Re: Datenschutz auf dieser Liste
Vielleicht hofft der Sächsischer Datenschutzbeauftragte auch darauf, dass niemand erneut eine solche Anfrage sendet, schon gar keine schriftliche. Auch das kann man aus diesen Zeilen lesen. ;-) Viele Grüße Jens
Re: Datenschutz auf dieser Liste
Hallo Ronny, Danke für Deine Inititive, und hm, was er da antwortet, ist zwar nicht unmittelbar zum Thema, aber wenigstens einigermaßen korrekt. (Habt ihr eigentlich verschlüsselt kommuniziert?). ro...@seffner.de (Do 21 Jun 2018 16:32:06 CEST): > ich habe die Zwischenergebnisse der von mir begonnenen Diskussion mal > pseudonym an unsere Aufsichtsbehörde geschickt mit der Bitte um > Aufklärung. Es ging darum ob als Rechtsgrundlage die Einwilligung > oder ein Vertrag herhält, was organisatorisch in Richtung des Archives > unterschiedliche Auswirkungen haben kann. Ferner habe ich speziell > für das Archiv an Artikel 89 DSGVO gedacht, als Joker sozusagen. ... > Damit ich auch das von Ihnen geschilderte Anliegen datenschutzgerecht > bearbeiten, meine Zuständigkeit prüfen und dem Verantwortlichen das Ergebnis > meiner Prüfung mitteilen kann, bitte ich Sie, den von Ihnen benannten > befreundeten Unternehmer zu empfehlen, sich diesbezüglich unter Angabe seiner > Postanschrift (oder seines PGP-Schlüssels) sowie der URL seiner Website > direkt und selbst an mich zu wenden. Schön, danke. Das hast Du ja jetzt gemacht. Ich werde mal (vermutlich nicht mehr heute) ihm eine verschlüsselte Mail schicken und man anfragen. PS: Auf deren Seite steht immer noch „kein Zugang für elektronisch signierte Dokumente“. Wie kann er dann nach meiner verschlüsselten Mail wissen, ob der Inhalt unverändert ist? PSPS: Weiß jemand aus dem Hut, wie GnuPG das macht? Wird die Signatur über die verschlüsselten Daten gemacht, oder werden die signierten Daten verschlüsselt? Ist es richtig, daß GnuPG erst signiert und das Signierte dann verschlüsselt, wie aus `gpg --list-packets …` hervorgeht? -- Heiko signature.asc Description: PGP signature
Re: Datenschutz auf dieser Liste
Am 21.06.2018 um 16:32 schrieb ro...@seffner.de: Man glaubt ja nicht was da als nicht zielführende Antwort zurückkam. tl;dr Danke für den Textbaustein ;-) PS.: *facepalm* Andreas -- 2ndQuadrant - The PostgreSQL Support Company. www.2ndQuadrant.com
Re: Datenschutz auf dieser Liste
Das ist ja sehr interessant. Viele Dank für die Mitteilung und Anfrage. Viele Grüße Jens
Re: Datenschutz auf dieser Liste
Guten Morgen Jens, Ich bin der Meinung, dass durch die Anmeldung ein Vertrag geschlossen wird indessen Zusammenhang natürlich über den Datenschutz informiert werden muss wie angegeben(gesetzliche Grundlage). Du hast vollkommen Recht damit, dass man eine Einwilligung lieber nicht will. Leider ist aus mir durch die Datenschutzschulungen, den "Erhalt der Fachkunde" und auch mehrjährige Praxis kein Jurist geworden. Man könnte der Definition eines Vertrags entnehmen, dass sich auch beim ML-Abo zwei Parteien zum Austausch von Leistungen oder Waren einigen. Ich kann das fachlich nicht widerlegen, aber mein Bauch - der oft recht liegt - fragt dann, warum ist dann nicht jedes Newsletterabo auch ein Vertrag und warum binden sich dann alle (also auch die mit großen Rechtsabteilungen) diese Einwilligung ans Bein? Kämen wir zu dem Schluss, dass sich das ML-Abo als Rechtsgrundlage dem Vertrag (Art. 6 Abs. 1 (b)) bedienen kann, bleibt die Informationspflicht bestehen. Es sollte also noch immer in der Nähe des "Abonnieren"-Knopfes eine Datenschutzerklärung geben, dann ohne die "ich erkenne an"-Vertextung. Man könnte sich den Widerruf sparen, die Rechtsgrundlage fiele aber mit Kündigung des Abos weg und man müsste löschen wie beim Widerruf oder Löschrecht auch. Also