[Admin] Datenschutz - logs - piwik - auswertung und analysen

picard · 16. Dezember 2015 um 10:47

moin,

Alle ADMINS müssen sich mit dem thema beschäftigen, da es uns alle angeht.
Der gesamte Vorstand sollte sich hier einbringen.

Es ist nicht nur piwik, das ist ja nur die spitze des eisberges,
wichtig ist der gesamten datenschutz, wo nicht direkt ausgewertet und analysiert wird,
log dateien.

zur diskusion habe ich noch mal alles unten angehangen und einen eigenen tread gemacht.

danke erstmal pascal für deine hilfe,
anscheint ist durch piwik nun etwas datenschutz ins rollen gekommen.
das pad dazu gibt es schon https://pad.ffnw.de/p/Datenschutz

bitte das pad nutzen und lass uns den datenschutz jetzt erledigen, wir haben

2k nutzer mit >800 Freifunkern

Zitat von picard <freifunk@fr32k.de>:

moin pascal,

Zitat von gmx <heynmoeller@gmx.net>:

Bei einigen Seiten gibt es ein "opt in" für Datenanalyse Werkzeuge wie piwik.
Ich fände es gut wenn Benutzer eine Wahl haben ob sie das machen wollen oder nicht.
Ich filter das zwar standardmäßig raus jedoch sind die Möglichkeiten auf manchen Geräten sehr eingeschränkt.

http://piwik.org/docs/privacy/#step-3-include-a-web-analytics-opt-out-feature-on-your-site-using-an-iframe

danke für deine mühe.

In wie fern sind folgende Maßnahmen zum Schutz der Privatsphäre umgesetzt?
http://piwik.org/docs/privacy/
Step 1) Automatically Anonymize Visitor IPs

Anonymisiere JA
2 bytes

Step 2) Delete Old Visitors Logs

Alte Besucher-Logs löschen JA
720 Tage

Step 3) Include a Web Analytics Opt-Out Feature on Your Site (Using an iFrame)

Piwik-Deaktivierung für Ihre Besucher
Piwik ist es wichtig, die Privatsphäre Ihrer Besucher zu wahren. Fügen Sie den folgenden HTML-Code auf einer Seite Ihrer Website (z.B der Datenschutz-Seite) ein, um den Besuchern Ihrer Website die Möglichkeit zu geben, sich gegen eine Erfassung ihres Besuches durch Piwik zu entscheiden.
<code>
Dieser Code wird innerhalb eines Iframes angezeigt und enthält einen Link, über den ein Cookie im Browser Ihrer Besucher abgelegt wird, womit die Erfassung durch Piwik deaktiviert wird. Klicken Sie hier, um eine Vorschau auf den Text zu bekommen, der den Besuchern in dem Iframe angezeigt wird.

ist noch nicht verfügbar.
möchte ich gerne einbauen auf transparenz seite (siehe unten)

Step 4) Respect DoNotTrack preference

Sie respektieren die Privatsphäre Ihrer Besucher, Bravo!
Wenn Benutzer in ihrem Browser "Ich möchte nicht getrackt werden" eingestellt haben (Do-not-Track aktiviert), dann wird Piwik diese Besuche nicht tracken.

Transparenz wäre hier schön, dass wir tracken, wie wir tracken und was wir tracken.

dazu sollten wir eine seite anlegen mit Opt-Out.
dazu würde ich mich über ideen, hilfe usw freuen.

Danke Gruß Pascal

ich danke dir

Zitat von heynmoeller@gmx.net:

gmx · 16. Dezember 2015 um 14:43

16. Dezember 2015 11:48 Uhr, "picard" <freifunk@fr32k.de> schrieb:

moin,

Alle ADMINS müssen sich mit dem thema beschäftigen, da es uns alle angeht.
Der gesamte Vorstand sollte sich hier einbringen.

Als Mitglied des Vorstands bringe ich mich hier ein und lese mit damit ich weiß was passiert, schließlich haben wir das mit zu verantworten bzw. liegt die juristische Vertretung des Vereins bei uns als Vorstand.
Wenn jemand einen Löschantrag stellt weil er möchte dass wir seine Daten löschen ist der Vorstand in der Pflicht sich damit auseinander zu setzten. Dafür sind wir da. Ich möchte gerne vermeiden Löschanträge zu bearbeiten da ich denke das es wichtigeres zu tun gibt.

In der Regel gehe ich davon aus das eine Person die eine Datenschutzvereinbarung/-erklärung unterschrieben hat sich auch im Rahmen der eigenen Tätigkeit mit dem Datenschutz beschäftigt, sei es beruflich oder ehrenamtlich.
Als Beisitzsender würde ich mich freuen wenn wenn hier eigenständig Verantwortung übernommen wird für das eigene handeln.

