Minecraft und die DSGVO

  • Hallo Dev-Tek Community,

    ich hätte einige Fragen bezüglich der DSGVO.


    Gelten Account UUIDs oder Usernamen als Personenbezogen bzw sind diese genau so zu behalten wie IP Adressen oder Adressdaten?


    Wenn UUIDs oder Spielernamen unter die DSGVO fallen, wie kann ich dann einen Spieler DSGVO konform bannen, wenn dieser eine Löschung seiner Daten beantragt? Darf ich die UUID so lange speichern, bis der Ban abgelaufen ist oder muss diese zwingend sofort gelöscht werden?


    Ich danke euch schonmal für eure Hilfe.


    Mit freundlichen Grüßen

    UncleSnycs

  • Guten Morgen,


    du solltest nur seine IP-Adresse löschen.
    Den Rest wie UUID oder auch Nickname darfst du weiterhin "behalten" also in deiner Ban Datenbank.
    Diese sind öffentlich zugänglich und zählen nicht zu den Personenbezogenen Daten.

    Wenn du noch fragen haben solltest, kann ich gerne weiterhelfen :)

    Mit freundlichen Grüßen


    FinneDEV | Fynn

    IT-Systemadministrator

    Apprentice Software Developer (F#, J#, C#, C++, C, VB.NET, Java)

  • Falsch ein Betreiber eines Service darf alles speichern was er will solange der Nutzer diesem auch zustimmt. Dazu akzeptierst du hier im Forum auch dieses kleine nervige Fenster jedesmal wenn sich die DSGVO ändert :D

    Insbesondere die IP's solltest du nicht löschen den für den Fall das auf deinem Service illegales getrieben wird und du nicht nachweisen kannst das Nutzer X das war dann wirst du dafür belangt.


    Also wenn du es richtig machen willst, lass die Nutzer es entweder manuel akzeptieren oder schreib Ihnen durch "Durch das benutzten dieses Service, akzeptierst du ..."

    So bist du abgesichert und hast dennoch die Möglichkeit diese durchaus brauchbaren Daten für Statistiken, Sperren etc zu verwenden.

    Wenn du 100% auf Nummer sicher gehen willst hash die IP Adressen bevor sie in ne Datenbank etc gepackt werden. Funktioniert an sich noch exakt gleich nur das man halt die IP nicht im Klartext lesen kann!


    Hier nochmal gut nachzulesen: https://www.datenschutz.org/ip-adresse-datenschutz/

    Zitat


    Doch das EuGH-Urteil bedeutet nicht, dass keiner mehr eine IP-Adresse speichern darf. Erlaubt ist dies nach wie vor, wenn Sicherheits- oder Funktionalitätsinteressen dem Datenschutz der Seitenbesucher überwiegen.

    (Der nutzen bei einem Minecraft Server wäre hierbei das Bansystem, ohne das die einwandfreie Nutzung nicht mehr möglich ist)

    If you are homeless ... just buy a house, duh!

    and if you wanna have a plugin matching your conditions ... just code it yourself!

  • Generell ist es so, dass bei einer Löschung nur Daten gelöscht werden müssen, die für dich keinen essenziellen Wert haben, wenn es um das Anbieten deiner Dienste geht.

    Hierunter fallen auch UUIDs: Banst du jemanden, möchtest du dadurch deine Services schützen, weshalb du ein berechtigtes Interesse daran hast diese Daten nicht zu löschen.

    Geht es aber um z.B. Statistiken von einem Spieler, bist du verpflichtet auf Anfrage hin diese zu "löschen".


    Der Begriff "löschen" ist hierbei recht interessant, da ein Urteil vor wenigen Tagen entschied, dass "löschen" nicht "zerstören" bedeutet. Somit zählt auch eine Maskierung, die du anwendest und anonymisierst unter "löschen", da ohne großen Aufwand keine Wiederherstellung mehr möglich ist.

    Wie bereits angesprochen wurde: Hashing ist auch eine Möglichkeit, aber es muss nach dem aktuellen Stand der Technik geschehen: SHA-256 wäre minimaler Konsens


    Zusammengefasst: Wenn jemand dir sagt, dass du seine Daten komplett löschen sollst und damit hofft, dass er entbannt wird, ist das ein Trugschluss, da du ein berechtigtes Interesse daran hast diese Daten zu behalten, die nötig sind um diesen Spieler auszusperren.



