Ich denke, es wäre für die Forenmoderatoren äußerst hilfreich, wenn IPs pro Beitrag protokolliert würden.
Ich bin Administrator in einem Forum, in dem Benutzer unter bestimmten Umständen Konten teilen dürfen. Kürzlich hatte ich ein Problem bei der Moderation, nachdem ein geteiltes Konto gegen die Regeln verstoßende Inhalte gepostet hatte. Wir konnten nicht sicher feststellen, welcher Benutzer die Beiträge erstellt hatte.
Darüber hinaus kann die Möglichkeit, die IP-Adresse zu sehen, von der ein Beitrag stammt, in dem Fall hilfreich sein, dass das Konto eines Benutzers kompromittiert wird.
Es gibt so viel Ärger gegen IP-Tracking, und das Teilen von Konten durch Benutzer scheint ein echter Ausnahmefall zu sein, bei dem ich bezweifle, dass er eintreten wird, aber Sie können ihn in der production.log finden. Sie sollten in der Lage sein, nach einer Zeichenfolge in dem Beitrag zu suchen, um dies herauszufinden.
Ich erinnere mich an etwas darüber, weshalb ich denke, dass die Anfrage nach Wünschen wahrscheinlich nicht angenommen wird, aber ich bin ziemlich sicher, dass die Rails-Protokolle Zahlen enthalten.
Nein. IP-Adressen haben nichts mit der DSGVO zu tun. Es ist nur dann relevant, wenn der Zielserver versucht, Benutzer als Personen zu identifizieren – und das ist über IP-Adressen nahezu unmöglich.
Ich bin kein Experte für die DSGVO, aber ich habe viel Aufhebens darüber gehört, dass die IP-Adresse eine persönliche Information ist und einen Verstoß gegen die DSGVO darstellt.
Meine IP ist gerade 84.230.91.162. Wenn Meta ein System aufbaut, das sie mit meinem Namen Jakke Lehtonen verbindet und IPs absichtlich (ist das ein Wort?) verwendet, um mich auf diese Weise zu identifizieren, fallen diese Datenbank und Nutzung von IP-Daten unter die DSGVO. Aber nicht die IP an sich.
Und wenn/wann Discourse alle IPs speichert und sie mit einer realen Person eines Benutzers verbindet – WENN ein Name angegeben wird –, kann dies unter die DSGVO fallen, in dem Sinne, dass Discourse diese Daten nicht bis zum Ende der Welt speichern kann. Aber da es auf App-/Website-Ebene fast unmöglich ist, eine IP als Identifikator zu verwenden (Betreiber haben genauere Daten), spielt das keine Rolle. Und meine IP wird morgen wahrscheinlich geändert, und kurz danach wird ein anderer finnischer Benutzer diese IP erhalten, und wenn er/sie hier ein Benutzer ist, befinden wir uns in einer lustigen Situation .
Und deshalb gelten die Entfernung oder Datenanfragen nicht für Serverprotokolle.
Nur die Nutzung, der Zweck, ist wichtig, wenn das Ziel einer Handlung oder eines Datensatzes die Identifizierung einer realen Person ist.
Die IP-Adresse ist immer mit dem angemeldeten Benutzer unter einer bestimmten IP-Adresse verknüpft. Sie wird nicht öffentlich angezeigt, sondern meist im Backend (Admin- oder Serverprotokolle).
Natürlich, denn es steht auch in den Serverprotokollen. Aber eine IP-Adresse allein identifiziert keine reale Person – das ist der springende Punkt.
Die DSGVO regelt die Erhebung und Nutzung von Daten, die zur Identifizierung einer Person verwendet werden können und werden. Sicher, wir können viele verschiedene Datenbanken aufbauen, die lokal legal sein können oder auch nicht, aber das ist ein ganz anderes Spiel als die DSGVO.
Google Analytics steckt in Europa in großen Schwierigkeiten, aber das liegt nicht an der Erhebung personenbezogener Daten. Es liegt daran, dass Google diese Daten in die USA überträgt, wo die NSA und einige andere Behörden Zugriff auf diese Daten haben können – und das verstößt gegen EU-Vorschriften.
Ich versuche zu sagen, dass es viele Verwirrungen gibt, wann die DSGVO gilt, und es ist ein echtes Durcheinander. Aber die Grundprinzipien sind wirklich einfach zu verstehen:
Sind Daten personenbezogene Daten, die eine reale Person identifizieren können und werden?
Sollen diese Daten zur Identifizierung einer realen Person verwendet werden?
Wie lange werden solche Daten gespeichert?
Weiß der Nutzer von dieser Nutzung?
Eine IP-Adresse kann in keinem dieser Fälle verwendet werden.
Das ist Ihr eigentliches Problem. Das wird nicht durch Hinzufügen von mehr Protokollierung gelöst. Sie sollten die gemeinsame Nutzung von Konten verbieten und den tatsächlichen Eigentümer für alles verantwortlich machen, was unter seinem Benutzerkonto geschieht.
Einverstanden. Erwägen Sie das Hinzufügen eines der Plugins, das es Benutzern einer Gruppe ermöglicht, unter einer Gruppenidentität zu posten, während der wahre Autor des Beitrags im Backend gespeichert wird, damit Moderatoren ihn überprüfen können.
