E-Mails stellen den verantwortungsvollen Admin nicht nur vor eine technische, sondern auch vor eine juristische Herausforderung, denn nicht alles was technisch möglich ist, ist auch erlaubt. Zwar haftet in der Regel der Geschäftsführer oder der Vorstand, aber auch der Admin sollte wissen wie er Schwierigkeiten am besten vermeidet oder zumindest beim Management darauf hinweisen kann.
Deswegen dreht sich in diesem Vortrag alles um das Thema E-Mail und zwar die juristischen Grundfragen. Zuerst beim Versenden von E-Mails: Wie darf ich per E-Mail werben? Was ist verbotenes Spamming, was nicht? Welche Konsequenzen können drohen. Auf der anderen Seite stehen die Empfänger von E-Mails. Als Serviceprovider stellt sich die Frage: Darf ich die E-Mails meiner Kunden filtern? Nur bei Viren oder vielleicht auch bei Spam, schließlich verursacht jede verarbeitete Mail Aufwand an CPU- und Storage Kapazität.
Was ändert sich bei der unternehmensinternen Filterung? Kann man die E-Mails der Kollegen filtern? Gibt es einen Unterschied ob die Firma die Privatnutzung des E-Mail Accounts erlaubt oder nicht?
3. 3/27
osborneclarke.com
E-Mail-Marketing
§ 7 Abs. 2 Nr. 3 des Gesetzes gegen den unlauteren Wettbewerb
(UWG): E-Mail-Werbung ohne Einwilligung des Adressaten unzulässig
Nach § 7 Abs. 3 UWG dennoch zulässig, wenn
– E-Mail-Adresse im Zusammenhang mit dem Verkauf von Ware/Dienstleistung
vom Kunden erhalten
– Direktwerbung für eigene ähnliche Waren oder Dienstleistungen
– Kein Widerspruch des Kunden
– bei Erhebung der Adresse und bei jeder Verwendung auf Widerspruchsrecht
hingewiesen
4. 4/27
osborneclarke.com
E-Mail-Marketing
Soweit § 7 UWG nicht greift, ist eine Einwilligung des Nutzers
erforderlich.
Diese muss sowohl den Anforderungen des § 7 UWG, als auch den
datenschutzrechtlichen Anforderungen genügen!
5. 5/27
osborneclarke.com
Einwilligung
§ 13 Abs. 2 Telemediengesetz (TMG)
(2) Die Einwilligung kann elektronisch erklärt werden, wenn der Diensteanbieter
sicherstellt, dass
1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
2. die Einwilligung protokolliert wird,
3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen
kann.
(3) Der Diensteanbieter hat den Nutzer vor Erklärung der Einwilligung auf das
Recht nach Absatz 2 Nr. 4 hinzuweisen. Absatz 1 Satz 3 gilt entsprechend.
6. 6/27
osborneclarke.com
Einwilligung
Hilfreich: OLG Brandenburg, Urteil vom 11.01.2006, 7 U 52/05, K&R
2006, 234 f.:
Ich willige ein, dass e. meine personenbezogenen Daten für e.-Marketing-
Maßnahmen wie z. B. zur Versendung von E-Mails mit allgemeinen
Informationen oder werbendem Charakter (Newsletter) verarbeitet und nutzt.
Ich bin damit einverstanden, dass e. meine personenbezogenen Daten auch
verarbeitet und nutzt, um mir auf persönliche Interessen zugeschnittene
Angebote in ,mein e.’ zu präsentieren.
7. 7/27
osborneclarke.com
Einwilligung
Ebenfalls hilfreich: BGH, Urteil vom 16.07.2008, VIII ZR 348/06, NJW
2008, 3055:
Mit meiner Unterschrift erkläre ich mich einverstanden, dass die von mir oben
angegebenen Daten sowie die Rabattdaten (Waren/Dienstleistungen, Preis,
Rabattbetrag, Ort und Datum des Vorgangs) für an mich gerichtete Werbung
(z.B. Informationen über Sonderangebote, Rabattaktionen) per Post und mittels
ggfs. von mir beantragter Services (SMS oder E-Mail-Newsletter) sowie zu
Zwecken der Marktforschung ausschließlich von der L. GmbH und den
Partnerunternehmen gemäß Nummer 2 der beiliegenden Hinweise zum
Datenschutz gespeichert und genutzt werden.
8. 8/27
osborneclarke.com
Rechtsprechung zur Einwilligung
Werbemaßnahmen sind unzulässig,
„weil die Antragstellerin [...] keine individuellen
Einwilligungserklärungen eingeholt, sondern im Wege des sog.
Listbrokings von Drittunternehmen (formularmäßige)
Einverständniserklärungen "angemietet" hat. Diese stellen keine
wirksame Einwilligung in die automatisierten Werbeanrufe dar
[...].“
OVG Münster, Beschluss vom 26.09.2008, Az 13 B 1331/08
9. 9/27
osborneclarke.com
E-Mail-Marketing
Fazit:
– Im Zweifel Einwilligung einholen
– Falls keine Einwilligung möglich/erwünscht: bei Erhebung der Adresse und bei
jeder Verwendung auf Widerspruchsrecht hingewiesen
– Anbieten von Tell-A-Friend-Seiten vermeiden
11. 11/27
osborneclarke.com
E-Mail-Filterung bei Kunden
§ 303a StGB – Datenveränderung
(1) Wer rechtswidrig Daten (§ 202a Abs. 2) löscht, unterdrückt, unbrauchbar
macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit
Geldstrafe bestraft.
