Hallo Heiko,
tl;dr - Es folgen Tipps für Heiko, es der Aufsichtsbehörde, den
Abmahnanwälten und nicht zuletzt den "betroffenen Personen" recht zu
machen. Freut Euch, dass wir keine Vorratsdatenspeicherung haben und
akzeptiert, dass das in Konsequenz bedeutet, dass Datenverarbeitung dann
nur reguliert stattfinden kann.
ich mache mich hier hoffentlich als DEKRA zertifizierte "Fachkraft für
Datenschutz" nicht unbeliebt, wenn ich das Thema methodisch beleuchte.
An erster Stelle steht die Frage, ob eine Verarbeitung von
personenbezogenen Daten vorliegt. Das ist viel klarer der Fall, als Du
das gerne hättest - also JA.
Für diese Verarbeitung braucht es eine Rechtsgrundlage und wir werden
bei einer Mailingliste nicht um die "Einwilligung" herumkommen. Leider
ist die Einwilligung nicht das einfachste Mittel, da sie widerrufbar
sein muss und das wohl augenscheinlich mit dem Archiv kollidiert.
Ich kann mich leider nicht mehr an die technische Realisierung meiner
Anmeldung hier erinnern, im Moment ist es aber ein double opt-in und das
ist gut so. Einwilligungen müssen freiwillig, ungekoppelt (z.B. vom
Gewinnspiel) und informiert erfolgen und jederzeit nachweisbar sein. Die
Informationspflicht wird aber noch nicht erfüllt.
Heiko, setze doch einen Link zur Datenschutzerklärung auf die
Anmeldeseite in unmittelbare Nähe des "Abonnieren"-Knopfes mit einer
inhaltlichen Verknüpfung wie "mit Absenden des Formulares bestätige ich
die Datenschutzinformationen zu Kenntnis genommen und verstanden zu
haben".
Wenn die bisherigen Abonnenten auch schon double opt-in machen durften,
haben die Anmeldungen Bestandsschutz. Da Anmeldungen nur über das System
erfolgten (sowie erfolgen) und ich davon ausgehe, dass der mailman über
Anmeldungen Buch (Log) führt, ist auch das Thema der Nachweisbarkeit
bedient. Eine Informationspflicht in dem heutigen Umfang gab es zu BDSG
aF Zeiten noch nicht.
Nun zur Datenschutzerklärung. Die erfüllt die Anforderungen nicht ganz.
Das mit der leicht verständlichen Sprache ist ja gut gelungen und auch
zu den Datenarten ist viel genannt. Es fehlen aber die Betroffenenrechte
(Berichtigung, Auskunft, Übertragbarkeit, Löschung, Widerruf, ...). Auch
reicht ein "ich" als Angabe der verantwortlichen Stelle nicht aus. Und
hier sollte ganz klar im Bereich Widerruf und Löschung auf die
Archivfunktion eingegangen werden. Das Gesetz bietet mit Begriffen wie
"angemessen" oder der Interessenabwägung genug Spielraum. Wenn man also
erklärt, dass eine Löschung der Archivfunktion und Öffentlichkeit (Art.
89 DSGVO) wegen nicht möglich ist, sollte das akzeptabel sein. Der
potentielle Abonnent muss sich dessen nur bewusste sein können, bevor er
abonniert.
Alternativ könnte man darüber befinden, das Archiv abzuschaffen oder nur
einem eingeschränkten Personenkreis (Passwortschutz) zugänglich zu
machen. Aber das will doch keiner.
Was sollten wir tun um gesetzeskonform zu sein?
Zusammenfassung
- Datenschutzerklärung erweitern
- Datenschutzerklärung mit Abo-Vorgang koppeln
- Sicherstellen, dass Anmeldungen protokolliert werden
- keine "alten" Abonnenten entfernen, dafür aber einmalig auf die (neue)
Datenschutzerklärung hinweisen
es gab damals noch keine Datenschutz-Dingsbums, wir kannten uns
Das BDSG aF gab es schon ...
Politisch korrekt wäre wohl, alle aus der Liste zu schmeißen, und um
Unnötig, da eine Einwilligung nach damaligen Maßstäben vorliegt (mailman
Protokoll vorhanden?).
nach der Anzeige einer Datenschutzerklärung.
Für alle Abonnenten nach 24.05.2018 richtig.
Oder bin ich - als Listenbetreiber - fein raus, weil ich ja aus den
Mailadressen, mit denen ihr eingetragen seid, keine Rückschlüsse auf
real existierende Personen ziehen kann. Wer weiß, ob Hans Hanson
wirklich der Hans Hanson ist, der mir gegenüber wohnt.
Nee. Deine Liste, Dein Mailserver - Du bist verantwortliche Stelle.
Allein die Möglichkeit eines Rückschlusses genügt. Die Leute reden sich
an, sie haben Signaturen, ... und Du spoolst das und archivierst es.
Also verarbeiten wir auf der Liste keine personenbezogenen Daten?
Doch doch, jede Menge.
Datenschutzerklärung
--------------------
Der Listenbetreiber (ich) kennt Eure Mailadresse und auch einen als
Klartext bezeichneten Namen, wenn ihr ihn angegeben habt.
Genaue Angabe der verantwortlichen Stelle: Name/Firma, Anschrift,
Kontaktdaten
protokolliert. Diese Daten liegen i.d.R. mindestens eine Woche in den
Protokollen und noch länger im Backup.
Zu ungenau. Da wohl keine gesetzlichen Aufbewahrungspflichten vorliegen,
nenne einfach die längste zu erwartende Backupaufbewahrung.
Eure Beitrage werden archiviert. Das Archiv ist öffentlich zugänglich
und wird auch von anderen Kopiert. Ein Entfernen einzelner Beiträge ist
mit erheblichen Aufwand verbunden und möglicherweise ohne Einfluss auf
die Kopien.
Schließe hier klarer mit der Erkenntnis ab, das das Recht auf Löschung
nicht umgesetzt werden kann.
Etwas vergessen?
Siehe meine gesamten Ausführungen. Da ein Forum gar nicht so weit weg
von einer Mailingliste ist, schau doch mal hier zur Inspiration in die
Datenschutzerklärung :
https://www.bfdi.bund.de/bfdi_forum/showthread.php?p=16
Gern schaue ich über eine neue Datenschutzerklärung drüber oder
entwickle sie mit. Dies dann aber PN.
--
Mit freundlichen Grüßen / Kind regards
Ronny Seffner