braucht es bei der Vertragsbetrachtung den "Löschen geht nicht, weil Archiv"-Text dann nicht nur in der Datenschutzerklärung sondern bei Vertragsschluss - sprich direkt verbindlich beim "Abonnieren"-Knopf. Am Ende ist es also egal, welche der genannten Rechtsgrundlagen in diesem Fall gewinnt. Man muss vollumfänglich informieren, das ist im Moment ausbaufähig. Und man muss auf das Archiv und die damit einhergehende Einschränkung der Betroffenenrechte hinweisen. Ein Detailunterschied ergibt sich noch nicht einmal bei der Protokollierung der Abos, sowohl Verträge als auch Einwilligungen muss man nachweisen können. Eine Aufsichtsbehörde wird sich mittelfristig nicht für die LUG-DD interessieren. Ich unterstelle den Abonnenten auch Zurechnungsfähigkeit und Vernunft. Im Zweifel gibt es aber immer einen Idioten (hier denke ich an Abmahnanwälte), der dann Heiko ans Bein pinkeln könnte. Das muss nicht der Dank für den unentgeltlichen Beitrag zur Community sein. -- Mit freundlichen Grüßen / Kind regards Ronny Seffner
Re: Datenschutz auf dieser Liste
Hallo Ronny, hallo Heiko, eine Anmerkung dazu, doch Vorweg, ich bin keine "Fachkraft für Datenschutz" : > Für diese Verarbeitung braucht es eine Rechtsgrundlage und wir werden > bei einer Mailingliste nicht um die "Einwilligung" herumkommen. Leider > ist die Einwilligung nicht das einfachste Mittel, da sie widerrufbar > sein muss und das wohl augenscheinlich mit dem Archiv kollidiert. Ist tatsächlich eine extra Einwilligung nötig? Oder liegt hier bereits eine gesetztliche Grundlage vor? Ich bin der Meinung, dass durch die Anmeldung ein Vertrag geschlossen wird indessen Zusammenhang natürlich über den Datenschutz informiert werden muss wie angegeben(gesetzliche Grundlage). Die extra Einwilligung und Dokumentation bzw. das Zurückziehen entfällt. Das macht die Sache wesentlich einfacher und entspricht auch ungefähr dem Ansatz von Heiko. Viele Grüße Jens
AW: Re: Datenschutz auf dieser Liste
So sehe ich das auch. Grüße Thomas Von Mobile gesendet. Von: Fabian Hänsel An: lug-dd@mailman.schlittermann.de Betreff: Re: Datenschutz auf dieser Liste Datum: 14.06.18, 00:22 Hallo Heiko, ich stimme der Datenschutzerklärung zu. Und bei dieser Gelegenheit gleich mal: Danke dir, Heiko, für den jahrzehntelangen Betrieb dieser Mailingliste! Beste Grüße Fabian
Re: Datenschutz auf dieser Liste
Hallo Heiko, ich stimme der Datenschutzerklärung zu. Und bei dieser Gelegenheit gleich mal: Danke dir, Heiko, für den jahrzehntelangen Betrieb dieser Mailingliste! Beste Grüße Fabian
Re: Datenschutz auf dieser Liste
Hallo Heiko, tl;dr - Es folgen Tipps für Heiko, es der Aufsichtsbehörde, den Abmahnanwälten und nicht zuletzt den "betroffenen Personen" recht zu machen. Freut Euch, dass wir keine Vorratsdatenspeicherung haben und akzeptiert, dass das in Konsequenz bedeutet, dass Datenverarbeitung dann nur reguliert stattfinden kann. ich mache mich hier hoffentlich als DEKRA zertifizierte "Fachkraft für Datenschutz" nicht unbeliebt, wenn ich das Thema methodisch beleuchte. An erster Stelle steht die Frage, ob eine Verarbeitung von personenbezogenen Daten vorliegt. Das ist viel klarer der Fall, als Du das gerne hättest - also JA. Für diese Verarbeitung braucht es eine Rechtsgrundlage und wir werden bei einer Mailingliste nicht um die "Einwilligung" herumkommen. Leider ist die Einwilligung nicht das einfachste Mittel, da sie widerrufbar sein muss und das wohl augenscheinlich mit dem Archiv kollidiert. Ich kann mich leider nicht mehr an die technische Realisierung meiner Anmeldung hier erinnern, im Moment ist es aber ein double opt-in und das ist gut so. Einwilligungen müssen freiwillig, ungekoppelt (z.B. vom Gewinnspiel) und informiert erfolgen und