Newsletter DSGVO konform

[neelix]

Hallo zusammen,

wie kann ich dem "Newsletter abonieren" Modul eine Checkbox für die "Datenschutzrechtliche Einwilligungserklärung" hinzufügen?
Nach der EU-DSVGO muss der Adressat der Verarbeitung seiner Daten zustimmen, bevor er das Formular absenden kann. Kommt da noch ein Updates des Moduls?

Und dann noch: Das Modul bietet an eine "Sicherheitsabfrage" zu deaktivieren? Obwohl ich den Haken nicht gesetzt habe, sehe ich nichts davon auf der Seite.
Was mache ich da falsch?

Neelix

[Spooky]

Und dann noch: Das Modul bietet an eine "Sicherheitsabfrage" zu deaktivieren? Obwohl ich den Haken nicht gesetzt habe, sehe ich nichts davon auf der Seite.
Was mache ich da falsch?

Nichts, in Contao 4 wird für die Sicherheitsabfrage das selbe Prinzip wie von RockSolid Antispam benutzt.

[neelix]

Ah schön, sehe gerade, dass das beim Kontaktformular auch so ist.

Und was ist mit dem ersten Teil meiner Frage? Hat da jemand auch eine Lösung für?

[lucina]

Die Antwort auf den ersten Teil ist, das wir noch nicht wissen wie das gelöst werden muss und wird. Wir sind im Augenblick in Kontakt mit einem Fachanwalt um zu klären, welche Dinge da überhaupt nötig sind und wie sie umgesetzt werden können.

Meine persönliche Nachfrage Anfang Februar beim Landesdatenschutzzentrum Schleswig-Holstein ergab seitens des zuständigen Mitarbeiters ebenfalls, das noch vollkommen unklar ist, welche rechtlichen Probleme tatsächlich auftreten werden und wie sie gelöst werden könnten. Immerhin werden die (ab Herbst!) dazu Schulungen und Veranstaltungen anbieten.

[neelix]

In der aktuellen Ausgabe der c't sind ein paar Artikel zu dem Thema. Dort heißt es:

Wer nicht zum Spammer werden
möchte, holt vor dem Versand eines
Newsletters die Einwilligung des Nutzers
ein. Der Einwilligungstext darf nicht zu
pauschal formuliert sein, sondern muss
erkennen lassen, welche personenbezogenen Daten zu welchem Zweck von wem
verarbeitet werden. Außerdem muss er
auf das Widerrufsrecht hinweisen. Der
Screenshot auf dieser Seite enthält einen
Mustertext.

Newsletter.PNG
Quelle: c’t 2018, Heft 5, Seite 106

Diese Einwillung müsste dann mit der E-Mailadresse zusammen gespeichert werden.

Ich habe mich jetzt mal damit beholfen, das ich diesen Text in die Opt-In- Mail aufgenommen habe. So wird der User zumindest informiert bevor er seine E-Mailadresse aktiviert.

[lucina]

Wie gesagt: es wird einen Audit geben.

Weiter: Auch Heise ist nicht der Nabel der Welt. Es kommt vermutlich auf den konkreten Fall an, welche Massnahmen zu treffen sind. Wie sehr da Information und Halbwissen durcheinandergehen sieht man übrigens auch in dem von Dir zitierten Artikel (den Du nicht alleine gelesen hast) sehr schön an der Verquickung der Begriffe 'Spam' und 'Datenschutz'.

Auch die weiteren Ausführungen von Herrn Heidrich & Co halte ich persönlich maximal für einen Einstieg in das Thema, keine konkrete Anleitung.

[neelix]

Heise bietet aber zumindest mal einen praktischen Lösungsansatz. Und ich denke für die meisten Vereinseiten und KMUs dürfte der ausreichend sein.
Wenn ich heute nach "Umsetzung DSVGO" suche, dann finde ich alles, aber kaum praktische Vorschläge zur Umsetzung.

Klar, das ist alles noch in der Entwicklung, und keiner kann absehen, wie Behörden und Gerichte schlussendlich bewerten und entscheiden werden. Die ersten Rechsprechungen werden wir dann in 10 Jahren haben [Und ob die dann EU einheitlich sind?] Aber irgendwer muss ja mal was anfrangen.

Da die zuständigen Behörden ja selbst nicht wissen wie, können sie kaum verlangen, dass es alle von Anfang an richtig machen.

Weiter: Auch Heise ist nicht der Nabel der Welt. Es kommt vermutlich auf den konkreten Fall an, welche Massnahmen zu treffen sind. Wie sehr da Information und Halbwissen durcheinandergehen sieht man übrigens auch in dem von Dir zitierten Artikel (den Du nicht alleine gelesen hast) sehr schön an der Verquickung der Begriffe 'Spam' und 'Datenschutz'.

