Danke für das Ansprechen und natürlich ist das alles bewusst.
Man muss als Betreiber einer Webseite in Europa, welcher Art auch immer, die nicht gänzlich im Bereich des "privaten und familiären" Gebrauchs liegt, mit der vor kurzem in Kraft getretenen Verordnung alle möglichen Regeln einhalten, die hier (noch) nicht eingehalten werden.
Das betrifft vor allen Dingen den Umgang mit "persönlichen Daten" von Nutzern.
Ich war schon geneigt, Sophorn zu empfehlen, sangham.net vielleicht demnächst vorübergehend abzuschalten, bis geklärt ist, was genau für Maßnahmen getroffen werden müssen, um den Gesetzen zu entsprechen.
Unter anderem braucht man eine Datenschutzerklärung, die erklärt, was genau mit Benutzerdaten geschieht.
Es muss eine "ausgeschilderte" Möglichkeit geben, seine persönlichen Daten abzufragen, und die Löschung/Anonymisierung oder Änderung seiner persönlichen Daten zu beantragen.
(Im Falle so eines Forums hier betrifft das wohl das Benutzerprofil, das ein jeder hier selbst ausfüllen kann, sowie alle von dem Benutzer erstellten Beiträge. Eventuell muss bei Antrag auf Löschung noch der Name anonymisiert werden, wo immer derjenige zitiert wird. Wobei da sicher einiges an unklarem Ermessensspielraum ist wie weit man Zitate anonymisiert "behalten darf", um den Zusammenhang von Gesprächen vielleicht etwas zu bewahren.)
Für Erfüllung all solcher Anfragen hat der Betreiber vier Wochen Zeit. Es ist sicher möglich, innerhalb von vier Wochen alle direkt mit dem Benutzer zusammenhängenden Daten zusammenzukramen, im Groben automatisiert, und eventuell auch chirurgisch anonymisierend zu entfernen, anstatt wild drum rum zu löschen.
Technisch sind auch vorgeschriebenerweise ein paar Dinge zu erfüllen, die hier derzeit nicht erfüllt sind. (Z.B. SSL-Zertifikate sind nun Pflicht, wo immer jemand Namen, Passwort und ähnliches eingeben können soll. Passende SSL-Zertifikate müsste man also auch noch kaufen und richtig einbauen.)
Was die Erwähnung anderer Personen angeht, die hier vielleicht irgendwo erwähnt und über sie geredet wird, möglicherweise Informationen veröffentlicht, die als privat anzusehen sind: Die können sich wohl auch beschweren und beantragen, dass dies und jenes über sie gelöscht wird. Wie weit das nun geht, und inwieweit tatsächlich jeder laut EU-Gesetzgebung das Recht hat, jegliche Erwähnung seiner Person in welchem Zusammenhang auch immer zu löschen, solange es nicht den Tatbestand der Verleumdung erfüllt, weiß ich nicht.
Die neuen Gesetze wirken auf jeden Fall in der Hinsicht und aufgrund mancher Unklarheit "gefährlich". Allerdings sind vier Wochen auch vermutlich, in Anbetracht der überschaubaren Größe und Reichweite des Forums hier, ein Zeitraum, in dem es sicher möglich ist, solche Anliegen, wenn sie denn formell gestellt werden, zu prüfen und pflichtgemäß zu erfüllen.
Das zu handhaben ist, denke ich, für einen etwas technik-affinen Laien-Betreiber und "Datenschutzbeauftragten" bewältigbar, ohne da eine riesengroße Last aufzubürden, solange nur ein klarer technischer Überblick herrscht, was hier tatsächlich gespeichert wird, sowie hinreichendes rechtliches Verständnis (das mir immer noch ein bisschen fehlt), was genau denn zu erfüllen ist.
Was die Verträge mit den Hosting-Providern und deren Datenschutzerklärungen etc. angeht (die ich immer noch nicht gelesen habe): Darin ist vor allem festgelegt, wie der Hosting-Provider mit Daten umgeht, die beim Betrieb der Server aufkommen und notwendigerweise für die Funktionstüchtigkeit hier und da für gewisse Zeit gespeichert werden (u.a. IPs in Log-Dateien etc.) die auf Personen zurückgeführt werden können. Es geht dort weniger um zusätzliche Pflichten für den Webseitenbetreiber, die dadurch entstehen, sondern darum, dass der Hostingprovider genau und verbindlich erklären muss, wie er Daten handhabt.
In ähnlicher Weise, aber auf vielleicht etwas "unkomplizierterer" Ebene besteht diese Pflicht für solch eine Erklärung für den Betreiber der Webseite und dem was dort an Datenverarbeitung in seinem "Machtgebiet" liegt. Was alles in einer Datenschutzerklärung auszuweisen ist, die sichtbar erreichbar sein muss und der der Nutzer zustimmen muss, bevor irgenwelche Daten von ihm gespeichert werden können. (IPs werden wohl nur von eingeloggten registrierten Benutzern gespeichert, ebenso wie natürlich Benutzerprofil und ähnliches. Das heißt, der Hinweis zur Datenschutzerklärung und Möglichkeit zur bewussten Zustimmung muss wohl beim Registrier-Vorgang erscheinen, aber außerdem muss die Datenschutzerklärung durch einen Link von der Hauptseite aus erreichbar sein.)
Auf zugangzureinsicht.org sind keine persönlichen Nutzerdaten gespeichert. Ich denke daher, dort braucht man keine Datenschutzerklärung.
accesstoinsight.eu sollte, was Nutzerdaten angeht, auf sangham.net verweisen, weil dort die Registrierung und Speicherung von Nutzerprofilen passiert, und diese nur zur Login-Authentifizierung vom DokuWiki genutzt werden.
All das ist ein guter Haufen Arbeit, erst einmal sauber einzubauen. Wenn man aber einmal alle "Schutzvorkehrungen" getroffen hat und sich bereit hält, auf mögliche Anfragen zum Löschen oder Anonymisieren irgendwelcher persönlichen Daten zu reagieren, sollte der Betrieb fast wie gewohnt weiter möglich sein.
Ich glaube nicht, dass das ein unüberwindbares Problem darstellt. Aber es kostet einen Haufen Zeit.