this post was submitted on 11 Nov 2024
32 points (94.4% liked)

Datenschutz - Privacy - Digitale Selbstverteidigung

244 readers
1 users here now

Deutschsprachige Community zum Austausch über #Datenschutz #Privacy #DigitaleSelbstverteidigung

Postet hier gerne News, Artikel und Eure Fragen aus diesem Themenfeld.

Dies ist eine Lemmy-Community (Was ist Lemmy?) Wie Ihr auch von anderen Fediverse-Accounts aus teilnehmen könnt, ist auch hier beschrieben.

Bildquelle Icon: Eschenzweig, CC BY-SA 4.0 via Wikimedia Commons #fedi22

Ersatz für @datenschutz@feddit.de

founded 5 months ago
MODERATORS
 

Moin zusammen,

Als ich letztes Jahr reddit den Rücken zugekehrt hab, habe ich sämtliche Posts und Kommentare via shreddit überschrieben, und im Anschluss meinen Account "unwiederruflich" gelöscht.

Hin und wieder lande ich via google mal in diversen reddit-communities, gerade wenn es um Nischenthemen geht, wie jetzt als mich ein Kumpel nach meiner alten Espressomaschine gefragt hat und ich ihm einen Link zum Hersteller raussuchen wollte.

Bin dann also hier gelandet: https://www.reddit.com/r/Coffee/comments/4trskb/best_budget_espresso_machines_im_hooked_on_flat/d5jp1rr/ - definitiv mein Kommentar, besitze ebendiese Maschine, jetzt seit exakt 10 Jahren (2 Jahre vor dem 8 Jahre alten Kommentar, Preis passt, etc.). Ich erinnere mich auch noch, ihn verfasst zu haben.

Hab dann noch in ein paar anderen communities nachgeschaut wo ich aktiv war, und auch da gab's einiges von mir, allerdings nicht so eindeutig nachvollziehbar.

Habt ihr ne Idee, was ich DSGVO/GDPR-mäßig tun könnte?

top 31 comments
sorted by: hot top controversial new old
[–] Pechente@feddit.org 6 points 2 weeks ago (1 children)

Bist du dir sicher dass exakt dieser Post gelöscht/ überschrieben wurde? Zu dem Zeitpunkt gab es große Proteste, wodurch viele Subreddits privatgeschaltet waren und man seine Beiträge dort nicht einsehen konnte. Entsprechend konnten Skripte die dann auch nicht bearbeiten oder löschen.

[–] viking@infosec.pub 8 points 2 weeks ago (1 children)

Bei dem hier verlinkten Kommentar weiß ich es tatsächlich nicht, aber andere die ich gefunden hab stammen aus Subs die ich selbst moderiert habe, da weiß ich also zu 100%, dass sie effektiv überschrieben gewesen sind. Als Moderatoren konnten wir nach wie vor schalten und walten, auch wenn die Subs gesperrt waren.

[–] Tartufo@lemmy.world 3 points 2 weeks ago* (last edited 2 weeks ago) (1 children)

Ich hab meinen Reddit account wegen genau sowas behalten, obwohl ich alles geschrottet & gelöscht habe. Bin seitdem auch nochmal eingeloggt gewesen, weil da auch bei mir wieder Kommentare sichtbar waren. Bei mir kann das aber definitiv nicht am sub gelegen haben, weil andere Kommentare die ich in genau demselben Sub geschrieben hatte weiterhin weg waren. Da war nur eine handvoll aus unerfindlichen Gründen wieder da. Seitdem ich die (wieder) gelöscht habe ist Ruhe gewesen.

[–] viking@infosec.pub 1 points 2 weeks ago (1 children)

Alles klar, ich werd mal weiter suchen, ob es da ein System gibt.

[–] gabelstapler@feddit.org 1 points 2 weeks ago (1 children)

Vermutlich lief shreddit in einem timeout, Sieht meinem anderen Kommentar.

[–] viking@infosec.pub 1 points 2 weeks ago

Möglich, und jetzt leider nicht mehr nachvollziehbar. Allerdings hatte ich eine 'success' Meldung auf dem Schirm am nächsten Morgen. Keine Ahnung.

