Moin zusammen,

Als ich letztes Jahr reddit den Rücken zugekehrt hab, habe ich sämtliche Posts und Kommentare via shreddit überschrieben, und im Anschluss meinen Account “unwiederruflich” gelöscht.

Hin und wieder lande ich via google mal in diversen reddit-communities, gerade wenn es um Nischenthemen geht, wie jetzt als mich ein Kumpel nach meiner alten Espressomaschine gefragt hat und ich ihm einen Link zum Hersteller raussuchen wollte.

Bin dann also hier gelandet: https://www.reddit.com/r/Coffee/comments/4trskb/best_budget_espresso_machines_im_hooked_on_flat/d5jp1rr/ - definitiv mein Kommentar, besitze ebendiese Maschine, jetzt seit exakt 10 Jahren (2 Jahre vor dem 8 Jahre alten Kommentar, Preis passt, etc.). Ich erinnere mich auch noch, ihn verfasst zu haben.

Hab dann noch in ein paar anderen communities nachgeschaut wo ich aktiv war, und auch da gab’s einiges von mir, allerdings nicht so eindeutig nachvollziehbar.

Habt ihr ne Idee, was ich DSGVO/GDPR-mäßig tun könnte?

  • Pechente@feddit.org
    link
    fedilink
    English
    arrow-up
    7
    arrow-down
    1
    ·
    1 month ago

    Bist du dir sicher dass exakt dieser Post gelöscht/ überschrieben wurde? Zu dem Zeitpunkt gab es große Proteste, wodurch viele Subreddits privatgeschaltet waren und man seine Beiträge dort nicht einsehen konnte. Entsprechend konnten Skripte die dann auch nicht bearbeiten oder löschen.

    • viking@infosec.pubOP
      link
      fedilink
      arrow-up
      9
      arrow-down
      1
      ·
      1 month ago

      Bei dem hier verlinkten Kommentar weiß ich es tatsächlich nicht, aber andere die ich gefunden hab stammen aus Subs die ich selbst moderiert habe, da weiß ich also zu 100%, dass sie effektiv überschrieben gewesen sind. Als Moderatoren konnten wir nach wie vor schalten und walten, auch wenn die Subs gesperrt waren.

      • Tartufo@lemmy.world
        link
        fedilink
        arrow-up
        3
        ·
        edit-2
        1 month ago

        Ich hab meinen Reddit account wegen genau sowas behalten, obwohl ich alles geschrottet & gelöscht habe. Bin seitdem auch nochmal eingeloggt gewesen, weil da auch bei mir wieder Kommentare sichtbar waren. Bei mir kann das aber definitiv nicht am sub gelegen haben, weil andere Kommentare die ich in genau demselben Sub geschrieben hatte weiterhin weg waren. Da war nur eine handvoll aus unerfindlichen Gründen wieder da. Seitdem ich die (wieder) gelöscht habe ist Ruhe gewesen.

            • viking@infosec.pubOP
              link
              fedilink
              arrow-up
              1
              ·
              1 month ago

              Möglich, und jetzt leider nicht mehr nachvollziehbar. Allerdings hatte ich eine ‘success’ Meldung auf dem Schirm am nächsten Morgen. Keine Ahnung.

  • Kissaki@feddit.org
    link
    fedilink
    Deutsch
    arrow-up
    5
    ·
    1 month ago

    Hattest du vor dem Löschen einen Datenexport gemacht? Dann kannst du prüfen ob die Beiträge definitiv von dir stammen. Und das würde auch als Beweismittel dienen können. Sonst hängt man von Archivservices ab. War dein Benutzername godless-life? Das finde ich bei unddit.

    Reddit-seitig steht in der Privacy Policy:

    Please note, however, that the posts, comments, and messages you submitted prior to deleting your account will still be visible to others unless you first delete the specific content.

    Ich bezweifle dass das DSGVO/GDPR konform ist. Kann es aber nicht mit Sicherheit sagen.

