Neues Telemediengesetz und Coppermine Neues Telemediengesetz und Coppermine
 

News:

cpg1.5.48 Security release - upgrade mandatory!
The Coppermine development team is releasing a security update for Coppermine in order to counter a recently discovered vulnerability. It is important that all users who run version cpg1.5.46 or older update to this latest version as soon as possible.
[more]

Main Menu

Neues Telemediengesetz und Coppermine

Started by lamama, January 30, 2007, 11:44:41 PM

Previous topic - Next topic

0 Members and 2 Guests are viewing this topic.

lamama

Ich bin über eine Meldung im heise Newsticker auf einen Artikel bei Lübeck Online zum neuen deutschen Telemediengesetz aufmerksam geworden.

Ich bin über diverse Sachen gestolpert:

Dort wird ausgeführt, dass

a) User über die von ihnen gesammelten Daten aufgeklärt werden müssen. Wie formuliert man denn in einer Datenschutzerklärung, was Coppermine eigentlich alles so mitloggt?

b) User in der Lage sein müssen, einen eingerichteten Account selber wieder Löschen zu können. In Coppermine geht das nicht.

Das TMG tritt zum 1. März 2007 in Kraft. Laufen deutsche Coppermine-Anwender Gefahr, Opfer von Abmahnungen zu werden, z.B. weil ein User seinen Account nicht löschen kann?


Stramm

Hab mir das auch mal durchgelesen. Viel neues gibt es ja zum Glück nicht.

Wir bewegen uns im gewerblichen Bereich, jetzt ist notwendig
a)
- datenschutzrechtliche Belehrung beim 'betreten' der Seite. Soll wohl ein Link im Footer genügen
- bei einem Bestellvorgang muß der user dieser datenschutzrechtlichen Belehrung zustimmen (aktiv, click). Dies muß nachvollzogen werden können -> wohl bei der Registrierung Text der mit der checkbox bestätigt wird + Aktivierung des Accounts über email link -> alles in CPG integriert

b)
steht nirgends, ist aber auch noch von keinem Richter bestätigt :)
Quote(4) Der Diensteanbieter hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass
1. der Nutzer die Nutzung des Dienstes jederzeit beenden kann,
2. die anfallenden personenbezogenen Daten über den Ablauf des Zugriffs oder der sonstigen Nutzung unmittelbar nach deren Beendigung gelöscht oder in den Fällen des Satzes 2 gesperrt werden,

zu §13, Abs. 4, Nr. 3 TMG
kann prinzipiell jeder User, wenn er Dir eine Email schickt und Du seinen Account löscht.
zu §13, Abs. 4, Nr. 4 TMG
wird beim löschen des Accounts gemacht. Offen bleibt die Frage nach den Logs. Müssen die Logs nach den IPs des Users durchsucht und diese Einträge gelöscht werden? Dann müßtest Du Dir auch die Apache Logs vornehmen. Mit dem Löschen der Userdaten kannst Du aber auch nichts mehr mit den IPs anfangen.

Ich weise der Form halber nochmals darauf hin, dass dies meine Meinung ist und keine Rechtsverbindlicheit in jedwelcher Weise hat. Wer sich nicht Sicher ist, sollte den Anwalt seines Vertrauens aufsuchen.

Joachim Müller

Oh, wunderbare Deutsche Abmahn-Landschaft... ::)
Hast natürlich recht, muss als Option eingebaut werden (dass der Benutzer sein Account selbst löschen kann). Werde das mal auf die todo-Liste für cpg1.5.x setzen und ggf einen Backport basteln.
Wäre klasse, wenn Du mal einen Muster-Disclaimer auf Deutsch basteln könntest für die Registrierungs-Seite.
In der Regel ist es hilfreich zu schauen, was der Primus macht, z.B. Amazon oder ebay. Die setzen dort auf eine separate Seite mit einer Datenschutzerklärung, auf die von der Registrierungs-Seite aus nur verwiesen wird. Offensichtlich reicht das aus.

lamama

Es gibt doch dieses "Mod for Message to Admin..."
http://forum.coppermine-gallery.net/index.php?topic=29903.0

Nützlich in diesem Zusammenhang?

Wenn man auf einem Webangebot diverse Scripte laufen hat, neben Coppermine noch ein Forum z.B. - muß dann eigntlich eine Datenschutzerklärung für die ganze seite (inkl. Coppermine und Forum her) oder für jedes Script eine und für den rest ggf. auch noch mal?

