phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] 1/2 OT: Datenschutz bei mail()

Michael Detambel detambel at bfw-oberhausen.de
Die Mai 31 13:13:12 CEST 2005

Vorherige Nachricht: [php] 1/2 OT: Datenschutz bei mail()
Nächste Nachricht: [php] 1/2 OT: Datenschutz bei mail()
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

Christian Vosen schrieb:

> Ich habe letztens irgendwo gelesen (kann es leider nicht mehr finden), 
> dass man, sobald mehr als E-Mail-Adresse und Name von Seitenbesuchern in 
> einem Mailformular abgefragt werden (also z.B. Adresse, Telefon etc.), 
> diese zusätzlichen Infos verschlüsselt übertragen werden müssen, um 
> nicht gegen die Datenschutzrichtlinien zu verstoßen.
> 
> 1.Frage: Was ist da dran? Hat jemand Quellen?
> 
> 2.Frage: Bietet der Versand per mail() ausreichend Schutz? Wenn nicht, 
> wie kann man es besser bzw. rechtlich einwandfrei lösen?

Vielleicht war noch etwas anderes gemeint. Ein Grundsatz des 
Datenschutzes besagt, dass nur die für den jeweiligen konkreten Zweck 
notwendigen Daten zu erheben sind, m. a. W. eine Datensammlung "auf 
Vorrat/Verdacht" unzulässig ist (ja, ja, ich weiß, unser 
Bundesinnenminister sieht das etwas anders).

Bei der Abonnierung eines Newsletters bedeutet das, dass eigentlich nur 
die eMail-Adresse erhoben werden darf, es sei der Betroffene stimmt 
etwas anderem ausdrücklich zu ("opt-in"). Um mal eine Quelle anzugeben 
(wobei ich jetzt als Rechtsgrundlage das Bundesdatenschutzgesetz (BDSG) 
annehme, je nach Einordnung des Verarbeiters kann auch ein 
Landesdatenschutzgesetz, das Telekommunikationsgesetz (TKG), das 
Teledienstedatenschutzgesetz (TDDSG) etc. vorrangig sein): § 28 Abs. 1 
"(...) Bei der Erhebung personenbezogener Daten sind die Zwecke, für die 
die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen. 
(...)."

Den Umfang der Datensammlung auf das notwendige Minimum zu beschränken, 
fordert § 3a (Datenvermeidung und Datensparsamkeit): "Gestaltung und 
Auswahl von Datenverarbeitungssystemen haben sich an dem Ziel 
auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu 
erheben. Insbesondere ist von den Möglichkeiten der Anonymisierung und 
Pseudonymisierung Gebrauch zu machen, soweit dies möglich ist und in 
einem angemessenen Verhältnis zum angestrebten Schutzzweck steht."

Der letzte Gedanke wird wieder aufgenommen in § 9 (Technische und 
organisatorische Maßnahmen) und könnte jetzt die Frage "Verschlüsselung 
oder nicht" beantworten: "Erforderlich sind die Maßnahmen nur, wenn ihr 
Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck 
steht."

Man müsste jetzt also die Daten untersuchen, in welche Schutzklasse sie 
fallen (übliche Einteilung in 5 Klassen 1 (offen) - 5 (erhebliche 
Beeinträchtigung)), um die geeignete technische Maßnahme auszuwählen.

Freundliche Grüße
Michael detambel
Betriebl. Datenschutzbeauftragter

Vorherige Nachricht: [php] 1/2 OT: Datenschutz bei mail()
Nächste Nachricht: [php] 1/2 OT: Datenschutz bei mail()
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]

php::bar PHP Wiki - Listenarchive