Viele denken beim Datenschutz im Internet sofort an soziale Medien und Messengerdienste. Immerhin sind Unternehmen wie Google und Facebook dafür bekannt, dass sie Daten in großem Umfang sammeln, auswerten und zu Werbezwecken weiterverwenden. Doch auch im Falle anderer Alltagsanwendungen wie E-Mails lohnt sich ein kritischer Blick. Hier kommt es nämlich mitunter zu hohen Bußgeldern, wenn die geltenden Datenschutzregeln nicht beachtet werden.
Datenschutz & E-Mails: Wie sicher sind Daten im E-Mail-Verkehr?
Von welchen Daten ist eigentlich die Rede, wenn es um den Datenschutz bei E-Mails geht? Zuallererst ist damit natürlich die E-Mail-Adresse gemeint. Das Beispiel E-Mail-Marketing verdeutlicht, inwiefern hier besondere Vorsicht geboten ist. Beim Versand von E-Mail-Newslettern gibt das Datenschutzrecht vor, dass der / die Besitzer:in der E-Mail-Adresse seine / ihre Einwilligung gegeben hat. Das einfache Eintragen in den Newsletter (Opt-in Verfahren), wie es früher üblich war, ist schon lange nicht mehr ausreichend. Für die Rechtmäßigkeit der Verarbeitung kann die Zustimmung zur Verwendung der E-Mail-Adresse stattdessen beispielsweise über einen Klick auf einen zusätzlichen Bestätigungslink eingeholt werden, den der / die Besitzer:in per E-Mail erhält (Double Opt-in Verfahren).
Der Datenschutz umfasst aber nicht nur E-Mail-Adressen. Auch die versendeten Inhalte einer E-Mail unterliegen dem Datenschutz. So ist es nicht zulässig, den Inhalt einer E-Mail ohne triftige Gründe oder die Zustimmung des / der Adressat:in einzusehen oder weiterzuleiten. Lesen Sie im Folgenden, welche gesetzlichen Rahmenbedingungen hierzu gelten.
Rechtlich auf der sicheren Seite
Es ist nicht einfach, alle Themen in einem Unternehmen datenschutzkonform auszuführen. Oftmals hilft es einen externen Datenschutzbeauftragten zu engagieren, um diese Punkte in die Hände eines Experten zu geben. So können Sie das Thema "Datenschutz" mit gutem Gewissen abhaken.
Rechtliche Lage: Gibt es Datenschutzrichtlinien für E-Mails?
E-Mail-Adressen sind personenbezogene Daten – selbst wenn statt dem echten Namen ein Pseudonym gewählt wird. Den Datenschutz von E-Mail-Adressen regelt also die Datenschutz-Grundverordnung (DSGVO), die den Schutz personenbezogener Daten vorsieht. Die Verarbeitung (u.a. Einsicht und Weitergabe) von E-Mail-Adressen und Inhalten von E-Mails ist nur in rechtlich begründeten Ausnahmefällen erlaubt.
Besondere Vorsicht ist hier beispielsweise bei E-Mail-Verteilern geboten. Datenpannen, wie die des Impfzentrums in Ennepe-Ruhr-Kreis, das rund 1500 E-Mail-Adressen in einer Termin-Absage offengelegt hat, zeigen, wie heikel das Thema ist.
Offene E-Mail-Verteiler, in denen alle E-Mail-Adressen für die Empfänger:innen sichtbar werden, sind nach der DSGVO regelmäßig rechtswidrig, da in den meisten Fällen eine Offenlegung der E-Mail-Adressen ohne Rechtsgrundlage erfolgt.
Aber auch bei der E-Mail-Weiterleitung und der E-Mail-Archivierung heißt es aufpassen. Beim Weiterleiten von E-Mails muss ebenfalls geprüft werden, ob eine Einwilligung der betroffenen Person vorliegt oder die Weiterleitung z.B. zur Erfüllung eines Vertrages notwendig ist. Die Weitergabe und das Speichern von E-Mail-Adressen sind nach der DSGVO nämlich immer nur dann zulässig, wenn eine Einwilligung erteilt wurde oder eine anderweitige Rechtsgrundlage nach Art. 6 DSGVO vorliegt.
Auch am Arbeitsplatz regeln Datenschutzgesetzte den E-Mail-Verkehr. Arbeitgeber:innen dürfen die privaten sowie beruflichen E-Mails von Arbeitsnehmer:innen grundsätzlich nicht überwachen. Je nachdem, ob gegenüber Beschäftigten die private Nutzung des geschäftlichen E-Mail-Accounts ausgeschlossen wurde, darf im Einzelfall und bei Erforderlichkeit ein Zugriff auf E-Mails erfolgen. Dies z.B. dann, wenn Beschäftigte aus dem Unternehmen ausscheiden und im E-Mail-Account noch Kommunikation mit Interessent:innen oder Kund:innen offen ist, die bei Nichtbeantwortung wirtschaftliche Nachteile für das Unternehmen mit sich bringen würden.