Sicher gehört das zusammen. Wenn ich keine Einwillung des Nutzers habe seine Adresse zu verwenden und tue es doch, dann ist das Spammen. Da gibt es schon Urteile zu.

[tab]

Wie soll das in der Praxis aussehen? Wenn irgendein böswilliger Nutzer dem guten Nutzer einen Newsletter auf dessen Email-Adresse registriert, dann wird es sich nicht vermeiden lassen, dass die Opt-In Mail an die Adresse des Nutzers rausgeht, ohne dass dieser zugestimmt hat. Der weiss ja womöglich noch nicht mal, dass es deine Website überhaupt gibt, geschweige denn von einem Newsletter. Wie hättest du ihm das auch vorher mitteilen sollen, wenn er sich gar nicht selbst registriert hat?

[neelix]

Dafür aber ist ja Double-Opt-In gedacht: Erstmal muss ich meine Adresse aktiv angeben und dann über den Link in der Mail aktivieren. Ignoriere ich die Mail darf ich auch keinen Newsletter bekommen.
Aufpassen muss ich mit dem Inhalt der Bestätigungsmails. Die dürfen keinen werbenden Charakter aufweisen: https://www.e-recht24.de/news/blog-f...-haendler.html

Im Zweifel muss ich auch heute schon nachweisen, dass derjenige sich auch selbst registriert hat. Das wird man aber wohl nur selten schaffen. Liegen zwischen der Opt-In-Mail und der Beschwerde/ Abmahnung mehr als 7-14 Tage, dürfte niemand mehr nachweisen können, von welchem Anschluss aus der Newsletter angefordert wurde.

Das Problem besteht ja heute auch schon, und lässt sich nicht verhindern. Jetzt aber muss ich den Adressaten schon vor Absenden des Formulars nachweisbar darauf hinweisen, was mit seinen Daten geschieht.

[jk1]

Jetzt aber muss ich den Adressaten schon vor Absenden des Formulars nachweisbar darauf hinweisen, was mit seinen Daten geschieht.

Und in welchem Gesetz steht, dass dies per extra Checkbox beim Eintragen der Adresse geschehen muss, und nicht in der Datenschutzerklärung, auf die ich ja vorher auch hingewiesen wurde?

Zum Thema, siehe btw auch hier: https://github.com/contao/core/issues/8847

[tab]

Nach der EU-DSVGO muss der Adressat der Verarbeitung seiner Daten zustimmen, bevor er das Formular absenden kann.

Ja, aber diese Zustimmung hast du ja nicht, zumindest kannst du nicht sicher sein, dass du sie hast. Weil du nicht weisst, ob der Absender des Formulars (den kannst du freilich darauf hinweisen und zustimmen lassen) auch der Adressat ist. Der Absender des Formulars gibt dir dann die Einwilligung, die Daten des Adressaten zu speichern. Und der Adressat wird dir vorwerfen, dass ER eben nicht zugestimmt hat. Und da wird die Beweislast dann vermutlich auf deiner Seite liegen und nicht auf seiner. Also müsste man in diesem Fall die komplette IP-Adresse des Formular-Absenders, Datum und Uhrzeit der Einwilligung abspeichern, bis die Registrierung durch den Bestätigungslink bestätigt ist. Danach kann das wieder gelöscht werden. Damit liesse sich im Zweifel ermitteln, wer das Formular missbräuchlich abgeschickt hat. Naja, zumindest den Anschluss, einen Rechner im lokalen Netzwerk oder gar die Person des Absenders wird man selten aus der IP ermitteln können. Das sollte dann in diesem Fall eigentlich auch kein datenschutzrechtliches Problem sein, man kann ja dann auch auf diese Datenspeicherung hinweisen und die Einwilligung entsprechend erweitern. Notwendig ist diese Speicherung um der Nachweispflicht genügen zu können bzw den Websitebetreiber vor den Folgen des Missbrauchs (Abmahnung) zu schützen. Das ist das, was ich zu diesem Thema für vernünftig halte. Aber ich bin ja auch kein Jurist .

[Stranger]

Ein Kunde von uns meinte jetzt, dass es künftig wohl gar nicht mehr möglich sein wird Newsletter-Empfänger anzuschreiben, der sich vor mehr als 3 Jahren eingetragen haben. Man müsste dann eine erneute Erlaubnis einholen. Wenn das stimmt, wäre das absolut irre...

