Suchen

Praxisfälle Datenschutz-Grundverordnung Häufige Datenschutzmängel bei E-Mail und Fax-Versand

Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

Viele Unternehmen befürchten Datenschutzverstöße bei dem Einsatz neuer Technologien. Doch in Wirklichkeit gibt es bei klassischen Verfahren wie E-Mail und Fax immer noch viele Probleme. Die Aufsichtsbehörden berichten über entsprechende Versäumnisse im Datenschutz, die sie festgestellt haben. Wir geben einen Überblick, worauf man im Datenschutz bei Mail und Fax besser achten muss.

Firmen zum Thema

Nur weil Kommunikationsverfahren wie E-Mail und Fax-Versand seit vielen Jahren benutzt werden, heißt es nicht, dass dort beim Datenschutz alles zur Zufriedenheit verläuft.
Nur weil Kommunikationsverfahren wie E-Mail und Fax-Versand seit vielen Jahren benutzt werden, heißt es nicht, dass dort beim Datenschutz alles zur Zufriedenheit verläuft.
(Bild: gemeinfrei / Pixabay )

Neuigkeiten erhalten in der Regel mehr Aufmerksamkeit als Themen, die schon seit Jahren bekannt sind oder sein müssten. Das gilt für die Schlagzeilen in der Tagespresse genauso wie im Datenschutz. Viele Unternehmen denken zuerst an Cloud Computing, Künstliche Intelligenz (KI) oder das Internet der Dinge (IoT), wenn es um vergessene Datenrisiken geht. Tatsächlich bestehen in den eher noch unbekannten, neuen Technologien viele Risiken für den Datenschutz.

Trotzdem behandelt dieser Artikel Techniken und Verfahren, die eigentlich allen Unternehmen wohlvertraut sind, E-Mail und Fax-Versand. Nur weil Kommunikationsverfahren seit vielen Jahren benutzt werden, heißt es nicht, dass dort alles im Datenschutz zur Zufriedenheit verläuft. Das Gegenteil ist der Fall: Klassische Verfahren wie Mail sind sehr weit verbreitet, die Fax-Nutzung ist nicht ausgestorben, auch wenn es manchmal den Eindruck macht.

Es wäre deshalb riskant, nicht genau hinzuschauen, wie es denn im Datenschutz bei Mail und Fax aussieht. Mehrere Aufsichtsbehörden für den Datenschutz haben dies gemacht und sind auf viele Probleme und Versäumnisse gestoßen, die auch zu einer Einstufung als Datenschutzverletzung nach Datenschutz-Grundverordnung (DSGVO) führen können.

Unerlaubte E-Mail-Werbung ist nicht alles

E-Mail und Datenschutz führt (zu Recht) erst einmal zu der Assoziation unerlaubte Werbung per Mail. „Seit Geltung der Datenschutz-Grundverordnung erreichen uns viele Beschwerden zum Thema E-Mail-Werbung“, erklärt zum Beispiel das Landesamt für Datenschutzaufsicht in Bayern. Dabei ist es nicht so kompliziert zu ermitteln, ob eine E-Mail-Werbung zulässig ist oder nicht. Doch viele Unternehmen machen hierbei Fehler.

Werbung per E-Mail kann bei Bestandskunden auf der Basis des Artikel 6 Abs. 1 Buchst f DSGVO erfolgen, also die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Ansonsten geht E-Mail-Werbung nur mit Einwilligung der betroffenen Personen. Dies gilt sowohl für Verbraucher (B2C) als auch für Unternehmen (B2B), wie die Aufsichtsbehörde betont. Man kann und sollte sich also merken: E-Mail-Werbung ist grundsätzlich nur mit vorheriger, informierter Einwilligung des Betroffenen erlaubt, es sei denn, dass alle Voraussetzungen des § 7 Absatz 3 des Gesetzes gegen den unlauteren Wettbewerb (UWG) erfüllt sind.

