von RA Phil Salewski

DSGVO in der Praxis: Datenschutzhinweise in E-Mail-Signaturen von Online-Händlern erforderlich?

News vom 14.08.2019, 11:51 Uhr | Keine Kommentare

Im täglichen elektronischen Schriftverkehr fällt seit der Geltung der DSGVO zunehmend auf, dass zahlreiche Unternehmer ihre Mailsignaturen mit umfangreichen Datenschutzhinweisen ausstatten und so jeder E-Mail eine eigene Datenschutzerklärung in Textform beistellen. Nicht von der Hand zu weisen ist, dass die DSGVO das datenschutzrechtliche Informationspflichtprogramm maßgeblich verschärft hat. Doch sind Online-Händler im Rahmen der geschäftlichen Kommunikation tatsächlich verpflichtet, ihren E-Mails diese weitgehenden Datenschutzhinweise beizufügen? Die IT-Recht Kanzlei klärt auf.

I. Datenverarbeitungen beim geschäftlichen Mailversand

Versenden Online-Händler geschäftsbezogene Mails an Kunden und/oder Interessenten, werden hierbei stets personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO verarbeitet. Als maßgebliches personenbezogenes Datum gilt hier zum einen die Mailadresse des Adressaten, die diesem als Individuum zugeordnet ist und dessen Identifizierung ermöglicht. Zusätzlich können auch für die persönliche Anrede verwendete Daten, etwa Vor- und Zuname, betroffen sein.

Je nach Inhalt der Mail und Anlass ihrer Versendung kommen darüber hinaus noch weitere personenbezogene Informationen in Betracht, die im Rahmen der Mailversendung verarbeitet werden (beispielsweise Adress- und Bestelldaten beim Versand elektronischer Bestellbestätigungen).

II. Informationspflichten nur bei Datenerhebung

In Bezug auf die beim Mailversand verarbeiteten Daten stellen Art. 13 Abs. 1 und 2 nun weitreichende Informationserfordernisse auf.
Nach der Vorschrift sind Betroffene insofern unter anderem über Folgendes zu informieren:

  • den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters
  • gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung
  • wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden
  • gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
  • die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
  • die verschiedenen Betroffenenrechte inklusive des Rechts auf Beschwerde bei einer Aufsichtsbehörde

Dieser Informationspflicht versuchen verantwortliche Online-Händler nunmehr vielfach wohlwollend nachzukommen, indem Sie beim Versand von geschäftsbezogenen Mails generell in die Mail-Signaturen Datenschutzhinweise mitaufnehmen, die den Informationskatalog chronologisch vollständig abarbeiten.

Zu beachten ist allerdings, dass die maßgeblichen Informationen nicht grundsätzlich bei jeder Datenverarbeitung, sondern ausweislich des Art. 13 DSGVO nur dann ausgelöst werden, wenn Daten beim Betroffenen „erhoben“ werden.
Mithin wäre auch in geschäftlichen Mails nur dann das Informationspflichtprogramm zu erfüllen, wenn dem Mailversand eine originäre „Datenerhebung“ unmittelbar vorangehen würde.

Der Begriff der Datenerhebung ist in der DSGVO nicht näher definiert, soll nach einheitlichen Stellungnahmen der führenden Landesdatenschutzbehörden der Länder aber dann vorliegen, wenn personenbezogene Daten vom Betroffenen auf ein aktives Handeln des Verantwortlichen hin zur Verfügung gestellt werden. Maßgeblich soll demnach sein, dass der Verantwortliche zu erkennen gegebenen hat, dass er die Daten erhalten möchte.

Im geschäftlichen Mailverkehr liegt eine Situation der originären Datenerhebung immer dann nicht vor, wenn der Online-Händler die maßgeblichen Kontaktdaten für den Mailversand (insbesondere die Mailadresse des Empfängers) bereits zuvor erhalten hatte und/oder diese auf anderem Wege als per E-Mail auf seine Veranlassung zur Verfügung gestellt bekommen hat.