[–] Kissaki@feddit.org 5 points 2 weeks ago (2 children)

Hattest du vor dem Löschen einen Datenexport gemacht? Dann kannst du prüfen ob die Beiträge definitiv von dir stammen. Und das würde auch als Beweismittel dienen können. Sonst hängt man von Archivservices ab. War dein Benutzername godless-life? Das finde ich bei unddit.

Reddit-seitig steht in der Privacy Policy:

Please note, however, that the posts, comments, and messages you submitted prior to deleting your account will still be visible to others unless you first delete the specific content.

Ich bezweifle dass das DSGVO/GDPR konform ist. Kann es aber nicht mit Sicherheit sagen.

Kommentare sind direkt einem Account zugeordnet, und daher als personenbezogene Daten zu interpretieren.

In jedem Fall kann man argumentieren, dass die Erwartung ist dass, wenn man den Benutzeraccount löscht, auch alle Beiträge gelöscht werden. Da es keine explizite, informierte Zustimmung zum Beibehalten der Beiträge gab, könnte dies eine Verletzung sein. Reddit könnte argumentieren, dass die Beiträge keinem Benutzerkonto mehr zugeordnet sind, und es somit keine personenbezogenen Daten mehr sind.

Wenn dir das wichtig ist, dann würde ich eine Beschwerde bei einem Datenschutzbeauftragten einreichen.

Gemäß Art. 77, 78 der DS-GVO haben Sie das Recht zur Beschwerde bei einer Aufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die Datenschutz-Grundverordnung verstößt.

[–] viking@infosec.pub 3 points 2 weeks ago

Yep, das war mein Nutzername. Werd mal weiter forschen, was ich da machen kann. Besten Dank!

[–] General_Effort@lemmy.world 1 points 2 weeks ago* (last edited 2 weeks ago) (1 children)

Hmm. Man könnte anführen, dass die Anonymisierung nicht funktioniert, weil diese Archive existieren. Ich habe aber Zweifel, ob das Erfolg hat.

Unddit und Co sind natürlich nach hiesigen Maßstäben praktisch schwerkriminell.

[–] Kissaki@feddit.org 1 points 2 weeks ago (1 children)

Naja, so ist der Beitrag nur noch zum Benutzernamen verknüpft. Der Benutzername aber nicht mehr zu eine E-Mail Adresse, oder IP, oder Bezahlinformationen oder Real Namen.

[–] General_Effort@lemmy.world 1 points 2 weeks ago

Das macht keinen Unterschied.

Im Prinzip ist es so, dass es persönliche Daten bleiben, wenn die Verbindung zur Person wieder hergestellt werden kann. Aber hier ist das so, weil die kompletten Daten im Archiv vorhanden sind. Der korrekt anonymisierte Text soll verschwinden. Das ist eigentlich ein Fall fürs Urheberrecht, aber die Nutzungsrechte sind abgetreten. Das jetzt so hintenrum mit DSGVO zu versuchen halte ich für Rechtsmissbrauch.

Man könnte sich beschweren, dass Reddit nicht genug unternimmt, um die persönlichen Daten aus solchen Archiven zu löschen. Reddit ist verpflichtet, zumutbare Anstrengungen zu machen.

[–] fantawurstwasser@feddit.org 5 points 2 weeks ago (2 children)

Habt ihr ne Idee, was ich DSGVO/GDPR-mäßig tun könnte?

Schick ihnen einen DMCA wegen Urheberrechtsverletzung. Geht recht einfach und auf Urheberrechtsverletzungen reagieren die auch recht schnell.

[–] viking@infosec.pub 2 points 2 weeks ago

Top, das werd ich mal versuchen. Aber funzt wohl höchstens bei einzelnen Kommentaren, nicht für x-tausende...

[–] General_Effort@lemmy.world 1 points 2 weeks ago (1 children)

Gefälschte DMCA-Notices sind allerdings potenziell strafbar. Hier ist es natürlich eine Grauzone.

