Datenschutzrichtlinien

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • Datenschutzrichtlinien

      Hallöchen KIA-Board-Team,

      ich habe mir mal aus Spaß eure Datenschutzrichtlinie angeschaut - ich denke das Thema DSGVO ist bei kaum jemanden in der letzten Zeit vorbeigegangen.

      Eigentlich bin ich nur darauf gekommen, eure Datenschutzrichtlinie anzuschauen, weil ihr kein https, ergo kein SSL-Zertifikat nutzt (da fällt ja mittlerweile in der Browser-Adresszeile sehr auf).

      Nach meinem Kenntnisstand, ist sobald eine Website personenbezogene Daten erfasst (was hier unter anderem durch die Email-Adresse bei einer Registrierung geschieht), verpflichtet sicherzustellen das die Daten Sicher übermittelt werden. Dazu benötigt es eine https Verbindung.
      Aus diesem Grund habe ich mir aus Spaß mal eurer Datenschutzrichtlinie angeschaut.

      Ich werde um Gottes Willen hier keinen ans Bein pissen wollen und ich weiß auch das dieses Thema (DSGVO)ein schwieriges Unterfangen und sehr aufwändig ist, aber dennoch würde ich euch Betreiber gerne zur eurer Sicherheit darauf aufmerksam machen.

      Besonders Punkt 2 "Allgemeine Hinweise und Pflichtinformationen" scheint mir sehr, ich sage es mal so "konfus", bzw. zu sehr nach Copy/Paste aus und beschreibt Dinge die hier nicht zu treffen.

      Datenschutz schrieb:

      SSL- bzw. TLS-Verschlüsselung Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte, wie zum Beispiel Bestellungen oder Anfragen, die Sie an uns als Seitenbetreiber senden, eine SSL-bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von “” auf “” wechselt und an dem Schloss-Symbol in Ihrer Browserzeile.

      Ich weiß nicht wo ihr eure Website hostet und was für Möglichkeiten euch dort geboten sind, aber ein SSL-Zertifkat bekommt man schon kostenlos und innerhalb von 5 Minuten durch Let's Encrypt.
    • Moin....


      so man denn jemanden hat der sich Softwaretechnisch regelmässig um alles kümmert, wäre das alles kein Problem. Da wir dummerweise nicht wiurklich jemanden dafür haben, kann schon das ein oder andere mal kurzfristig falsch sein. Ausserdem, mal ehrlich, ist die neue Verordnung nicht eh schwammig ohne ende? Sobald wir das erste schreiben von einem Rechtsanwalt bekommen ist die Seite eh zu. Da wir als Privatperson nicht dazu bereit sind irgendwelche zusätzlichen kosten zu tragen, ausser die reinen Betriebskosten für die Seite.

      Gruß
      Axel
    • Softwaretechnisch braucht man dafür keinerlei Kenntnis.Wie ich sehe, läuft diese Domain über den Hoster all-inkl.com und da ich selber bei diesem Hoster Kunde bin, kann ich dir sagen, dass das Einrichten eines kostenlosen SSL-Zertifikat von Let's Encrypt mit nur ein paar Klicks über das "KAS" (KundenAdministrationsSystem) unter "Domain" möglich ist, vorausgesetzt euer Tarif (ab PrivatPlus) gibt es her, das weiß ich natürlich nicht.

      Es mag sein das einige Dinge für den "Laien" schwammig sind, dennoch ist die DSGVO eine gesetzliche Vorlage.

      Wenn man als "Laie" damit überfordert ist, weil man sich damit nicht auskennt und sich damit auch nicht auseinandersetzen will, keinen an der Angel hat der das machen kann und auch finanziell dafür nichts investieren will/kann, kann man damit sicherlich auf volles Risiko fahren.

      Das klingt für mich gerade so, von wegen ich kenne die STVO nicht aber ich Fahre mal mit dem Auto im öffentlichen Straßenverkehr rum, wird schon gut gehen, solang nichts passiert.

      Ob es nun Sinnvoll ist, zu warten bis ein Schreiben von einem Anwalt kommt und man mehrer Tausende Euro Anwaltskosten hinblättern muss, bezweifel ich stark - zumal es auch noch Bußgelder kosten kann.