    Kommentare sind direkt einem Account zugeordnet, und daher als personenbezogene Daten zu interpretieren.

    In jedem Fall kann man argumentieren, dass die Erwartung ist dass, wenn man den Benutzeraccount löscht, auch alle Beiträge gelöscht werden. Da es keine explizite, informierte Zustimmung zum Beibehalten der Beiträge gab, könnte dies eine Verletzung sein. Reddit könnte argumentieren, dass die Beiträge keinem Benutzerkonto mehr zugeordnet sind, und es somit keine personenbezogenen Daten mehr sind.

    Wenn dir das wichtig ist, dann würde ich eine Beschwerde bei einem Datenschutzbeauftragten einreichen.

    Gemäß Art. 77, 78 der DS-GVO haben Sie das Recht zur Beschwerde bei einer Aufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die Datenschutz-Grundverordnung verstößt.

    • viking@infosec.pubOP
      link
      fedilink
      arrow-up
      3
      ·
      1 month ago

      Yep, das war mein Nutzername. Werd mal weiter forschen, was ich da machen kann. Besten Dank!

    • General_Effort@lemmy.world
      link
      fedilink
      arrow-up
      1
      ·
      edit-2
      1 month ago

      Hmm. Man könnte anführen, dass die Anonymisierung nicht funktioniert, weil diese Archive existieren. Ich habe aber Zweifel, ob das Erfolg hat.

      Unddit und Co sind natürlich nach hiesigen Maßstäben praktisch schwerkriminell.

      • Kissaki@feddit.org
        link
        fedilink
        Deutsch
        arrow-up
        1
        ·
        1 month ago

        Naja, so ist der Beitrag nur noch zum Benutzernamen verknüpft. Der Benutzername aber nicht mehr zu eine E-Mail Adresse, oder IP, oder Bezahlinformationen oder Real Namen.

        • General_Effort@lemmy.world
          link
          fedilink
          arrow-up
          1
          ·
          1 month ago

          Das macht keinen Unterschied.

          Im Prinzip ist es so, dass es persönliche Daten bleiben, wenn die Verbindung zur Person wieder hergestellt werden kann. Aber hier ist das so, weil die kompletten Daten im Archiv vorhanden sind. Der korrekt anonymisierte Text soll verschwinden. Das ist eigentlich ein Fall fürs Urheberrecht, aber die Nutzungsrechte sind abgetreten. Das jetzt so hintenrum mit DSGVO zu versuchen halte ich für Rechtsmissbrauch.

          Man könnte sich beschweren, dass Reddit nicht genug unternimmt, um die persönlichen Daten aus solchen Archiven zu löschen. Reddit ist verpflichtet, zumutbare Anstrengungen zu machen.

  • fantawurstwasser@feddit.org
    link
    fedilink
    Deutsch
    arrow-up
    5
    ·
    1 month ago

    Habt ihr ne Idee, was ich DSGVO/GDPR-mäßig tun könnte?

    Schick ihnen einen DMCA wegen Urheberrechtsverletzung. Geht recht einfach und auf Urheberrechtsverletzungen reagieren die auch recht schnell.

    • viking@infosec.pubOP
      link
      fedilink
      arrow-up
      2
      ·
      1 month ago

      Top, das werd ich mal versuchen. Aber funzt wohl höchstens bei einzelnen Kommentaren, nicht für x-tausende…

        • General_Effort@lemmy.world
          link
          fedilink
          arrow-up
          2
          ·
          1 month ago

          Natürlich lässt sich Reddit die Nutzungsrechte unwiderruflich einräumen. Man könnte argumentieren, dass es ein Problem mit dem Vertrag gibt und die Klausel unwirksam ist. Dann wäre das ein zivilrechtlicher Streit und keine betrügerische Falschbehauptung. Das ist die Grauzone, die ich meine.

