Hallo Admins, ich habe viele (wirklich viele) GDPR-Themen gefunden, aber nichts, das diese Frage zu beantworten schien. Bitte entschuldigt, falls dies ein Duplikat ist.
Ich verwende Discourse mit SSO, das an eine größere Mitgliedschaftsseite angebunden ist. Ich versuche herauszufinden, was zu tun ist, wenn ein Mitglied meines Kontos sein Konto löscht.
Normalerweise würde ich sagen: Nun, ich kann Discourse kontaktieren und ihr Discourse-Profil anonymisieren, damit ist die Sache erledigt. Es ist wahrscheinlich in Ordnung, dass ihre Beiträge öffentlich bleiben, und ich werde meine AGB ändern, um ausdrücklich festzulegen, dass bei einer Kontolöschung auf meiner Seite die öffentlichen Forumbeiträge unter einem anonymen Benutzernamen verbleiben. Das scheint in Ordnung zu sein.
Was passiert jedoch, wenn ich eine Woche später eine E-Mail-Anfrage von dieser Person erhalte, in der sie gemäß der DSGVO die Löschung aller ihrer Daten verlangt?
Da ich ihr Konto bereits anonymisiert habe – wie kann ich dann feststellen, welche Beiträge in Discourse von ihr erstellt wurden?
Ich kann Ihre Daten trotz größter Bemühungen nicht finden, da sie in einem Pool anonymisierter Daten enthalten sind. Wenn Sie den Besitz der Daten nachweisen können, werde ich diese gerne entfernen.
Da dies eine erhebliche Aufgabe für den Nutzer darstellt, endet die Sache hier. Gemäß der DSGVO sind Sie verpflichtet, einen Nutzer zu „vergessen
Was ist jedoch mit unstrukturierten Daten? Ich habe kürzlich in einem Discourse-Forum einen Fall gesehen, in dem ein Nutzer die Löschung seiner Beiträge beantragte, da diese selbst identifizierende Details enthielten.
Ja, genau das ist es, worüber ich nachdenke. Was ist, wenn jemand ein Selfie postet? Oder seine Telefonnummer? Sie löschen ihren Account auf meiner Seite, und als Teil dieses (automatisierten) Prozesses wird ihr Discourse-Account anonymisiert… und am nächsten Tag erhalte ich eine DSGVO-Löschungsaufforderung. Ich muss alle ihre persönlichen Daten von meiner Seite entfernen. Jetzt bin ich in der Zwickmühle.
Ich mag diese Idee, aber ich bezweifle, dass sie in dem oben beschriebenen Szenario standhalten würde.
Eine andere Möglichkeit wäre, sie statt einer Anonymisierung komplett aus Discourse zu löschen. Das Problem ist natürlich, dass alle ihre alten Nachrichten verschwinden und Lücken in den Themen hinterlassen. Hmm. Das gefällt mir auch nicht wirklich.
Hmm, ich bin mir nicht ganz sicher, ob ich das genau verstehe. Meinen Sie, dass Discourse beim Anonymisieren den anonymisierten Benutzernamen zurückgibt? Wenn ja… dann könnte ich vielleicht ein Protokoll jeder Anonymisierung sowie der Vorher-/Nachher-Benutzernamen führen, um eine Aufzeichnung zu haben. Das ist keine schlechte Idee.
Ich hatte bereits einige Anfragen, alle Nachrichten von Mitgliedern zu entfernen, die zum Glück noch nicht anonymisiert waren… und ich erhalte regelmäßig DSGVO-Anfragen nach dem „Recht auf Vergessenwerden
Hier ist ein Artikel eines niederländischen Anwalts zu diesem spezifischen Problem. Die Hervorhebung stammt von mir.
Dieses Problem wurde bereits bei der Einführung der DSGVO erkannt, und daher heißt es im Recht auf Vergessenwerden, dass es nicht gilt, wenn die Verarbeitung (d. h. die Veröffentlichung) für die Ausübung des Grundrechts auf Meinungsfreiheit erforderlich ist (Artikel 17 Absatz 3 DSGVO). Dies bedeutet, dass ein Forenadministrator Grundsätzlich die Löschung von Nachrichten verhindern kann. Ein Profil oder eine Registrierung eines Benutzers fällt nicht unter dieses Grundrecht und muss daher auf Anfrage gelöscht werden.
Eine freundliche Erinnerung: Die meisten von uns hier bei Meta sind keine Anwälte. Und selbst die wenigen Nutzer, die Anwälte sind, sind nicht dein Anwalt. Auch Arnoud (aus dem von Richard verlinkten Artikel) ist nicht dein Anwalt.
Wir freuen uns gerne über Diskussionen zur technischen Seite des Umgangs mit GDPR-Löschungsanfragen. Auch die Community-Management-Seite können wir besprechen. Wir können jedoch keine Antworten auf rechtliche Fragen geben. Dafür ist ein Anwalt nötig, und zwar dein Anwalt – einer, der sowohl die DSGVO als auch die Besonderheiten deiner Situation kennt. Alle hier bereitgestellten Informationen stellen keine Rechtsberatung dar und dürfen auch nicht als solche betrachtet werden.