Informationspflicht laut DSGVO
E-Mail-Adressen gehören zu den personenbezogenen Daten. Des Weiteren enthalten E-Mails fast immer weitere Informationen wie z.B. Vor- und Zuname, Telefonnummer etc.
Im Art. 13 DSGVO werden die Informationspflichten des Verantwortlichen beschrieben, wenn personenbezogen Daten verarbeitet werden. Demnach ist der Verantwortliche verpflichtet, den Betroffenen, in diesem Fall also den E-Mail-Absender, bei der Erhebung der personenbezogenen Daten umfangreich zu informieren (Link).
Das würde vordergründig bedeuten, dass man jedem E-Mail-Absender umgehend eine E-Mail zurücksenden müsste, die die geforderten Informationen beinhaltet.
Dies würde eine zusätzliche Flut an E-Mails bedeuten.
Ausnahmen von der Informationspflicht laut DSGVO
Im Abs. 4 des Art. 13 DSGVO wird diese Informationspflicht insoweit eingeschränkt, dass der Betroffene nur dann zu informieren ist, wenn ihm die Informationen noch nicht vorliegen.
Im Erwägungsgrund 62 zur DSGVO, „Ausnahmen von der Informationspflicht“, wird weiter ausgeführt, dass die Informationen auch nicht zur Verfügung gestellt werden müssen, wenn die Speicherung ausdrücklich durch eine Rechtsvorschrift geregelt ist, oder sich die „Unterrichtung der betroffenen Person als unmöglich erweist oder mit unverhältnismäßig hohem Aufwand verbunden ist“. Beide Kriterien des Erwägungsgrundes finden im Art. 13 DSGVO keine Erwähnung und sind im Fall eines E-Mail-Eingangs sowieso nicht relevant, da zum einen für den Empfang einer E-Mail keine Rechtsvorschrift vorliegt und auch der Versand einer E-Mail mit den geforderten Datenschutzhinweisen kein hoher Aufwand darstellt.
Informationspflicht laut BDSG
Weitere Vorschriften zur Information bei Erhebung personenbezogener Daten werden im §32 BDSG geregelt. Für den E-Mail-Empfang relevante Regelungen zu den Ausnahmen von der Informationspflicht sind dort nicht angegeben.
Weitere Informationen
Auf der Internetseite des Hessischen Beauftragten für Datenschutz und Informationsfreiheit findet sich in der Infothek ein Hinweis zu den Informationspflichten:
„Ist eine außenstehende Person, die sich unter Angabe ihrer Daten auf elektronischem Wege (über E-Mail/Internetseite) an die Organisationseinheit wendet, nach Art. 13 DS-GVO zu informieren?
Ja, es besteht die Pflicht zur Information, wenn die E-Mail zu einem Vorgang führt. Die Information kann mit der Eingangsbestätigung oder einer Rückfrage zum Sachverhalt verbunden werden.“
Auf welche Gesetze oder Vorschriften sich diese Aussage stützt, ist nicht angegeben.
Leider schweigt sich auch die Datenschutzkonferenz (Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder) zu diesem Thema aus. Die „Orientierungshilfe der Datenschutzaufsichtsbehörden zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz“ verliert dazu kein Wort.
Rechenschaftspflicht
In Art. 5 DSGVO sind die Grundsätze für die Verarbeitung geregelt. Im Art. 5 Abs. 2 DSGVO wird festgelegt, dass der Verantwortliche die Einhaltung dieser Grundsätze nachweisen können muss.
Der Verantwortliche hat somit auch die Pflicht auf Nachfrage nachweisen zu können, dass er der Informationspflicht nachgekommen ist.
Inhalt der E-Mail mit den Informationen
Die Informationen, die dem Betroffenen, also dem E-Mail-Absender zur Verfügung gestellt werden müssen, sind recht umfangreich. Der daraus resultierende E-Mail-Inhalt wäre sehr lang. Als Alternative bietet sich deshalb eine „Link-Lösung“ an.
