Hallo Heiko,
ich habe die Zwischenergebnisse der von mir begonnenen Diskussion mal pseudonym
an unsere Aufsichtsbehörde geschickt mit der Bitte um Aufklärung.
Es ging darum ob als Rechtsgrundlage die Einwilligung oder ein Vertrag herhält,
was organisatorisch in Richtung des Archives unterschiedliche Auswirkungen
haben kann.
Ferner habe ich speziell für das Archiv an Artikel 89 DSGVO gedacht, als Joker
sozusagen.
[...]
Ein befreundeter Unternehmer betreibt die Infrastruktur
(An-/Abmelde-Webseite, Mailserver, Archiv) für eine Mailingliste für
technisch Interessierte zum Austausch untereinander und wir fragen uns,
wie nach der DSGVO und dem BDSG nF nun korrekt mit den Betroffenenrechten
umgegangen werden muss.
Nach wie vor kommt technisch ein double opt-in-Verfahren zum Einsatz.
Recht klar scheint, dass in Kombination mit dem "Abonnieren"-Knopf eine
Datenschutzinformation platziert werden muss. Nun wird trefflich
diskutiert, ob als Rechtsgrundlage hier der Vertrag Art. 6 Abs. (1) b)
DSGVO oder die Einwilligung Art. 6 Abs. (1) a) DSGVO als Basis
angenommen werden muss. Faktisch macht das wohl keinen großen
Unterschied denn was bei der Einwilligung der Widerruf ist, ist beim
Vertrag die Kündigung, beides entzieht die Rechtsgrundlage und führt
mangels gesetzlicher Aufbewahrungspflichten zur Löschung. Dennoch würde
uns interessieren, wie man hier abwägt und warum z.B. auch
Newsletterabos im breiten Feld unter der Einwilligung betrachtet werden.
Das eigentliche Problem ist wohl, dass alle Nachrichten, die über die
Mailingliste ausgetauscht werden, in einem Archiv landen, welches zudem
öffentlich abrufbar ist. Diese Funktion ist eines der Anliegen einer
Mailingliste - Dokumentation für Recherchezwecke. Es ist nicht mit
vertretbarem Aufwand realisierbar, bei Widerruf oder Anspruch des
Löschrechtes die Nachrichten eines Abonnenten zu löschen oder von
personenbezogenen Daten zu befreien. Darf sich ein solches Projekt auf
Art. 89 Abs. (3) berufen?
[...]
Man glaubt ja nicht was da als nicht zielführende Antwort zurückkam.
[...]
Wie Ihnen sicher bekannt ist, ist die unverschlüsselte Übermittlung
personenbezogener Informationen per E-Mail über das Internet mit erheblichen
datenschutzrechtlichen Risiken verbunden. Eine unverschlüsselte E-Mail ist
weder gegen eine Kenntnisnahme durch Unbefugte noch gegen eine inhaltliche
Veränderung geschützt. Das bedeutet, dass es unbefugten Personen ohne großen
Aufwand möglich ist, eine unverschlüsselte E-Mail zu lesen und inhaltlich nach
Belieben abzuändern. Eine unverschlüsselte E-Mail ist letztlich einer mit
Bleistift geschriebenen Postkarte vergleichbar.
Als Sächsischer Datenschutzbeauftragter kontrolliere ich die Einhaltung der
datenschutzrechtlichen Vorschriften im Freistaat Sachsen. Dementsprechend ist
die Gewährleistung einer datenschutzgerechten Bearbeitung der mich erreichenden
Anfragen ein Grundstein meiner täglichen Arbeit. Damit ich auch das von Ihnen
geschilderte Anliegen datenschutzgerecht bearbeiten, meine Zuständigkeit prüfen
und dem Verantwortlichen das Ergebnis meiner Prüfung mitteilen kann, bitte ich
Sie, den von Ihnen benannten befreundeten Unternehmer zu empfehlen, sich
diesbezüglich unter Angabe seiner Postanschrift (oder seines PGP-Schlüssels)
sowie der URL seiner Website direkt und selbst an mich zu wenden.
[...]
Die einzigen personenbezogenen Daten der Anfrage und sicher auch einer
möglichen Antwort sind im Mailheader nachvollziehbar. Keine Spur einer
fragebezogenen Antwort aber ein Hinweis auf Mailverschlüsselung. Danke!
Jetzt musst Du (Heiko) es also im Zweifel selber weiterverfolgen.
Mit freundlichen Grüßen / Kind regards
Ronny Seffner
--
Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen
www.seffner.de | [email protected] | +49 35245 72950
7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
