Fragen zur Nutzeranonymisierung und DSGVO

Hallo,

Auf einer öffentlichen Discourse-Instanz bat ein Benutzer kürzlich um die Löschung seines Benutzerkontos, woraufhin ein Moderator die Anonymisierungsfunktion von Discourse nutzte.

Ich stellte jedoch schnell fest, dass die neu zugewiesene Benutzer-ID im erweiterten Suchformular verwendet werden konnte, um alle früheren Nachrichten dieses Posters zu finden. Es ist ziemlich einfach, dass solche Beiträge Daten enthalten, die zur Identifizierung des Benutzers beitragen und seine Online-Aktivitäten mit dem „anonymisierten“ Konto mit seiner physischen Existenz verknüpfen können (zum Beispiel ein Nachname, ein Alter, die Erwähnung des Ortes, an dem er lebt…).

Dies schafft ein Problem, da die Bitte dieser Poster um den Schutz ihrer Datenschutzrechte nicht erfüllt wird. Sie denken vielleicht sogar, dass ihre Bitte erfüllt wurde, während Informationen tatsächlich herumliegen und von anderen sehr leicht herauszufinden sind. Außerdem waren sie vielleicht minderjährig, als sie dieses Konto benutzten, was zusätzliche Probleme schafft.

Obwohl ich kein Anwalt bin, ist dies mit Sicherheit nicht gesetzeskonform mit dem Recht zumindest einiger europäischer Länder – einschließlich, wie ich glaube, Frankreich, dessen Staatsbürger ich bin (für französischsprachige Leser gibt es hier einen Link zur speziellen Seite unserer offiziellen Datenschutzbehörde: Le droit à l’effacement : supprimer vos données en ligne | CNIL). Es wird allgemein davon ausgegangen, dass die Löschung von Benutzerdaten wirklich Löschung jeglicher Art von Daten bedeutet, die zur Identifizierung des Benutzers beitragen könnten (es muss kein vollständiger offizieller Name oder ein eindeutiger Identifikator sein: Jede Erwähnung persönlicher Merkmale, wie ungenau sie auch sein mag, reicht aus).

Da Sie wahrscheinlich nicht möchten, dass Administratoren und Moderatoren die gesamte bisherige Posting-Historie eines Benutzers durchgehen, der um Anonymisierung gebeten hat, und manuell potenziell persönliche Informationen in den Inhalten dieser Beiträge ausblenden, scheint mir die einzig vernünftige Lösung darin zu bestehen, alle Beiträge dieser Person physisch zu löschen und jegliche Zitate davon in nachfolgenden Beiträgen.

Wenn Sie außerdem befürchten, dass dies frühere Diskussionen stören könnte, möchten Sie den Benutzern und Moderatoren vielleicht zwei Optionen anbieten: flache Anonymisierung (aktuelles Verhalten) und vollständige Löschung (wie oben vorgeschlagen).

PS: Ich gebe keine Links zur ursprünglichen Discourse-Instanz an, da dies nur jemanden öffentlich machen würde, der darum gebeten hat, vergessen zu werden. Selbstverständlich kann ich sie privat an die Betreuer von Discourse senden.

Es gibt bereits eine Option, ein Konto vollständig zu löschen. Sie müssen nur alle Beiträge löschen und dann das Konto löschen.

Screenshot_20240313_133522_Chrome1079×2362 151 KB

Wenn Sie möchten, dass die Beiträge vorhanden sind, aber nicht mit einem bestimmten Benutzer verknüpft sind, können Sie das Konto anonymisieren und es dann mit dem Systemkonto oder einem anderen Konto zusammenführen, das als Platzhalter für alle anonymisierten Benutzer dienen kann.

Hinweis: Diese Warnung ist nur eine Einstellung, die überschrieben werden kann.

Screenshot_20240313_134621_Chrome1080×913 129 KB

Discourse hat quasi eine Option, die verwendet werden könnte.

Konten zusammenführen

Screenshot_20240313-144239864×1698 137 KB

Führen Sie einfach jedes neue anonymisierte Konto mit jedem neu anonymisierten zusammen.

Sicher, eine vollständige Löschung oder eine Reihe von Schlüsselwörtern könnte hilfreich sein, um mögliche Identifikatoren zu entfernen. Das obige würde es jedoch schwieriger machen, Nachrichtenketten zu verwenden.

