Discussion:
GVV Frage: Verneinte Datenschutzklausel
(zu alt für eine Antwort)
Peter Heirich
2023-07-05 19:14:23 UTC
Permalink
Ich teste gerade meine Installation von UseVote

Neben zwei Tippfehlern ( Patche an Marc Langer sind raus )

stellt sich mir die Frage der Behandlung der Datenschutzklausel.

Unterstellen wir Nicht-Bejahung der Datenschutzklausel:

Ist es überhaupt korrekt, mit der UseVote-Software eine Benachrichtigung
zu erstellen, in der letztlich erläutert wird:

Wegen nicht erkannter Datenschutzklausel tun wir nichts, Stimme wird nicht
gezählt.

Bereits darin liegt aber u.U. eine Verarbeitung. Zwar nett einen Hinweis
zu senden, aber u.U. unerwünscht und u.U. von einem Abmahn-Anwalt?

Zumal die Stimmabgabe weiterhin gespeichert wird.


Die Software kann die Mail bzw Stimme auch kommentarlos ignorieren.

Wie ist die empfohlene Verfahrensweise?

Peter
PS: Patche bei Interesse auch unter https://heirich.name/usevote/
reine, unkritische Tippfehler in Kommentar bzw. Fehlermeldung
KEINE funktionelle Änderung oder Fehlerbehebung
Thomas Hochstein
2023-07-06 21:06:20 UTC
Permalink
Post by Peter Heirich
stellt sich mir die Frage der Behandlung der Datenschutzklausel.
Ist es überhaupt korrekt, mit der UseVote-Software eine Benachrichtigung
Wegen nicht erkannter Datenschutzklausel tun wir nichts, Stimme wird nicht
gezählt.
Naheliegenderweise aus Sicht des Maintainers und der regelmäßigen Nutzer
ja.
Post by Peter Heirich
Bereits darin liegt aber u.U. eine Verarbeitung.
Bereits in der Annahme u.v.am Speicherung liegt eine Datenverarbeitung.
Post by Peter Heirich
Zwar nett einen Hinweis
zu senden, aber u.U. unerwünscht und u.U. von einem Abmahn-Anwalt?
Zumal die Stimmabgabe weiterhin gespeichert wird.
Die Speicherung der Stimmabgabe ist schon eine Verarbeitung; sowohl die
Speicherung in den Ergebnis- und Arbeitsdateien von Usevote, als auch die
Speicherung der E-Mail, die den Wahlschein enthält.

Wenn man diese Verarbeitung für zulässig hält, dann ist es ein Gebot der
Fairness, den Abstimmenden darauf hinzuweisen, dass seine Stimme nicht
gewertet werden kann, weil er - vielleicht versehentlich - vergessen hat,
die notwendige Zustimmung dafür abzugeben.

Wenn man diese Verarbeitung nicht für zulässig hält, muss man die
Abstimmungs-E-Mail und die gezählte Stimme in allen Dateien manuell
entfernen. Wenn dann aber eine Nachfrage des Abstimmenden kommt, warum
seine Stimme nicht gewertet wurde, lässt sich der Sachverhalt nicht mehr
prüfen, weil alle Daten gelöscht wurden. Das ist eher unpraktisch.
Post by Peter Heirich
Die Software kann die Mail bzw Stimme auch kommentarlos ignorieren.
Das ändert dann aber doch nichts an einer - unterstellt - rechtswidrigen
Verarbeitung der Daten, sondern benachteiligt nur (unnötig) den
Abstimmungsteilnehmer.

Es ist kein geeigneter Umgang mit dem Datenschutzrecht, es heimlich zu
missachten. Entweder macht man's richtig (und kann dann auch darlegen, was
man tut), oder man lässt es, IMNSHO.
Post by Peter Heirich
Wie ist die empfohlene Verfahrensweise?
Die bisherige Handhabung der letzten Jahrzehnte könnte einen Hinweis
darauf geben.
Post by Peter Heirich
PS: Patche bei Interesse auch unter https://heirich.name/usevote/
reine, unkritische Tippfehler in Kommentar bzw. Fehlermeldung
Danke. Ich habe das direkt mal für
<https://code.th-h.de/?p=usenet/usevote.git> übernommen.

Grüße,
-thh
Peter Heirich
2023-07-07 07:51:51 UTC
Permalink
Post by Thomas Hochstein
Die Speicherung der Stimmabgabe ist schon eine Verarbeitung; sowohl die
Speicherung in den Ergebnis- und Arbeitsdateien von Usevote, als auch die
Speicherung der E-Mail, die den Wahlschein enthält.
Wobei hier die gesetzliche Regelung technisch teilweise schwachsinnig ist.

Juristisch gibt es konkludentes Handeln. Wer keine Datenverarbeitung
wünscht, aber trotzdem eine email bei einer öffentlich für alle
vorgesehenen Empfangseinrichtung einliefert, hat sich m.M.n. konkludent
umentschieden.

Jetzt sind wir in dem schönen Bereich der Erforschung des tatsächlichem
Willens gelandet.

Tragfähig erscheint mir jetzt

a) bei Erkenntnis über den "Restwillen" der gewollten Verneinung jede
witere Beschäftigung, also Be- und Verarbeitung zu vermeiden.

Für allgemein, generell geführte z.B. Logs gilt m.E. auch die o.g.
konkludente Zustimmung zur erarbeitung und Speicherung.

Grundsätzlich endet Datenschutz m.E. auch Bei Straftaten. D.h.
Aufzeichnungen, Logs, die geführt werden, um Angriffe gegen DV Anlagen (§§
303a, 303b StGB) zu erkennen und ggfls. verfolgen zu können. Hier ist der
tragende Gedanke, das ein Straftäter nicht sich selbst begnadigen bzw.
durch eigene Willenserklärung vor Strafvervolgung schützen können.

