Hallo Heiko,
ich habe die Zwischenergebnisse der von mir begonnenen Diskussion mal pseudonym an unsere Aufsichtsbehörde geschickt mit der Bitte um Aufklärung. Es ging darum ob als Rechtsgrundlage die Einwilligung oder ein Vertrag herhält, was organisatorisch in Richtung des Archives unterschiedliche Auswirkungen haben kann. Ferner habe ich speziell für das Archiv an Artikel 89 DSGVO gedacht, als Joker sozusagen.
[...] Ein befreundeter Unternehmer betreibt die Infrastruktur (An-/Abmelde-Webseite, Mailserver, Archiv) für eine Mailingliste für technisch Interessierte zum Austausch untereinander und wir fragen uns, wie nach der DSGVO und dem BDSG nF nun korrekt mit den Betroffenenrechten umgegangen werden muss.
Nach wie vor kommt technisch ein double opt-in-Verfahren zum Einsatz. Recht klar scheint, dass in Kombination mit dem "Abonnieren"-Knopf eine Datenschutzinformation platziert werden muss. Nun wird trefflich diskutiert, ob als Rechtsgrundlage hier der Vertrag Art. 6 Abs. (1) b) DSGVO oder die Einwilligung Art. 6 Abs. (1) a) DSGVO als Basis angenommen werden muss. Faktisch macht das wohl keinen großen Unterschied denn was bei der Einwilligung der Widerruf ist, ist beim Vertrag die Kündigung, beides entzieht die Rechtsgrundlage und führt mangels gesetzlicher Aufbewahrungspflichten zur Löschung. Dennoch würde uns interessieren, wie man hier abwägt und warum z.B. auch Newsletterabos im breiten Feld unter der Einwilligung betrachtet werden.
Das eigentliche Problem ist wohl, dass alle Nachrichten, die über die Mailingliste ausgetauscht werden, in einem Archiv landen, welches zudem öffentlich abrufbar ist. Diese Funktion ist eines der Anliegen einer Mailingliste - Dokumentation für Recherchezwecke. Es ist nicht mit vertretbarem Aufwand realisierbar, bei Widerruf oder Anspruch des Löschrechtes die Nachrichten eines Abonnenten zu löschen oder von personenbezogenen Daten zu befreien. Darf sich ein solches Projekt auf Art. 89 Abs. (3) berufen? [...]
Man glaubt ja nicht was da als nicht zielführende Antwort zurückkam.
[...] Wie Ihnen sicher bekannt ist, ist die unverschlüsselte Übermittlung personenbezogener Informationen per E-Mail über das Internet mit erheblichen datenschutzrechtlichen Risiken verbunden. Eine unverschlüsselte E-Mail ist weder gegen eine Kenntnisnahme durch Unbefugte noch gegen eine inhaltliche Veränderung geschützt. Das bedeutet, dass es unbefugten Personen ohne großen Aufwand möglich ist, eine unverschlüsselte E-Mail zu lesen und inhaltlich nach Belieben abzuändern. Eine unverschlüsselte E-Mail ist letztlich einer mit Bleistift geschriebenen Postkarte vergleichbar.
Als Sächsischer Datenschutzbeauftragter kontrolliere ich die Einhaltung der datenschutzrechtlichen Vorschriften im Freistaat Sachsen. Dementsprechend ist die Gewährleistung einer datenschutzgerechten Bearbeitung der mich erreichenden Anfragen ein Grundstein meiner täglichen Arbeit. Damit ich auch das von Ihnen geschilderte Anliegen datenschutzgerecht bearbeiten, meine Zuständigkeit prüfen und dem Verantwortlichen das Ergebnis meiner Prüfung mitteilen kann, bitte ich Sie, den von Ihnen benannten befreundeten Unternehmer zu empfehlen, sich diesbezüglich unter Angabe seiner Postanschrift (oder seines PGP-Schlüssels) sowie der URL seiner Website direkt und selbst an mich zu wenden. [...]
Die einzigen personenbezogenen Daten der Anfrage und sicher auch einer möglichen Antwort sind im Mailheader nachvollziehbar. Keine Spur einer fragebezogenen Antwort aber ein Hinweis auf Mailverschlüsselung. Danke!
Jetzt musst Du (Heiko) es also im Zweifel selber weiterverfolgen.
Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ronny@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8