Datenlizenz für Daten aus Portalen

Ich glaub es gab mehrere Runden in denen darüber gesprochen wurde, alle ohne richtigen Beschluss, aber mit allgemeinem Nicken und schweigender Zustimmung, dass das schon so ganz gut wäre.

Eine Lizenz ist besser als keine. Let’s do it?

Ich würde so vorgehen dass Plattformbetreiber:innen da immer noch die Hoheit drüber haben, aber ich würde einen entsprechenden Hinweis als Default in die Software übernehmen, sodass es (nach Update) auf allen Portalen einfach entsprechend angezeigt wird.

1 „Gefällt mir“

Ich habe zumindest noch keine Argumente GEGEN die ODbL gehört, war aber auch bei den letzten Community-Treffen nicht dabei.

Ich denke, es ist uns allen wichtig, dass die Daten möglichst frei benutzbar sind. Als ich mich letztes Jahr mit den Lizenzen beschäftigt habe, hatte ich mich für die CC BY-SA entschieden, die ODbL ist nach meinem Verständnis das Gleiche, nur eben spezialisiert auf Datenbanken.

Wenn jetzt keine Einwände mehr kommen würde ich sagen: Go for it!

Danke für Euer Feedback. Ich hätte das Thema beim Communitytreffen am Mo angesprochen, aber ohne Dich, @opatut machte das keinen Sinn. Aber genau so habe ich die Diskussionen auch in Erinnerung und würde die Lösung ODbL by default voll unterstützen. Wenn es da eine Variante wie CC by, also mit Namensnennung gibt, dann wäre das m.E. Gut, so dass z.B. beim Aggregieren oder Bündeln von mehreren Portalen die jeweiligen Portalbetreiber genannt werden.

Hier ist der „Menschenlesbare“ Text der ODbL 1.0:

https://opendatacommons.org/licenses/odbl/summary/

Darin steht „Attribute“ als Voraussetzung (among others). Also ja, Namensnennung ist notwendig.

2 „Gefällt mir“

Ich habe immer noch auf dem Zettel mal ein etwas längeres Gespräch mit meinem Anwalts-Kollegen zu führen. Die Lizenz ist ja schon mal ein erster Schritt, aber ein Datenschutzerklärung bedarf es soweit ich das bislang verstanden habe trotzdem - oder halt irgend ein anderer Vertrag, bei dem das ganze „unterschrieben“ wird, dass man die Daten dann unter die Lizenz stellt.

So, ich hatte vorgestern mal eine kurze Rücksprache mit dem Anwalt meines Vertrauens. Eine definitive/sichere Antwort konnte er mir zwischen Tür und Angel jetzt nicht geben, also fasst das jetzt hier bitte nicht als anwaltliche Beratung auf.
Letztlich war es so, dass er sich nicht sicher war wie das ganze zu beurteilen ist. Klar kann man die Leute bei der Anmeldung dazu verpflichten, dass die hochgeladenen Daten automatisch unter irgend einer Lizenz stehen. Das entbindet einen jedoch nicht vom Datenschutz. Dieser findet wohl Anwendung, da man die Auffassung vertreten kann, dass eine Person anhand der Daten identifizierbar sein könnte. Insbesondere sah er hier das Recht auf Löschung und Auskunft als Problem, da man das als Portalbetreiber ja wohl kaum leisten kann unter dem Gesichtspunkt, dass die Daten schon über alle Berge sein könnten.
Es gibt also wohl keine einfache Lösung des Problems und es ist auch nicht garantiert, dass es überhaupt eine Lösung gibt, wenn man die Daten der Allgemeinheit zur Verfügung stellen will ohne diese in irgend einer Form zu anonymisieren (Die zusammengeführten Daten, wo man dann nur noch sieht welcher Abstand wie oft wo gemessen wurde, ohne, dass das einem Track zugeordnet werden kann, wäre evtl. eine Lösung. Allerdings würden wir gerne die Rohdaten an Forschende weitergeben können).
Er sagt, er könnte sich da jetzt halt einarbeiten und das Problem klären - das kostet aber halt dann ein wenig und es ist nicht garantiert, dass wir eine Lösung bekommen, die uns zufriedenstellt.
Wir in Braunschweig würden da wohl ~500€ zugeben können, wie schauts beim OBS e.V. aus? Und bestünde da Interesse dran?