Insofern sehe ich auch kein Problem für Logs etc. Auch eventuelle
Vollkopien können durch Aufzeichnungspflichen sogar u.U. gesetzlich
erzwungen ( z.B. Aufzeichnungspfhlichten nach AO oder HGB) sein.
Post by Thomas Hochstein
Das ändert dann aber doch nichts an einer - unterstellt - rechtswidrigen
Verarbeitung der Daten, sondern benachteiligt nur (unnötig) den
Abstimmungsteilnehmer.
Deren Rechtswidrikeit ich bis hier nicht sehe. Die Verarbeitung erfolgt
mit (notfalls) konkludenter Zustimmung des Maileinsenders. Sinn und
Absicht der Maileinsendung, für sich genommen, ist ja, dass ein Mensch
oder ein Programm (z.B. gup) den Mailinhalt zur Kenntnis nimmt.


Die Fragestellung beginnt m.E. erst wenn man die BDSG-Nichzustimmung zur
Kenntnis nimmt. Bis dahin darf man m.E. allein aus der Tatsache der
eingegangenen Abstimm- E-mail von datenschutzrechtlicher Zustimmung
ausgehen. Hellsehen gehört noch nicht zum Berufsbild des Informatikers,
auch wenn Nichtiformatiker das nicht glauben wollen.


"Wer nicht will, hat Pech gehabt!" ist ähnlich konsistent, wie der
Versuch. den logischen Widerspruch zwischen Einreichung und potentiellem
NICHTWOLLEN der Verarbeitung aufzuklären.

Zu beachten wäre noch, ob ene Ergebniswirksamkeit gegeben ist. Man kann
während einer Abstimmung seine Stimmabgabe ändern. Wie bearbeitet man eine
E-Mail, die eine frühere NEIN-Stimme mit bejahter BDSG-Klausel zu JA
ändert, aber nunmehr die BDSG-Klausel verneint ?

Doch mal die Abstimmregeln sorgfältig lesen ;-)
Post by Thomas Hochstein
Post by Peter Heirich
Wie ist die empfohlene Verfahrensweise?
Die bisherige Handhabung der letzten Jahrzehnte könnte einen Hinweis
darauf geben.
Und die war konkret?
Post by Thomas Hochstein
Danke. Ich habe das direkt mal für
<https://code.th-h.de/?p=usenet/usevote.git> übernommen.
Hoffentlich auch die Versionsnummer geändert, das habe ich im Patch nicht
gemacht.

Wenn die primäre Source im GIT liegt, versuche ich das zu klonen.

Peter
Thomas Hochstein
2023-07-09 19:13:02 UTC
Permalink
Post by Peter Heirich
Post by Thomas Hochstein
Die Speicherung der Stimmabgabe ist schon eine Verarbeitung; sowohl die
Speicherung in den Ergebnis- und Arbeitsdateien von Usevote, als auch die
Speicherung der E-Mail, die den Wahlschein enthält.
Wobei hier die gesetzliche Regelung technisch teilweise schwachsinnig ist.
Man kann sehr dezidierte Auffassungen zum Datenschutz und insbesondere zur
Art seiner Umsetzung durch das Datenschutzrecht haben (ich tue das); es
ändert allerdings nichts an der Rechtslage.
Post by Peter Heirich
Juristisch gibt es konkludentes Handeln.
Ja, und nicht zuletzt wegen schlechter Erfahrungen ist man da im
Datenschutzrecht ausgesprochen zurückhaltend.
Post by Peter Heirich
Wer keine Datenverarbeitung
wünscht, aber trotzdem eine email bei einer öffentlich für alle
vorgesehenen Empfangseinrichtung einliefert, hat sich m.M.n. konkludent
umentschieden.
Das hängt unter anderem davon ab, ob die Information über die
Datenverarbeitung vollständig, zutreffend und unmissverständlich war und
ob sich die Art der Datenverarbeitung im Rahmen des Erwartungshorizonts
hält. Zum Beispiel wird man natürlich erwarten, dass eine E-Mail gelesen
und ggf. gespeichert wird. Mit der Veröffentlichung der E-Mail wird man
hingegen nicht rechnen. Auch wird man bei einer Abstimmung nicht unbedingt
damit rechnen, dass Namen und E-Mail-Adressen der Abstimmenden
veröffentlicht werden - insbesondere, weil allgemein bekannt ist, dass
davon abgeraten wird, Mailadressen zu veröffentlichen und weil viele
Nutzer unterschiedliche Adressen für ihre öffentliche Auftritte und ihre
private Kommunikation nutzen.

Dazu kommt, dass die Einwilligung als Rechtsgrundlage der Verarbeitung aus
vielerlei Hinsicht problematisch ist: nicht nur wegen der Frage, ob sie
überhaupt wirksam erteilt ist, sondern auch wegen der notwendigen
Freiwilligkeit (!) der Einwilligung und des jederzeit möglichen Widerrufs.