jederzeit nachweisbar sein. Die Informationspflicht wird aber noch nicht erfüllt. Heiko, setze doch einen Link zur Datenschutzerklärung auf die Anmeldeseite in unmittelbare Nähe des "Abonnieren"-Knopfes mit einer inhaltlichen Verknüpfung wie "mit Absenden des Formulares bestätige ich die Datenschutzinformationen zu Kenntnis genommen und verstanden zu haben". Wenn die bisherigen Abonnenten auch schon double opt-in machen durften, haben die Anmeldungen Bestandsschutz. Da Anmeldungen nur über das System erfolgten (sowie erfolgen) und ich davon ausgehe, dass der mailman über Anmeldungen Buch (Log) führt, ist auch das Thema der Nachweisbarkeit bedient. Eine Informationspflicht in dem heutigen Umfang gab es zu BDSG aF Zeiten noch nicht. Nun zur Datenschutzerklärung. Die erfüllt die Anforderungen nicht ganz. Das mit der leicht verständlichen Sprache ist ja gut gelungen und auch zu den Datenarten ist viel genannt. Es fehlen aber die Betroffenenrechte (Berichtigung, Auskunft, Übertragbarkeit, Löschung, Widerruf, ...). Auch reicht ein "ich" als Angabe der verantwortlichen Stelle nicht aus. Und hier sollte ganz klar im Bereich Widerruf und Löschung auf die Archivfunktion eingegangen werden. Das Gesetz bietet mit Begriffen wie "angemessen" oder der Interessenabwägung genug Spielraum. Wenn man also erklärt, dass eine Löschung der Archivfunktion und Öffentlichkeit (Art. 89 DSGVO) wegen nicht möglich ist, sollte das akzeptabel sein. Der potentielle Abonnent muss sich dessen nur bewusste sein können, bevor er abonniert. Alternativ könnte man darüber befinden, das Archiv abzuschaffen oder nur einem eingeschränkten Personenkreis (Passwortschutz) zugänglich zu machen. Aber das will doch keiner. Was sollten wir tun um gesetzeskonform zu sein? Zusammenfassung - Datenschutzerklärung erweitern - Datenschutzerklärung mit Abo-Vorgang koppeln - Sicherstellen, dass Anmeldungen protokolliert werden - keine "alten" Abonnenten entfernen, dafür aber einmalig auf die (neue) Datenschutzerklärung hinweisen es gab damals noch keine Datenschutz-Dingsbums, wir kannten uns Das BDSG aF gab es schon ... Politisch korrekt wäre wohl, alle aus der Liste zu schmeißen, und um Unnötig, da eine Einwilligung nach damaligen Maßstäben vorliegt (mailman Protokoll vorhanden?). nach der Anzeige einer Datenschutzerklärung. Für alle Abonnenten nach 24.05.2018 richtig. Oder bin ich - als Listenbetreiber - fein raus, weil ich ja aus den Mailadressen, mit denen ihr eingetragen seid, keine Rückschlüsse auf real existierende Personen ziehen kann. Wer weiß, ob Hans Hanson wirklich der Hans Hanson ist, der mir gegenüber wohnt. Nee. Deine Liste, Dein Mailserver - Du bist verantwortliche Stelle. Allein die Möglichkeit eines Rückschlusses genügt. Die Leute reden sich an, sie haben Signaturen, ... und Du spoolst das und archivierst es. Also verarbeiten wir auf der Liste keine personenbezogenen Daten? Doch doch, jede Menge. Datenschutzerklärung Der Listenbetreiber (ich) kennt Eure Mailadresse und auch einen als Klartext bezeichneten Namen, wenn ihr ihn angegeben habt. Genaue Angabe der verantwortlichen Stelle: Name/Firma, Anschrift, Kontaktdaten protokolliert. Diese Daten liegen i.d.R. mindestens eine Woche in den Protokollen und noch länger im Backup. Zu ungenau. Da wohl keine gesetzlichen Aufbewahrungspflichten vorliegen, nenne einfach die längste zu erwartende Backupaufbewahrung. Eure Beitrage werden archiviert. Das Archiv ist öffentlich zugänglich und wird auch von anderen Kopiert. Ein Entfernen einzelner Beiträge ist mit erheblichen Aufwand verbunden und möglicherweise ohne Einfluss auf die Kopien. Schließe hier klarer mit der Erkenntnis ab, das das Recht auf Löschung nicht umgesetzt werden kann. Etwas vergessen?
