Post by Peter HeirichPost by Thomas HochsteinDie Speicherung der Stimmabgabe ist schon eine Verarbeitung; sowohl die
Speicherung in den Ergebnis- und Arbeitsdateien von Usevote, als auch die
Speicherung der E-Mail, die den Wahlschein enthält.
Wobei hier die gesetzliche Regelung technisch teilweise schwachsinnig ist.
Man kann sehr dezidierte Auffassungen zum Datenschutz und insbesondere zur
Art seiner Umsetzung durch das Datenschutzrecht haben (ich tue das); es
ändert allerdings nichts an der Rechtslage.
Post by Peter HeirichJuristisch gibt es konkludentes Handeln.
Ja, und nicht zuletzt wegen schlechter Erfahrungen ist man da im
Datenschutzrecht ausgesprochen zurückhaltend.
Post by Peter HeirichWer keine Datenverarbeitung
wünscht, aber trotzdem eine email bei einer öffentlich für alle
vorgesehenen Empfangseinrichtung einliefert, hat sich m.M.n. konkludent
umentschieden.
Das hängt unter anderem davon ab, ob die Information über die
Datenverarbeitung vollständig, zutreffend und unmissverständlich war und
ob sich die Art der Datenverarbeitung im Rahmen des Erwartungshorizonts
hält. Zum Beispiel wird man natürlich erwarten, dass eine E-Mail gelesen
und ggf. gespeichert wird. Mit der Veröffentlichung der E-Mail wird man
hingegen nicht rechnen. Auch wird man bei einer Abstimmung nicht unbedingt
damit rechnen, dass Namen und E-Mail-Adressen der Abstimmenden
veröffentlicht werden - insbesondere, weil allgemein bekannt ist, dass
davon abgeraten wird, Mailadressen zu veröffentlichen und weil viele
Nutzer unterschiedliche Adressen für ihre öffentliche Auftritte und ihre
private Kommunikation nutzen.
Dazu kommt, dass die Einwilligung als Rechtsgrundlage der Verarbeitung aus
vielerlei Hinsicht problematisch ist: nicht nur wegen der Frage, ob sie
überhaupt wirksam erteilt ist, sondern auch wegen der notwendigen
Freiwilligkeit (!) der Einwilligung und des jederzeit möglichen Widerrufs.
Es ist daher praktisch klug und entspricht auch dem Regelungsmodell es
europäischen Gesetzgebers, die Verarbeitung "notwendiger" Daten auf andere
Erlaubnistatbestände zu stützen und die Einwilligung für den Bereich "nice
to have" vorzusehen, der anders nicht begründbar ist, bei denen eine
Verweigerung der Einwilligung oder der Widerruf aber nicht problematisch
sind.
Post by Peter Heiricha) bei Erkenntnis über den "Restwillen" der gewollten Verneinung jede
witere Beschäftigung, also Be- und Verarbeitung zu vermeiden.
Wenn die Einwilligung widerrufen wird, sind alle verarbeiteten Daten zu
löschen; da ist dann nichts mehr mit "Vermeidung".
Post by Peter HeirichFür allgemein, generell geführte z.B. Logs gilt m.E. auch die o.g.
konkludente Zustimmung zur erarbeitung und Speicherung.
Nein, das wäre ja völlig wahnsinnig, wenn jederzeit die Löschung verlangt
werden könnte; zudem werden Logs oft erzeugt, bevor der Nutzer überhaupt
erfahren konnte, was und wie und warum gespeichert wird. Die Logerzeugung
wird daher reglmäßig - und richtigerweise - auf berechtigte Interessen
gestützt.
Post by Peter HeirichGrundsätzlich endet Datenschutz m.E. auch Bei Straftaten.
Das ist in dieser Allgemeinheit nicht richtig.
Post by Peter HeirichD.h.
Aufzeichnungen, Logs, die geführt werden, um Angriffe gegen DV Anlagen (§§
303a, 303b StGB) zu erkennen und ggfls. verfolgen zu können. Hier ist der
tragende Gedanke, das ein Straftäter nicht sich selbst begnadigen bzw.
durch eigene Willenserklärung vor Strafvervolgung schützen können.
Wenn jemand dumm genug war, diese Daten auf Grundlage einer Einwilligung
zu erheben, dann ist er selbst schuld, dass er sie zur Verfolgung von
Angriffen im Zweifel nicht verwerten kann.
Post by Peter HeirichInsofern sehe ich auch kein Problem für Logs etc. Auch eventuelle
Vollkopien können durch Aufzeichnungspflichen sogar u.U. gesetzlich
erzwungen ( z.B. Aufzeichnungspfhlichten nach AO oder HGB) sein.
Ja, natürlich. Dann ist der Erlaubnistatbestand aber auch nicht die
Einwilligung, sondern die gesetzliche Verpflichtung.
Post by Peter HeirichPost by Thomas HochsteinDas ändert dann aber doch nichts an einer - unterstellt - rechtswidrigen
Verarbeitung der Daten, sondern benachteiligt nur (unnötig) den
Abstimmungsteilnehmer.
Deren Rechtswidrikeit ich bis hier nicht sehe. Die Verarbeitung erfolgt
mit (notfalls) konkludenter Zustimmung des Maileinsenders.
Eine Verneinung (!) der Einwilligung ist keine konkludente Zustimmung.
Post by Peter HeirichBis dahin darf man m.E. allein aus der Tatsache der
eingegangenen Abstimm- E-mail von datenschutzrechtlicher Zustimmung
ausgehen.
Das halte ich für höchst zweifelhaft.
Post by Peter HeirichHellsehen gehört noch nicht zum Berufsbild des Informatikers,
auch wenn Nichtiformatiker das nicht glauben wollen.
Es gehört aber zu den Aufgaben des Verantwortlichen, seine
Datenverarbeitung so zu organisieren, dass sie den rechtlichen
Anforderungen entspricht.
Post by Peter HeirichPost by Thomas HochsteinDie bisherige Handhabung der letzten Jahrzehnte könnte einen Hinweis
darauf geben.
Und die war konkret?
Hast Du Dir schon einmal einen CfV angesehen?
Post by Peter HeirichWenn die primäre Source im GIT liegt, versuche ich das zu klonen.
Ich habe keine Ahnung, wo Marc seinen Source hat. :) Ich führe allerdings
- primär für mich - ein Git-Repo, aus dem ich ggf. Patches alle paar
Zeiteinheiten an Marc weiterleite.
-thh