Deswegen sind solche DSGVO Diskussionen eher frustrierend. Jeder meint irgendwo einen Satz aus dem Kontext reisen zu können und, ohne die DSGVO jemals gelesen zu haben, jetzt alles besser zu wissen. Oder bevor man es überhaupt verstanden hat fröhlich anzufangen Daten zu sammeln und zu verarbeiten. Wie ich schon geschrieben habe: Zuerst muss man die DSGVO ansatzweise verstehen und ernstnehmen und erst dann kann man personenbezogenen Daten verbeiten unter der Berücksichtigung der DSGVO.
Erstens finde ich die DSGVO alles andere als verständlich und eindeutig; z.B. gibt es am Anfang Begriffsdefinitionen, die alles so allgemein und schwammig wie möglich umdefinieren. Das soll zwar Schlupflöcher verhindern, aber verhindert auch klare Aussagen. D.h. den Gesetzestext alleine zu lesen bringt erst einmal nicht viel; wenn man Kenntnis von den ergänzenden Gesetzen und der üblichen Rechtssprechung hat, mag das anders sein.
Zweitens wird eben sehr oft auf die Abwägung von Interessen hingewiesen. Und wie diese zu gewichten sind ist ohne entsprechende Grundsatzurteile schwierig. Zumindest für mich.
Drittens hatte ich beruflich was von einem Rechtsgutachten mitbekommen; damals ging es um industrielle IT-Sicherheit, und inwiefern es erlaubt ist, nach Sicherheitslücken zu suchen, um die Betroffenen darauf hinzuweisen. Das Ergebnis war keinesfalls eine klare Trennung erlaubt/verboten, sondern dass es erlaubt sei, wenn man nach bestem Wissen und Stand der Technik handelt. Das war eigentlich auch schon vorher klar, alleine mit gesundem Menschenverstand. Ich fürchte, ein Gutachten zur DSGVO würde nicht viel anders ausfallen.
Viertens habe ich mich nicht damit beschäftigt, die Rechtmäßigkeit der gesamten Foren-Software zu analysieren, sondern nur meiner Änderung. Und da es früher bereits eine solche Mitglieder-Karte gab, mit identischer Funktionalität, nahm ich an, es sei ok, es wieder genauso zu machen. Die alte Karte funktionierte nach meiner Erinnerung mit Google Maps; d.h. dort hat es auch einen Datenabfluss zu Google gegeben, während bei meiner Karte alles lokal gehostet ist (bis auf die Karten-Kacheln, die aber nicht nutzerspezifisch sind).
Nutzer, die sich vor Urzeiten hier angemeldet und nie wieder online waren, fliegen hier zwar irgendwann raus, aber bis dahin landen sie vll unfreiwillig auf der Karte. Icb hatte vor Jahren mal einige User über die alte Karte gefunden und angeschrieben, einige waren echt verwundert. Insofern
Die beste Lösung wäre die Mitgliederkarte auf dem Forumserver / vom Betreiber zu generieren und eine Option im Profil zu haben, ob man auf der Karte erscheinen möchte.
Ich weiß nicht, ob es eine Lösung ist, für jede Kleinigkeit den Nutzer zu fragen.
Streng genommen müsste man dann auch nach jedem Update der Foren-Software fragen, weil Dinge anders dargestellt werden, und dafür vermutlich nicht die Einwilligung gegeben wurde.
Oder man macht es wie Google: Ein großer Button, mit dem man sämtliche Rechte abtritt; ohne Zustimmung ist die Seite nicht zu benutzen. Könnte man in den DSGVO-Banner mit einbauen.
Schauen wir uns doch mal die Geschichte an:
Das müsste a) jemand völlig neu schreiben und b) was die Kosten angeht, habe ich keine Vorstellung davon, welche Höhe da zu erwarten ist (von Google). Lies Dir am besten mal die
Seiten von Google zu Karten-Integration durch.
Einen Teil der Programmierung (Backend) könnte ich wohl machen, aber für 'ne ansprechende, responsive Benutzeroberfläche ist mir der Aufwand zu groß. Wenn sich da jemand findet ok, aber ohne Hilfe nicht.
Daraufhin hatten mehrere Leute ihre Hilfe angeboten. Keine Reaktion.
