• Thursday, 18. October 2018 02:21

EQdkp Plus und die DSGVO

GodModEnglish 

Nachdem am 25. Mai die neue Datenschutzgrundverordnung (DSGVO; engl. GDPR) in Kraft getreten ist, haben wir EQdkp Plus natürlich angepasst. Zusätzlich soll dieser Artikel einige Einschätzungen und Hinweise geben. Beachtet aber bitte - wir sind keine Anwälte, im Zweifel kann euch nur solch einer eine rechtlich einwandfreie Auskunft geben.

Bin ich von der DSGVO betroffen?

Die DSGVO findet keine Anwendung bei "Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten und somit ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen wird". Zunächst sollte das Betreiben eines EQdkp Plus unter eine persönliche Tätigkeit fallen. Spätestens sobald man aber wirtschaftliche Tätigkeiten damit verbindet (z.B. durch Schaltung von Werbung, Affiliate-Links, Spenden-Möglichkeiten...), muss davon ausgegangen werden, dass man der DSGVO unterliegt.

Welche personenbezogenen Daten werden verarbeitet?

Wir haben immer schon versucht, EQdkp Plus so datensparsam wie möglich zu gestalten. Außerdem wurden externe Dienste, die direkt eingebunden werden und somit personenbezogene Daten erhalten, so sparsam wie möglich eingesetzt.

Die folgenden Dienste in einer EQdkp Plus-Installation werden direkt eingebunden (und erhalten so z.B. die IP-Adresse des jeweiligen Benutzers):

  • Google Recaptcha (wenn aktiviert und Schlüssel hinterlegt)
  • Google Maps (bei Kalenderevent vom Typ "Termin"; soll langfristig durch Openstreetmap ersetzt werden)
  • Soziale Netzwerke wie Twitter, Facebook, Google+ (wenn aktiviert)
  • Weitere Dienste wie z.B. Discord, Teamspeak, etc., wenn das entsprechende Portalmodul aktiviert ist
  • Gravatar (wenn aktiviert, erhält die hierfür gespeicherte Email-Adresse in Form eines MD5-Hashes)

Ihr seht also, von Haus aus ist nicht viel aktiviert, sondern erst, wenn der Administrator die entsprechenden Funktionen wie Social Sharing oder Login-Funktionen über soziale Netzwerke aktiviert. Plugins verwenden unter Umständen weitere externe Dienste.

Wir verwenden auch andere Dienste, wie z.B. YouTube für die Umwandlung von Links zu Videos. Hier fungiert aber das EQdkp Plus als Proxy, d.h. die Sachen werden nicht direkt eingebunden, so dass diese Dienste keine personenbezogenen Daten erhalten, bzw. nur solche die absolut notwendig für den Dienst sind.

Welche personenbezogenen Daten werden gespeichert?

Ein EQdkp Plus speichert folgende personenbezogene Daten:

  • E-Mail-Adresse
  • Weitere persönliche Daten wie Wohnort, Telefonnummern etc. im Benutzerobjekt, sofern diese vom Benutzer angegeben wurden
  • IP-Adresse des Benutzers für die Sessionverwaltung (ist hierfür zwingend notwendig)
  • IP-Adresse des Benutzers im Aktionslogs (ab EQdkp Plus 2.2.21 nur noch in anonymisierter Form; siehe "Was habt ihr an EQdkp Plus angepasst")

Wie muss ich mein EQdkp Plus anpassen?

Du solltest dein EQdkp Plus prüfen, welche Funktionen aktiviert sind, und ob ein Hinweis auf diese Dienste in deiner Datenschutzerklärung zu finden sind. Dies gilt z.B. auch dann, wenn du selber externe Dienste, wie beispielsweise Tooltips von Wowhead über ein Javascript oder Widgets von sozialen Netzwerken oder Diensten wie Discord in dein EQDkp Plus einbindest.

Mit dem Plugin "Legal" stellen wir eine eigene Seite zur Verfügung, die eine DSGVO-konforme Datenschutzerklärung enthält und die meisten Dienste, die ein EQdkp Plus so einbindet, enthält. Außerdem kannst du über dieses Plugin eigene Abschnitte einfügen, welche auch bei einem Update der Datenschutzerklärung bestehen bleiben.

Die langfristige Speicherung von IP-Adressen ist nach der DSGVO auch problematisch. Einzig in den Aktionslogs werden diese in einem EQdkp Plus langfristig gespeichert. Du kannst die IP-Adressen entfernen, indem du folgenden SQL-Befehl (Tabellenprefix ggfs. anpassen) ausführst: 

UPDATE eqdkp22_logs SET log_ipaddress = '127.0.0.1';

Die DSGVO erfordert geeignete Maßnahmen, um eingegebenen Daten vor dem Zugriff Dritter zu schützen. Deshalb solltest du dein EQdkp Plus nur noch über eine verschlüsselte Verbindung (HTTPS) erreichbar machen. Die Aktivierung einer verschlüsselten Verbindung findet über den Webserver statt. Du solltest dich also in erster Linie an deinen Hoster hierzu wenden. EQdkp Plus unterstützt von Haus aus verschlüsselte Verbindungen und braucht nicht angepasst werden.

Was habt ihr an EQdkp Plus angepasst?

Wir haben EQdkp Plus auch angepasst, um noch weniger personenbezogene Daten zu speichern.

  • IP-Adressen in den Aktionslogs werden nur noch anonymisiert gespeichert, sind also keine personenbezogenen Daten mehr
  • Plugins löschen nun mehr Benutzerdaten, wenn ein Benutzer gelöscht wird
  • Administratoren können bei einer Anfrage die personenbezogenen Daten des Benutzers exportieren (über die Benutzerliste im ACP)

Welche Daten verarbeitet eigentlich das EQdkp Plus Projekt?

Auch für das EQdkp Plus Projekt und seine Dienste gilt das Prinzip der Datensparsamkeit. Wir hosten beispielsweise bei einem deutschen Hoster, der die Zugriffslogs automatisch anonymisiert.

Wenn sich ein EQdkp Plus bei uns meldet, um z.B. die Erweiterungsliste abzurufen, wird das in eine Statistik aufgenommen. Trotz das die IP-Adresse eures EQdkp Plus-Systems kein personenbezogenes Datum ist, wird die IP-Adresse hierbei anonymisiert. Ansonsten übermittelt euer EQdkp Plus nur noch die aktuelle Version und den Release-Channel. Das sind alles Daten, die wir benötigen um die entsprechenden Daten bereitstellen zu können.

In unseren Diensten wie Webseite, Forum etc. binden wir die Analytics-Software Matomo (früher Piwik) ein, welche wir aber selber hosten. Auch diese Software ist so eingestellt, dass sie die DSGVO erfüllt. Unsere komplette Datenschutzrichtlinie findet ihr hier.


Lost Password

Unsere Seite auf Google+