Es sollten stets klare und vor allem schriftliche Regelungen zur privaten Nutzung des geschäftlichen E-Mail-Accounts mit den Beschäftigten getroffen werden, um im Bedarfsfall und bei Erforderlichkeit auf E-Mails von Beschäftigten zugreifen zu dürfen. Ein geplanter Zugriff sollte stets mit dem Datenschutzbeauftragten abgestimmt werden.
Wie datensicher sind E-Mail Provider?
E-Mail-Anbieter unterliegen ebenfalls den geltenden Datenschutz-Regelungen. Eine Weitergabe von Daten an Dritte ist demnach auch hier nur zulässig, wenn eine Einwilligung der betroffenen Personen vorliegt oder eine Rechtsgrundlage nach Art. 6 DSGVO dies zulässt.
Es gilt jedoch zu beachten, dass viele kostenlose E-Mail-Anbieter die Daten ihrer Nutzer:innen zu Werbezwecken erheben und verwenden. In AGB und Datenschutzerklärungen der E-Mail-Provider sollten diesbezüglich Informationen über die Weiterverarbeitung der Nutzerdaten nachgelesen werden können. In einigen Fällen wird für diese Verarbeitung personenbezogener Daten zudem die Einholung einer Einwilligung der Nutzer:innen im Vorfeld durch den E-Mail Provider notwendig.
Checkliste für den Datenschutz bei E-Mails
Laut DSGVO gibt es beim E-Mail-Versand einige Stellschrauben zu beachten. Die folgende Checkliste gibt Ihnen eine Orientierung für die Einhaltung des Datenschutzes bei E-Mails:
Nutzen Sie einen E-Mail-Anbieter, dessen Geschäftsmodell nicht auf der Schaltung von persönlicher Werbung basiert.
Verwenden Sie E-Mail-Adressen in Verteilern zur werblichen Ansprache (z.B. Newsletter) nur dann, wenn die Besitzer:innen der E-Mail-Adresse über ein Double Opt-in Verfahren eine Einwilligung erteilt haben.
Löschen Sie die E-Mail-Adressen Ihrer Kund:innen, sobald diese nicht mehr zur Vertragserfüllung oder für sonstige Zwecke benötigt werden.
Wenn die Einwilligung in eine längerfristige Speicherung vorliegt (z.B. für Werbung oder Newsletter), weisen Sie Ihre Kund:innen darauf hin, dass sie diese Einwilligung jederzeit widerrufen können. Lassen Sie sich die Einwilligung erneut bestätigen, wenn Sie sie über einen längeren Zeitraum nicht genutzt haben.
Sollten Sie von einer Ausnahme von dem Erfordernis einer Einwilligung (§ 7 Abs. 3 UWG) Gebrauch machen, beachten Sie, dass alle Voraussetzungen für diese Regelung erfüllt sind:
Erhebung der E-Mail-Adresse im Zusammenhang mit einem Produktverkauf
Verwendung für eigene ähnliche Produkte
Kein Widerspruch des / der Empfänger:in
Information über die Widerspruchsmöglichkeit des / der Empfänger:in
Informationen über die Datenerhebung und Datenverarbeitung in der eigenen Datenschutzerklärung
Nutzen Sie in E-Mail-Verteilern immer das Bcc-Feld für die E-Mail-Adressen, sodass keine Einsicht in die E-Mail-Adressen aller Empfänger besteht.
Wenn Sie E-Mails mit sensiblen Daten verschicken, nutzen Sie eine Software oder einen E-Mail-Anbieter mit Ende-zu-Ende-Verschlüsselung. Hierbei werden die Inhalte der E-Mail verschlüsselt an den / die Empfänger:in gesendet, der / die sie nur mithilfe des richtigen Schlüssels lesen kann. Nutzen Sie passwortgeschützte Anhänge und übermitteln Sie das Passwort über einen anderen Kanal (z.B. SMS oder Telefon) an Empfänger:innen. So ist der Datenschutz gewährleistet, selbst wenn die E-Mail an einen falschen Empfänger gesendet wurde.
Beachten Sie den Datenschutz bei der Weiterleitung von E-Mails und prüfen Sie, ob eine Einwilligung der Absender:innen oder eine andere Rechtsgrundlage nach Art. 6 DSGVO vorliegt.
Verwenden Sie sichere Passwörter, die von Hacker:innen nicht so einfach geknackt werden können.
E-Mail-Kommunikation basiert auf dem Austausch personenbezogener Daten sowie privater oder betrieblicher Nachrichteninhalte – geschützt durch datenschutzrechtliche Vorgaben sowie weiterführende Gesetzesvorgaben. Im kommunikativen Alltag ist also Achtsamkeit geboten: Nur wer E-Mail-Provider sorgfältig auswählt und sich mit deren AGB und Datenschutzerklärungen auseinandersetzt, nimmt das Thema Datenschutz ernst. Und nur wer beim Versand und Weiterleiten jeder einzelnen E-Mail achtsam mit den Adressen und Inhalten anderer umgeht, hält sich an geltendes Recht.
Autorin: Kathrin Strauß
Artikel veröffentlicht: 15.04.2021