Aber auch bei dem Versand von Mail und Fax zu anderen Zwecken als Werbung kann man Fehler im Datenschutz begehen und diese passieren auch häufig.

Verschlüsselung ja oder nein

Trotz aller Lösungen für die Verschlüsselung von E-Mails werden weiterhin die meisten Mails unverschlüsselt übertragen. Dazu sagt zum Beispiel das Bayerische Landesamt für Datenschutzaufsicht (BayLDA): „Nach Art. 32 DSGVO muss ein angemessenes Schutzniveau beim Transport von E-Mails über das Internet sichergestellt werden. Dieses wird unter Berücksichtigung des Risikos für die Rechte und Freiheiten ermittelt. Wir sehen es so, dass bei einem hohen Risiko neben einer (opportunistischen) Transportverschlüsselung (einfache Einstellung am Mail-Server) zusätzlich eine Inhaltsverschlüsselung (z. B. PGP, PDF mit Passphrase, ZIP-Datei mit Passwort, ...) umzusetzen ist. Bei keinem hohen Risiko sehen wir eine (opportunistische) Transportverschlüsselung als ausreichend an.“

Was aber macht man bei einer Fax-Sendung, zum Beispiel wenn ein Arzt einen medizinischen Befund als Fax verschickt? Hierzu sagt der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit: „Eine Übermittlung medizinischer Befunde wie Diagnosen oder Arztbriefe per Fax an weiterbehandelnde Ärzte ist zulässig. Die Übermittlung dieser Daten und Informationen unterliegt gemäß §88 Telekommunikationsgesetz (TKG) dem Fernmeldegeheimnis und erfolgt insofern gesichert. Das Verschlüsseln eines Faxes ist technisch nicht möglich und aufgrund von §88 TKG auch nicht erforderlich.“

Trotzdem nennen Aufsichtsbehörden Maßnahmen, wenn vertrauliche Daten per Fax verschickt werden sollen: Um die datenschutzrechtlichen Bestimmungen bei einer Faxübersendung aus organisatorischer Sicht einzuhalten, rät die Aufsichtsbehörde, sich vom ärztlichen Empfänger des Faxes schriftlich bestätigen zu lassen, dass die übersandten Daten in seiner Arztpraxis bzw. seinem ärztlichen Verantwortungsbereich vor dem Zugriff Dritter (unbefugter Personen) geschützt sind und dass nur das medizinische Fachpersonal der jeweiligen Arztpraxis Zugriff auf diese Daten bzw. den per Fax übersandten Arztbrief hat.

Nicht alle Aufsichtsbehörden sehen FAX-Nachrichten als geeignet an: Unverschlüsselte E-Mails und Fax-Dienste sind nicht für die Übertragung personenbezogener Daten geeignet, sagt zum Beispiel die Datenschutzaufsicht in Bremen.

Fax-Historie als Datenrisiko

Müssen in Multifunktionsgeräten (Drucker, Scanner, Fax) gespeicherte Faxprotokolle gelöscht werden, wenn diese weiterverkauft werden? Dieser Frage hat sich der Sächsische Datenschutzbeauftragte angenommen. Die Antwort: Sollten sich Zielfaxrufnummern in der Sendehistorie der zum Verkauf stehenden Geräte befinden, die einer natürlichen Person als Anschlussinhaber zugeordnet sind, handelt es sich bei den insoweit gespeicherten Informationen stets um personenbezogene Daten. Da für diese keine Übermittlungsbefugnis besteht, wären diese Daten also vor einer Weiterveräußerung zu löschen. Eine geräteseitig fehlende – einfache – Löschroutine bzw. der zur Löschung notwendige (wirtschaftliche) Aufwand befreien nicht von dieser Verpflichtung.

Die Aufsichtsbehörde hat einen Tipp zur Umsetzung: Die Erfahrung lehrt, dass sich in vielen Geräten zumindest verborgene Löschroutinen verbergen, die eine schnelle und damit vertretbare Bereinigung der Sendehistorie erlauben. Nachfragen beim Hersteller oder im Fachhandel werden empfohlen.

Weitergabe der Mail-Adresse an Dritte

Auch wenn Kunden gerne wissen wollen, wann ihre bestellte Ware bei ihnen ankommt: Die Übermittlung von E-Mail-Adressen durch Onlinehändler an Postdienstleister ist nur bei Vorliegen einer Einwilligung der Kunden in eben diese Übermittlung rechtmäßig.

Die Praxis hat gezeigt, dass es vielen Onlinehändlern möglich ist, die Zustellinformationen selbst an den Kunden weiterzugeben bzw. einen Link zur Sendungsverfolgung in die eigene Bestellbestätigung einzubinden.

Besonders häufig kommt es zum Fehlversand und Offenlegung

Bei den bei der Datenschutzaufsicht für NRW vorliegenden Meldungen nach Art. 33 DSGVO (Datenschutzverletzung) handelt es sich häufig um Fehladressierungen von Postsendungen, nicht verschlossene Briefumschläge, Fehladressierungen von E-Mails oder auch den Versand von E-Mails mit offenen Verteilerlisten. Das ist auch in anderen Bundesländern ein Problem.

So berichtet der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: Die Gründe für „Datenlecks“ sind vielfältig, allerdings dominiert mit 275 Meldungen der Versand von Postsendungen oder E-Mails an den falschen Adressaten.

Eine Vielzahl der 2019 an die zuständige Datenschutzaufsicht gesandten Datenpannenmeldungen betraf Arztpraxen aus Baden-Württemberg. Eine interne Auswertung der Aufsicht ergab, dass in einer Top 7-Liste der häufigsten Ursachen gemeldeter Pannen der Postfehlversand auf Platz 1 rangierte, der E-Mail-Fehlversand auf Platz 3, die Versendung einer E-Mail mit offenem Adressverteiler auf Platz 5 und der Fax-Fehlversand auf Platz 7.

Ein Beispiel dafür aus Bremen für eine andere Branche: Ein Notariat versandte aufgrund eines Tippfehlers in der E-Mail-Adresse einen Kaufvertragsentwurf an eine falsche, völlig unbeteiligte fremde Person und meldete diese Verletzung des Schutzes personenbezogener Daten an die Aufsicht. Der richtige Empfänger wurde über diese Verletzung nach Artikel 34 Datenschutzgrundverordnung unterrichtet.

Ein anderes, typisches Problem wird dagegen hier sichtbar: Gleich drei Mal hintereinander hatten Mitarbeiterinnen und Mitarbeiter eines Kreditinstituts beim Versand eines Veranstaltungs-Newsletters die personifizierten E-Mail-Adressen der Privat- und Geschäftskunden nicht im verdeckten Sendefeld "BCC" eingetragen, sondern das offene Sendefeld "CC" genutzt. Damit wurden jeder einzelnen Empfängerin beziehungsweise jedem einzelnen Empfänger des Newsletters die personifizierten E-Mail-Adressen aller angeschriebenen weiteren Empfängerinnen und Empfänger offengelegt.

Offensichtlich geht es hier um Benutzerfehler und um Probleme bei der Umsetzung einer datenschutzgerechten Organisation für die Nutzung von Mail und Fax. Hier sind Mitarbeiterschulungen und klare Benutzerrichtlinien entscheidend, je nach Bereich können technischen Lösungen helfen (wie die Klassifizierung der Daten und eine Zwangsverschlüsselung).

Wer also Themen für die Mitarbeitersensibilisierung im Datenschutz sucht, sollte nicht nur an den richtigen Cloud-Datenschutz denken, sondern auch an so alltägliche Dinge wie Fax und Mail, bei denen immer noch viele Datenpannen auftreten.

(ID:46687266)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research