Eine weitere Funktion, die vielleicht Anonymize haben könnte, ist eine Funktionsanfrage, um das anonymisierte Benutzerprofil privat zu setzen. Dann ist das Benutzerprofil nicht sichtbar.

Ich bin auch kein Anwalt, aber ein grundlegendes Verständnis der DSGVO-Konformität (nicht länderspezifisch) besagt, dass dies durch die Richtlinie aufrechterhalten werden kann, die Personen daran hindert, in Forum-Posts personenbezogene Daten zu veröffentlichen.

Dies erfordert zwar eine aktive Überwachung, aber solange diese durchgeführt wird, ist die Anonymisierungsfunktion technisch gesehen nicht einmal erforderlich, um die DSGVO zu erfüllen. Ein Benutzerkonto könnte einfach dauerhaft gesperrt werden, solange sein Benutzername und seine Karte ihn nicht identifizieren, dann werden keine persönlichen Daten gespeichert. (Bearbeitung: keine persönlichen Daten in der öffentlichen Ansicht, aber die Datenbank enthält immer noch E-Mail + IP-Adresse, es sei denn, das Konto wird anonymisiert).

Dies kann eine Herausforderung sein, wenn Forum-Administratoren nicht alle Anforderungen freiwillig erfüllen. Dann kann nur noch gemeldet werden, und es kann eine Vorladung oder ein Anruf von einer Aufsichtsbehörde zur Durchsetzung der Einhaltung erfolgen.

Bearbeitung: Das Konto muss anonymisiert werden, um die IP-Adresse/E-Mail aus der Datenbank zu löschen, was für die DSGVO wichtig ist, aber diese werden vom System niemals öffentlich angezeigt, im Gegensatz zum Benutzernamen, der ein rechtlich identifizierbarer Name sein kann.

Außerdem, sobald etwas seit über zwei Monaten im öffentlichen Internet veröffentlicht wurde, können davon öffentliche oder nicht-öffentliche Archive erstellt werden, so dass das einfache Löschen der ursprünglichen Diskussionsbeiträge dies nicht ändert. Es ist wichtig, dass die Leute vorsichtig sind, wenn sie keine persönlichen Informationen in Forum-Posts teilen, wenn sie anonym sein oder ihr Konto vollständig anonymisieren lassen wollen.

Ihr Satz sollte fortgesetzt werden: …die vom System gesammelt werden.

Einschließlich Frankreich, da dies eine EU-Angelegenheit und keine nationale ist.

Meiner Erfahrung nach entspricht dies nicht den tatsächlichen Posting-Mustern in realen Foren. Selbst in relativ unpersönlichen Umgebungen (wie einer Open-Source-Community) posten einige Leute immer noch gelegentlich persönliche Informationen, die einem Leser mehr oder weniger leicht helfen könnten, sie zu identifizieren, selbst nachdem der Benutzername anonymisiert wurde.

Anders ausgedrückt, ich glaube, die Art von Forum, die Sie beschreiben, existiert in der Praxis wahrscheinlich nicht.

Vielen Dank dafür. Ich bin selbst kein Moderator, aber ich leite die Informationen weiter.

Diese Gesetze sind, wie Sie richtig bemerken, interpretationsbedürftig.

Discourse bietet mehrere Optionen, die Forenadministratoren nach eigenem Ermessen nutzen können, um ihre eigene Interpretation des Gesetzes durchzusetzen.

Wir haben mehrere Kunden mit Integrationen für GDPR-Löschungsanfragen, die auf ihre Website verweisen. Einige von ihnen löschen die Beiträge und Konten sofort, andere anonymisieren. Einige tun es von Hand.

Aber was sie tun, ist ihre Entscheidung – wir sind nicht der Dateneigentümer der Foren – sie sind es. Und wenn sie feststellen, dass unsere Handhabung der Anonymisierung unzureichend ist (was sie getan haben), dann gehen wir darauf ein (was wir getan haben).

Wenn Sie der Meinung sind, dass die Anonymisierung auf der von Ihnen angesprochenen Website unzureichend war, ist es am besten, sich direkt an diese zu wenden.

Hm. Es fühlt sich seltsam an, dass Website-Betreuer für persönliche Spuren verantwortlich sein sollten, die Menschen in das Netz von Foren-Gesprächen eingewoben haben.

Ich weiß nicht, was “IOW” bedeutet, aber ich habe diese Praxis auf einem US-amerikanischen Forum für FTC-Compliance gesehen, auch GDPR für europäische Benutzer. Ich bin in den USA, nicht in der EU.

Hier bei Meta ist es eine Richtlinie, keine Beiträge zu signieren, da die Benutzerkarte als Signatur dient, auf der die Leute einen Link zu ihrer eigenen Website und einige persönliche Kontaktinformationen haben können, solange dies auf die Benutzerkarte beschränkt ist und nicht in Beiträgen veröffentlicht werden muss.

Es ist üblich, dass die Leute vergessen, ob dies eine Richtlinie ist, daher erfordert es eine aktive Moderation, um sie aufrechtzuerhalten. Vielleicht ist es keine gängige Praxis, aber sie existiert.

Das ist nützlich, danke!

Ja, das weiß ich

Das habe ich getan, und mir wurde im Gegenzug vorgeschlagen, auf meta.discourse.org nachzufragen, daher dieses Thema

„Anders ausgedrückt“

Danke, dann gab es noch ein Akronym „IME“, das ist auch ein Rätsel.

Ich sprach speziell von direkten persönlichen Kontaktinformationen, die sowohl von der FTC als auch von der DSGVO reguliert werden.

Aussagen wie „Ich lebe in Schweden“ müssen nicht aus Gründen der DSGVO-Konformität zensiert werden.

Das klingt für mich so, als ob die Administratoren des betreffenden Forums sich der verfügbaren Funktionalität nicht bewusst sind. Ich kann Ihnen mit absoluter Überzeugung sagen, dass wir alle notwendigen Werkzeuge zur Verfügung stellen, um Discourse DSGVO-konform zu nutzen. Wie sie diese Werkzeuge nutzen, liegt in ihrem Ermessen.

„IME“ bedeutet meiner Meinung nach „In My Example“ (In meinem Beispiel).

Die EU ist interessant, da die Verantwortung beim Website-Administrator liegt, EU-IPs zu „blockieren“, wenn diese nicht DSGVO-konform sind. Möglicherweise erinnere ich mich teilweise nicht ganz richtig.

Kleine Anpassung: Ich würde sagen, es bedeutet „In My Experience“.

Das stimmt! Entschuldigung dafür.

Während „Ich lebe in Schweden“ nicht aussagekräftig genug ist, ist „Ich bin 14 Jahre alt und lebe in diesem kleinen Dorf in Schweden“ wahrscheinlich schon aussagekräftig genug.

Nach meinem Verständnis ist die Definition der DSGVO viel breiter als „direkte persönliche Kontaktinformationen“, und das gilt auch für nationale Gesetze, die der DSGVO vorausgingen, wie z. B. in Frankreich.

Siehe What is considered personal data under the EU GDPR? - GDPR.eu

Und insbesondere dieses Beispiel:

Es gibt Millionen von Roberts auf der Welt, aber wenn Sie den Namen „Robert“ sagen, versuchen Sie im Allgemeinen, die Aufmerksamkeit der Person auf sich zu ziehen, der Sie gegenüberstehen. Indem Sie dem Namen einen weiteren Datenpunkt hinzufügen (in diesem Beispiel die Nähe), haben Sie genügend Informationen, um eine bestimmte Person zu identifizieren. Diese Datenpunkte sind Identifikatoren.

Nein, das ist nicht einmal annähernd der Fall.

Und die DSGVO ist überhaupt nicht dafür da. Ein Benutzer darf so viele persönliche Dinge preisgeben, wie er/sie/es möchte.

Danke für die Klarstellung, es ist schwer, den Überblick über all diese Abkürzungen zu behalten.

@pitrou alles gut, zu viele Abkürzungen zum Auswendiglernen. . Ich muss sie oft googeln, wenn ich eine nicht kenne.

Standardmäßig entfernt die Anonymisierungsfunktion nur die IP-Adresse, die E-Mail-Adresse und den Benutzernamen des Kontos aus der Datenbank, was keine Garantie für den Schutz der Anonymität einer Person darstellt, je nachdem, was sie auf einer Website veröffentlicht hat, die nicht bearbeitet wurde.

Für die von Ihnen beschriebene Situation ist es möglicherweise am besten, eine Anzeige bei den französischen Behörden zu erstatten, wenn die Website-Administratoren ihrer Verantwortung gemäß der französischen DSGVO und anderen relevanten Gesetzen nicht nachkommen.