Eine Erhebung von Maildaten und mithin auch die Pflicht zur Erfüllung von datenschutzrechtlichen Informationspflichten beim Mailversand sind demnach beispielsweise immer ausgeschlossen, wenn

  • sich der Mailempfänger auf der Website des Online-Händlers für einen Newsletter registriert hat und sodann Newsletter versendet werden
  • der Mailempfänger auf der Website des Online-Händlers ein Kontaktformular ausgefüllt hat, das per Mail beantwortet werden soll
  • der Mailempfänger seine Mailadresse zum Erhalt von Bestellbestätigungen im Bestellprozess auf der Website des Händlers eingegeben hat

Eine originäre Erhebung von Informationen im Rahmen des Mailverkehrs kommt insofern nur dann in Betracht, wenn ein Betroffener auf eigene Initiative hin unter Verwendung einer angegebenen Mailadresse des Händlers eine Kontaktanfrage stellt oder eine sonstige Mailnachricht versendet, die sodann auf dem Server des Händlers gespeichert wird und auf die der Händler unter Übernahme der Mailkontaktdaten zu antworten gedenkt. Nur in diesem Fall der originären Mail-Kontaktaufnahme von Seiten eines Betroffenen wäre der Händler verpflichtet, in einer Antwort-Mail das Informationspflichtprogramm des Art. 13 DSGVO zu erfüllen.

Ob hierin eine maßgebliche Erhebung zu sehen ist, welche die Informationspflichten in der Antwort-Mail des Händlers auslöst, wird allerdings vom Einzelfall abhängen. Fordert der Händler an keiner Stelle zum Versand von Mails auf, könnte es gerade an der für die „Erhebung“ erforderlichen „Veranlassungshandlung“ des Händlers fehlen. Die Angabe der Mailadresse im Händler-Impressum stellt eine solche Veranlassung noch nicht dar.

Von einer Veranlassung, einer Datenerhebung und mithin einer datenschutzrechtlichen Informationspflicht in einer Antwort-Mail wäre demgegenüber aber auszugehen, wenn der Händler aktiv zur Kontaktaufnahme per Mail auffordert, etwa mit der Formulierung: „Bei Fragen und Anregungen kontaktieren senden Sie uns gerne auch eine E-Mail an die info@....de“

unlimited

III. Einfache Lösung: allgemeiner Verweis auf die Datenschutzerklärung

Nach den obigen Ausführungen wären Online-Händler grundsätzlich gehalten, in Anbetracht von datenschutzrechtlichen Informationspflichten nach den unterschiedlichen Anlässen für den Versand von geschäftsbezogenen Mails zu differenzieren. Mails, die auf Initiative von Kunden oder Interessenten versandt würden, müssten in einer Antwort-Mail die Datenschutzhinweise bereitgestellt werden. Newsletter-Mails, Antworten auf Kontaktformular-Anfragen und Bestellbenachrichtigungs-Mails würden die Pflichten indes nicht auslösen.

Die gute Nachricht ist, dass eine derartige zeit- und aufwandsintensive Differenzierung nicht erforderlich ist, weil die DSGVO mit Art. 13 Abs. 4 DSGVO eine Abhilfemöglichkeit schafft und eine generelle Problemlösung anbietet.
Nach dieser Vorschrift ist eine individuelle Information bei Datenerhebungen nicht erforderlich, wenn die jeweils betroffene Person bereits über alle maßgeblichen Informationen verfügt.

Art. 13 Abs. 4 DSGVO ist das Öffnungstor für die Möglichkeit zur Erfüllung der Informationspflichten im Rahmen einer allgemeinen Datenschutzerklärung, die Online-Händler auf Ihre Website einbinden können. Innerhalb dieser Erklärung können alle Hinweise auf Datenverarbeitungen in einer zentralen Informationsquelle so zusammengefasst werden, dass sich eine individuelle Pflichtbelehrung für jede einzelne Datenerhebung erübrigt.