Lassen Sie uns zunächst die Debatte darüber klären, ob wir es mit personenbezogenen Daten zu tun haben (ja, das tun wir).
IP-Adressen sind definitiv personenbezogene Daten (außer in sehr seltenen Fällen, die hier nicht zutreffen). Es ist nicht relevant, ob Sie die Identität des Betroffenen anhand einer IP-Adresse ermitteln können, da Sie eine IP-Adresse immer noch verwenden können, um einen Betroffenen zu isolieren.
Leute behaupten oft, dass IP-Adressen keine personenbezogenen Daten sind, weil sie nicht direkt identifizierend sind. Das ist schlichtweg falsch. Im Fall Breyer gegen Bundesrepublik Deutschland entschied der Europäische Gerichtshof, dass IP-Adressen personenbezogene Daten sind, da die IP über den Internetanbieter einer Person zugeordnet werden kann. Es spielt keine Rolle, ob der Forenbetreiber (Auftragsverarbeiter) dazu in der Lage ist; solange es möglich ist, werden IP-Adressen als personenbezogene Daten betrachtet. Zum Beispiel, wenn Sie als Forenbetreiber IP-Adressen an die Polizei weitergeben, die dann über einen Gerichtsbeschluss die Informationen über die Person hinter der IP vom Internetanbieter erhält. Darüber hinaus klärt die DSGVO selbst in Erwägungsgrund 30, dass IP-Adressen personenbezogene Daten sind.
Nun, aus rechtlicher Sicht könnten Sie IP-Adressen bis zu einem gewissen Grad protokollieren. Inwieweit hängt stark von den spezifischen Umständen ab, aber eine Protokollierung für etwa einen Monat wäre zum Schutz vor Fehlverhalten ziemlich angemessen. Fügen Sie ordnungsgemäße Sicherheitsvorkehrungen hinzu, wie z. B. die Pseudonymisierung der IP-Adressen durch Hashing usw.
Es gibt die Vorstellung, dass man personenbezogene Daten nicht ohne Zustimmung verarbeiten darf, nur weil es sich um personenbezogene Daten handelt. Das ist grundlegend falsch. Der gesamte Zweck der DSGVO ist es, die Verarbeitung personenbezogener Daten zu ermöglichen, und sie legt einen bestimmten Satz von Regeln fest.
Und das gilt nur für ISPs, da sie die Einzigen sind, die diese Daten mit einer Person verknüpfen können (und deshalb regulieren Regierungen, wie lange diese Daten gespeichert werden MÜSSEN UND WER diese Informationen erhält). Wie ein Anwalt sehr gut weiß
Ich denke, wir haben genau das für einen Kunden gemacht. Es sollte ein ziemlich einfaches Plugin sein, bei dem die IP-Adresse des Beitrags in einem benutzerdefinierten Feld des Beitrags gespeichert wird.
Es gilt nicht nur für ISPs, und wenn Sie das Urteil gelesen hätten, wüssten Sie das Das Gericht entschied, dass dynamische IP-Adressen als „personenbezogene Daten“ gelten, auch wenn nur ein Dritter (in diesem Fall ein Internetdienstanbieter) über die zusätzlichen Daten verfügt, die zur Identifizierung der Person erforderlich sind.
Es spielt keine Rolle, ob die Website selbst die betroffene Person identifizieren kann, sondern nur, ob dies über den ISP möglich ist.
Das stimmt, besonders heutzutage. Ich kenne nur zwei Leute, die sich ein Forenkonto teilen, weil sie verheiratet sind.
Es wäre vielleicht ideal, eine Forenrichtlinie gegen die gemeinsame Nutzung von Konten zu haben, um dieses Risiko zu vermeiden, nicht zu wissen, wer was gepostet hat.
Ich habe auch rechtliche Bestimmungen gesehen, die besagen, dass Forenkonto nicht vererbt werden können. Das könnte eine gute Idee sein, dies schriftlich festzuhalten, falls dies ein Problem darstellen sollte.
Die ursprüngliche Frage bezog sich darauf, wie ein Problem moderiert werden kann, bei dem jemand etwas gepostet hat, das gegen die Community-Richtlinien verstößt, mit einem Konto, das von mehr als einer Person geteilt wurde. Wenn Beiträge eine Signatur mit der IP-Adresse hätten, von der sie veröffentlicht wurden, könnten Moderatoren wissen, wer bestimmte Beiträge verfasst hat.
Dies würde nur funktionieren, wenn Kontoinhaber die Moderatoren/Administratoren darüber informieren, dass sie jemand anderem die Erlaubnis erteilt haben, ihr Konto von einer anderen spezifischen Adresse oder aus einem anderen Land zu nutzen.
Die zweite Frage bezog sich darauf, ob ein Konto kompromittiert wurde, d. h. ob Anmeldeinformationen gestohlen wurden. Es gibt automatische Benachrichtigungen per E-Mail über ungewöhnliche Anmeldungen aus verschiedenen Ländern.
Das Gericht entschied, dass dynamische IP-Adressen als „personenbezogene Daten“ gelten, auch wenn nur ein Dritter (in diesem Fall ein Internetdienstanbieter) über die zusätzlichen Daten verfügt, die zur Identifizierung der Person erforderlich sind.