Der Datenschutz betrifft ein breites Spektrum an Bereichen. Einer ist der Versand von E-Mails, wo gleich mehrere Fallstricke lauern. Leider kommt es hier immer wieder zu Datenschutzvorfällen, obwohl sich diese leicht vermeiden ließen.
-
Das Wichtigste zum Datenschutz beim Mailversand vorab
- E-Mail-Adressen von Verbrauchern gehören den personenbezogenen Daten an.
- Der Mailversand ist eine Datenübermittlung und daher nur eingeschränkt zulässig.
- Datenschutzverstöße durch Anwender drohen u.a. bei CC-Mails und Weiterleitungen.
- Darüber hinaus existieren technische Stolpersteine, z.B. bei Verschlüsselung und Konfiguration des Mailprogramms.
- Beim E-Mail-Marketing sind zahlreiche Details zu berücksichtigen.
Wie die DSGVO den Versand von E-Mails betrifft
Risiken, die aus DSGVO-Sicht beim Mailversand bestehen, leiten sich aus vorrangig zwei Aspekten ab.
1. Zuordnung der E-Mail-Adresse zu den personenbezogenen Daten
Einst war strittig, ob E-Mail-Adressen als personenbezogene Daten gelten. Doch mittlerweile ist dieser Sachverhalt geklärt. Es spielt keine Rolle, ob der Klarname in der E-Mail-Adresse enthalten ist oder ein Pseudonym verwendet wird, die Adresse wird so oder so den personenbezogenen Daten zugeordnet.
Somit dürfen E-Mail-Adressen nicht nach Belieben weitergereicht werden. Allerdings gilt dies nicht für alle E-Mail-Adressen. Im Fokus stehen vorrangig Daten von Verbrauchern und damit private Mailadressen. Bei E-Mails, die sich an Kollegen oder Geschäftspartner wenden, können die datenschutzrechtlichen Anforderungen niedriger liegen.
2. Zulässigkeit der Datenübermittlung
Ein Teilbereich der DSGVO regelt die Übermittlung personenbezogener Daten. Sie darf nur erfolgen, wenn ein berechtigtes Interesse besteht oder die Einwilligung des Betroffenen vorliegt.
Herausfordernd ist in diesem Zusammenhang, dass der bloße Versand einer E-Mail (unabhängig von ihrem Inhalt) als Datenübermittlung zählt, da bereits die E-Mail-Adresse den personenbezogenen Daten angehört. Zu beachten ist außerdem, dass die Datenübermittlung nicht nur an den Empfänger erfolgt, sondern die Daten meist durch Systeme von Dritten (z.B. Internet Service Provider) fließen.
Mailversand durch den Anwender
Aus Anwendersicht ist es entscheidend, Mailadressen nicht an unberechtigte Dritte zu übermitteln. In der Praxis gibt es vor allem zwei große Stolpersteine.
Weiterleitungen: Das Weiterleiten von E-Mails mag komfortabel sein. Doch sobald eine E-Mails die eigene Organisation verlässt, kann ein Datenschutzvorfall drohen. Vor dem Versand ist zu prüfen, ob die Weiterleitung aus datenschutzrechtlicher Sicht zulässig ist, weil beispielsweise eine Einwilligung des Betroffenen vorliegt.
CC-Versand: Mittels „Carbon Copy“ lassen sich Mail-Verteiler schnell und unkompliziert aufsetzen. Doch aufgepasst, für die Empfänger sind sämtliche E-Mail-Adressen des Verteilers einsehbar. Weitere Informationen finden Sie hier: Datenschutz beim CC-Mailversand.
Technische Aspekte bei der Übermittlung von E-Mails
Die technischen Systeme, über die der Mailversand erfolgt, muss datenschutzrechtlichen Anforderungen gerecht werden. Hier können Risiken bestehen, die nicht immer offensichtlich sind.
Verschlüsselung beim Versand: E-Mails werden durch die Systeme Dritter geleitet, wie beispielsweise Server von Mailanbietern und Internet Service Providern. Sobald Daten mit Personenbezug im Spiel sind, sollte der Versand verschlüsselt erfolgen. So können Dritte den Mailverkehr nicht einsehen. Die sogenannte Transportverschüsselung erfolgt auf der Übertragungsstrecke von Mailserver zu Mailserver und wird auch als Punkt-zu-Punkt Verschlüsselung bezeichnet.
Standorte: Sofern der Mailversand über externe Mailanbieter erfolgt, sind Unternehmenssitz und Serverstandort zu berücksichtigen. Die Verarbeitung personenbezogener Daten auf Servern in Drittländern ist nur bei Erfüllung strenger Voraussetzungen (z.B. Einwilligung oder Standardvertragsklauseln) zulässig.
Datenschutzkonformes E-Mail Marketing
Zahlreiche Unternehmen betreiben E-Mail-Marketing, indem sie beispielsweise wöchentliche Newsletter versenden. In diesem Umfeld existieren zahlreiche Stolpersteine, auf die wir unter anderem hier eingehen: Newsletter – Worauf muss beim Versand geachtet werden? Zur Vervollständigung dieses Beitrags haben wir nachfolgend die wichtigsten Punkte für DSGVO-konformes E-Mail-Marketing zusammengetragen.
1. Zulässigkeit von E-Mail-Werbung
Der Versand von Werbemails ist nur zulässig, wenn eine Geschäftsbeziehung besteht oder der Mail-Empfänger im Vorfeld zugestimmt hat. Folglich hat der Absender vor dem Versand zu prüfen, ob das Verwenden von Mails zu Werbezwecken gestattet ist.
2. An- und Abmeldung von Newslettern
Die Aufnahme einer E-Mail-Adresse in die Empfängerliste eines Newsletters sollte erst nach erfolgreichem Double Opt-In erfolgen. So stellen Werbetreibende sicher, das Empfänger mit der Verarbeitung ihrer Daten einverstanden sind.
Newsletter-Mails sollten stets einen Abmelde-Link enthalten. Diese Maßnahme gewährleistet, dass sich Betroffene jederzeit vom Newsletter abmelden können.
3. Wahl des Mailversenders
Double Opt-In und Abmeldelinks sind mit klassischen Mailprogrammen nur bedingt realisierbar. Die meisten Unternehmen greifen deshalb auf die Dienste spezialisierter Anbieter (z.B. Cleverreach) zurück. Der Anbieterwahl kommt eine große Bedeutung zu, weil bestimmte Anbieter (wie z.B. Mailchimp) ihren Sitz in einem Drittstaat haben und so datenschutzkonformes Marketing erschweren können.
Wir unterstützen Sie beim Datenschutz
Sie möchten Ihren E-Mail-Versand aus datenschutzrechtlicher Sicht auf den Prüfstand stellen oder haben Fragen zum Thema? Beim Datenschutz stehen wir Ihnen mit Rat und Tat zur Seite – nutzen Sie unsere kostenlose Erstberatung.