Es ist daher praktisch klug und entspricht auch dem Regelungsmodell es
europäischen Gesetzgebers, die Verarbeitung "notwendiger" Daten auf andere
Erlaubnistatbestände zu stützen und die Einwilligung für den Bereich "nice
to have" vorzusehen, der anders nicht begründbar ist, bei denen eine
Verweigerung der Einwilligung oder der Widerruf aber nicht problematisch
sind.
Post by Peter Heirich
a) bei Erkenntnis über den "Restwillen" der gewollten Verneinung jede
witere Beschäftigung, also Be- und Verarbeitung zu vermeiden.
Wenn die Einwilligung widerrufen wird, sind alle verarbeiteten Daten zu
löschen; da ist dann nichts mehr mit "Vermeidung".
Post by Peter Heirich
Für allgemein, generell geführte z.B. Logs gilt m.E. auch die o.g.
konkludente Zustimmung zur erarbeitung und Speicherung.
Nein, das wäre ja völlig wahnsinnig, wenn jederzeit die Löschung verlangt
werden könnte; zudem werden Logs oft erzeugt, bevor der Nutzer überhaupt
erfahren konnte, was und wie und warum gespeichert wird. Die Logerzeugung
wird daher reglmäßig - und richtigerweise - auf berechtigte Interessen
gestützt.
Post by Peter Heirich
Grundsätzlich endet Datenschutz m.E. auch Bei Straftaten.
Das ist in dieser Allgemeinheit nicht richtig.
Post by Peter Heirich
D.h.
Aufzeichnungen, Logs, die geführt werden, um Angriffe gegen DV Anlagen (§§
303a, 303b StGB) zu erkennen und ggfls. verfolgen zu können. Hier ist der
tragende Gedanke, das ein Straftäter nicht sich selbst begnadigen bzw.
durch eigene Willenserklärung vor Strafvervolgung schützen können.
Wenn jemand dumm genug war, diese Daten auf Grundlage einer Einwilligung
zu erheben, dann ist er selbst schuld, dass er sie zur Verfolgung von
Angriffen im Zweifel nicht verwerten kann.
Post by Peter Heirich
Insofern sehe ich auch kein Problem für Logs etc. Auch eventuelle
Vollkopien können durch Aufzeichnungspflichen sogar u.U. gesetzlich
erzwungen ( z.B. Aufzeichnungspfhlichten nach AO oder HGB) sein.
Ja, natürlich. Dann ist der Erlaubnistatbestand aber auch nicht die
Einwilligung, sondern die gesetzliche Verpflichtung.
Post by Peter Heirich
Post by Thomas Hochstein
Das ändert dann aber doch nichts an einer - unterstellt - rechtswidrigen
Verarbeitung der Daten, sondern benachteiligt nur (unnötig) den
Abstimmungsteilnehmer.
Deren Rechtswidrikeit ich bis hier nicht sehe. Die Verarbeitung erfolgt
mit (notfalls) konkludenter Zustimmung des Maileinsenders.
Eine Verneinung (!) der Einwilligung ist keine konkludente Zustimmung.
Post by Peter Heirich
Bis dahin darf man m.E. allein aus der Tatsache der
eingegangenen Abstimm- E-mail von datenschutzrechtlicher Zustimmung
ausgehen.
Das halte ich für höchst zweifelhaft.
Post by Peter Heirich
Hellsehen gehört noch nicht zum Berufsbild des Informatikers,
auch wenn Nichtiformatiker das nicht glauben wollen.
Es gehört aber zu den Aufgaben des Verantwortlichen, seine
Datenverarbeitung so zu organisieren, dass sie den rechtlichen
Anforderungen entspricht.
Post by Peter Heirich
Post by Thomas Hochstein
Die bisherige Handhabung der letzten Jahrzehnte könnte einen Hinweis
darauf geben.
Und die war konkret?
Hast Du Dir schon einmal einen CfV angesehen?
Post by Peter Heirich
Wenn die primäre Source im GIT liegt, versuche ich das zu klonen.
Ich habe keine Ahnung, wo Marc seinen Source hat. :) Ich führe allerdings
- primär für mich - ein Git-Repo, aus dem ich ggf. Patches alle paar
Zeiteinheiten an Marc weiterleite.

-thh
Peter Heirich
2023-07-10 13:29:38 UTC
Permalink
Post by Thomas Hochstein
Auch wird man bei einer Abstimmung nicht unbedingt
damit rechnen, dass Namen und E-Mail-Adressen der Abstimmenden
veröffentlicht werden - insbesondere, weil allgemein bekannt ist, dass
davon abgeraten wird, Mailadressen zu veröffentlichen und weil viele
Nutzer unterschiedliche Adressen für ihre öffentliche Auftritte und ihre
private Kommunikation nutzen.
Interessant ist u.U. die Betrachtung der Bestätigungsmail als eine Art
OPT_IN oder OPT_OUT. Wenn man A wie "Annulierung" einsendet wird ja nicht
veröffentlicht.

Möglicherweise könnte man, wenn auch mit Medienbruch, optional double
OPT_IN machen.

D.h. in der Bestätigungsmail stünde so etwas wie:

Damit Deine Stimme gültig und veröffentlicht wird, musst du folgenden Link
besuchen: https://server.de/cgi/usevote/absimm-id/kennung
Post by Thomas Hochstein
Post by Peter Heirich
Grundsätzlich endet Datenschutz m.E. auch Bei Straftaten.
Das ist in dieser Allgemeinheit nicht richtig.
Sicher
Post by Thomas Hochstein
Post by Peter Heirich
Wenn die primäre Source im GIT liegt, versuche ich das zu klonen.
Ich habe keine Ahnung, wo Marc seinen Source hat. :) Ich führe allerdings
- primär für mich - ein Git-Repo, aus dem ich ggf. Patches alle paar
Zeiteinheiten an Marc weiterleite.
Ich habe, wie anderswo schon geschrieben, usevote installiert, um für
mein Richtlinienverfahren notfalls abstimmen zu können, auch wenn das die
GVV, konkret Du machen wirst.

Man sollte aber m.E. anderen Leuten nicht zwangsweise Arbeit aufhalsen
ohne deren Zustimmung zu haben bzw. bereit, willens und fähig sein, die
Arbeit notfalls selbst zu erledigen.

Aus meiner Installation von usevoteger-4.13 ergaben sich einige Problemchen.

Wobei, das excellente Software ist. Aufbau und Umsetzung sehr stimmig.

Man merkt die normale Heimat unter Windows ( execute Rechte für *.cfg im
download von Marc's Server ) und vermutlich übliche Nutzung mit POP3/SMTP.

Ich scheiterte zunächst, dass die Software eine iso8859-1 Umgebung
möchte. In meine UTF-8 Umgebung gab es keine Umlaute.

Zudem sind bei Tests, zunächst ohne persönliche Wahlscheine, Problemchen
aufgefallen.

Gefaltete Texte machen Probleme, je nach Veröffenlichung.
Post by Thomas Hochstein
Post by Peter Heirich
=-=-=-=-=-=-=-=- Alles vor dieser Zeile bitte loeschen =-=-=-=-=-=-=-=-
WAHLSCHEIN fuer Teilnahme am Test UseVote Software auf
               info21.heirich.name
Im diff gibt es 1 Leerzeichen unterschied.

Workaround: Titel der Abstimmung so kurz, dass er auf 1 Zeile passt.

------------------------------------------------------------------------

Aktueller Stand des Tests, erstmals mit Stimmen:


Wichtiger Hinweis:

Die unten aufgefuehrten Personen haben der Speicherung, Verarbeitung
und Veroeffentlichung ihrer Adressen und Stimmdaten nur im Rahmen dieses
Verfahrens zugestimmt. Eine Verwendung darueber hinaus wurde nicht
erlaubt. Damit ist insbesondere die Nutzung oder Uebermittlung der Daten
fuer Werbezwecke oder fuer die Markt- oder Meinungsforschung verboten.