Re: Datenschutz auf dieser Liste
Kein Problem. Gruß, -- Janek Gàl GnuPG-Key 0x1967BF22 via SKS-Keyserver
RE: Datenschutz auf dieser Liste
Schließe mich an Gunther
Re: Datenschutz auf dieser Liste
Schließe mich an.
Re: Datenschutz auf dieser Liste
Lieber Heiko Schlittermann, ich stimme Ihrer untenstehenden Datenschutzerklärung unter mailman zu. Sie können meine Daten verarbeiten, und, soweit notwendig, anderen Teilnehmern von mailman mitteilen (müssen es aber nit) Viele Grüße von Klaus Däßler PS: Den Umbau mit der Fritzbox habe ich dann doch selbst hingekriegt. PS2: Sie haben 3 PGP-Schlüssel. Ich auch einen. Ist es sinnvoll, noch einen auf mailman zu legen? (wegen mir nit, ich find das alles Quatsch) Am 13.06.2018 um 15:26 schrieb Heiko Schlittermann: > Hallo, > > ich fürchte, das wird ein langer Thread… > Ihr seid ja alle auf dieser Liste eingetragen. Das war ein Opt-In. Aber > es gab damals noch keine Datenschutz-Dingsbums, wir kannten uns > persönlich, und Mails wurden beim nächstgelegenen SMTP-Server > abgeliefert. > > Politisch korrekt wäre wohl, alle aus der Liste zu schmeißen, und um > erneutes Subscriben zu bitten, nach der Anzeige einer > Datenschutzerklärung. > > Oder bin ich - als Listenbetreiber - fein raus, weil ich ja aus den > Mailadressen, mit denen ihr eingetragen seid, keine Rückschlüsse auf > real existierende Personen ziehen kann. Wer weiß, ob Hans Hanson > wirklich der Hans Hanson ist, der mir gegenüber wohnt. > > Also verarbeiten wir auf der Liste keine personenbezogenen Daten? > Was sollten wir tun um gesetzeskonform zu sein? > > Allerdings weiß ich auch, daß da meine Sichtweise nicht unbedingt > die Sicht anderer, schon gar nicht der Gesetzgeber, abbildet. > > Bitte - jetzt hier keine Diskussion um Sinn oder Unsinn dieser > Datenschutzdingsbums, dafür dann gerne einen neuen Thread aufmachen. > > > Datenschutzerklärung > > > Der Listenbetreiber (ich) kennt Eure Mailadresse und auch einen als > Klartext bezeichneten Namen, wenn ihr ihn angegeben habt. > > Bis vor kurzem konnte jeder, der Mitglied der Liste war, die Liste der > anderen Mitglieder (die o.a. Informationen) einsehen. > > Wenn ihr auf den Webserver (mailman) zugreift, werden die IP-Adresse, > Uhrzeit, Client-Software, abgerufene URL und ggf. ein Referer > protokolliert. Diese Daten liegen i.d.R. mindestens eine Woche in den > Protokollen und noch länger im Backup. > > Wenn ihr Mails an die Liste schreibt, kann jedes Listenmitglied die > Daten sehen, die ihr mit der Mail veröffentlicht. Was das alles hist, > hängt von Eurem Mailclient und den unterwegs durchlaufenen Mailsystemen > ab. > > Eure Beitrage werden archiviert. Das Archiv ist öffentlich zugänglich > und wird auch von anderen Kopiert. Ein Entfernen einzelner Beiträge ist > mit erheblichen Aufwand verbunden und möglicherweise ohne Einfluss auf > die Kopien. > > Letztlich ist also jede Eurer Mails öffentlich einsehbar, sobald sie im > Archiv der Mailingliste gelandet ist. > > Etwas vergessen? > > > Viele Grüße > Heiko > -- Klaus Däßler,Forschungs- und Geschäftsleiter Gesellschaft für Mathematische Intelligenz Goethestraße 34 D-01445 Radebeul Tel/Fax 0351 836559 1/2 klaus.daess...@mathint.com
Re: Datenschutz auf dieser Liste
Am 13.06.2018 um 15:26 schrieb Heiko Schlittermann: Hallo, ich fürchte, das wird ein langer Thread… ACK. Das ist grad eine echte Seuche ... Letztlich ist also jede Eurer Mails öffentlich einsehbar, sobald sie im Archiv der Mailingliste gelandet ist. Etwas vergessen? Viele Grüße Heiko Einverstanden mit allem. Eine Mailingliste ist eine Mailingliste. Punkt. Andreas -- 2ndQuadrant - The PostgreSQL Support Company. www.2ndQuadrant.com