          • muelltonne@feddit.org
            link
            fedilink
            Deutsch
            arrow-up
            1
            ·
            1 month ago

            Am Ende ist das Reddit aber als Plattform egal. DMCAs sind ja erstmal zwischen dir und dem Poster. Du schickst einen hin, Reddit nimmt es erstmal runter und der Poster kann dem widersprechen. Das ist der vorgesehene Prozess. In diesem Fall gibt es aber keinen und Reddit wird definitiv nicht den Urheberrechtsstatus einzelner Kommentare verteidigen. Das dürfen sie als Plattform auch gar nicht.

            • General_Effort@lemmy.world
              link
              fedilink
              arrow-up
              1
              ·
              1 month ago

              Ja, aber nicht ganz. Die Plattform muss das so machen, um den Safe-Harbor-Status zu behalten. Wenn eine Plattform einer DMCA-Notice nicht nachkommt, dann ist sie für die angebliche Urheberrechtsverletzung verantwortlich/haftbar. Aber eine Plattform darf das. Praktisch ist eine Einzelfallprüfung natürlich unmöglich, sodass keine andere Wahl besteht, als das automatisiert durchzuwinken.

              Aber wenn/falls die merken, dass missbräuchliche DMCAs geschickt werden, musst du damit rechnen, dass die deswegen was machen. Denn sonst “könnt ja jeder kommen”, wie’s so schön heißt.

  • vxx@lemmy.world
    link
    fedilink
    arrow-up
    3
    ·
    edit-2
    1 month ago

    Du hast nur deine letzten tausend Kommentare gelöscht. Mehr ist über das Profil nicht erreichbar.

    Und gelöscht hast du auch nicht, sondern nur eine flag gesetzt. Deswegen ist es wichtig den Kommentar vor dem “Löschen” zu editieren.

    • viking@infosec.pubOP
      link
      fedilink
      arrow-up
      1
      ·
      1 month ago

      Ich hab alle Kommentare editiert, darum geht’s ja. Shreddit hatte mir in der Zusammenfassung >50.000 überschriebene Komentare angezeigt.

  • fantawurstwasser@feddit.org
    link
    fedilink
    Deutsch
    arrow-up
    2
    ·
    1 month ago

    Reddit hat da eine böse Falle:

    Any content you may have posted to Reddit won’t be deleted when your account is deleted . You’ll need to remove any content you want deleted before deleting your account. Content that was not deleted before deleting an account will show [deleted] as the username and will not show in Reddit search. Also, once an account is deleted , it cannot be reactivated. Deleting an account does not recycle the username.

    Anders gesagt: Du hättest vorher deine Kommentare alle löschen müssen bevor du den Account gekillt hast. Was natürlich arg stinkt.

    Als Hinweis für alle in dieser Situation: PowerDeleteSuite funktioniert wunderbar und überschreibt Kommentare vor dem Löschen nochmal mit einem selbst festlegbaren Freitext

    https://github.com/j0be/PowerDeleteSuite

    • viking@infosec.pubOP
      link
      fedilink
      arrow-up
      3
      ·
      1 month ago

      Genau deswegen hab ich via shreddit automatisiert sämtliche meiner Kommentare überschrieben, und dann erst den Account gelöscht. Es ist jedoch der vorherige Originaltext wiederhergestellt worden.

    • gabelstapler@feddit.org
      link
      fedilink
      arrow-up
      1
      ·
      1 month ago

      Zumindest in der Vergangenheit ist die Powerdeletesuite aber in den timeout von Reddit reingelaufen. Reddit erlaubt(e) nur eine gewisse Anzahl an Edits pro Minute, Dan würden die abgelehnt. PDS hat aber fröhlich weiter gemacht. Ich musste dann auch feststellen, das meine Kommentare nur zum Teil überschrieben wurden.

  • General_Effort@lemmy.world
    link
    fedilink
    arrow-up
    1
    arrow-down
    1
    ·
    1 month ago

    Was genau ist das Problem?

    Der Post ist anonymisiert. Also wohl kein persönliches Datum im Sinne der DSGVO. Oder gibt es noch eine Möglichkeit, diese Posts mit dir in Verbindung zu bringen?