========================================================================


Ja gestimmt:
------------------------------------------------------------------------
***@directbox.com Tilmann Hentze
***@d--p.de Dennis Preiser
***@NetBSD.org Michael Bäuerle
miteinere-mail-***@geekmail.de
Alfred Peters
***@posteo.de Marco Moock
***@gmx.de Michael Busse
***@info21.heirich.name Peter Heirich
***@thh.name Thomas Hochstein


Nein gestimmt:
------------------------------------------------------------------------
333200007110-***@ybtra.de Marcel Logen


Enthaltung:
------------------------------------------------------------------------
wolfgang-***@mein.gmx Wolfgang Bauer


Ungueltige Stimmen:
------------------------------------------------------------------------
MAILER-***@heirich.in-berlin.de Mail Delivery System
! Wahlschein gehoert nicht zu dieser Abstimmung
***@heirich.net Peter "N�" Heirich
! Keine Stimmen abgegeben
***@t-online.de Thomas Barghahn
! Wahlschein gehoert nicht zu dieser Abstimmung
Thomas Hochstein
2023-07-11 07:01:24 UTC
Permalink
Post by Peter Heirich
Post by Thomas Hochstein
Auch wird man bei einer Abstimmung nicht unbedingt
damit rechnen, dass Namen und E-Mail-Adressen der Abstimmenden
veröffentlicht werden - insbesondere, weil allgemein bekannt ist, dass
davon abgeraten wird, Mailadressen zu veröffentlichen und weil viele
Nutzer unterschiedliche Adressen für ihre öffentliche Auftritte und ihre
private Kommunikation nutzen.
Interessant ist u.U. die Betrachtung der Bestätigungsmail als eine Art
OPT_IN oder OPT_OUT. Wenn man A wie "Annulierung" einsendet wird ja nicht
veröffentlicht.
Interessant ist eigentlich ausschließlich, ob die vorgenommene
Datenverarbeitung rechtmäßig ist, und auf welche Rechtsgrundlage sie ggf.
gestützt werden soll. Wenn man Daten verarbeiten will, muss man sich das
eh überlegen, und zwar für alle Daten und alle potentiellen
Verarbeitungen, nicht zuletzt deshalb, weil darüber zu informieren ist.

Der zweite Schritt ist dann die Betrachtung bspw. einer E-Mail auf dieser
Grundlage.
Post by Peter Heirich
Möglicherweise könnte man, wenn auch mit Medienbruch, optional double
OPT_IN machen.
Damit Deine Stimme gültig und veröffentlicht wird, musst du folgenden Link
besuchen: https://server.de/cgi/usevote/absimm-id/kennung
Und was ist damit gewonnen?
Post by Peter Heirich
Man merkt die normale Heimat unter Windows ( execute Rechte für *.cfg im
download von Marc's Server ) und vermutlich übliche Nutzung mit POP3/SMTP.
Es würde mich, ehrlich gesagt, wundern, wenn jemand ernsthaft unter
Windows und über POP3 Abstimmungen auszählt, aber vermutlich kann Usevote
auch das.
Post by Peter Heirich
Ich scheiterte zunächst, dass die Software eine iso8859-1 Umgebung
möchte. In meine UTF-8 Umgebung gab es keine Umlaute.
Naja, die Software ist älter als die verbreitete Nutzung von UTF-8. Das
gilt für vieles, was so im Usenet läuft.
Post by Peter Heirich
Gefaltete Texte machen Probleme, je nach Veröffenlichung.
Ja, klar.
Post by Peter Heirich
Post by Thomas Hochstein
Post by Peter Heirich
=-=-=-=-=-=-=-=- Alles vor dieser Zeile bitte loeschen =-=-=-=-=-=-=-=-
WAHLSCHEIN fuer Teilnahme am Test UseVote Software auf
               info21.heirich.name
Im diff gibt es 1 Leerzeichen unterschied.
Workaround: Titel der Abstimmung so kurz, dass er auf 1 Zeile passt.
Yep. Der Code für die Bezeichnung der Abstimmung ist IIRC von mir; ich
habe dafür keine schnelle Lösung gefunden und hatte dann keine Zeit mehr.
:)

-thh
Peter Heirich
2023-07-10 15:07:28 UTC
Permalink
Post by Thomas Hochstein
Hast Du Dir schon einmal einen CfV angesehen?
Nur um den Wahlschein zu entnehmen.

Im Übrigen bin ich überrascht, dass praktisch jede Stimme manuell
"begutachtet" wird, bevor eine Bestätigung erfolgt.

In den Hinweisen oder im CfV fehlt m.E.:

Eine Vielzahl von Stimmen wird dem Wahlleiter zur Ansicht vorgelegt, bevor
eine Bestaetigung versandt wird.

VERZOEGERUNGEN um Stunden oder Tage sind also möglich. Wer eine technische
Eingangsbestaetigung wuenscht, fordere mit seinem Mailprogramm eine
Uebermittlungsbestätigung an.

Zudem bin ich auch im CfV de.soc.biblio überrascht von:


Zuständige Aufsichtsbehörde ist vorliegend der Landesbeauftragte für den
Datenschutz und die Informationsfreiheit _Rheinland-Pfalz._


Scheint in der Usevote Software nicht einzustellen sein, sondern normaler
Text zu sein

Im Übrigen würde ich oben:

Wahlschein : Untenstehendes Formular ist zu verwenden. Möglich sind
bei jedem Abstimmungspunkt zunächst JA, NEIN und ENTHALTUNG.
Weitere Wahlscheine mit ANULLIERUNG widerrufen die Stimmabgabe
und verhindern deren Veröffentlichung


anders (so) formulieren, um "aber da steht doch ..." zu vermeiden.