Bin verwirrt...  :o

Joachim Müller

Eine für die gesamte Seite, da der Besucher der Seite ja meist nicht den technischen Sachverstand hat, um Unterschiede/Übergänge zwischen den Skripten wahrzunehmen (und das ist ja auch erwünscht). Im wesentlichen erklärst Du, welche Authentifizierung Du nutzt (Cookies erklären), was Du loggst, was mit den Daten passiert (werden sie an Dritte weitergegeben), den Zeitraum der Aufbewahrung der Daten und welche Ausnahmen für die Weitergabe es gibt (z.B. Weitergabe an Strafverfolgungsbehörden auf deren Anordnung).
Ich hab gestern mal ein bißchen gegoogelt zum Thema - da scheint keine Rechtssicherheit zu herrschen - da weiss jeder (auch Seiten, die sich mit dem Thema befassen wie z.B. von Anwaltskanzleien, die sich mit Internet-Recht befassen) was anderes - auch Lübeck online hat einen sehr "seltsamen" Disclaimer.
Das Problem bleibt schwierig. Wir sind (soweit ich das überblicken kann) alle nur rechtliche Laien und können deswegen schlecht Rechtsberatung abgeben. Deswegen sollte sich auch Coppermine nicht zu weit aus dem Fenster lehnen und einen Disclaimer im Gepäck haben, von dem wir behaupten, er sei wasserdicht oder amtlich.
Mich wundert schon die ganze Zeit, dass noch keiner im Englisch-sprachigen Teil des Forums gemeckert hat, warum Coppermine nicht mit Coppa-Feature daher kommt (so eine Art Jugendschutzgesetz aus den USA, das eine Unterscheidung für über/unter 13 Jahre verlangt und die Möglichkeit verlangt, eine Einverständiniserklärung der Eltern per Fax zu versenden). Foren-Software wie phpBB hat diesen Terror schon seit Jahren - eine Internet-Seite mit Fax-Anbindung ist schließlich ein Witz.
Zurück zur ursprünglichen Problematik: letztendlich müssen wir (als Coppermine-Entwickler) nur "unseren Kunden" (also denjenigen, die Coppermine auf Ihrer Seite einsetzen möchten) erklären, welche Daten und Mechanismen Coppermine zur Authentifizierung und zum Tracking nutzt, d.h. da muss ein Abschnitt in die Doku. Wer dann Coppermine einsetzt sollte sich selbst einen Disclaimer schnitzen, der auf seine Seite passt. Das Erstellen just dieses Disclaimers selbst kann nicht unsere Aufgabe sein, es würde die Benutzer nur in falscher Sicherheit wiegen.


Quote from: lamama on February 01, 2007, 12:24:04 AM
Es gibt doch dieses "Mod for Message to Admin..."
http://forum.coppermine-gallery.net/index.php?topic=29903.0
Nützlich in diesem Zusammenhang?
Glaube nicht, dass wir damit dem TDG Genüge tun - der Benutzer muss dann ja den Admin bitten, das Konto zu löschen. Ich glaube, das TDG sieht eher vor, dass der Benutzer sein Konto selbst ohne Admin-Interaktion löschen kann.
Was wir also brauchen ist ein Kopf im Profil des Benutzers, der mit "mein Benutzer-Konto löschen" beschriftet ist und (nach Sicherheits-Rückfrage) das entsprechende tut. Der Knopf darf natürlich nur erscheinen, wenn der Admin eine entsprechende Option in den Einstellungen aktiviert hat.

Joachim

Joachim Müller

Habe das Feature zur zukünftigen Version cpg1.5.x (devel-Bereich im SVN) hinzugefügt. Wer sich an einen Backport machen möchte ist herzlich willkommen.

lamama

Hab mal reingeschielt und festgestellt, wie viele Files das betrifft... uff!
Das DevTeam möcht nicht zufällig zum 1. März die 1.5 fertig haben?  ;D

Joachim Müller

Quote from: lamama on February 06, 2007, 03:19:40 AM
Hab mal reingeschielt und festgestellt, wie viele Files das betrifft... uff!
Deshalb habe ich den Backport auch nicht selbst gebastelt, war mir zuviel Arbeit.

Quote from: lamama on February 06, 2007, 03:19:40 AMDas DevTeam möcht nicht zufällig zum 1. März die 1.5 fertig haben?  ;D
cpg1.5.x wird definitiv nicht bis zum 1. März 2007 fertig sein, sorry ;). Ich wage mal die Prognose, das es einen ersten Beta-Release Mitte des Jahres geben wird.


Als workaround könntest Du Coppermine mit einer Applikation wie SMF bridgen, da diese das Feature schon hat (mit dem Nachteil, dass beim Bridgen dann alle Benutzer-Konten-Zuordnungen weg sind :-\).

Für jemanden wie Dich, der sich bestens in Coppermine auskennt kann ich den Ratschlag aussprechen, einfach cpg1.5.0 per svn auszuchecken und "live" einzusetzen, dann hast Du neben dem gesuchten Feature noch viele weitere. Ich mache das auch bei meiner persönlichen Seite, das klappt bestens. Ich kann das nur nicht jedermann empfehlen, da man sich schon auskennen sollte, wenn es irgendwo haken sollte. Nachteil: cpg1.5.x wird natürlich nicht supported.