Conversation

Notices

1. Embed this notice
   johann150@genau.qwertqwefsday.eu's status on Wednesday, 05-Jun-2024 06:27:48 JST Johann150

   why does config :pleroma, :mrf_simple, reject_deletes even exist, what kind of use case does this have? willfully infringing GDPR?

   • Embed this notice
     :blobcathug: (jain@blob.cat)'s status on Wednesday, 05-Jun-2024 06:27:47 JST :blobcathug:

     in reply to
     @Johann150 why not? I put Ro on it, so he cant delete evidence. And since when does GDPR count when it comes to other services than your own instance? When posting public one accepts the fact that nearly anyone can query a post and within masto you dont even know who did on default settings...
     Maybe i should send a GDPR Request to Gargron just to see what the answer is
   • Embed this notice
     :blobcathug: (jain@blob.cat)'s status on Wednesday, 05-Jun-2024 15:00:43 JST :blobcathug:

     in reply to
     @Johann150
     > Eine Delete-Activity kann man nach meiner Sicht so verstehen, dass es eine Entziehung der Einwilligung und Verlangen nach sofortigem Löschen entsprechend DSGVO ist. Eine darüber hinaus fortgesetzte Verarbeitung ist somit wahrscheinlich rechtswidrig.
     
     Dann sind vermutlich mehrere Fedi Server illegal. Die meisten speichern einen Tombstone, löschen aber den Post nicht sofort. Abgesehen davon, ausser *key enforced keine Software standardmässig Signed Fetches, damit ist nicht bekannt, welche Server überhaupt deine Posts hat.
     Ich würde sagen, der rechtliche Sachverhalt ist sowieso ein wenig anders, und zwar, entweder ist fedi GDPR inkompatibel oder aber mit der Verwendung akzeptiert man die Limitationen des Protokols.
     Btw, Instanz Rejects wären ja auch nicht legal in diesem Fall.
     Generell bin ich mir bicht sicher wie GDPR in Fedi funktionieren soll... Mastosoc sagt in ihrer Policy "Your public content may be downloaded by other servers in the network" was ansich auch keine gute Definition ist...
     
     Der Ultimative Fail wäre halt wenn ein Mastodon User einen Post löscht, dieser aber vorher von anderen Servern mittels unsigned Fetches geholt wurden, denn dan ist ein Löschen gemäss Software nicht mehr möglich
   • Embed this notice
     johann150@genau.qwertqwefsday.eu's status on Wednesday, 05-Jun-2024 15:00:44 JST Johann150

     in reply to

     • :blobcathug:

     @Jain@blob.cat Eine Delete-Activity kann man nach meiner Sicht so verstehen, dass es eine Entziehung der Einwilligung und Verlangen nach sofortigem Löschen entsprechend DSGVO ist. Eine darüber hinaus fortgesetzte Verarbeitung ist somit wahrscheinlich rechtswidrig.
     
     Ich bin kein Rechtsanwalt o. ä., aber hier meine Laien-Einschätzung:
     
     Die Informationsverarbeitung auf Fedi ist - soweit es sich um personenbezogene Daten handelt - rechtmäßig aufgrund einer Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO).
     
     Ob es sich um personenbezogene Daten handelt, müsste man im Einzelfall prüfen (steht in dem Post z. B. eine Adresse drin). Wenn man eine vollautomatische Verarbeitung hat, geht das nicht, deswegen würde ich sicherheitshalber davon ausgehen, das alle Informationen personenbezogen sind.
     
     Wenn die Verarbeitung auf der Einwilligung beruht, kann die betroffene Person die jederzeit widerrufen, und damit in Verbindung kann verlangt werden, dass die betreffenden Daten "unverzüglich gelöscht werden" (Art. 17 Abs. 1 lit. b DSGVO).
     
     Das wird die Person in der Regel gegenüber ihrer "Heimat"-Instanz verlangen. Diese ist wiederum verpflichtet, anderen Instanzen das weiterzugeben (Art. 17 Abs. 2 DSGVO), welche dann wiederum dazu verpflichtet wären, die Daten zu löschen.
     
     Ausnahmen davon kann es geben, in dem von dir genannten Fall vielleicht Art. 17 Abs. 3 lit. d, e DSGVO. Das ist aber wieder nichts, was man pauschal von einem automatisierten System entscheiden lassen könnte, deswegen fände ich das auch schwierig.