Peter
Thomas Hochstein
2023-07-11 07:01:24 UTC
Permalink
Post by Peter Heirich
Post by Thomas Hochstein
Hast Du Dir schon einmal einen CfV angesehen?
Nur um den Wahlschein zu entnehmen.
Das ist möglicherweise nicht die optimale Ausgangssituation, um
Abstimmungen durchzuführen.
Post by Peter Heirich
Im Übrigen bin ich überrascht, dass praktisch jede Stimme manuell
"begutachtet" wird, bevor eine Bestätigung erfolgt.
"Manuell" in dem Sinne, dass ein interaktiver Durchlauf des
Abstimmungsscripts erfolgt (weil ggf. ein Eingriff nötig ist)? Ja.

In dem Sinne, dass fast jede Stimme einen solchen manuellen Eingriff
erfordert? Nein. Üblicherweise läuft das Script schlicht durch. Manuelle
Eingriffe sind selten.
Post by Peter Heirich
Eine Vielzahl von Stimmen wird dem Wahlleiter zur Ansicht vorgelegt, bevor
eine Bestaetigung versandt wird.
Warum sollte ein solcher Hinweis erforderlich sein?
Post by Peter Heirich
VERZOEGERUNGEN um Stunden oder Tage sind also möglich.
Usenet ist nun wirklich kein Echtzeitmedium.
Post by Peter Heirich
Zuständige Aufsichtsbehörde ist vorliegend der Landesbeauftragte für den
Datenschutz und die Informationsfreiheit _Rheinland-Pfalz._
Was genau überrascht Dich daran? Art. 13 Abs. 2 lit. d) erfordert diese
Angabe zwar nicht ausdrücklich, ich halte sie aber jedenfalls dann für
zwingend, wenn der Sitz des Verantwortlichen nicht genau bekannt ist (und
ansonsten für höflich, vgl. auch Erwägungsgrund 60: " Der Verantwortliche
sollte der betroffenen Person alle weiteren Informationen zur Verfügung
stellen, die unter Berücksichtigung der besonderen Umstände und
Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet
werden, notwendig sind, um eine faire und transparente Verarbeitung zu
gewährleisten.").
Post by Peter Heirich
Scheint in der Usevote Software nicht einzustellen sein, sondern normaler
Text zu sein
Nichts außerhalb des eigentlichen Wahlscheins ist in Usevote einstellbar,
wozu auch? Eigentlich[tm] soll ja auch nur der Wahlschein versandt werden.

Usevote prüft ausschließlich, ob der Datenschutztextbaustein unverändert
vorliegt und ob die Zustimmung eindeutig und unmissverständlich erklärt
worden ist. Beides ist konfigurierbar. Das deckt die - angenommen -
Notwendigkeit einer Einwilligung jedenfalls für die Veröffentlichung dre
Daten ab.

Wie der CfV aussieht, ob der CfV den Regeln entspricht, welche
Informationen zum Abstimmungsablauf gegeben werden, wie die
Datenverarbeitung stattfindet, auf welche Rechtsgrundlage sie gestützt
wird und wie darüber informiert wird usw. liegt außerhalb des Fokus eines
Tools, das letztendlich nur das Auszählen von Hand ersetzen soll.

Gleichfalls muss auch der Votetaker - nicht Usevote - entscheiden, wie er
seinen Mailserver konfiguriert, welche Stimmen gültig sind, wie mit
Einwänden verfahren wird, ob und wann ein 2. CfV veröffentlich wird usw.
Eine genaue Kenntnis der Einrichtungsregeln und der Erläuterungen, die
viele Abläufe abdecken, ist notwendig, aber nicht hinreichend. Das
erfordert auch einige Routine in den Abläufen von de.admin.news.*,
insbesondere heutzutage, weil die meisten Üblichkeiten und Streitfälle aus
den späten 90ern und den frühen 2000ern datieren, als hier noch richtig
was los war. Dankenswerterweise hat die dana-Moderation irgendwann einmal
begonnnen, zumindest die wesentlichen Einspruchsentscheideungen zu
sammeln. Vieles muss aber gar nicht durch Einspruch entschieden werden,
weil man sich eh einig ist.
Post by Peter Heirich
Wahlschein : Untenstehendes Formular ist zu verwenden. Möglich sind
bei jedem Abstimmungspunkt zunächst JA, NEIN und ENTHALTUNG.
Weitere Wahlscheine mit ANULLIERUNG widerrufen die Stimmabgabe
und verhindern deren Veröffentlichung
anders (so) formulieren, um "aber da steht doch ..." zu vermeiden.
Wie gesagt: Jeder Votetaker entscheidet - im Rahmen der Regeln und seiner
datenschutzrechtlichen Verpflichtungen - selbst, wie er seinen CfV
formuliert.