1 „Gefällt mir“

Disclaimer: Bin kein Anwalt.

Klar kann man die Leute bei der Anmeldung dazu verpflichten, dass die hochgeladenen Daten automatisch unter irgend einer Lizenz stehen. Das entbindet einen jedoch nicht vom Datenschutz.

Ja, Lizenz und Datenschutz haben sehr wenig miteinander zu tun. Die Frage ist, wie die Daten verarbeitet werden.

Insbesondere sah er hier das Recht auf Löschung und Auskunft als Problem, da man das als Portalbetreiber ja wohl kaum leisten kann unter dem Gesichtspunkt, dass die Daten schon über alle Berge sein könnten.

Also Löschpflicht betrifft in meinem Verständnis nur die Daten die man selbst verarbeitet. Wenn das Weiterveröffentlichen Teil der Abmachung war, hat man als Betreiber keine Pflicht für Löschung bei Dritten zu sorgen. Das ginge ja logisch gar nicht. Wenn diese Pflicht bestünde, wäre ja jegliche Veröfflichung von personenbezogenen Daten unmöglich. Also jede Form der Publikation, in denen beispielweise Echtnamen auftauchen. Das geht ja gar nicht. Frag deinen Anwalt doch nochmal genauer dazu, ob dieser das in den Paragraphen oder Auslegungen so wiederfinden kann.

Ich sehe das so in der DSGVO wiedergespiegelt. Die DSGVO regelt die Verarbeitung personenbezogener Daten. Diese ist klar definiert und umfasst ziemlich alles, was man mit Daten anstellen kann. Sie verpflichtet mich als Datenverarbeiter eben zu bestimmten Dingen (wie bspw. die Löschung). Sobald ich die Daten herausgegeben habe, bin ich dann IMO auch nicht mehr Datenverarbeiter.

Interessanter ist, ob überhaupt irgendwer anders mit den Veröffentlichten Daten dann arbeiten dürfte, wenn diese als personenbezogen gelten. Da fehlt dann nämlich ganz schnell die Einwilligung als Grund, und dann bleiben nicht mehr viele, die in Frage kämen.

Die zusammengeführten Daten, wo man dann nur noch sieht welcher Abstand wie oft wo gemessen wurde, ohne, dass das einem Track zugeordnet werden kann, wäre evtl. eine Lösung. Allerdings würden wir gerne die Rohdaten an Forschende weitergeben können).

Das ist verständlich. Als Portalbetreiber willst du außerdem sicher nicht dafür verantwortlich sein, dass die Software auch fehlerfrei und vollständig in der Lage ist die Daten zu anonymisieren, bzw. zu garantieren dass nach der automatischen Logik kein Personenrückschluss mehr möglich ist. Daher halte ich es von Anfang an für eine gute Strategie, wenn die Portalbetreiber:innen sich in der Nutzungsvereinbarung (und/oder Datenschutzerklärung) das Recht einräumen, alle hochgeladenen Daten weiterzuveröffentlichen (auch wenn dieses Recht dann konkret nicht immer genutzt wird).

Aus meiner Sicht dürfte sich die Frage DSGVO-Konformer Datenverarbeitung dann (siehe oben) nur auf die gespeicherten Daten beziehen. Eine Löschungsaufforderung führt dann dazu, dass das Portal die Daten löschen muss, und in Zukunft nicht mehr veröffentlichen darf (bzw kann, weil es sie nicht mehr hat). Aber wie oben erläutert betrifft das keine in der Vergangenheit veröffentlichten Daten, weil die nicht im Einflussbereich des Portalbetreibers liegen.