      Als Betreiber einer Website, ist es leider nicht mehr so easy going "ich starte mal eine Seite und brauch mich dann nicht weiter drum kümmern". Erst recht nicht mehr wenn personenbezogene Daten verarbeitet werden. Auch als Privatperson musst du dich damit auseinandersetzen (wenn du keinen Datenschutzbeauftragten hast), allein schon wenn jemand Auskunft über die Art und Weise wie du seine Daten speicherst und verarbeitest, dazu gehört nicht nur die Datenbank des Forums, sondern auch die Server-Logs usw.
      Oder wie würdest du auf Anfrage rechtfertigen, wie du ohne SSL-Verschlüsselung für eine sichere Datenübertragung meiner personenbezogenen Daten garantierst (obwohl ihr mit eurer Datenschutzerklärung eine sicher Übertragung erklärt).

      Und die DSGVO ist nur der Anfang, schlimmer wird es mit der ePrivacy die ab nächstes Jahr kommen soll.
    • Wie wäre es denn, wenn Du -statt hier nur zu erzählen wie einfach das ist- LordofCarni unterstützt und ihm -per PN- genaue Ratschläge und Tips gibst, was er ändern muss. Dich einfach aktiv beteiligst.

      Das es für Fachkundige immer alles einfach klingt, ist super; für Laien sind eben manchmal auch solche 'einfachen' Sachen zu kompliziert.

      Aber ja, abzuwarten, bis das Mahnschreiben inklusive Gebühren kommt, halte ich auch für mutig. Viele Foren sind inzwischen schon geschlossen (z.B. bereitsgesehen.de), wegen dieser bescheuerten DSGVO, die zwar gut gemeint, aber völlig unzureichend umgesetzt ist.
    • Moin....

      1. ihr habt mich überzeugt

      2. ich hab über Jahre jede Menge arbeit ins Forum gesteckt, dabei geht es nicht nur um den IT Bereich, sondern auch ind das Forum slebst.

      3. Laie ja bin ich, nur bin ich schon lange nicht mehr dazu bereit irgend etwas für irgendwen gerade zu biegen

      4. schlau reden können viele, andere unterstützen fast keiner, vorhandenes nutzen wollen alle, aber helfen kaum jemand.

      5. die neue Verordnung ist mehr als nur schwammig, mit dem Gesetzes Text und der richtigen Ausführung, Frage muss ich tatsächlich einenh Alterscheck machen hier? Antwort????

      Gruß
      Axel

      werde heute Abend das Board vorerst schliessen, bis jemand sich meldet der uns die Datenschutzerklärung richtig einsetzen kann. Danke
    • Ich sage ja, beim Auto würde man es Serienreife nennen, davon ist die DSGVO weit entfernt.

      Ein Bekannter arbeitet in einem Unternehmen, die sich mit Zertifizierungen von Firmen beschäftigt. Der hat mir letzten sein Leid geklagt, wie viel Ärger sie bereits damit haben, nur die Internetauftritte ihrer Kunden wasserdicht zu bekommen.

      Ein Punkt wäre -seiner Aussage nach- bereits schlicht die Speicherung der Telefonnummer eines Anrufers (Clip-Funktion) in der Telefonanlage oder dem Router des Angerufenen. Schon dieses Speichern verstößt gegen die DSGVO. Rein theoretisch müsste man einen Anrufer per Ansage vorwarnen, 'Wenn sie jetzt am Apparat bleiben, wird ihre Rufnummer intern gespeichert und dem Angerufenen ggf. angezeigt, wenn sie das nicht wünschen, legen sie jetzt auf'. Erst dann dürfte man die Clip-Info entgegen nehmen und weiter verwerten.

      Das zeigt doch ausreichend, dass die EU wieder mal Mist gebaut hat. Aber das ist jetzt schon wieder OT.