-thh
Thomas Hochstein
2023-07-07 07:48:32 UTC
Permalink
Post by Thomas Hochstein
Post by Peter Heirich
Wie ist die empfohlene Verfahrensweise?
Die bisherige Handhabung der letzten Jahrzehnte könnte einen Hinweis
darauf geben.
Um das noch nachzuschieben: durch die DSGVO hat sich natürlich auch
insofern die Rechtslage verändert, jedenfalls was die Erfüllung der
Informationspflicht nach Art. 13 DSGVO betrifft, und auch im Hinblick auf
die Erforderlichkeit, die einzelnen Facetten der Datenverarbeitung sowie
die jeweilige Rechtsgrundlage (aus Art. 6 Abs. 1 DSGVO) zu benennen (Art.
13 Abs. 1 lit. c) und d) DSGVO). Letztlich ist das aber wiederum auch
hilfreich, zwingt es doch dazu, zu durchdenken, welche Daten zu welchen
Zwecken verarbeitet werden und inwieweit dafür eine Rechtfertigung
besteht.
Michael Ottenbruch
2023-07-15 07:33:36 UTC
Permalink
Post by Thomas Hochstein
Post by Peter Heirich
stellt sich mir die Frage der Behandlung der Datenschutzklausel.
Ist es überhaupt korrekt, mit der UseVote-Software eine Benachrichtigung
Wegen nicht erkannter Datenschutzklausel tun wir nichts, Stimme wird nicht
gezählt.
Naheliegenderweise aus Sicht des Maintainers und der regelmäßigen Nutzer
ja.
Post by Peter Heirich
Bereits darin liegt aber u.U. eine Verarbeitung.
Bereits in der Annahme u.v.am Speicherung liegt eine Datenverarbeitung.
Sicherlich. Diese Datenverarbeitung ist aber doch bei jeder E-Mail
(nicht nur bei einer Vote-Mail) unabdingbare Voraussetzung dafür, daß
der Empfänger die Mail überhaupt lesen kann. Wäre es nicht widersinnig,
anzunehmen, daß ich diese zwingende Voraussetzung nur bei einer
ausdrücklichen Zustimmung des Absenders vornehmen darf? Hier würde ich -
als bekanntemaßen juristischer Laie - schon eine konkludente Zustimmung
annehmen.
Post by Thomas Hochstein
Post by Peter Heirich
Zwar nett einen Hinweis
zu senden, aber u.U. unerwünscht und u.U. von einem Abmahn-Anwalt?
Zumal die Stimmabgabe weiterhin gespeichert wird.
Die Speicherung der Stimmabgabe ist schon eine Verarbeitung; sowohl die
Speicherung in den Ergebnis- und Arbeitsdateien von Usevote, als auch die
Speicherung der E-Mail, die den Wahlschein enthält.
Wenn man diese Verarbeitung für zulässig hält, dann ist es ein Gebot der
Fairness, den Abstimmenden darauf hinzuweisen, dass seine Stimme nicht
gewertet werden kann, weil er - vielleicht versehentlich - vergessen hat,
die notwendige Zustimmung dafür abzugeben.
Wenn man diese Verarbeitung nicht für zulässig hält, muss man die
Abstimmungs-E-Mail und die gezählte Stimme in allen Dateien manuell
entfernen. Wenn dann aber eine Nachfrage des Abstimmenden kommt, warum
seine Stimme nicht gewertet wurde, lässt sich der Sachverhalt nicht mehr
prüfen, weil alle Daten gelöscht wurden. Das ist eher unpraktisch.
Aus einer fehlenden Datenschutzklausel einen Zwang zur Löschung der Mail
aus der Inbox zu schließen, halte ich nach meinen obigen Ausführungen
mindestens für nicht naheliegend.
Post by Thomas Hochstein
[...]
--
...und tschuess!

Michael
E-mail: ***@sailor.ping.de
Alfred Peters
2023-07-08 08:43:05 UTC
Permalink
Post by Peter Heirich
Ich teste gerade meine Installation von UseVote
stellt sich mir die Frage der Behandlung der Datenschutzklausel.
Ist es überhaupt korrekt, mit der UseVote-Software eine Benachrichtigung
Wegen nicht erkannter Datenschutzklausel tun wir nichts, Stimme wird nicht
gezählt.
Bereits darin liegt aber u.U. eine Verarbeitung. Zwar nett einen Hinweis
zu senden, aber u.U. unerwünscht und u.U. von einem Abmahn-Anwalt?
IANAL - würde aber sagen, dass man hier die Wahl und die E-Mail getrennt
betrachten muss. Die Datenschutzklausel bezieht sich nur auf die Wahl.
Auf die Behandlung der E-Mail hat sie keine Auswirkung. Die Initiative
geht vom Sender aus. Und natürlich darf man eine E-Mail lesen - damit
verarbeiten - und auch auf sie antworten.
Post by Peter Heirich
Zumal die Stimmabgabe weiterhin gespeichert wird.
Wie genau? Wird nur die ungültige Stimme anonym gezählt? Das wäre IMO OK.

Oder wird der Name/die Adresse gespeichert? Das wäre IMO nicht OK.

Ein ähnliches Problem haben Firmen (News-Letter Betreiber etc.), die von
ihren Kunden die Aufforderung zur Löschung Ihrer Kontaktdaten erhalten.
Wenn ich mich recht erinnere dürfen die Firmen dann auch nicht
speichern, dass Kunde Xy keinen Kontakt wünscht. Angesichts von Double
Opt-In sollte das sowieso kein Problem sein. ;-)
Post by Peter Heirich
Die Software kann die Mail bzw Stimme auch kommentarlos ignorieren.
Wie ist die empfohlene Verfahrensweise?
Antwort generieren und Daten wegwerfen. IMHO,

Alfred
--
🀉🀗🀉🀕🀕 23516.2
🀗🀐🀉🀨
🀨🀩🀒🀐🀉🀒🀌
🀩🀌 🀒🀒
Peter Heirich
2023-07-08 18:09:35 UTC
Permalink
Post by Alfred Peters
Wie genau? Wird nur die ungültige Stimme anonym gezählt? Das wäre IMO OK.
Oder wird der Name/die Adresse gespeichert? Das wäre IMO nicht OK.
Komplette e-mail, wie beim mailer eingeliefert

Peter
Christian Schumacher
2023-07-09 17:35:42 UTC
Permalink
Post by Alfred Peters
Ein ähnliches Problem haben Firmen (News-Letter Betreiber etc.), die von
ihren Kunden die Aufforderung zur Löschung Ihrer Kontaktdaten erhalten.
Wenn ich mich recht erinnere dürfen die Firmen dann auch nicht
speichern, dass Kunde Xy keinen Kontakt wünscht. Angesichts von Double
Opt-In sollte das sowieso kein Problem sein. ;-)
Zwischen "bitte sende mir keine Werbung" und "lösche meine Daten" ist
meiner nicht-rechtswissenschaftlichen Ansicht nach noch ein Unterschied.
--
Gruß, Christian

»Fremde Fehler beurteilen wir wie Staatsanwälte,
die eigenen wie Verteidiger.«
Thomas Hochstein
2023-07-09 19:13:02 UTC
Permalink
Post by Alfred Peters
IANAL - würde aber sagen, dass man hier die Wahl und die E-Mail getrennt
betrachten muss. Die Datenschutzklausel bezieht sich nur auf die Wahl.
Auf die Behandlung der E-Mail hat sie keine Auswirkung.
Auch für die "Behandlung" - insbesondere die Speicherung - der E-Mail
braucht es einen datenschutzrechtlichen Erlaubnistatbestand. Wie man sich
das organisiert, darin ist man natürlich frei; es gibt ja nicht nur die
Einwilligung (und eine solche erfolgt durch die Bejahung der
"Datenschutzklausel") als Erlaubnistatbestand.
Post by Alfred Peters
Die Initiative
geht vom Sender aus. Und natürlich darf man eine E-Mail lesen - damit
verarbeiten - und auch auf sie antworten.
Ob man das darf, hängt eben davon ab, ob diese Datenverarbeitungen den
Voraussetzungen von Art. 5 DSGVO genügen.
Post by Alfred Peters
Post by Peter Heirich
Zumal die Stimmabgabe weiterhin gespeichert wird.
Wie genau? Wird nur die ungültige Stimme anonym gezählt? Das wäre IMO OK.
Oder wird der Name/die Adresse gespeichert? Das wäre IMO nicht OK.
All das hängt doch davon ab, ob und welche Erlaubnistatbestände vorliegen
und in was ggf. eingewilligt werden muss und eingewilligte wurde.