Er sagt, er könnte sich da jetzt halt einarbeiten und das Problem klären

Es gibt ja auch Anwält:innen die sich darauf spezialisiert haben. Könnte günstiger sein, wenn stundenbasiert abgerechnet wird :wink: Ich trage die Frage an den OBS e. V. in die nächste Vorstandssitzung (kommenden Dienstag) rein.

1 „Gefällt mir“

Moin,
so wie ich das verstanden habe ist man aber im Zuge der DSGVO verpflichtet darüber Auskunft geben zu können an wen die Daten weitergegeben wurden und auch Löschanfragen weiterzureichen. Was sich natürlich mit „Public Domain“ widerspricht.
Aber das hat denke ich keinen Sinn das jetzt hier weiter zu diskutieren. Wir sind da alle keine Experten und selbst wenn, braucht es halt am Ende einen Anwalt, der für Fehler haftbar gemacht werden kann (und halt die entsprechende Versicherung für Fehlberatung hat). Ich würde meine Kollegen da jetzt ungern weiter löchern, weil das nichts bringt und das ja nun mal auch sein Job ist und er damit Geld verdienen möchte.
Sicher kann man sich da auch an einen Experten wenden, ich kenne aber niemanden. Mein Kollege nimmt normal so in der Größenordnung um 200€/h.

Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.

Art. 17 DSGVO – Recht auf Löschung ("Recht auf Vergessenwerden") - Datenschutz-Grundverordnung (DSGVO) (2)

Aha! Steht da ja. Leider Auslegungssache. „Unter Berücksichtigung…“ :confused: Also Anwältin beauftragen, fürchte ich.

Eine häufiger Weg, um personenbezogene Daten zu löschen ist, die Daten, die eine Personenbeziehbarkeit ermöglichen zu zerstören. Das einzige klassische personenbezogene Merkmal der Daten ist in unserem Fall die E-Mail-Adresse und gegebenenfalls der Nutzername.

Die Frage die wir beantworten müssten ist, ob ein GPS-Track mit Zeitstempeln aus der Vergangenheit noch als Personenbezogenes Datum gilt. Im Erwägungsgrund 26 zur DSGVO finde ich:

Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische oder für Forschungszwecke.

Im Erwägungsgrund steht zur Beziehbarkeit auch, dass es mit sinnvollem Aufwand personenbeziehbar sein muss.

Was haltet ihr davon, wenn wir zu genau der Frage: „sind GPS-Tracks ohne E-Mail-Adresse noch personenbezogene Daten oder können sie als Forschungsdaten weitergegeben werden, da der Aufwand für die Personenbeziehbarkeit so groß ist, dass sie als Anonyme Daten gelten“ einen Anwalt befragen? Könnte man die als anonyme Daten behandeln, wäre das Problem aus meiner Sicht gelöst. Vielleicht kann man die Frage ja mit ein bis zwei Advokatenstunden beantwortet bekommen.

Ja, könnte sein. Wir hatten die Überlegung, dass es schwierig werden könnte, wenn jemand jeden Morgen um Punkt 7:30 an der einen Ampel steht. Diese Person könnte dann mit sinnvollem Aufwand identifizierbar sein.
Ich würde da beim Anwalt keine halbe Sache machen, der soll uns vollständig alles machen was wir brauchen. Also auch die AGBs/Datenschutzrichtlinie/Vertrag/Lizenz formulieren/aussuchen usw., damit man da auf der sicheren Seite ist.

Ich glaube ehrlichgesagt wir kommen nicht umhin, den technischen Teil der Datenschutzerklärung erst mal selber zu formulieren - damit der Anwalt alles an einer Stelle nachlesen kann für seine Beurteilung. Wenn der uns die technischen Hintergründe erst mal aus der Nase ziehen muss, kann das beliebig teuer werden.

