E-Mails sind aus dem Geschäftsalltag kaum mehr wegzudenken. Sie sind als Kommunikationsmedium konkurrenzlos günstig und vereinfachen den Arbeitsalltag vieler Unternehmen.
Dennoch ist im geschäftlichen Umgang mit E-Mail-Adressen Vorsicht geboten! Vor allem im Hinblick auf das Datenschutzrecht existieren diverse Vorgaben, die zur Vermeidung von empfindlichen Bußgeldern eingehalten werden sollten.
Aber was bedeutet das konkret – Was ist zu beachten und welche Vorgänge können unter Umständen Probleme bereiten? Damit Sie sich in Zukunft richtig verhalten können, bietet Ihnen der folgende Beitrag eine Übersicht über die Rechtslage und beantwortet häufige Fragen zum Umgang mit E-Mail-Adressen.
Handelt es sich bei E-Mail-Adressen um personenbezogene Daten?
Für die Anwendbarkeit der DSGVO ist zunächst maßgeblich, ob es sich bei E-Mail-Adressen um personenbezogene Daten handelt.
Unter personenbezogenen Daten werden sämtliche Informationen verstanden, die sich auf eine identifizierte oder auch identifizierbare Person beziehen.
Nachdem es sich bei E-Mail-Adressen um allgemeine Personendaten handelt, liegt regelmäßig ein Personenbezug vor – und zwar unabhängig davon, woraus sich die E-Mail-Adressen zusammensetzen. Entscheidend ist allein, dass die betroffenen Personen zumindest mittels Zusatzwissen identifiziert werden können.
Somit sind sowohl E-Mail-Adressen, die den Vor- und Nachnamen einer Person enthalten, als auch E-Mail-Adressen, die aus reinen Phantasienamen oder sonstigen Kürzeln bestehen, personenbezogene Daten.
Ihre Erhebung, Verarbeitung und Nutzung unterliegt somit den strengen Vorgaben der DSGVO.
Was ist im geschäftlichen Umgang mit E-Mail-Adressen zu beachten?
Der Umgang mit E-Mail-Adressen ist in Unternehmen häufig sehr locker. Zur Vereinfachung der Kommunikation werden E-Mail-Adressen an Dritte weitergegeben, beispielsweise durch Verwendung des Cc-Feldes oder Weiterleitung von Nachrichten.
Aber was ist hierbei im Hinblick auf das Datenschutzrecht zu beachten?
Ist die Verwendung des Cc-Feldes zulässig?
Die Verwendung des Cc-Feldes zum Versenden einer E-Mail an einen ganzen Verteiler ist ohne entsprechende Erlaubnis mit Vorsicht zu genießen. Problematisch ist hier, dass alle Empfänger der Nachricht in diesem Fall auf sämtliche E-Mail-Adressen des Verteilers, die im Cc-Feld angeführt werden, zugreifen können.
Personenbezogene Daten, somit also auch E-Mail-Adressen, dürfen jedoch an Dritte nicht ohne gesetzliche Grundlage oder Einwilligung der betroffenen Personen weitergegeben werden. Die entsprechenden Datenschutzbehörden greifen bei Verstößen hart durch.
Dies zeigt ein Fall aus der Vergangenheit: Eine Mitarbeiterin eines Handelsunternehmens hatte eine zehnseitige E-Mail an Kunden geschickt, wovon neun Seiten die im Cc-Feld für jedermann sichtbar eingetragenen E-Mail-Adressen der Empfänger waren. Nachdem einige der betroffenen Kunden Beschwerde beim Bayerischen Landesamt für Datenschutz (BayLDA) einreichten, wurde ein Bußgeld verhängt.
Handlungsempfehlung bei Verteiler-Mails
Verwenden Sie deshalb offene E-Mail-Verteiler nur dann, wenn sämtliche Empfänger der Weitergabe eingewilligt haben.
Sollten die Empfänger nicht eingewilligt haben, empfiehlt es sich beim Versand von Nachrichten an einen großen Empfängerkreis lediglich die eigene Adresse in das Empfängerfeld einzutragen und für die eigentlichen Empfänger das Bcc-Feld zu nutzen. Dadurch werden sämtliche E-Mail-Adressen für die Empfänger unterdrückt und keine personenbezogenen Daten an Dritte weitergegeben.
Sollte dennoch eine versehentliche Eintragung in das Cc-Feld erfolgt sein, sollten Sie, um Bußgelder zu vermeiden, umgehend reagieren. Beachten Sie Ihre datenschutzrechtlichen Meldepflichten im Falle einer Datenpanne, die Sie verpflichten, unverzüglich oder möglichst innerhalb von 72 Stunden nach Bekanntwerden die Datenpanne bei der zuständigen Datenschutzbehörde zu melden.
Ist eine Weiterleitung von E-Mails zulässig?
Aber nicht nur die Verwendung des Cc-Feldes, sondern auch die Weiterleitung von E-Mails an Dritte bringt ein gewisses Risiko mit sich. Denn auch hier werden personenbezogene Daten an Dritte weitergegeben. Und erneut gilt der Grundsatz: Ohne Einwilligung darf keine Weitergabe der E-Mail-Adressen erfolgen!
Stellen Sie daher sicher, dass der ursprüngliche Absender mit einer Weiterleitung einverstanden ist oder verzichten Sie ganz auf die E-Mail-Weiterleitung.
Wie lange dürfen E-Mail-Adressen genutzt werden?
Darüber hinaus sollten Sie beachten, dass E-Mail-Adressen unter gewissen Umständen auch nicht unbegrenzt genutzt werden dürfen.
Dürfen E-Mail-Adressen nach Beendigung der Zusammenarbeit weiter genutzt werden?
Kundendaten dürfen nach der DSGVO nur so lange gespeichert werden, bis der Zweck ihrer Speicherung erfüllt ist. Wann das der Fall ist, kommt auf die Art der konkreten Kundendaten und den Zweck ihrer Speicherung an.
In der Regel wird der Grund für die Speicherung jedoch mit Beendigung der Zusammenarbeit entfallen. Eine Nutzung der E-Mail-Adressen nach Vertragsende ist daher in den meisten Fällen nicht möglich.
Fragen Sie deshalb ehemalige Kunden, ob Sie weiterhin daran interessiert sind, (Werbe-)E-Mails von Ihnen zu erhalten, bevor Sie sie kontaktieren. Nur wenn sie damit einverstanden sind, ist es unbedenklich, die betroffenen E-Mail-Adressen in Ihrem Verteiler zu belassen.
Erlöschen der Einwilligung durch Zeitablauf?
Aber auch wenn beispielsweise im Rahmen einer Newsletter-Eintragung ursprünglich eine Einwilligung zur Nutzung einer E-Mail-Adresse für Werbezwecke eingeholt wurde, ist diese Einwilligung nicht zwingend ewig wirksam.
Zwar gibt es für die Wirksamkeit einer Einwilligung keinen gesetzlich normierten Zeitraum. Allerdings kann eine Einwilligung, die längere Zeit nicht genutzt wird, auch wieder erlöschen. Wie lange diese Zeitspanne ist, ist eine Frage des Einzelfalls. In einem Urteil wurde jedoch eine Werbe-E-Mail, die erst 17 Monate nach der erteilten Einwilligung versandt wurde, für wettbewerbsrechtlich unwirksam erklärt.
Da nicht auszuschließen ist, dass andere Gerichte die Zeitspanne im Einzelfall sogar für noch kürzer erachten, sollten Sie Kontakte, die Ihnen eine Einwilligung zur Nutzung Ihrer Adressen erteilt haben, regelmäßig kontaktieren, um zu verhindern, dass die Einwilligung unbrauchbar wird.
Was sind die Voraussetzungen einer Einwilligung?
Wenn Sie eine Einwilligung für die Nutzung von E-Mail-Adressen einholen, sollten folgende Voraussetzungen beachten:
- Form – Die Einwilligung muss in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen.
- Information über den Zweck – Der Betroffene muss über den Zweck der Verarbeitung seiner Daten informiert werden.
- Widerrufsrecht – Die Einwilligung muss den Hinweis enthalten, dass die betroffene Person das Recht hat, ihre Einwilligung jederzeit zu widerrufen und
- Freiwilligkeit – Die Einwilligung muss freiwillig erfolgen, darf also nicht an eine Bedingung geknüpft sein.
Mit welchen Sanktionen ist bei Verstößen zu rechnen?
Bei Verstößen gegen Datenschutzbestimmungen drohen nach der DSGVO Geldstrafen durch die zuständigen Datenschutzbehörden. Bei besonders schlimmen Verstößen können diese bis zu 20 Millionen Euro oder 2 Prozent des letzten Jahresumsatzes betragen.
Fazit zu den rechtlichen Vorgaben bei geschäftlichen E-Mails
Aufgrund der empfindlichen Bußgeldern bei Verstößen gegen das Datenschutzrecht sollten Sie im Umgang mit E-Mail-Adressen im Geschäftsverkehr vorsichtig sein.
Setzen Sie sich mit der geltenden Rechtslage auseinander und lassen Sie sich im Zweifelsfall anwaltlich beraten.
Wir helfen Ihnen gerne. Kontaktieren Sie uns bei Fragen zum Datenschutzrecht jederzeit über unser Kontaktformular!
——————————————————————————————-
Im Nachgang:
Bezogen auf den Email-Versand durch Rechtsanwälte an Mandanten liegt mittlerweile ein erstes Urteil vor, das scheinbare Entwarnung verspricht – aber eben nur scheinbar. Im entschiedenen Fall hat das VG Mainz eine Transportsicherung (TLS) für ausreichend erachtet und die vom Beschwerdeführer (und der Anwaltskammer) geforderte Ende-zu-Ende-Verschlüsselung für nicht von der DSGVO geboten angesehen. Die Entscheidung ist rechtskräftig geworden. Bei genauerer Durchsicht der Entscheidung stellt man aber schnell fest, dass diese eher laxe Haltung auf den konkreten Fall bezogen war. In Fällen besonders vertraulicher Daten – z.B. im Rahmen einer Strafverteidigung – hält das VG Mainz eine Ende-zu-Ende-Verschlüsselung durchaus für wichtig.
Bei KEYTERSBERG setzen wir ohnehin seit 2020 auf eine technisch und sichere Lösung – VeriChat.
04.06.2021