    Man könnte sogar argumentieren, dass die DSGVO unter den Umständen Reddit verpflichtet solche Posts wieder herzustellen. Man hat ein Anrecht auf Vollständigkeit der persönlichen Daten. Wenn ein Post verschwindet, dann fehlt Kontext für andere Posts, die noch persönliche Daten sind.

    • muelltonne@feddit.org
      link
      fedilink
      Deutsch
      arrow-up
      3
      ·
      1 month ago

      Soll ich mal etwas weiter ausholen:

      • Im aktuellen Fall ist es eher harmlos, aber ansonsten ein riesiges Problem. Auf Reddit werden auch höchst persönliche Sachen gepostet. Nacktbilder. Psychologische Notlagen. Diskussionen über Krankheiten.
      • Wenn man Posts trotz Accountlöschung wieder online stellt bzw. online lässt und den Leuten dann keine Möglichkeit gibt, die Posts wirklich aus dem Internet zu entfernen, dann provoziert man jede Menge Probleme. Poste ich “Ich arbeite bei EDEKA Müller in Musterstadt, mein Chef ist ein Arschloch” und lösche meinen Account, dann kriege ich den Beitrag nie wieder aus dem Internet entfernt
      • Ja, die zeigen dir das bei der Accountlöschung an, aber sehr versteckt und definitiv etwas irreführend
      • Reddit ist eine Milliardenschwere Bude, von daher kannst du ausgehen, dass alle Meldungen A/B getestet wurden, auf ihren Engagementimpact untersucht wurden und dass die Geschäftsführung entschieden hat, dass man den sweeten Google-Traffic auch von den Beiträgen von Usern, die gehen wollen, behalten will und dass das daher absichtlich so formuliert wurde und dass absichtlich nicht die Möglichkeit gegeben wurde, die Beiträge auszublenden/zu löschen

      Daran gibt es wirklich nichts lobenswertes: Ein großer Konzern baut Systeme, die absichtlich normale Menschen in Probleme stürzen, die sie bei einer vernünftigen Lösung nicht hätten.

      • General_Effort@lemmy.world
        link
        fedilink
        arrow-up
        2
        ·
        1 month ago

        Ja, wenn die Anonymisierung nicht richtig gemacht wurde, dann wäre das ein Problem. Ich sehe aber nicht, wo es solche Probleme gibt.

        Du wirst sicher recht haben, dass die Wiederherstellung eher aus betriebswirtschaftlichen Gründen als wegen der DSGVO gemacht wird, aber das ändert nichts an der Rechtslage.

    • Laser@feddit.org
      link
      fedilink
      arrow-up
      3
      arrow-down
      1
      ·
      1 month ago

      Die Posts sind nicht anonym, sondern pseudonym. Bedeutet auch, jemand kann zu Pseudonymen ein Profil erstellen und ggf. auf eine Person “matchen”.

      Mit der gleichen Argumentation könnte man auch Vorratsdatenspeicherung durchbringen. Die IP ist ja kein Name, auch wenn die Zuordnung leichter ist.

      • General_Effort@lemmy.world
        link
        fedilink
        arrow-up
        1
        ·
        1 month ago

        Die DGVO sagt sogar ausdrücklich, dass eine Online-Kennung eine Person identifizierbar macht. Das muss nicht weiter auflösbar sein. Für Lemmy ist das natürlich ein Problem, hat aber nichts dem Thema zu tun.

        Bei dynamischen IP-Adressen ist es komplizierter. Der Zweck einer Vorratsdatenspeicherung ist die Zuordnung der IP zu einer Person. Das heißt, ohne Vorratsspeicherung hätte man eher kein Problem beim Speichern solcher IPs.

    • viking@infosec.pubOP
      link
      fedilink
      arrow-up
      2
      arrow-down
      1
      ·
      1 month ago

      Recht auf Vergessen, Art. 17 DSGVO.

      Trotz überschreiben und Account-Löschung wiederhergestellt ist schlicht illegal.