Hallo Heiko,
tl;dr - Es folgen Tipps für Heiko, es der Aufsichtsbehörde, den Abmahnanwälten und nicht zuletzt den "betroffenen Personen" recht zu machen. Freut Euch, dass wir keine Vorratsdatenspeicherung haben und akzeptiert, dass das in Konsequenz bedeutet, dass Datenverarbeitung dann nur reguliert stattfinden kann.
ich mache mich hier hoffentlich als DEKRA zertifizierte "Fachkraft für Datenschutz" nicht unbeliebt, wenn ich das Thema methodisch beleuchte.
An erster Stelle steht die Frage, ob eine Verarbeitung von personenbezogenen Daten vorliegt. Das ist viel klarer der Fall, als Du das gerne hättest - also JA.
Für diese Verarbeitung braucht es eine Rechtsgrundlage und wir werden bei einer Mailingliste nicht um die "Einwilligung" herumkommen. Leider ist die Einwilligung nicht das einfachste Mittel, da sie widerrufbar sein muss und das wohl augenscheinlich mit dem Archiv kollidiert.
Ich kann mich leider nicht mehr an die technische Realisierung meiner Anmeldung hier erinnern, im Moment ist es aber ein double opt-in und das ist gut so. Einwilligungen müssen freiwillig, ungekoppelt (z.B. vom Gewinnspiel) und informiert erfolgen und jederzeit nachweisbar sein. Die Informationspflicht wird aber noch nicht erfüllt. Heiko, setze doch einen Link zur Datenschutzerklärung auf die Anmeldeseite in unmittelbare Nähe des "Abonnieren"-Knopfes mit einer inhaltlichen Verknüpfung wie "mit Absenden des Formulares bestätige ich die Datenschutzinformationen zu Kenntnis genommen und verstanden zu haben". Wenn die bisherigen Abonnenten auch schon double opt-in machen durften, haben die Anmeldungen Bestandsschutz. Da Anmeldungen nur über das System erfolgten (sowie erfolgen) und ich davon ausgehe, dass der mailman über Anmeldungen Buch (Log) führt, ist auch das Thema der Nachweisbarkeit bedient. Eine Informationspflicht in dem heutigen Umfang gab es zu BDSG aF Zeiten noch nicht.
Nun zur Datenschutzerklärung. Die erfüllt die Anforderungen nicht ganz. Das mit der leicht verständlichen Sprache ist ja gut gelungen und auch zu den Datenarten ist viel genannt. Es fehlen aber die Betroffenenrechte (Berichtigung, Auskunft, Übertragbarkeit, Löschung, Widerruf, ...). Auch reicht ein "ich" als Angabe der verantwortlichen Stelle nicht aus. Und hier sollte ganz klar im Bereich Widerruf und Löschung auf die Archivfunktion eingegangen werden. Das Gesetz bietet mit Begriffen wie "angemessen" oder der Interessenabwägung genug Spielraum. Wenn man also erklärt, dass eine Löschung der Archivfunktion und Öffentlichkeit (Art. 89 DSGVO) wegen nicht möglich ist, sollte das akzeptabel sein. Der potentielle Abonnent muss sich dessen nur bewusste sein können, bevor er abonniert.
Alternativ könnte man darüber befinden, das Archiv abzuschaffen oder nur einem eingeschränkten Personenkreis (Passwortschutz) zugänglich zu machen. Aber das will doch keiner.
Was sollten wir tun um gesetzeskonform zu sein?
Zusammenfassung - Datenschutzerklärung erweitern - Datenschutzerklärung mit Abo-Vorgang koppeln - Sicherstellen, dass Anmeldungen protokolliert werden - keine "alten" Abonnenten entfernen, dafür aber einmalig auf die (neue) Datenschutzerklärung hinweisen
es gab damals noch keine Datenschutz-Dingsbums, wir kannten uns
Das BDSG aF gab es schon ...
Politisch korrekt wäre wohl, alle aus der Liste zu schmeißen, und um
Unnötig, da eine Einwilligung nach damaligen Maßstäben vorliegt (mailman Protokoll vorhanden?).
nach der Anzeige einer Datenschutzerklärung.
Für alle Abonnenten nach 24.05.2018 richtig.
Oder bin ich - als Listenbetreiber - fein raus, weil ich ja aus den Mailadressen, mit denen ihr eingetragen seid, keine Rückschlüsse auf real existierende Personen ziehen kann. Wer weiß, ob Hans Hanson wirklich der Hans Hanson ist, der mir gegenüber wohnt.
Nee. Deine Liste, Dein Mailserver - Du bist verantwortliche Stelle. Allein die Möglichkeit eines Rückschlusses genügt. Die Leute reden sich an, sie haben Signaturen, ... und Du spoolst das und archivierst es.
Also verarbeiten wir auf der Liste keine personenbezogenen Daten?
Doch doch, jede Menge.
Datenschutzerklärung
Der Listenbetreiber (ich) kennt Eure Mailadresse und auch einen als Klartext bezeichneten Namen, wenn ihr ihn angegeben habt.
Genaue Angabe der verantwortlichen Stelle: Name/Firma, Anschrift, Kontaktdaten
protokolliert. Diese Daten liegen i.d.R. mindestens eine Woche in den Protokollen und noch länger im Backup.
Zu ungenau. Da wohl keine gesetzlichen Aufbewahrungspflichten vorliegen, nenne einfach die längste zu erwartende Backupaufbewahrung.
Eure Beitrage werden archiviert. Das Archiv ist öffentlich zugänglich und wird auch von anderen Kopiert. Ein Entfernen einzelner Beiträge ist mit erheblichen Aufwand verbunden und möglicherweise ohne Einfluss auf die Kopien.
Schließe hier klarer mit der Erkenntnis ab, das das Recht auf Löschung nicht umgesetzt werden kann.
Etwas vergessen?
Siehe meine gesamten Ausführungen. Da ein Forum gar nicht so weit weg von einer Mailingliste ist, schau doch mal hier zur Inspiration in die Datenschutzerklärung : https://www.bfdi.bund.de/bfdi_forum/showthread.php?p=16
Gern schaue ich über eine neue Datenschutzerklärung drüber oder entwickle sie mit. Dies dann aber PN.