This page is also available in English. Change to English page

DSGVO: Müssen Datenschutzhinweise in die E-Mail-Signatur?

DSGVO-Datenschutzhinweise-in-E-Mails-860x325-px

Im täglichen elektronischen Schriftverkehr fällt seit der Geltung der DSGVO zunehmend auf, dass zahlreiche Unternehmer ihre Mailsignaturen mit umfangreichen Datenschutzhinweisen ausstatten und so jeder E-Mail eine eigene Datenschutzerklärung in Textform beistellen. Nicht von der Hand zu weisen ist, dass die DSGVO das datenschutzrechtliche Informationspflichtprogramm maßgeblich verschärft hat. Doch musst Du als Online-Händler im Rahmen der geschäftlichen Kommunikation Deinen E-Mails tatsächlich diese Datenschutzhinweise beifügen? Der nachfolgende Beitrag unseres Partners IT-Recht Kanzlei klärt auf.  

I. Datenverarbeitungen beim geschäftlichen Mailversand

Versendest Du geschäftsbezogene Mails an Kunden und/oder Interessenten, werden hierbei stets personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO verarbeitet. Als maßgebliches personenbezogenes Datum gilt hier zum einen die Mailadresse des Adressaten, weil sie seine eindeutige Identifizierung ermöglicht. Zusätzlich können auch für die persönliche Anrede verwendete Daten, etwa Vor- und Zuname, betroffen sein.

Je nach Inhalt der Mail und Anlass ihrer Versendung können darüber hinaus auch weitere personenbezogene Daten betroffen sein (beispielsweise Adress- und Bestelldaten beim Versand elektronischer Bestellbestätigungen).

II. Informationspflichten nur bei Datenerhebung

Nach Art. 13 der DSGVO musst Du Betroffene im Rahmen von Datenverarbeitungen grundsätzlich unter anderem über Folgendes informieren:

  • den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters
  • gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung
  • wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden
  • gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
  • die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
  • die verschiedenen Betroffenenrechte inklusive des Rechts auf Beschwerde bei einer Aufsichtsbehörde

Beim Versand geschäftlicher Mails versuchen Online-Händler dieser Informationspflicht nunmehr vielfach wohlwollend nachzukommen, indem sie beim Versand von geschäftsbezogenen Mails generell in die Mail-Signaturen Datenschutzhinweise mitaufnehmen, die den Informationskatalog chronologisch vollständig abarbeiten.

Zu beachten ist allerdings, dass die maßgeblichen Informationen nicht grundsätzlich bei jeder Datenverarbeitung, sondern ausweislich des Art. 13 DSGVO nur dann ausgelöst werden, wenn Du Daten beim Betroffenen erhebst.

Mithin müsstest Du auch in geschäftlichen Mails nur dann das benannte Informationspflichtprogramm erfüllen, wenn dem Mailversand eine originäre „Datenerhebung“ unmittelbar vorangehen würde.

Der Begriff der Datenerhebung ist in der DSGVO nicht näher definiert, soll nach einheitlichen Stellungnahmen der führenden Landesdatenschutzbehörden der Länder aber dann vorliegen, wenn personenbezogene Daten vom Betroffenen auf ein aktives Handeln des Verantwortlichen hin zur Verfügung gestellt werden. Maßgeblich soll demnach sein, dass der Verantwortliche zu erkennen gegebenen hat, dass er die Daten erhalten möchte.

dsgvo-email-signaturen-1

Im geschäftlichen Mailverkehr liegt eine informationspflichtige Datenerhebung daher immer dann nicht vor, wenn Du die maßgeblichen Kontaktdaten für den Mailversand (insbesondere die Mailadresse des Empfängers) bereits zuvor erhalten hattest und/oder diese auf anderem Wege als per E-Mail zur Verfügung gestellt bekommen hast.