Ein alternative wäre kommunikativ die Absichten des eigenen Handelns darzulegen und um Hilfe zu bitten wenn etwas unklar ist. Ich bin durchaus der Meinung das eine Bitte zu äußern ein legitimes Hilfsmittel ist und sogar erwünscht sein sollte da nicht jeder alles weiß und wissen kann. ( Ja man bekommt nicht immer alles auf dem Silbertablet aber manchmal halt schon wenn man freundlich fragt).

Es ist nicht nur piwik, das ist ja nur die spitze des eisberges,

Ich höre/lese gerne mehr. Was konkret? Im Pad steht auch nix?

Webanalyse tools sind halt schon eine andere Nr. falls es dir noch nicht bewusst geworden ist. Dafür können wir Abgemahnt werden.
Zum Beispiel: http://rechtsanwalt-schwenke.de/lg-frankfurt-piwik-abmahnung-fehlerhafter-datenschutzerklaerung-erneut-bestaetigt/

wichtig ist der gesamten datenschutz, wo nicht direkt ausgewertet und
analysiert wird,
log dateien.

Die einzige Frage die mir im Moment noch einfällt ist, ob die IPs im log der Webserver anonymisiert sind falls sie gelogt werden. Die Verwendung von Cookies wäre noch interessant und das Webteam muss folgende Fragen klären: http://rechtsanwalt-schwenke.de/smmr-buch/datenschutz-muster-generator-fuer-webseiten-blogs-und-social-media/
damit wir eine entsprechende DS generieren können.

Kannst da konkret logs benennen?

eigenen tread gemacht.

Danke.

danke erstmal pascal für deine hilfe,

Gerne dafür bin ich da.

anscheint ist durch piwik nun etwas datenschutz ins rollen gekommen.

Du hast mich hier in Zugzwang gebracht. weil wir hier jetzt konkret Handlungsbedarf haben, da es abgemahnt werden kann.
Webanalyse alla googleanalytics und piwik haben ein etwas größeres Kaliber. Deshalb habe ich nachgefragt.

Wünschenswert wäre das Software bevor sie eingeführt wird erst mal diskutiert wird ob wir das überhaupt machen wollen; wegen des Nutzen, Aufwand Verhältnisses und dem rechtlich einwandfreien Betriebes.
Einfach machen ist hier aus meiner persönlichen Perspektive ein etwas fragwürdiges vorgehen, was den betrieb solcher (Analyse und tracking) Software anbelangt.

das pad dazu gibt es schon https://pad.ffnw.de/p/Datenschutz

bitte das pad nutzen und lass uns den datenschutz jetzt erledigen, wir haben

Was meinst du mit erledigen? Das ausformulieren einer Erklärung?
Datenschutz ist nie erledigt. Es ist einen Aufgabe im Rahmen der Tätigkeit, die immer im Hinterkopf ist.
Wie soll man sonst Datensparsamkeit umsetzten!

2k nutzer mit >800 Freifunkern

Die haben damit erst mal nichts zu tun wenn sie nicht unsere Webserver ansurfen.
Als Netzbetreiber wird da nichts gespeichert was nicht muss, zu mal wir keine Logs für Abrechnungen benötigen, sollten hier keine Daten anfallen die nicht benötigt werden um das Netz zu betreiben.
Ich meine das wäre sogar bjos Worte gewesen. Zu mal wir das so wieso nicht dürfen; siehe meine bisherigen Antworten.

Alte Besucher-Logs löschen JA
720 Tage

Bitte auf maximal 30 Tage konfigurieren und alle 30 Tage regelmäßig die alten Reports in der DB von Hand löschen sofern dies nicht anderweitig gelöst werden kann (cron).

ULD sagt: "die Datensätze sollen anlasslos und regelmäßig gelöscht werden."

Regelmäßig alle 4 Wochen wäre gut.

tl;dr
Im Grunde können wir die DS hier http://rechtsanwalt-schwenke.de/smmr-buch/datenschutz-muster-generator-fuer-webseiten-blogs-und-social-media/ zusammen klicken wie die anderen Vereine es auch gemacht haben.
Das Webteam ist hier gefragt die Fragen zu beantworten.

Ich bin da raus, unterstütze jedoch gerne weiterhin.

Gruß Pascal

Clemens_John · 16. Dezember 2015 um 15:29

Das Thema Datenschutz wird hier aktuell sehr erhitzt diskutiert. Eine Richtung
oder konkrete Ziele gehen in der Diskussion aber unter. Darum würde ich gerne
ein paar beruhigende und fokussierende Sätze dazu loswerden.

