Deutschsprachige CAcert Support Liste

[Bernhard Fröhlich <ted AT convey.de>]

Jonas Stein schrieb:
> CCA sagt:
>
> 3.3 Beenden der Mitgliedschaft
> Sie können sich von dieser Vereinbarung lossagen, indem Sie aus der 
> CAcert-Gemeinschaft austreten. Sie
> können dies jederzeit tun, indem sie an support AT cacert.org schreiben 
> und ihr Austrittsgesuch einreichen. Alle
> Dienste werden beendet und Ihre Zertifikate widerrufen. Einige Daten 
> werden jedoch behalten, um Anfragen
> zu diesen Zertifikaten bearbeiten zu können.
>
> welche Daten werden denn genau behalten? Da wir fuer eine offene 
> Datenschutzpolitik einstehen, sollten wir das oeffentlich machen.

Das ist leider nicht so einfach und auch noch nicht für alle Fälle 
festgelegt, es kommt hier auf den Einzelfall an. Ein Konto das keine 
Assurance Points bekommen und keine Zertifikate ausgestellt hat kann 
sofort gelöscht werden (siehe z.B. 
http://wiki.cacert.org/Arbitrations/a20090826.1).
Problematischer ist es mit einem Assurer-Konto, wenn damit Assurances 
durchgeführt wurden. Da gab es bisher zwei Fälle 
(http://wiki.cacert.org/Arbitrations/a20090328.1 und 
http://wiki.cacert.org/Arbitrations/a20090618.3) in denen entschieden 
wurde dass die Benutzerkonten anonymisiert werden aber die Daten von 
einem Arbitrator auf Papier noch für 7 Jahre aufbewahrt werden müssen 
(weil auch die CAP-Formulare solange aufbewahrt werden müssen), für den 
Fall daß sie in Disputes benötigt werden.

Ich habe jetzt gerade keinen Fall parat bei dem Zertifikate ausgestellt 
worden sind, es gab aber mal eine kurze Diskussion auf der 
Arbitrator-Mailingliste mit dem Tenor dass man in so einem Fall die 
Daten mindestens bis zum Ablauf des letzten Zertifikats plus einige 
wenige Monate aufbewahren sollte, für den Fall dass ein Dispute gegen 
den Eigentümer des Zertifikats eingereicht wird. Nach momentanem Stand 
der Technik ist es einem Enduser nicht wirklich zuzumuten ein Zertifikat 
immer auf den Revocation-Status zu überprüfen.



Die Idee dahinter ist letztendlich dass man mit dem Generieren eines 
Zertifikats eine gewisse Verpflichtung eingeht bis zum Ablauf des 
Zertifikats zumindest für Rückfragen bezüglich des Zertifikats zur 
Verfügung zu stehen. Und noch ein bischen danach, weil nicht jeder kann 
sofort nachfragen.

Bei Assurern steht es klipp und klar auf jedem CAP-Formular dass die 
sieben Jahre lang aufbewahrt und bei Bedarf zur Verfügung gestellt 
werden müssen. Daraus sollte man schon den Schluss ziehen können dass 
man nicht nach ein paar Monaten sagen kann "Jetzt geht mich das alles 
nichts mehr an, ihr dürft mich nicht mehr kennen".


Das ganze hier lässt sich nun nicht besonders gut in die CCA 
reinschreiben, sonst würde sie mindestens doppelt so lang, und sie ist 
jetzt schon zu lang. Eventuell sollte man mal einen "zusammenfassenden 
Kommentar" schreiben, den man im WiKi ablegt (weil er sich vermutlich 
noch eine Weile ändern oder erweitern wird) und aus dem 
Privacy-Statement darauf verweist.


Ich hoffe, das hilft ein bischen weiter.

MfG
Ted

Attachment: smime.p7s
Description: S/MIME Cryptographic Signature