Ja, aber diese Zustimmung hast du ja nicht, zumindest kannst du nicht sicher sein, dass du sie hast. Weil du nicht weisst, ob der Absender des Formulars (den kannst du freilich darauf hinweisen und zustimmen lassen) auch der Adressat ist. Der Absender des Formulars gibt dir dann die Einwilligung, die Daten des Adressaten zu speichern. Und der Adressat wird dir vorwerfen, dass ER eben nicht zugestimmt hat. Und da wird die Beweislast dann vermutlich auf deiner Seite liegen und nicht auf seiner. Also müsste man in diesem Fall die komplette IP-Adresse des Formular-Absenders, Datum und Uhrzeit der Einwilligung abspeichern, bis die Registrierung durch den Bestätigungslink bestätigt ist. Danach kann das wieder gelöscht werden. Damit liesse sich im Zweifel ermitteln, wer das Formular missbräuchlich abgeschickt hat. Naja, zumindest den Anschluss, einen Rechner im lokalen Netzwerk oder gar die Person des Absenders wird man selten aus der IP ermitteln können. Das sollte dann in diesem Fall eigentlich auch kein datenschutzrechtliches Problem sein, man kann ja dann auch auf diese Datenspeicherung hinweisen und die Einwilligung entsprechend erweitern. Notwendig ist diese Speicherung um der Nachweispflicht genügen zu können bzw den Websitebetreiber vor den Folgen des Missbrauchs (Abmahnung) zu schützen. Das ist das, was ich zu diesem Thema für vernünftig halte. Aber ich bin ja auch kein Jurist .

Kann sein, dass du bei einer Registrierung die IP-Adresse speichern darfst, aber bestimmt nicht dauerhaft... Und bei Lappalien wie dem Eintragen in den Newsletter kann ich mir kaum vorstellen, dass du die IP-Adresse künftig noch speichern darfst. Also wenn du dann mit dem Argument kommst "Der Newsletter wurde mit Ihrer E-Mail-Adresse xxx abonniert und hier ist die IP-Adresse und das Datum wann es beantragt wurde"... zack hast du schon mal weitere Argumente selbst geliefert, die beweisen, dass du XX Mio Strafe zahlen musst oder halt verklagt wirst.

Und wenn wirklich der Absender != der Adressat ist, könnte das sogar bedeuten, dass du verklagt werden kannst, weil du herausposaunt hast, dass IP-Adresse xxx am xxx auf deiner Seite einen Newsletter abonniert hat. Auch wenn derjenige das vermeintlich zu Unrecht getan hat (könnte es ja auch ein Verschreiber sein oder dergleichen)... das könnte im schlimmsten Fall zur Folge haben, dass dich dann der falsche Absender (vermeintliche Betrüger) abmahnt.

Das erinnert mich an den Quatsch, dass man persönlich haftet, wenn ein Einbrecher in eine Grube auf dem eigenen Grundstück fällt und sich schwer verletzt oder stirbt... sofern die Grube nicht entsprechend gekennzeichnet und abgesichert wurde...

[tab]

Das siehst du jetzt eventuell zu pessimistisch. Das mit dem Speichern der IP-Adresse ist natürlich nur mit Zustimmung desjenigen möglich, dessen IP-Adresse gespeichert wird. Die muss man dann eben einholen bei der Registrierung. Man dard das natürlich gegenüber dem Empfänger der Mail mit dem Bestätigungslink nicht "herausposaunen". Wozu auch? Ist der Empfänger derjenige, der das Registrierungsformular ausgefüllt hat, dann weiss er das schon. Ist er es nicht, dann geht es ihn nichts an, weil es nicht seine Daten sind. Bei einer Zustimmung im Registrierungsformular hast du die Zustimmung definitiv von dem, dessen persönliche Daten (IP) du speicherst. Das ist zumindest momentan auch noch gängige Praxis, wenn auch nicht unbedingt bei Newslettern. Ob dir die IP als "Beweis" noch irgendwas bringt, falls es sich um eine dynamisch zugeordnete IP handelt, ist allerdings eine andere Frage, da die Zuordnung der IP zum Kunden vom Provider nicht besonders lange (7 Tage?) gespeichert wird (gespeichert werden darf). Wenn dir also die Abmahnung vom Email-Empfänger ins Haus flattert, ist die IP-Adresse sehr wahrscheinlich sowieso schon nichts mehr wert, weil nicht mehr zuordenbar. Keine Ahnung, ob es für das Problem "Newsletter-Registrierung" ohne qualifizierte Signatur eine 100% legale und sichere Lösung gibt. Also nicht nur eine, die durch die gängige Rechtsprechung geduldet wird. Es bleibt natürlich immer der Postweg für die Einholung der Registrierungsbestätigung, den Post-Briefkasten zuzuspammen ist ja immer noch erlaubt. Da passt ja auch viel mehr Spam rein als in ein Email-Postfach . Aber naja ... einfach bzw zeitgemäß ist anders. Eigentlich ist das alles ohne eine qualifizierte Signatur m.E. theoretisch unlösbar. Man speichert persönliche Daten von einer Person 1 und hat dafür bestenfalls die Zustimmung von einer Person 2. Ob die beiden Personen identisch sind, lässt sich ohne qualifizierte Signatur nicht feststellen. In der Praxis werden dann wie immer die Gerichte entscheiden, welcher Rechtsbruch akzeptabel ist, um das unlösbare Problem zu lösen. Leider gibt es noch keine sanktionierte Vorschrift, nach der der Gesetzgeber bei der Formulierung eines Gesetzes das Gehirn einschalten muss.