Grundsätzlich ist Datenschutz ein relevantes Thema das aktuell an
verschiedenen Stellen angesprochen wird. Jedoch ist das Thema nur eines von
vielen mindestens ebenso wichtigen Themen. Darum möchte ich darum bitten, dass
wir dieses Thema mit etwas mehr Besonnenheit angehen und nicht zu sehr nach
kurzfristigen Lösungen streben. Wir sind beim Thema Datenschutz gut
aufgestellt und das Risiko, dass unberechtigte bei uns Daten raustragen ist
sehr gering.

Nichtsdestotrotz gibt es Punkte an denen wir arbeiten können.
Zugriffskontrolle (shared/single Accounts), Eingabekontrolle (logging) und
Datensparsamkeit (PiWik) sind Punkte, die jetzt sehr explizit angesprochen
wurden. Aber wir sind flexibel und in der Lage diese Probleme zu lösen.

Da das Thema Datenschutz einen sehr großen Einfluss auf alle Bereiche der
Community hat, ist mir wichtig, dass wir die Diskussion darum kontrolliert und
mit einem Blick aufs Ganze führen. Ich würde es gerne vermeiden, dass wir hier
auf der Mailingliste ein konkretes Tool rauspicken und daran
Datenschutzregelungen durchexerzieren oder dass wir uns hier gegenseitig mit
Vorwürfen bewerfen. Das führt im Ergebnis zu langen unverständlichen Threads
und zu Frustration bei allen Beteiligten.

Wenn sich jemand mit dem Thema Datenschutz beschäftigen möchte (Pic &
Pascal?), dann fände ich es gut, wenn diese Personen einmal schriftlich ein
grobes Planungsdokument ausarbeiten in der Fragen geklärt werden wie:
* Wer arbeitet an dem Planungsdokument mit?
* Welchen Datenschutzgrad wollen wir? (vorstellbares Maximum oder Einklang von
Datenschutz mit Aufwand oder nur das was das BDSG vorschreibt oder...)
** Wie sehen die Interessen der verschiedenen Gruppen im FFNW aus (Vorstand,
Admin-Team, Community, unbekannter User)
* Welche Software wird eingesetzt und was kann die Datenschutztechnisch
umsetzen (Benutzermodell, erhebung/nichterhebung von Daten)
* Lässt sich das Thema Datenschutz auf bestimmte Bereiche und Anwendungen
eingrenzen
** Gibt es Bereiche die besonders relevant sind und die man sich zuerst
ansehen muss (z.B. Server, PiWik, Mitgliedsdaten, Adressen auf Mailinglisten)
* Wer übernimmt das Thema Datenschutz nach Abschluss der Erstellung von
Datenschutzvorgaben personell (Datenschutzbeauftragter?)?
** Welche Revisionsmöglichkeiten können der/den Person/en an die Hand gegeben
werden?
* Bis wann soll der Prozess der Erstellung von Datenschutzvorgaben
abgeschlossen sein (konkretes und personell realistisches Datum)?
* Gibt es sonstige Punkte die noch relevant sind (Aufwand Accountmanagement?)
* Literaturrecherche
** z.B. https://www.datenschutzzentrum.de/wirtschaft/dsmanage.htm

Auf Basis dieses Dokuments sollte dann eine konkrete, schriftliche
Datenschutzpolicy erarbeitet werden, die wir veröffentlichen können und die
nach einer Übergangsfrist für alle Bereiche verbindlich ist. An der
Erarbeitung dieser Policy wird sich dann auch der Vorstand beteiligen.

Ihr habt ja schon ein Pad aufgemacht, das ist sehr gut! Vielleicht könnt ihr
noch einige Aspekte aus dieser Mail einfließen lassen.

Nochmal das Pad:
https://pad.ffnw.de/p/Datenschutz

Viele Grüße
Clemens

P.S. CC an den Vorstand, weil der hier explizit angesprochen wurde.

picard · 16. Dezember 2015 um 16:49

Zitat von heynmoeller@gmx.net:

Alte Besucher-Logs löschen JA
720 Tage

Bitte auf maximal 30 Tage konfigurieren und alle 30 Tage regelmäßig die alten Reports in der DB von Hand löschen sofern dies nicht anderweitig gelöst werden kann (cron).

ULD sagt: "die Datensätze sollen anlasslos und regelmäßig gelöscht werden."

Regelmäßig alle 4 Wochen wäre gut.

spontan habe ich
Alte Besucher-Logs löschen JA
180 Tage löschung einsgestellt.

alle stunde laufen archiv routinen auf die logs
damit die logs ohne probleme gelöscht werden können.

alles was älter ist wird automatisch gelöscht.