Eine Erhebung von Maildaten und mithin auch die Pflicht zur Erfüllung von datenschutzrechtlichen Informationspflichten beim Mailversand ist für Dich demnach beispielsweise immer ausgeschlossen, wenn

  • sich der Mailempfänger auf Deiner Website für einen Newsletter registriert hat und sodann Newsletter versendet werden
  • der Mailempfänger auf Deiner Website ein Kontaktformular ausgefüllt hat, das per Mail beantwortet werden soll
  • der Mailempfänger seine Mailadresse im Bestellprozess auf Deiner Website eingegeben hat

Eine erstmalige Erhebung von Informationen im Rahmen des Mailverkehrs kommt insofern nur dann in Betracht, wenn Dir ein Betroffener an eine von Dir angegebene (E-Mail-Adresse) eine Nachricht sendet, auf die Du sodann unter Übernahme der Mailkontaktdaten zu antworten gedenkst. Nur in diesem Fall, nämlich bei der originären Mail-Kontaktaufnahme von Seiten eines Betroffenen, wärst Du verpflichtet, in einer Antwort-Mail das Informationspflichtprogramm des Art. 13 DSGVO zu erfüllen.

III. Einfache Lösung: allgemeiner Verweis auf Deine Datenschutzerklärung

Das soeben Gesagte zugrunde gelegt, wärst Du grundsätzlich gehalten, in Anbetracht von datenschutzrechtlichen Informationspflichten nach den unterschiedlichen Anlässen für den Versand von geschäftsbezogenen Mails zu unterscheiden. Mails, die auf Initiative von Kunden oder Interessenten versandt würden, müsstest Du in einer Antwort-Mail die Datenschutzhinweise beistellen. Newsletter-Mails, Antworten auf Kontaktformular-Anfragen und Bestellbenachrichtigungs-Mails würden die Pflichten indes nicht auslösen.

Die gute Nachricht ist, dass eine derartige zeit- und aufwandsintensive Unterscheidung nicht erforderlich ist. Zum Glück bietet die DSGVO mit Art. 13 Abs. 4 eine Problemlösung an.

Nach dieser Vorschrift ist eine individuelle Information bei Datenerhebungen nicht erforderlich, wenn die jeweils betroffene Person bereits über alle maßgeblichen Informationen verfügt.

Art. 13 Abs. 4 DSGVO ist das Öffnungstor für die Möglichkeit zur Erfüllung der Informationspflichten im Rahmen Deiner Datenschutzerklärung, die Du auf Deiner Website eingebunden hast. Innerhalb dieser Erklärung können alle Hinweise auf Datenverarbeitungen in einer zentralen Informationsquelle so zusammengefasst werden, dass sich eine individuelle Pflichtbelehrung für jede einzelne Datenerhebung erübrigt.

Verweist Du nun in jeder geschäftlichen Mail unabhängig vom Anlass generell per Link auf Deine Datenschutzerklärung, stellst Du damit in jedem Fall alle notwendigen Pflichtinformationen bereit. Müsste die Mail ihrem Anlass nach selbst Informationen über Datenverarbeitungen enthalten, sind diese über die verlinkte Datenschutzerklärung verfügbar. Zwingt die Mail dem Anlass nach nicht zur Information, ist der Link auf die Datenschutzerklärung jedenfalls unschädlich. Mit einem Verweis erfüllst Du daher situationsunabhängig Deine datenschutzrechtlichen Informationspflichten in Deinen geschäftlichen Mails.

Ein Verweis auf Deine Datenschutzerklärung in der Mail-Signatur könnte etwa so aussehen:

„Unsere Hinweise zum Datenschutz finden Sie hier: www.xyz.de/datenschutz“.

IV. Fazit

Das umfangreiche Informationspflichtprogramm der DSGVO ist im geschäftlichen Mailverkehr grundsätzlich nur dann zu erfüllen, wenn Daten über einen Mailversand erstmalig erhoben wurden. Dadurch entfällt die Informationspflicht in E-Mails immer dann, wenn die Daten des Mailempfängers auf andere Weise als per Mail zur Verfügung gestellt wurden (etwa per Kontaktformular, im Rahmen einer Newsletter-Registrierung, bei einer Bestellung).

Nur dann, wenn Du auf Initiative eines Privaten erstmalig eine Mail erhältst, werden im Zeitpunkt der Speicherung der Mail auf dem Server Daten so erhoben, dass Du in Deiner Antwort-Mail alle maßgeblichen Informationen nach Art. 13 DSGVO bereitzustellen hättest.

Diesem Erfordernis kannst Du aber sinnvoll und allgemein begegnen, indem Du jeder geschäftlichen Mail einen Link auf Deine Datenschutzerklärung beistellst. In dieser sind die notwendigen Informationen, soweit sie in der Mail erscheinen müssten, nämlich bereits vorhanden.