Dann habe ich die Sache in die eigene Hand genommen, weil ich Erfahrung mit Leaflet und Regular Expressions habe, und einen Proof-of-Concept gebaut. Dazu musste ich natürlich die Daten absaugen, weil es technisch keine andere Möglichkeit gegeben hätte. (Hätte ich anonymisierte User-Daten bekommen, hätte ich sie liebend gerne verwendet.)
Als Ergebnis war eine Benutzeroberfläche und der Geocoding-Mechanismus fertig. Das Web-Scraping kann dann nicht weiterverwendet werden; aber das ist ja auch egal, ein direkter Abruf der Daten sollte viel einfacher sein. Ich habe nach entsprechenden Bedenken auch recherchiert, wie groß die Belastung für den Server ist:
- Es sind nur statische Dateien; kein PHP, keine Datenbank. Das ist für einen Webserver vollkommen unproblematisch, weil es praktisch keine Rechenleistung braucht.
- Es sind 7 Dateien (1x HTML, 3x Javascript, 3x CSS).
- Die Datenmenge beträgt knapp 700 kB, wovon die Mitgliederdaten mit 500 kB den größten Teil ausmachen. Wenn dein Webserver komprimiert, muss noch einmal deutlich weniger übertragen werden.
- EDIT: Zum Vergleich habe ich mal diesen Thread angeschaut; da steht was von 29 Requests und 2.7 MB. D.h. die Karte braucht wesentlich weniger Server-Ressourcen als einen Thread zu lesen.
Nachdem der Ruf nach einer funktionierenden Karte immer lauter wurde, ist mir eingefallen, wie ich auch ohne Reinhards Hilfe es schaffen kann, dass die Karte nur den Forenmitgliedern zugänglich ist: Indem ich sie per Passwort schütze, und das Passwort nur forenintern zur Verfügung stelle. Auch das erschien mir rechtlich ok, da das äquivalent zur alten Karte ist.
Ich hab aber momentan kaum Zeit, um mir ein weiteres Projekt ans Bein zu binden. Wenn, dann kommt für mich nur eine (fast) fertige Lösung in Frage, die ich nur installieren muss.
Die Developer-Dokumentation von XenForo ist frei verfügbar, da kann @Christoph Moder bei Interesse mal reinschauen. Interessant ist eigentlich nur der API-Teil mit Zugriff auf Userdaten. Die Karte selbst kann ich dann via iFrame o.ä. hier in eine Seite einbinden.
Von hier habe ich die Information, dass das REST-API für die Nutzerdaten verwendet werden soll. Allerdings kann ich es nicht nutzen, wenn mir niemand einen API-Key gibt.
Einen API-Key braucht man nur für den externen Zugriff via REST-API. Da ich keine externen Zugriff auf die Forendaten möchte, gibt es auch keinen API-Key.
Die Funktionalität einer Karte kann als Add-On abgebildet werden. Ein Add-On ist bspw. die Medien-Galerie oben auf der Seite oder diverse Beispiele bei den
Ressourcen von XenForo. Add-Ons werden lokal auf dem Forenserver installiert und bieten dadurch auch den Zugriff auf Daten, geben jedoch keine Daten an externe heraus. Die Dokumentation zu Add-Ons findest Du bei Xenforo.com (Links unten in der Fußzeile).
Und jetzt erfahre ich, dass es per Add-On gelöst werden soll. Das Problem ist nur, ich habe noch nie etwas mit Xenforo gemacht, und müsste mich erst einarbeiten.
Ich weiß echt nicht, woher ich die Zeit dafür holen soll. Gerade auch, wenn mir einerseits vorgeworfen wird, illegal Nutzerdaten abzusaugen, obwohl ich alles technisch mögliche getan habe, es datenschutzkonform zu machen, aber ich gleichzeitig keine Möglichkeit habe, das auf dem Foren-Server umzusetzen, sondern mir erst alles aufbauen und mich einarbeiten müsste. Gibt es denn hier echt niemanden, der mit so etwas schon Erfahrung hat? Oder der hier eine verbindliche Rechtsauskunft geben kann? Muss man denn immer alles selber machen?
Das ist, so wie ich Christoph verstanden habe, auch seine Absicht, er hat ja nur eine Vorarbeit geleistet und Reinhard angeboten, das ins Forum zu integrieren. Ich lese nicht heraus, dass Christoph darauf besteht über seine Server irgendwelche Daten generieren zu müssen oder gar die Karte auf seinen Servern laufen zu lassen.
Richtig. Das muss überhaupt nicht bei mir gehostet werden, sondern sollte auf dem Forenserver laufen.