Das wiederum hängt davon ab, wie man als Votetaker die Abstimmung
organisiert und wie man die Information nach Art. 13 DSGVO verfasst.
Post by Alfred Peters
Post by Peter Heirich
Wie ist die empfohlene Verfahrensweise?
Antwort generieren und Daten wegwerfen. IMHO,
Und wenn der Abstimmungsteilnehmer dann - ggf. unter Logfileauszug - die
Auslieferung seiner E-Mail mit der Stimme belegen kann, der Votetaker aber
nicht belegen (ggf. noch nicht einmal mehr sagen) kann, was mit dieser
Stimme geschehen ist?

Die Abstimmung wäre dann im Zweifel zu wiederholen, weil ein Mailverlust
im Einzelfall belegt und daher auch insgesamt nicht auszuschließen ist.

-thh
Alfred Peters
2023-07-09 23:12:15 UTC
Permalink
Post by Thomas Hochstein
Post by Alfred Peters
Post by Peter Heirich
Wie ist die empfohlene Verfahrensweise?
Antwort generieren und Daten wegwerfen. IMHO,
Und wenn der Abstimmungsteilnehmer dann - ggf. unter Logfileauszug - die
Auslieferung seiner E-Mail mit der Stimme belegen kann, der Votetaker aber
nicht belegen (ggf. noch nicht einmal mehr sagen) kann, was mit dieser
Stimme geschehen ist?
Ja, das ist ein Dilemma. Wenn man Mail und Wahl getrennt behandelt,
sollte es aber kein Problem sein. Die E-Mail bleibt bis zum Wahlende im
E-Mail Konto liegen und wird erst danach gelöscht.

An das Wahlsystem gehen nur der Wahlschein und ggf. Name und Adresse aus
dem Header. Dieses speichert die Daten nur bei vorliegender Zustimmung.

Bei einem Einspruch schaut man noch mal ins Postfach.
Post by Thomas Hochstein
Die Abstimmung wäre dann im Zweifel zu wiederholen, weil ein Mailverlust
im Einzelfall belegt und daher auch insgesamt nicht auszuschließen ist.
Wenn die Speicherung nicht möglich weil ohne Zustimmung nicht erlaubt
ist, wäre das halt die Konsequenz.

Alfred
--
🀚🀋🀋🀑🀋🀀🀉🀉 23520.6
🀚🀃 🀃🀁🀁
🀤🀑🀤
🀋🀀 🀋🀋
Thomas Hochstein
2023-07-09 23:36:44 UTC
Permalink
Post by Alfred Peters
Post by Thomas Hochstein
Post by Alfred Peters
Post by Peter Heirich
Wie ist die empfohlene Verfahrensweise?
Antwort generieren und Daten wegwerfen. IMHO,
Und wenn der Abstimmungsteilnehmer dann - ggf. unter Logfileauszug - die
Auslieferung seiner E-Mail mit der Stimme belegen kann, der Votetaker aber
nicht belegen (ggf. noch nicht einmal mehr sagen) kann, was mit dieser
Stimme geschehen ist?
Ja, das ist ein Dilemma. Wenn man Mail und Wahl getrennt behandelt,
sollte es aber kein Problem sein. Die E-Mail bleibt bis zum Wahlende im
E-Mail Konto liegen und wird erst danach gelöscht.
Und auf welcher Grundlage erfolgt diese Datenverarbeitung?
Alfred Peters
2023-07-10 17:17:18 UTC
Permalink
Post by Thomas Hochstein
Post by Alfred Peters
Ja, das ist ein Dilemma. Wenn man Mail und Wahl getrennt behandelt,
sollte es aber kein Problem sein. Die E-Mail bleibt bis zum Wahlende im
E-Mail Konto liegen und wird erst danach gelöscht.
Und auf welcher Grundlage erfolgt diese Datenverarbeitung?
Was genau meinst du?

Mit der Speicherung der E-Mail (In einem E-Mail Konto!) muss jeder
Sender rechnen. Dem kann man IMHO auch nicht widersprechen.

Die Erlaubnis zur Verarbeitung der E-Mail müsste man ggf. im Rahmen der
Beschwerde vom Absender einholen.

Interessant wird es, wenn der Beschwerdeführer diese immer noch
verweigert. Kann man dann die Beschwerde wegen mangelnder
Mitwirkungspflicht abweisen?

Alfred
--
🀍🀚🀀🀞 23522.7
🀀🀍 🀞🀚
🀞🀔🀞🀥🀤
🀏🀔🀤🀥🀆🀆🀏
Thomas Hochstein
2023-07-11 07:01:24 UTC
Permalink
Post by Alfred Peters
Post by Thomas Hochstein
Post by Alfred Peters
Ja, das ist ein Dilemma. Wenn man Mail und Wahl getrennt behandelt,
sollte es aber kein Problem sein. Die E-Mail bleibt bis zum Wahlende im
E-Mail Konto liegen und wird erst danach gelöscht.
Und auf welcher Grundlage erfolgt diese Datenverarbeitung?
Was genau meinst du?
Ich frage, auf welcher Rechtsgrundlage aus Art. 6 Abs. 1 DSGVO diese
Datenverarbeitung erfolgt.
Post by Alfred Peters
Mit der Speicherung der E-Mail (In einem E-Mail Konto!) muss jeder
Sender rechnen. Dem kann man IMHO auch nicht widersprechen.
Meinungen sind nett, Argumentationen am Gesetz (hier der DSGVO) sind
hilfreicher.
Bastian Blank
2023-07-11 13:11:07 UTC
Permalink
Post by Thomas Hochstein
Ich frage, auf welcher Rechtsgrundlage aus Art. 6 Abs. 1 DSGVO diese
Datenverarbeitung erfolgt.
Das wäre Art. 6 Abs. 1 lit. b) DSGVO. Der Vertragsbegriff ist nicht
identisch zu dem des BGB.