[yogi1030]

Der Gesetzgeber kann gar nicht 100% klar formulieren, weil man sonst jeden erdenkbaren Fall im Gesetzestext festhalten müsste und die Gefahr von Lücken die man übersieht, sind ziemlich groß. Da sind wir dann bei den amerikanischen Krimis angekommen, wo der Cop die Mülltonne nicht durchsuchen darf, weil das nicht im Beschluss steht.
Oder der Hersteller einer Mikrowelle verklagt wird, weil er in der Bedienungsanleitung nicht geschrieben hat, dass man eine Katze nicht in der Mikrowelle trocken darf.

Da stelle ich mir ernsthaft die Frage, ob wir da tatsächlich hinwollen?
Ergo wird ein Gesetzgeber immer etwas schwammig formulieren, wo man viel subsummieren kann. Okay, genug OT


In der aktuellen Ausgabe der IX vom Mai aus dem Heise Verlag ist ein sehr detailierter Leitfaden zum neuen EU-DSGVO.
Vlt. hilft Euch der weiter.

[neelix]

Die Antwort auf den ersten Teil ist, das wir noch nicht wissen wie das gelöst werden muss und wird. Wir sind im Augenblick in Kontakt mit einem Fachanwalt um zu klären, welche Dinge da überhaupt nötig sind und wie sie umgesetzt werden können.

Meine persönliche Nachfrage Anfang Februar beim Landesdatenschutzzentrum Schleswig-Holstein ergab seitens des zuständigen Mitarbeiters ebenfalls, das noch vollkommen unklar ist, welche rechtlichen Probleme tatsächlich auftreten werden und wie sie gelöst werden könnten. Immerhin werden die (ab Herbst!) dazu Schulungen und Veranstaltungen anbieten.

Mich würde ja mal interessieren, was nun das Ergebnis aus dem Kontakt mit dem Fachanwalt ist.

[lucina]

Das wurde im Webinar der Contao-Association besprochen. Sorry, ich kann die Inhalte jetzt nicht für Dich referieren, wenn Du an dem Webinar möglicherweise mangels Zeit nicht teilnehmen konntest.

Für Deinen speziellen Fall wird es genau dann Funktionsergänzungen beim Newslettermodul geben, wenn sie tatsächlich nötig sind. Das wird zur Zeit aufgrund der unklaren Rechtslage noch geprüft.

[neelix]

Das wurde im Webinar der Contao-Association besprochen. Sorry, ich kann die Inhalte jetzt nicht für Dich referieren, wenn Du an dem Webinar möglicherweise mangels Zeit nicht teilnehmen konntest.

Für Deinen speziellen Fall wird es genau dann Funktionsergänzungen beim Newslettermodul geben, wenn sie tatsächlich nötig sind. Das wird zur Zeit aufgrund der unklaren Rechtslage noch geprüft.

Ein Link oder Protokollauszug würde ja schon reichen. Irgendwas, was ich Kunden an die Hand geben kann. Die fragen nämlich jetzt und aktuell muss ich sagen "geht nicht" bzw. "ist vom System bisher nicht vorgesehen". Was die derzeit nicht zufrieden stellt, da deren DSB bzw. Rechtsanwalt hier anderer Ansicht ist.

[lucina]

Nee, das schreibe ich jetzt nicht für Dich auf - ich habe den Mitschnitt jetzt auch nicht parat.

Lass Dich fachjuristisch beraten um herauszubekommen, welche Funktion Du wie benötigst. Gehe vom Verfahrensverzeichnis aus. Und dann schau halt, welche Funktion zu implementieren ist (wenn überhaupt). Wenn Du etwas speziell benötigst und Contao sich da fehlerhaft verhält wird es möglicherweise ein allgemeines Update geben. Für alle anderen Fälle wirst Du etwas beauftragen können.