[–] muelltonne@feddit.org 4 points 2 weeks ago (1 children)

Es ist definitiv keine Grauzone, wenn man selbst der Urheber ist.

[–] General_Effort@lemmy.world 2 points 2 weeks ago (1 children)

Natürlich lässt sich Reddit die Nutzungsrechte unwiderruflich einräumen. Man könnte argumentieren, dass es ein Problem mit dem Vertrag gibt und die Klausel unwirksam ist. Dann wäre das ein zivilrechtlicher Streit und keine betrügerische Falschbehauptung. Das ist die Grauzone, die ich meine.

[–] muelltonne@feddit.org 1 points 2 weeks ago (1 children)

Am Ende ist das Reddit aber als Plattform egal. DMCAs sind ja erstmal zwischen dir und dem Poster. Du schickst einen hin, Reddit nimmt es erstmal runter und der Poster kann dem widersprechen. Das ist der vorgesehene Prozess. In diesem Fall gibt es aber keinen und Reddit wird definitiv nicht den Urheberrechtsstatus einzelner Kommentare verteidigen. Das dürfen sie als Plattform auch gar nicht.

[–] General_Effort@lemmy.world 1 points 2 weeks ago

Ja, aber nicht ganz. Die Plattform muss das so machen, um den Safe-Harbor-Status zu behalten. Wenn eine Plattform einer DMCA-Notice nicht nachkommt, dann ist sie für die angebliche Urheberrechtsverletzung verantwortlich/haftbar. Aber eine Plattform darf das. Praktisch ist eine Einzelfallprüfung natürlich unmöglich, sodass keine andere Wahl besteht, als das automatisiert durchzuwinken.

Aber wenn/falls die merken, dass missbräuchliche DMCAs geschickt werden, musst du damit rechnen, dass die deswegen was machen. Denn sonst "könnt ja jeder kommen", wie's so schön heißt.

[–] vxx@lemmy.world 3 points 2 weeks ago* (last edited 2 weeks ago) (1 children)

Du hast nur deine letzten tausend Kommentare gelöscht. Mehr ist über das Profil nicht erreichbar.

Und gelöscht hast du auch nicht, sondern nur eine flag gesetzt. Deswegen ist es wichtig den Kommentar vor dem "Löschen" zu editieren.

[–] viking@infosec.pub 1 points 2 weeks ago

Ich hab alle Kommentare editiert, darum geht's ja. Shreddit hatte mir in der Zusammenfassung >50.000 überschriebene Komentare angezeigt.

[–] fantawurstwasser@feddit.org 2 points 2 weeks ago (2 children)

Reddit hat da eine böse Falle:

Any content you may have posted to Reddit won’t be deleted when your account is deleted . You’ll need to remove any content you want deleted before deleting your account. Content that was not deleted before deleting an account will show [deleted] as the username and will not show in Reddit search. Also, once an account is deleted , it cannot be reactivated. Deleting an account does not recycle the username.

Anders gesagt: Du hättest vorher deine Kommentare alle löschen müssen bevor du den Account gekillt hast. Was natürlich arg stinkt.

Als Hinweis für alle in dieser Situation: PowerDeleteSuite funktioniert wunderbar und überschreibt Kommentare vor dem Löschen nochmal mit einem selbst festlegbaren Freitext

https://github.com/j0be/PowerDeleteSuite

[–] viking@infosec.pub 3 points 2 weeks ago (1 children)

Genau deswegen hab ich via shreddit automatisiert sämtliche meiner Kommentare überschrieben, und dann erst den Account gelöscht. Es ist jedoch der vorherige Originaltext wiederhergestellt worden.

[–] muelltonne@feddit.org 2 points 2 weeks ago

Boah, das ist fies.

[–] gabelstapler@feddit.org 1 points 2 weeks ago

Zumindest in der Vergangenheit ist die Powerdeletesuite aber in den timeout von Reddit reingelaufen. Reddit erlaubt(e) nur eine gewisse Anzahl an Edits pro Minute, Dan würden die abgelehnt. PDS hat aber fröhlich weiter gemacht. Ich musste dann auch feststellen, das meine Kommentare nur zum Teil überschrieben wurden.

[–] General_Effort@lemmy.world 0 points 2 weeks ago (3 children)

Was genau ist das Problem?

Der Post ist anonymisiert. Also wohl kein persönliches Datum im Sinne der DSGVO. Oder gibt es noch eine Möglichkeit, diese Posts mit dir in Verbindung zu bringen?

Man könnte sogar argumentieren, dass die DSGVO unter den Umständen Reddit verpflichtet solche Posts wieder herzustellen. Man hat ein Anrecht auf Vollständigkeit der persönlichen Daten. Wenn ein Post verschwindet, dann fehlt Kontext für andere Posts, die noch persönliche Daten sind.

[–] muelltonne@feddit.org 3 points 2 weeks ago (1 children)

Soll ich mal etwas weiter ausholen:

  • Im aktuellen Fall ist es eher harmlos, aber ansonsten ein riesiges Problem. Auf Reddit werden auch höchst persönliche Sachen gepostet. Nacktbilder. Psychologische Notlagen. Diskussionen über Krankheiten.
  • Wenn man Posts trotz Accountlöschung wieder online stellt bzw. online lässt und den Leuten dann keine Möglichkeit gibt, die Posts wirklich aus dem Internet zu entfernen, dann provoziert man jede Menge Probleme. Poste ich "Ich arbeite bei EDEKA Müller in Musterstadt, mein Chef ist ein Arschloch" und lösche meinen Account, dann kriege ich den Beitrag nie wieder aus dem Internet entfernt
  • Ja, die zeigen dir das bei der Accountlöschung an, aber sehr versteckt und definitiv etwas irreführend
  • Reddit ist eine Milliardenschwere Bude, von daher kannst du ausgehen, dass alle Meldungen A/B getestet wurden, auf ihren Engagementimpact untersucht wurden und dass die Geschäftsführung entschieden hat, dass man den sweeten Google-Traffic auch von den Beiträgen von Usern, die gehen wollen, behalten will und dass das daher absichtlich so formuliert wurde und dass absichtlich nicht die Möglichkeit gegeben wurde, die Beiträge auszublenden/zu löschen

Daran gibt es wirklich nichts lobenswertes: Ein großer Konzern baut Systeme, die absichtlich normale Menschen in Probleme stürzen, die sie bei einer vernünftigen Lösung nicht hätten.

[–] General_Effort@lemmy.world 2 points 2 weeks ago

Ja, wenn die Anonymisierung nicht richtig gemacht wurde, dann wäre das ein Problem. Ich sehe aber nicht, wo es solche Probleme gibt.

Du wirst sicher recht haben, dass die Wiederherstellung eher aus betriebswirtschaftlichen Gründen als wegen der DSGVO gemacht wird, aber das ändert nichts an der Rechtslage.

[–] Laser@feddit.org 2 points 2 weeks ago (1 children)

Die Posts sind nicht anonym, sondern pseudonym. Bedeutet auch, jemand kann zu Pseudonymen ein Profil erstellen und ggf. auf eine Person "matchen".

Mit der gleichen Argumentation könnte man auch Vorratsdatenspeicherung durchbringen. Die IP ist ja kein Name, auch wenn die Zuordnung leichter ist.

[–] General_Effort@lemmy.world 1 points 2 weeks ago

Die DGVO sagt sogar ausdrücklich, dass eine Online-Kennung eine Person identifizierbar macht. Das muss nicht weiter auflösbar sein. Für Lemmy ist das natürlich ein Problem, hat aber nichts dem Thema zu tun.

Bei dynamischen IP-Adressen ist es komplizierter. Der Zweck einer Vorratsdatenspeicherung ist die Zuordnung der IP zu einer Person. Das heißt, ohne Vorratsspeicherung hätte man eher kein Problem beim Speichern solcher IPs.

[–] viking@infosec.pub 1 points 2 weeks ago (1 children)

Recht auf Vergessen, Art. 17 DSGVO.

Trotz überschreiben und Account-Löschung wiederhergestellt ist schlicht illegal.

[–] General_Effort@lemmy.world -3 points 2 weeks ago