Um einer Differenzierung nach Anlass und Gegenstand des Mailversandes zu umgehen, können Online-Händler in jeder geschäftsbezogenen Mail nun generell auf ihre die Datenschutzerklärung per Link verweisen, die alle maßgeblichen Pflichtinformationen ohnehin enthält. Die Erfüllung von Informationspflichten über einen Link auf externe Inhalte ist als allgemein zulässig anerkannt. Voraussetzung ist freilich, dass die Datenschutzerklärung eine Klausel für die initiative Kontaktaufnahme per Mail beinhaltet.

Die IT-Recht Kanzlei bietet Online-Händlern monatlich kündbare Schutzpakete an, die neben einer individuell konfigurierbaren und abmahnsicheren Datenschutzerklärung auch rechtssichere AGB, eine Widerrufsbelehrung und ein Impressum beinhalten. Die Datenschutzerklärung enthält freilich eine Klausel zum initiativen Mailversand.
Zum umfangreichen Rechtstexte-Angebot geht es hier.

Wird nun anlassunabhängig in Geschäftsmails allgemein die Datenschutzerklärung in Bezug genommen, erfüllen Online-Händler hierdurch ihre Informationspflichten nach Art. 13 DSGVO dort ordnungsgemäß, wo die Erfüllung in der Mail erforderlich ist (bei Antworten auf initiative Mailnachrichten).

Für alle anderen Anlässe, in denen Informationspflichten in der Mail selbst nicht ausgelöst werden (s.o.), ist der Verweis auf die Datenschutzerklärung aber unschädlich und kann dem Händler nicht zum Nachteil gereichen.

Für eine anlassbezogene Differenzierung und eine schriftliche Wiedergabe von Datenschutzhinweisen in der Mail-Signatur im Einzelfall besteht bei Verlinkung der Datenschutzerklärung insofern keine Notwendigkeit mehr.

Auf die eigene Datenschutzerklärung kann in geschäftlichen E-Mails etwa mit der Formulierung

Unsere Hinweise zum Datenschutz finden Sie hier: www.xyz.de/datenschutz

verwiesen werden.

IV. Fazit

Das umfangreiche Informationspflichtprogramm der DSGVO ist im geschäftlichen Mailverkehr grundsätzlich nur dann zu erfüllen, wenn Daten über einen Mailversand erstmalig erhoben wurden. Dadurch entfällt die Informationspflicht in E-Mails immer dann, wenn die Daten des Mailempfängers auf andere Weise als per Mail zur Verfügung gestellt wurden (etwa per Kontaktformular, im Rahmen einer Newsletter-Registrierung, bei einer Bestellung).

Nur dann, wenn der Händler auf Initiative eines Privaten erstmalig eine Mail erhält, werden im Zeitpunkt der Speicherung der Mail auf dem Server Daten so erhoben, dass der Händler in seiner Antwort-Mail alle maßgeblichen Informationen nach Art. 13 DSGVO bereitzustellen hätte.

Die Anführung schriftlicher Datenschutzhinweise in der Mail-Signatur ist aber selbst in diesem Fall nicht erforderlich.

Vielmehr kann dem Aufwand, geschäftsbezogene E-Mails nach Anlass und Gegenstand zu differenzieren, und gegebenenfalls Pflichtinformationen einzufügen, wirksam durch die allgemeine Verlinkung auf eine ordnungsgemäße Datenschutzerklärung in jeder Mail begegnet werden.

Ist im Einzelfall die Erfüllung von Informationspflichten innerhalb der Mail erforderlich, wird dies zulässigerweise durch den Verweis auf die Datenschutzerklärung umgesetzt. Müssen Informationspflichten innerhalb der Mail nicht erfüllt werden, ist der Verweis auf die Datenschutzerklärung aber unschädlich.

Informationen zu den gesetzlich vorgeschriebenen Pflichtinhalten in geschäftlichen E-Mails hat die IT-Recht Kanzlei in diesem Beitrag zusammengetragen.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Autor:
Phil Salewski
Rechtsanwalt

Besucherkommentare

Bisher existieren keine Kommentare.

Vielleicht möchten Sie der Erste sein?

© 2005-2019 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller