[Talk-de] Datenschutz: DSGVO und BDSG
Roland Olbricht
roland.olbricht at gmx.de
Mo Feb 15 21:45:28 UTC 2021
Lieber Markus,
> 1. Wenn wir Geo-Daten hochladen, wird in der DB zusätzlich zu den Datan
> ja unser Benutername mit Mailadresse und Datum gespeichert.
>
> Wie ist das in Bezug auf DSGVO und BDSG zu bewerten?
> Welche Massnahmen treffen wir diesbezüglich?
Die Mailadresse ist nur den Server-Admins zugänglich, die sich
vertraglich zur Verschwiegenheit verpflichtet sind.
Bei der Einführung der DSVGO sind wir bezüglich der Geodaten zu
folgender Einschätzung gekommen:
- Geometrie, Tags, Ids und Erzeugungsdaten haben nur bei
missbräuchlicher Nutzung einen Personenbezug
- An Changeset-Ids, -Tags und -Diskussionen sowie Benutzernamen und -Ids
besteht für alle OSM-Beitragenden ein berechtigtes Interesse: diese
dienen vorwiegend der projektinternen Zusammenarbeit einschließlich
Fehlerbehebung
- keine weiteren Daten werden im Rahmen des Mappens projektöffentlich
oder öffentlich
Abseits des Mappens gibt es nachrangige Features wie die
Tagebuch-Funktion. Diese können weitere Daten transportieren, aber in
allen Fällen ist es ausdrücklicher Zweck der Funktion, die jeweiligen
Daten zu veröffentlichen. Bei z.B. einem Tagebuch-Eintrag möchte ich ja
gerade einer unbestimmten Öffentlichkeit etwas mitteilen; und zur
Einordnung braucht man sowohl Datum (also Alter) des Beitrags als auch
den Autor.
> 2. Wir bieten das Planetfile zum Download an.
>
> Wie ist das in Bezug auf DSGVO und BDSG zu bewerten?
> Welche Massnahmen treffen wir diesbezüglich?
S.o.: es teilt sich auf in Daten, deren Veröffentlichung und dauerhafte
Vorhaltung zum Abruf Zweck von OpenStreetMap ist, und Daten, die zur
projekt-internen Diskussion und Fehlerbehebung zwingend erforderlich sind.
Der Schwachpunkt ist nicht, welche Daten wie gehandhabt werden, sondern
wie man dies potentiellen Mappern wirksam mitteilt:
- dass die Geodaten vollständig und sofort veröffentlicht und dauerhaft
vorgehalten werden, weil dies Zweck von OpenStreetMap ist.
- dass die Qualitätssicherung durch einen Peer-Review-Prozess angestrebt
wird und Changeset-Tags sowie Benutzernamen dazu zwingend erforderlich sind
- dass es keinerlei Klarnamen-Pflicht gibt und eine einzelne natürliche
Person oft mehrere Accounts kontrolliert, um Mapping-Aktivitäten nach
Rolle zu differenzieren
- dass dagegen das übliche Kleingedruckte bei uns deutlich verkürzt
werden kann, denn wir können uns die Werbung vom Leib halten
- und potentiell wenig genug weitere Punkte, dass die Liste kurz und
lesbar bleibt
Viele Grüße,
Roland
Mehr Informationen über die Mailingliste Talk-de