glitch?
Son of a Glitch: Warum erlaubt sich Knuddels eine Generalvollmacht für jeden Nutzer auszustellen, sodass seine Daten von jeder App in jedem MyChannel ungefragt genutzt werden dürfen? Dies lässt sich mit der DSGVO § 13, wobei Knuddels als Auftragsdatenverarbeiter einspringt, nicht vereinbar. Der Nutzer muss explizit seine Zustimmung erteilen, dass eine User App seine Daten erhalten darf. Diese muss er selbstredend für jeden Channel und für jede App separat einstellen können.
<PIC>djchrisnet: Ach stimmt, hab ja keine Monetarisierung in Mafia an <PIC>
<PIC>djchrisnet: Wie schütze ich die u16 jährigen in einem Systemchannel wie Mafia vor der Datenerhebung? <PIC>
Zuckerwattenprinz: Berechtigter Einwand.
neugierig39m: die frage ist wie können wir junge user im netz schützen für gewisse daten???
neugierig39m: es hat sich viel getahn im telekommunikations gesetz nur die umsetzung von heute auf morgen wird schwierig!!
Son of a Glitch: Heute auf Morgen... das trifft es wahrlich neugierig39m
Zide: neugierig39m das ist aber nicht seit heute bekannt ....
Innerlichboese: neugierig39m sei du bitte auch so gut und wartebis du dran bist
neugierig39m: sorry
Kiki: Grundsätzlich muss ein User in der Regel zum ZEitpunkt der Erhebung informiert werden (nicht vorher). Der User wird jetzt bei Registrierung oder per Nachricht (bei schon registrierten Usern) über die Datenverarbeirung auch zu den UserApps informiert und darauf hingewiesen, wie er vermeiden kann, dass diese Daten erhoben werden. Außerdem ist die Zustimmung nicht der einzige berechtigende Grund zur Datenerhebung....
schneggeti: ich hab keine fragen vllt kann SeipLabDE für mich dran kommen ?
neugierig39m: ja klar nur einige denke es wird nicht kommen wenn es kommt dann haben wir das Zide
Son of a Glitch: Wenn man einen MyChannel betritt, werden die Daten bereits gespeichert und die UserApp hat diesen Nutzer Erhoben.