      Kann sich ein irgend ein User, der sich damit auskennt, nicht dieser Sache annehmen?
    • fplgoe schrieb:

      Wie wäre es denn, wenn Du -statt hier nur zu erzählen wie einfach das ist- LordofCarni unterstützt und ihm -per PN- genaue Ratschläge und Tips gibst, was er ändern muss. Dich einfach aktiv beteiligst.
      Das habe ich gemacht.
      Ich habe ihm erklärt des auch ein kostenloses Zertifikat gibt.
      Ich hab mir auch extra die Mühe gemacht (auch wenn es sehr simple ist), rauszufinden bei welchen Hoster er seine Domain hat um ihn dann auch auf die Einstellmöglichkeiten in seinem Administrationsbereich hinzuweisen.
      Dort einloggen und das entsprechende Zertifikat aktivieren muss er dann schon selber machen - vorausgesetzt sein Tarif gibt es her, das weiß eben nur er als Vertragsinhaber.
      Auch bietet sein Hoster eine gute Übersicht und Anleitung zum Thema Zertifikat: all-inkl.com/webhosting/lets-encrypt-ssl-zertifikate/
      All-inkl.com bietet aber auch einen super Support, wenn man Fragen und Probleme hat, helfen die schnell - aber genug der Schleichwerbung. ^^

      fplgoe schrieb:

      Das es für Fachkundige immer alles einfach klingt, ist super; für Laien sind eben manchmal auch solche 'einfachen' Sachen zu kompliziert.
      Ich bin leider auch kein Fachkundiger, will mich auch nicht so darstellen. Am Ende bin ich auch nur ein Laie, aber ich habe mich eben auch wegen eines Hobbys damit viel beschäftigt.
      Zudem ist mir über das private Situation/Kenntnis usw. des Foren-Betreiber hier auch wenig bekannt (gewesen).

      Technische Unterstützung wird da für mich auch nicht so einfach, weil erstens habe ich mit der WoltLab-Forensoftware noch nie auseinandergesetzt, da ich selbst auf eine OpenSource-Software setze.
      Die ist kostenlos (wo auch viele Erweiterungen kostenlos sind) und wie ich schon oft gelesen habe, ist es an lizenzierte Software auch oft schwieriger daran zu basteln.
      Und zweitens habe ich da auch privat wenig Zeit jetzt damit anzufangen, mich mit neuer Software auseinanderzusetzen.
      Ich bin froh wenn ich mein eigenes Projekt noch Hegen und Pflegen kann.

      LordofCarni schrieb:

      Frage muss ich tatsächlich einenh Alterscheck machen hier? Antwort????
      Nach meinen Kenntnisstand muss ein Alterscheck vorhanden sein wenn deine Zielgruppe Minderjährig (bzw. unter 16) ist. Ich gehe mal davon aus das man mit einem Autoforum ehr eine Volljährige (bzw. Ü16) Zielgruppe anspricht.

      LordofCarni schrieb:

      werde heute Abend das Board vorerst schliessen, bis jemand sich meldet der uns die Datenschutzerklärung richtig einsetzen kann. Danke
      Deine Datenschutzerklärung sollte sehr schnell und einfach erstellt sein, da du kaum Drittanbieter (wie Google Adsense, Analytics, Fonts, whatever) Einbindungen hast.
      Einzige Einbettung von Drittanbietern ist deine Jquery (eine Javascript-Datei), vom Google-Server.
      Und die Funktion des Teilen auf Socialen Netzwerken (wobei ich auch hier nicht genau weiß, wie das Script hier funktioniert und arbeitet).
      Einbindung dieser Art ist zwar nicht verboten, aber du musst es in deiner Datenschutzerklärung erwähnen.
      Als Alternative, kann man sich die Jquery auch auf seinen webspace speichern und somit lokal vom eigenen Server laden lassen, statt vom fremden Server.
      Ansonsten:
      - Hier werden nur 3 Cookies erstellt, beschreibe wieso sie erstellt werden, was sie für eine Funktion haben und wenn du es ganz gut machst, schreibst du auch noch wie lange sie gespeichert werden (vielleicht gibt es in der Forensoftware dazu auch eine Einstellung, ich weiß es nicht).
      Erkläre das und wie Cookies über den Browser abgestellt werden können.
      - Beschreibe das mit dem Seitenaufruf, Informationen des Users in Server-Log-Files erstellt werden, beschreibe welche Informationen es sind (In der Regel alles was ein lokaler PC sendet, wie IP des Internetanschlusses, Datum/Uhrzeit, Betriebssystem des Nutzers, Browsertyp/Version des Nutzers, sogenannter Referrer (Herkunfts-URL, wenn jemand von einer anderen Website zu deiner kommt), Unterwebseiten beim Internenseitenwechsel, http-Status (z.B. eine Fehlermeldung weil eine Seite nicht auffindbar war).
      - Beschreibe, welche Daten zwangshaft bei der Registration im Forum benötigt und gespeichert werden (Daten die vom Benutzer angegeben werden, wie Benutzername, Email-Adresse, Daten die automatisch bei der Registrierung mit erfasst werden, wie IP-Adresse, Datum/Uhrzeit, uws.), wozu sie benötigt werden und wie lange (wobei die Dauer bis zur Auflösung durch Betreiber oder Benutzer des Profils ist).
      - Wenn du eine Art Blackliste oder Sperrliste von Usern führst oder führen kannst, dann erkläre das auch diese Funktion vorhanden ist und zu welchem Zweck.
      - Beschreibe das die Weitergabe der Daten nicht an Dritte erfolgt (sofern das zutrifft), außer bei Durchsetzung rechtlicher Interessen, zb. weil eine Straftat vorliegt.
      - Erkläre die Rechte des User für seine personenbezogene Daten, sprich das er Recht auf Auskunft, Löschung, Widerspruch, Korrektur, Ergänzung hat.

      Das sollte soweit das wichtigste sein, was mir gerade durch den Kopf gegangen ist - bitte bedenke, das ich selbst kein Jurist bin, es also keine Rechtsberatung ist.
      Es gibt auch viele DSGVO-Vorlagen im Internet, aber bedenke auch dort musst du viele an deine Webseite anpassen.

      Ach und noch ein Tipp am Rande:
      Im KAS von all-inkl.com kannst du auch die IP-Adressen in den Server-Logs anonymisieren, wenn du das eingestellt hast, schreibe es mit in deine Datenschutzerklärung beim Punkt Server-Logs.

      Ich hoffe dir hilft das alles ein wenig weiter.
      Im großen und ganzem hast du ja schon einiges drin stehen, gestalte es nur noch schön und detaillierter und versuch das mit dem Zertifikat, dann solltest du beruhigt schlafen können. :thumbup:

      Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von Ceed GT ()

    • Moin...

      zu dem Punkt 16 Jahre, das ist eines der kleinen Probleme mit der Zielgruppe, sicher ist es ein Autoforum aber wie bitte sollen wir das überprüfen wenn sich Personen unter 16 anmelden? schwammig in diesem Punkt.
      Was All Inkl anbelangt, ich bin mir relativ sicher das wir ssl bzw tsl verwenden, allerdings hab ich wie oben schon geschrieben keinen Plan davon und was noch entscheidender ist, keine Zeit dafür, da ich in ca 3 Stunden starten werde und erst am nächsten Freitag wieder zuhause bin, nachteil an meinem Beruf. Und ehrlich gesagt, in den letzten 13 Jahren haben wir schon deutlich zu viel Zeit ins KIA Board investiert.


      Gruß
      Axel
    • Das Alter kannst du nur per Post-Ident oder so überprüfen, das setzt die DSGVO aber nicht voraus (Gott sei dank).
      Wenn du dir unsicher bist, erstelle eine Geburtstag-Eingabe bei der Registration als Pflichtfeld ein. Das gute ist, du musst und kannst das Alter nicht auf Richtigkeit überprüfen, ergo du haftest nicht für Falschangaben, wenn jemand z.B. angibt das er 17 ist, aber in Wirklichkeit erst 13.

      Zum SSL/TSL, wenn ihr es verwenden würdet, würde eure Domain auch per https aufrufbar, aber leider landet man auf http und das ist nicht sicher, auch wenn SSL vorhanden ist.

      Gehen wir das mal Schritt-für-Schritt durch:
      Log sich in dein KAS ein. Dann schau unter den Menüpunkt "Domain" in der Liste ob hinter deiner Domain "kia-board.de" ein Schloss vorhanden ist, nur dann ist SSL aktiv.
      Ganz rechts von deiner Domain siehst du unter Aktion die Grafik "barbeiten" (das Blatt mit dem Stift), da klickst du mal drauf und klickst dann auf der neuen Seite beim Punkt "SSL Schutz" auf "bearbeiten".
      Wenn dort SSL aktivieren "Ja" steht, aber kein Zertifikat vorhanden ist, bringt das gar nichts.
      Wenn noch kein SSL-Zertifikat vorhanden ist, klicke auf "Let's Encrypt", dort einfach bestätigen das du eins erstellt haben willst (das ist in wenigen Minuten automatisch fertig erstellt).
      nun gehst du wieder auf SSL-Zertifikat und guckst nochmal ob:
      SSL aktivieren "Ja"
      SSL erzwingen "Ja" (führt dazu, das ein aufrufen per http automatisch auf https umgeleitet wird)
      eingestellt ist.

      Nun überprüfe über die URL kia-board.de ob die Seite problemlos aufgerufen wird und auch das Schloss (bzw. der Hinweis auf eine sichere Verbindung) im Browser zu sehen ist.
      Wie gesagt, es dauert ein paar Minuten nach dem Erstellen bis die URL zu erreichbar ist.

      Wenn ja, ist alles erledigt.

      Wenn es dann immer noch nicht funktioniert, müsste deine .htaccess auf dem Webspace überprüft werden, vllt. blockt die durch einen Befehl etwas.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Ceed GT ()

    • Moin....

      @ Ceed GT ...

      1. ich hab jetzt endlich Wochenende
      2. ich habe jetzt auch keine Lust irgendwas zu prüfen bzw ein zu stellen, wie do schon so schön geschrieben hast,ob die Seite problemlos aufgerufen wird, was wenn nicht? Dann ist mein Wochenende im A....


      gruß
      Axel

      das tatsächliche Intresse scheint ja eh nicht so hoch zu sein, man sieht es ja an der Anzahl der User die sich für das Thema interessieren.
    • LordofCarni schrieb:

      das tatsächliche Intresse scheint ja eh nicht so hoch zu sein, man sieht es ja an der Anzahl der User die sich für das Thema interessieren.
      Soll dir jetzt jeder User der das liest, "einzeln" bestätigen, das SSL nicht funktioniert ?
      Ja, SSL funktioniert nicht.
      Gruss Rudi C
      DeluxeWeissMetallic, Navi-Paket ausgebaut, LED-Fussraumbeleuchtung - drei Varianten schaltbar , Schmutzfänger vorne/hinten, PDC vorne, FSR14,
      Soundsystem 1500 WRMS, HU=S100, HT=A25.g, TMT=A165.g, SUB=SQX12, 4K=XL150c4, 1K=SPL1800c1 (Witson S100 Navi, AndrianAudio, Gladen)

      images.spritmonitor.de/647101.png
    • @LordofCarni
      Ich zwing dich nicht dein Wochenende zu verderben, aber dennoch sollte es dir eigentlich als Betreiber bewusst sein, was du für eine Verantwortung trägst.

      Ich habe dir so gut wie möglich eine Art Schritt-für-Schritt Anleitung gegeben, wie du erstmal Gucken kannst was eingestellt ist und wie du das Zertifikat erstellen kannst, wenn keins Vorhanden ist.
      Und glaub mir damit kannst du nichts kaputt machen, weder am Forum, noch am Server/Webspace.
      Du klickst einfach auf Zertifikat erstellen, stellst dann SSL auf aktivieren und erzwingen und schon läuft es alles über https - fertig.
      Und wenn es per https nicht läuft, weil bspw. die .htaccess etwas blockiert, dann läuft die Seite automatisch wie bisher über http ohne Zertifikat.
      Und dann kann man sich in aller Ruhe um die .htaccess kümmern, das ist kein Akt, wenn ich dir dazu auch noch meine Hilfe anbiete.

      LordofCarni schrieb:

      das tatsächliche Intresse scheint ja eh nicht so hoch zu sein, man sieht es ja an der Anzahl der User die sich für das Thema interessieren.
      Und wegen dem Interesse anderer User:
      Klar kannst du nun nicht erwarten das sich hier alle dazu melden/äußern, viele werden sich die Datenschutzerklärungen auch nicht anschauen - auch nicht auf anderen Seiten.
      Du darfst nicht nur daran denken, was deine User hier wollen, sondern du musst dabei auch an dich denken, dich selbst musst du auch Absichern, du als Betreiber haftest nun mal rechtlich für unsere Daten, die du teilweise Zwangsläufig sammelst.

      PS: Und das ist nicht erst seit der DSGVO, auch das BDSG (Bundesdatenschutzgesetz) und TMG (Telemediengesetz) regeln den Datenschutz. Die DSGVO ist im Prinzip einer Erweiterung des ganzen und nächstes Jahr soll dazu noch die ePrivacy Verordnung kommen.

      Aber wie gesagt, schau dir das mal im KAS an, das tut nicht weh und dauert keine Stunden, einloggen und ein bisschen Klicken, ist doch schnell gemacht.
    • Ich find das Forum gut und es tut mir natürlich auch leid das hier Arbeit für LordofCarni entsteht aber auch ich kann dir nur raten das umzusetzen.

      Wenn die erste Abmahnung im Briefkasten liegt, zahlst du erstmal. Ob du dann hier dicht machst oder nicht ist da erst einmal egal.
      Und selbst wenn du es heute dicht machst hast du ja schon Daten seit der Gültigkeit der DSGVO erhoben.

      Und so Aussagen wie, ich habe erstmal Wochenende ist ne Einladung par Excellence, denn du scheinst ja nichtmal gewillt zu sein dich um die Daten deiner Nutzer zu kümmern.

      Zieh die Kuh vom Eis solange es noch hält.
    • Ich verfolge das Thema hier auch, kann aber leider nichts produktives dazu beitragen.
      Ich denke, das geht auch anderen so, daher keine große beteiligung

      Ich glaube nicht, dass Carni das ganze egal ist. Ich kann aber verstehen, wenn er dazu heute keinen Bock mehr hat und sich erstmal von der Arbeit erholen will und private Dinge wichtiger sind, nachdem man mehrere Tage nicht zuhause war
    • Moin....

      wenn es nur die SSL wäre, dann könnte man ja das fix fertig machen, allerdings muss noch mehr gemacht werden und genau daran hapert es. Ansich haben wir ja jemanden der sich um die Software kümmert, nur dummerweise macht er seit 6 Monaten nichts mehr. Die Forensoftware sollte zb wieder auf die neuste Version umgestellt werden usw......

      Ich habe mich evtl falsch ausgedrückt, was das intresse anbelangt..... ich meinte damit eher das intresse daran das dieses Forum weiter besteht. Denn ab und an benötigen wir auch mal Unterstützung von anderen.

      @ Fred, aus Verbraucher Sicht stimmt das zum Teil, allerdings eher auf den Seiten wo es um vollständie Adressdaten geht, Bankverbindungen usw. Auf Seiten wie bei uns ( Emailadresse und evtl noch der richtige Vorname )ist sowas mehr als nur überflüssig. Achso die Datenschutzverordnung geht ja noch deutlich weiter, in einem Büro zb, dort dürfen keine Infos zb über Kunden auf dem Schreibtisch liegen, wenn ein Mitarbeiter im Raum ist der zb nichts mit Kundendaten zu tun hat usw.... letzten endes kann man die Datenschutzrichtlinien eh alle 2-4 Wochen anpassen, da sicher hier und da mal wieder kleinigkeiten falsch sind.

      Gruß
      Axel
    • LordofCarni schrieb:

      ...Achso die Datenschutzverordnung geht ja noch deutlich weiter, in einem Büro zb, dort dürfen keine Infos zb über Kunden auf dem Schreibtisch liegen, wenn ein Mitarbeiter im Raum ist der zb nichts mit Kundendaten zu tun hat usw....
      Und das ist doch gut so. Daten wird nun ein Wert zugewiesen und sie werden Ich ordentlich behandelt. wer keinen Zugang braucht bekommt auch keinen auch nicht zufällig.

      Stell dir Mal vor in der Bank hätte jeder Zugang zum Geld oder im Autohaus zum Material oder Fahrzeugen. Daten sind noch stärker zu schützen weil sie eben mir nichts dir nichts kopiert sind.