Aha… ich weiß jetzt nicht genau was mit mit dem technischen Teil der DSE meinst, aber (Sarkassmuss an) generell haben Anwälte das total gerne, wenn man ankommt und denen sagt „ich habe da mal was vorformuliert, segenen sie mir das mal ab“ (Sarkassmuss aus). :wink:

Klar sollte man unser Problem bzw. unsere Anforderungen mal auf eine Seite zusammen schreiben, damit man das einem Anwalt in die Hand drücken kann. Aber vom vorformulieren würde ich absehen.

Ich hab beruflich häufig mit Anwälten zum Thema Datenschutz zu tun, weil ich im Betriebsrat immer in den Arbeitsgruppen zu IT-Tools sitze. Die finden es nicht gut wenn man sich rechtlichen kram selbst ergoogled, aber die finden es genauso doof, wenn man ihnen die technsichen Voraussetzungen nicht mundgerecht vorbereitet. Ich wollte nur zweiteres tun.

Ich schlage vor wir schreiben hier etwas über den technischen Hintergrund.

Klingt nach nem Plan. Ich sehe du bist schon fleißig. Schaue nachher noch mal vorbei oder du kannst mich ja mal antriggern, wenn du die erste Version fertig hast.

Mein Vorschlag ist jetzt grob fertig.

„Die nach rechts und links gemessenen Abstände der Ultraschallsensoren während der Fahrt mit GPS-Koordinaten und Zeitstempel.“ Heißt der Sensor speichert auch Abstände, wenn man keine Markierung gemacht hat?
„Die Macadresse des ESP32 in deinem OpenBikeSensor (so etwas wie eine einmalige seriennummer)“ Ich vermute mal du meinst nicht einmalig sondern eindeutig? Verwendet wird die ja auch mehrfach (von einem Sensor). Und warum wird die MAC gespeichert?
Ansonsten klingt das erstmal nicht schlecht.

Ja, der Sensor speichert auch Abstände, wenn nicht gedrückt wird - Anwendung z.B. lichte Breite bei Radwegen und abstand Radweg → Parkplätze. Außerdem ist kann man daran analysieren, ob ein Ultraschallsensor „rauscht“ (phantommessungen).

Ja, ich meinte eindeutig bei der macadressse. Aber gerade noch mal nachgeschaut: Wir speichern nur vier Stellen aus der Macadresse (dürfte aber pro Portal dennoch recht eindeutig sein). Eine Anwendung dafür ist, bei Nutzern, die mehrere OpenBikeSensoren besitzen, zuordnen zu können, von welchem Sensor ein Track kam - z.B. wenn man im Track sieht dass es Probleme mit GPS oder Ultraschallsensor gibt. Wir könnten überlegen ob wir die Macadresse bei der weitergabe rausfiltern - Reduziert aber auch die Möglichkeit für Forschungsprojekte die Datenqualität durch heuristisches Rausschmeißen als beschädigt erkennbarer Sensoren zu verbessern.

Edit: ihr könnt hier gern auch selbst ergänzen

Ich habe die Datenschutzerklärung mal bearbeitet und u.a. die Rechte, die der User nach DSGVO hat hinzugefügt (Recht auf Löschung, Korrektur usw.)
Ergänzt habe ich außerdem:

  • Der Keycloak verlangt beim Erstellen des Accounts Vor- und Nachnamen.
  • Cookies (ich musst die Überschrift „Login Cookies“ nennen. Wenn die Überschrift nur „Cookies“ lautet, wird sie nicht angezeigt.) :crazy_face:
  • Server Logfiles (IP-Adressen)
  • Erwähnung der OSM

An zwei Stellen müsste die Emailadresse des Betreibers ergänzt werden. Außerdem sollte man das „Wir“ in den ersten beiden Absätzen durch den Namen einer juristischen Person ersetzen (Betreiber). Geht das evtl. mit einem Makro?

Bitte lest es mal durch.