DSGVO-Einstellungen für Mailinglisten

Am 25.05.2018 trat die Datenschutz-Grundverordnung (DSGVO) in Kraft.  Im Vergleich zu den bisher geltenden Datenschutzgesetzen erweitert die DSGVO insbesondere die Informations- und Nachweispflichten durch datenverarbeitende
Stellen. Diese Änderungen gelten auch für den Mailinglisten-Server der Christian-Albrechts-Universität zu Kiel (CAU) unter
https://www.lists.uni-kiel.de/ mit entsprechenden Listenadressen <listenname>@lists.uni-kiel.de.  Auch hier werden personenbezogene Daten
(E-Mail- und IP-Adressen) verarbeitet.

Nicht alle Mailinglisten sind von den Änderungen betroffen.  Insbesondere betrachten wir Listen als unproblematisch, wenn diese nur E-Mail-Adressen der Universität oder von An-Instituten enthalten (interne Adressen).  Hier wird die Erlaubnis zur Datenverarbeitung durch den Dienstvertrag oder die Immatrikulation als gegeben angenommen. Für diese Listen sind keine weiteren Maßnahmen erforderlich.

Maßnahmen notwendig sind allerdings für Listen, die "externe" Adressen als Abonnenten enthalten. Vor Eintragung einer externen Adresse in eine
Mailingliste gibt die DSGVO folgende Pflichten vor:

  1. Der Inhaber der E-Mail-Adresse muss über die Datenverarbeitung detailliert informiert werden. Die entsprechende Informationsseite findet sich unter https://www.rz.uni-kiel.de/de/angebote/it-sicherheit/datenschutzhinweise/mailinglisten.
  2. Der Inhaber der E-Mail-Adresse muss der Datenverarbeitung aktiv zustimmen.
  3. Der Betreiber der Mailingliste ist in der Nachweispflicht, dass die Zustimmung zur Verarbeitung erteilt wurde. Bei automatisierter Anmeldung (Selbsteinschreibung) kann dies über entsprechende Protokolleinträge auf dem Listenserver geschehen.

 

Allgemeine Schritte


Konkret bedeutet dies für Listenbetreiber, dass

  1. in der Einladungsnachricht (Unter "Administrator" => "Anpassen" => Automatische Nachrichten" => "Abonnement-Einladungsnachricht") und der Listenbeschreibung ("Administrator" => "Anpassen" => "HTML-Seiten"     => "Listenbeschreibung") auf die Datenverarbeitung hingewiesen und auf die Datenschutzhinweise (https://www.rz.uni-kiel.de/de/angebote/it-sicherheit/datenschutzhinweise/mailinglisten) verwiesen wird
    Damit eine automatische Abmeldung möglich ist, sollte unter
    1. nach Möglichkeit unter "Listenkonfiguration bearbeiten" => "Privilegien" => "Wer kann abbestellen (unsubscribe)" die Option "offen (open)" gewählt werden. In diesem Fall können sich Listenmitglieder jederzeit selbst abmelden.
    2. Zusätzlich muss dann unter "Anpassen" => "Zusatz zu verteilten Nachrichten" => "Nachrichtenfuß" ein Hinweis auf die Möglichkeit der Abmeldung angebracht werden.
  2. in der Einladungsnachricht und in der Listenbeschreibung auf
    • die aktivierte Archivierung (siehe unten)
    • die Archivierungsdauer
    • die Nutzergruppe, für die das Archiv einsehbar ist ("Listenkonfiguration bearbeiten" => "Archive") eindeutig hingewiesen wird.
    Leider lässt sich die Archivfunktion in der derzeitigen Version der Listensoftware nicht zuverlässig dauerhaft deaktivieren.

    Wir raten dazu, die Archivierungsdauer ("Listenkonfiguration bearbeiten" => "Archive" => "Webarchive") so klein wie möglich zu wählen (1 Monat).
  3. Unter "Listenkonfiguration bearbeiten" => "Privilegien" => "Wer kann die Liste abonnieren (subscribe)" darf nicht "open", "open_notify" oder "open_quiet" ausgewählt sein. Hier muss zwingend eine Variante mit Authentifizierung (auth) oder manueller Bestätigung (owner) ausgewählt werden.

    Die nicht mehr zulässigen Varianten wurden bereits deaktiviert und können nicht mehr gewählt werden, bleiben aber für bereits bestehende Listen aktiv.

 

Abmelde-Fußzeile

Verwenden Sie für den Abmelde-Link in der Fußzeile folgende Vorlage

[% wwsympa_url %]/auto_signoff/[% listname %]/[% user.escaped_email %]


Ergänzen Sie diese gerne um eigenen Text.

Damit die Vorlage korrekt ersetzt wird, ist zusätzlich notwendig, dass unter "Listendefinition" => "Einstellungen zum Senden und Empfangen" ganz unten unter "Nachrichten-Personalisierung zulassen (merge_feature)" auf "enabled (on)" gesetzt wird.

 

Listen mit manuell eingetragene Abonnenten

Falls Abonnenten manuell eingetragen wurden, ist notwendig, dass Sie in Ihren Unterlagen entsprechende Nachweise für die Zustimmung zur Datenverarbeitung (z.B. eine E-Mail mit der Bitte um Eintragung) vorliegen haben. Bitte beachten Sie, dass es sich hierbei um eine Nachweispflicht handelt, und die Nachweise von den Betroffenen auch einforderbar sind.

Bestehen bei einzelnen oder mehreren Adressen Zweifel, wie diese auf die Liste gekommen sind, und kann die Zustimmung nicht anderweitig eingeholt werden, so bleibt als datenschutzkonformer Ausweg nur

  1. Information der Betroffenen mit dem Hinweis, dass ihre Adresse von der Liste entfernt wird und sich die Betroffenen selbst zurückmelden müssen, wenn diese auf der Liste verbleiben wollen Hierfür kann auch die Selbsteinschreibung der Liste ("Listenkonfiguration bearbeiten"  => "Privilegien" => "Wer kann die Liste abonnieren (subscribe)") aktiviert werden.

    Der Anmelde-Link für die Selbsteinschreibung lautet dann für jede individuelle Liste

    https://www.lists.uni-kiel.de/sympa/subscribe/<listenname>    
  2. Austragen der zweifelhaften Adressen aus der Abonnentenliste im Modus "leise" (ohne Benachrichtigung). Auch eine selbst erstellte Sicherungskopie darf nicht aufbewahrt werden.