Link-Lösung
Dabei werden die Informationen in Form eines Dokuments, den „Datenschutzhinweisen“, downloadbar auf einem Internet-Server hinterlegt. Die E-Mail verweist dann auf dieses Dokument durch einen Link.
Diese Vorgehensweise wird auch auf der Internetseite des Hessischen Beauftragten für Datenschutz und Informationsfreiheit in der Infothek (Link) als möglicher Weg beschreiben:
„Kann auf die Informationen auf einer Internetseite verwiesen werden?
Ja, ein Verweis auf die Internetseite, z. B. durch Verlinkung oder Angabe eines QR-Codes, ist zulässig. Aus Art. 12 Abs. 1 S. 2 DS-GVO folgt, dass ein Medienbruch im Bereich der Informationspflichten möglich ist. Dies kann durch einen generellen Verweis erfolgen oder auch durch Teilverweise, z. B. wenn bestimmte Informationen schriftlich mitgeteilt werden, kann auf andere, umfangreiche Informationen verwiesen oder verlinkt werden.
Davon ist nur dann eine Ausnahme zu machen, wenn offensichtlich ist, dass die betroffene Person der Verweisung nicht folgen kann, weil z. B. der Zugang zum Internet nicht besteht.“
Fazit
Grundsätzlich besteht bei einer eingehenden E-Mail eine Informationspflicht an den Absender, wenn diesem die Informationen zum Datenschutz nicht vorliegen.
Eine Entscheidung darüber, ob die Informations-E-Mail bereits einmal zu einem früheren Zeitpunkt an den E-Mail-Absender versendet wurde, oder nun noch versendet werden muss, ist schwer umsetzbar. Der Aufwand, dies manuell durchzuführen, würde einen sehr hohen Zeitaufwand bedeuten. Technische Umsetzungen, die dies automatisiert verarbeiten können, sind mir bislang nicht bekannt.
Wichtig ist der Hinweis in der der FAQ des Hessischen Datenschutzbeauftragten, wie oben bereits erwähnt: „…Ja, es besteht die Pflicht zur Information, wenn die E-Mail zu einem Vorgang führt…“ Dies bedeutet, dass man nicht jedem die Datenschutzhinweise senden muss, sondern erst dann, wenn daraus weiterführende Vorgänge entstehen.
Ein weiterführender Vorgang könnte eine Antwort-E-Mail sein. Weißt man in dieser Antwort-E-Mail auf die Datenschutzhinweise mit Link zum Download hin, hat man die Informationspflicht erfüllt.
Im Normalfall wird man einer E-Mail, die einen Vorgang oder Prozess auslöst, immer eine Antwort-E-Mail senden und hat damit dann schon in 90% der Fälle der Informationspflicht genüge getan. Es bietet sich also an, den Hinweis mit Link in die E-Mail-Signatur aufzunehmen und dadurch die Informationspflicht auf einfache Weise zu automatisieren.
Andere weiterführende Prozesse können zum Beispiel die Anlage des Kontaktes im CRM, oder in der Warenwirtschafts-Software sein. Spätestens jetzt sollten ohnehin die datenschutzrechtlichen Prozesse greifen und die Information des Betroffenen über die Verarbeitung der personenbezogenen Daten erfolgen.
Die Rechenschaftspflicht darf dabei nicht vernachlässigt werden.
Man muss eine Lösung finden, mit der man nachweisen kann, dass man die Datenschutzhinweise versendet hat.
Diese Aufgabe lässt sich durch Einsatz einer geeigneten E-Mail-Archivierungs-Software lösen. Eine revisionssichere Archivierungssoftware speichert ausgehende E-Mails in einer Datenbank. Somit kann man auf Nachfrage nachweisen, dass man der Informationspflicht ordnungsgemäß nachgekommen ist.
Eine E-Mail-Archivierung ist eigentlich sowie schon seit Jahren Pflicht. Siehe dazu auch: Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) (Link).