    Hinweis: Ich bin kein Rechtsanwalt, noch ist das hier eine rechtliche Beratung eines Experten. Sollten mir Fehler unterlaufen sein, oder durch Urteile Änderungen an der allgemeinen Interpretation entstanden sein, dann korrigiert dies bitte sachlich und konstruktiv (per Definition).


    //EDIT: https://dsgvo-gesetz.de/art-17-dsgvo/ | Artikel 17 Absatz 3e

  • Microsamp Danke für deine Antwort, du hast mir sehr weitergeholfen. Ich hätte dazu noch 2/3 weiterführende Fragen:

    1. Wie sieht es aus wenn dieser Ban abgelaufen ist. Dann gäbe es ja kein begründetes Interesse für mich, die Daten weiter zu speichern. Ich nehme an dann müsste ich sie löschen korrekt? Würde oben genanntes auch für "Lifetime"-Bans gelten?

    2. Gelten UUIDs/Usernames als Personenbezogen auch wenn ich keinen direkten Bezug zu dem jeweiligen Accountbesitzer herstellen kann (Stickwort bestimmbare Daten)? Meine Vermutung hier wäre, dass UUIDs/Usernames auch als Personenbezogene Daten gelten.


    Es würde mich freuen, wenn du oder jemand anderes mir diese Fragen ebenfalls beantworten könnte.

  • Ich antworte einfach mal am Handy, also sry für meine Autokorrektur...

    1. Banpunkte wären meiner Meinung nach noch vertretbar, da sie sich oft addieren und dadurch den ban verlängern. Ggf kann dies auch als Beweis herhalten für rechtliche Schritte in der Zukunft.

    Insofern sehe ich ein begründetes Interesse daran "Ban history" zu speichern um ggf. Hausverbote auszusprechen bei wiederholten Fehlverhalten.

    Lifetime Bans sind im jeden Fall geschützt durch dein begründetes Interesse. Hier muss man aber aufpassen, wenn es um IPs oder Namen geht: Namen ändern gelegentlich den Besitzer und IPs in der Regel täglich.


    2. Die UUID und der Nickname sind möglicherweise personenbezogene Daten. Dazu fehlt meines Wissens nach ein klärendes Urteil, aber die UUID ist direkt mit einem Account verknüpft und dieser wirderrrum lässt sich leider oft einer Person zuordnen mit zusätzlichen Informationen. Der Nickname kann mit Angabe eines Zeitraumes auf die UUID schließen lassen. Deshalb zählt der Nickname für mich wie die UUID in den meisten Fällen zu personenbezogenen Daten.


    //EDIT: Man braucht nur in Foren nach den Nicknamen von Leuten suchen und findet oft schon eine Vornamen und Wohnort, das würde für mich schon ausreichen bei vielen Personen um sie ungefähr zu identifizieren...

    //EDIT: Noch einfacher: Ich habe mal kurz nachgeguckt und laut BDSG/NDSG(Niedersachsen) unter Berücksichtigung bisheriger Rechtssprechung spricht man von "personenbezogenen Daten" bereits ab dem Moment, wo eine natürliche oder juristische Person bzw Behörde etc. die Möglichkeit hat von einem Datum auf eine Person zu schließen. In diesem Fall: Jedes Netzwerk/Forum etc., welches Klar-Namen etc. voraussetzt kann das und damit sind UUIDs und die Nicknames jeweils personenbezogene Daten.


    Wer eine gegensätzliche Meinung hat, darf mir diese gerne erläutern.

  • Also wenn du es richtig machen willst, lass die Nutzer es entweder manuel akzeptieren oder schreib Ihnen durch "Durch das benutzten dieses Service, akzeptierst du ..."

    So kannst du das nicht machen. Eine Einwilligung ist nur dann gültig, wenn durch eine eindeutige bestätigende Handlung eine Einwilligung abgegeben wird. Ansonsten kann die betroffene Person jederzeit klagen, denn der Verantwortliche verarbeitet Daten über die Person, obwohl keine Einwilligung vorliegt. Das will niemand.


    Wenn du die Nachricht beim Joinen auf den Server sendest, dann hat der Benutzer keine Wahl zu entscheiden, ob über ihn personenbezogene Daten erhoben (und verarbeitet) werden dürfen oder nicht.