Die Speicherung ist notwendig damit der Empfänger der Anfrage diese zu
Gesicht bekommen und halt auch Antworten kann. Es ist damit erforderlich
im Sinne dieser Bestimmung.

Als Beispiel siehe auch 8 U 94/22, OLG Hamm.
https://www.damm-legal.de/olg-hamm-dsgvo-steht-auskunftsrecht-eines-vereinsmitglieds-auf-mitgliederliste-mit-e-mail-adressen-nicht-entgegen

Bastian
Thomas Hochstein
2023-07-12 00:14:57 UTC
Permalink
Post by Bastian Blank
Post by Thomas Hochstein
Ich frage, auf welcher Rechtsgrundlage aus Art. 6 Abs. 1 DSGVO diese
Datenverarbeitung erfolgt.
Das wäre Art. 6 Abs. 1 lit. b) DSGVO. Der Vertragsbegriff ist nicht
identisch zu dem des BGB.
Das ist mir klar; dennoch sehe ich nicht, welche vertraglichen Beziehungen
bestehen sollten.
Post by Bastian Blank
Als Beispiel siehe auch 8 U 94/22, OLG Hamm.
https://www.damm-legal.de/olg-hamm-dsgvo-steht-auskunftsrecht-eines-vereinsmitglieds-auf-mitgliederliste-mit-e-mail-adressen-nicht-entgegen
Da geht es darum, dass eine Vereinsmitgliedschaft ein "Vertrag" im Sinne
des Art 6 Abs. 1 lit. b) DSGVO ist. Ich sehe nicht die Parallele zum hier
besprochenen Sachverhalt.
Alfred Peters
2023-07-11 17:48:47 UTC
Permalink
Post by Thomas Hochstein
Post by Alfred Peters
Post by Thomas Hochstein
Post by Alfred Peters
Ja, das ist ein Dilemma. Wenn man Mail und Wahl getrennt behandelt,
sollte es aber kein Problem sein. Die E-Mail bleibt bis zum Wahlende im
E-Mail Konto liegen und wird erst danach gelöscht.
Und auf welcher Grundlage erfolgt diese Datenverarbeitung?
Was genau meinst du?
Ich frage, auf welcher Rechtsgrundlage aus Art. 6 Abs. 1 DSGVO diese
Datenverarbeitung erfolgt.
Sorry, da bin ich raus. IANAL.

Alfred
--
🀊 23525.5
🀐🀞🀄🀛🀈🀒🀐
🀀🀊🀄 🀕🀀🀒
🀋🀕🀛🀈🀞🀋
Peter Heirich
2023-07-10 14:24:19 UTC
Permalink
Post by Alfred Peters
Ein ähnliches Problem haben Firmen (News-Letter Betreiber etc.), die von
ihren Kunden die Aufforderung zur Löschung Ihrer Kontaktdaten erhalten.
Wenn ich mich recht erinnere dürfen die Firmen dann auch nicht
speichern, dass Kunde Xy keinen Kontakt wünscht. Angesichts von Double
Opt-In sollte das sowieso kein Problem sein. ;-)
Wundert mich.

M.M.n. erzwingt die AO oder HGB die Aufbewahrung aller Geschäftsbriefe
für 10 Jahre. Seit irgendwann gilt das auch für e-mail.

Die müsste nach (weiß der Geier G??VO) IIRC so gespeichert werden, dass
Verfälschungen nicht möglich sind oder zumindest erkannt werden.

Es gibt da tolle e-mail Archive mit integriertem CD-Brenner.



Peter
Alfred Peters
2023-07-10 17:28:14 UTC
Permalink
Post by Peter Heirich
Post by Alfred Peters
Ein ähnliches Problem haben Firmen (News-Letter Betreiber etc.), die von
ihren Kunden die Aufforderung zur Löschung Ihrer Kontaktdaten erhalten.
Wenn ich mich recht erinnere dürfen die Firmen dann auch nicht
speichern, dass Kunde Xy keinen Kontakt wünscht. Angesichts von Double
Opt-In sollte das sowieso kein Problem sein. ;-)
Wundert mich.
M.M.n. erzwingt die AO oder HGB die Aufbewahrung aller Geschäftsbriefe
für 10 Jahre. Seit irgendwann gilt das auch für e-mail.
Die müsste nach (weiß der Geier G??VO) IIRC so gespeichert werden, dass
Verfälschungen nicht möglich sind oder zumindest erkannt werden.
Ist doch mein Reden. E-Mail speichern: Ja - Daten (ohne Zustimmung) in
einer Datenbank speichern: Nein.

Alfred
--
🀐🀟🀐 23522.7
🀊🀟🀂🀀
🀁🀀🀊 🀂🀑
🀁🀃🀖🀖🀃🀀🀀🀑
Thomas Hochstein
2023-07-11 07:01:24 UTC
Permalink
Post by Alfred Peters
Post by Peter Heirich
M.M.n. erzwingt die AO oder HGB die Aufbewahrung aller Geschäftsbriefe
für 10 Jahre. Seit irgendwann gilt das auch für e-mail.
Das ist dann Art. 6 Abs. 1 lit c) DSGVO.
Post by Alfred Peters
Ist doch mein Reden. E-Mail speichern: Ja - Daten (ohne Zustimmung) in
einer Datenbank speichern: Nein.
Aus welchem Grund sollte man die Daten, für die eine Aufbewahrungspflicht
besteht, nicht in einer Datenbank speichern dürfen, und wo unterscheidet
das Datenschutzrecht zwischen der Speicherung einer E-Mail (die je nach
verwendeter Technik in einer Datenbank erfolgt) und der Speicherung in
einer Datenbank?

-thh
Lesen Sie weiter auf narkive:
Loading...