§ 206 StGB – Verletzung des Post- oder Fernmeldegeheimnisses
Wer unbefugt eine Sendung, die einem Unternehmen, das geschäftsmäßig Post-
oder Telekommunikationsdienste erbringt, zur Übermittlung anvertraut worden
und verschlossen ist, unterdrückt, wird mit Freiheitsstrafe bis zu fünf Jahren oder
mit Geldstrafe bestraft.
12. 12/27
osborneclarke.com
E-Mail-Filterung bei Kunden
OLG Karlsruhe, Urteil vom 10. Januar 2005:
– Ein Unterdrücken der E-Mail ist dann anzunehmen, wenn durch technische
Eingriffe in den technischen Vorgang des Aussendens, Übermittelns oder
Empfangens von Nachrichten mittels Telekommunikationsanlagen verhindert
wird
– Das Tatbestandsmerkmal „Unterdrücken“ wird jedenfalls durch eine
Ausfilterung der E-Mail erreicht.
– Unter Umständen kann es daher gerechtfertigt sein, eine E-Mail
herauszufiltern, beispielsweise dann, wenn eine E-Mail mit Viren behaftet ist,
so dass bei deren Verbreitung Störungen oder Schäden der
Telekommunikations- und Datenverarbeitungssysteme eintreten.
13. 13/27
osborneclarke.com
E-Mail-Filterung bei Kunden
§ 88 Telekommunikationsgesetz – Fernmeldegeheimnis
(1) Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und
ihre näheren Umstände [...].
(2) Zur Wahrung des Fernmeldegeheimnisses ist jeder Diensteanbieter
verpflichtet. [...]
(3) Den nach Absatz 2 Verpflichteten ist es untersagt, sich oder anderen über
das für die geschäftsmäßige Erbringung der Telekommunikationsdienste
einschließlich des Schutzes ihrer technischen Systeme erforderliche Maß hinaus
Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu
verschaffen.
14. 14/27
osborneclarke.com
E-Mail-Filterung bei Kunden
Risiko einer Strafbarkeit, zumindest aber des Verstoßes gegen
Vertragspflichten gegenüber dem betroffenen Kunden.
Risiko wohl gering bei virenbehafteten E-Mails als bei Spam in Reinform.
Praxistipp: Zulässigkeit einer E-Mail-Filterung vertraglich mit Kunden
vereinbaren.
15. 15/27
osborneclarke.com
Unternehmensinterne E-Mail-Filterung
Der Arbeitgeber kann Telekommunikationsdiensteanbieter sein:
– Der Arbeitgeber ist dann TK-Diensteanbieter, wenn und insoweit er die private
Nutzung von TK-Diensten erlaubt oder duldet
– im Bereich der rein dienstlichen Nutzung ist das TKG nicht anwendbar
16. 16/27
osborneclarke.com
Unternehmensinterne E-Mail-Filterung
Das Fernmeldegeheimnis nach § 88 TKG gilt auch für den Arbeitgeber
– Inhalt und Umstände der TK (also auch Inhalte von E-Mails) dürfen nur bei
vorliegender Einwilligung eingesehen werden (praktisch schwer zu beschaffen)
Mögliche Rechtsfolge bei Verletzung des Fernmeldegeheimnisses:
Freiheitsstrafe bis zu 5 Jahren oder Geldbuße, § 206 StGB
17. 17/27
osborneclarke.com
Unternehmensinterne E-Mail-Filterung
Derzeit mögliche Lösungen:
Bei erlaubter privater E-Mail-Nutzung:
– Betriebsratsvereinbarung
– Einwilligung
Verbotene private E-Mail-Nutzung bei tatsächlicher Umsetzung des
Verbotes weitgehend unproblematisch.
Technische Aspekte:
– Sicher stellen, dass Filterung automatisiert erfolgt, ohne manuelle Eingriffe.
19. 19/27
osborneclarke.com
Wann greift das BDSG?
Das Bundesdatenschutzgesetz (BDSG) greift dann, wenn ein Umgang
mit personenbezogenen Daten vorliegt.
§ 3 Bundesdatenschutzgesetz (BDSG)
(1) Personenbezogene Daten sind Einzelangaben über persönliche oder
sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen
Person (Betroffener).
…
20. 20/27
osborneclarke.com
IP-Adresse als personenbezogenes Datum
Statische IP-Adresse:
– Personenbezogenes Datum
Dynamische IP-Adresse:
– Personenbeziehbares Datum
– Zuordnung einer Person leicht möglich → personenbezogenes Datum
(Beispiel: Access-Provider, lokaler Administrator)
– Zuordnung nicht oder nur schwer möglich → kein personenbezogenes
Datum
Im Zweifel: behandeln wie personenbezogenes Datum
21. 21/27
osborneclarke.com
Grundprinzipien im Datenschutz
– Verbotsprinzip, Umgang mit personenbezogenen Daten nur mit
gesetzlicher Erlaubnis oder Einwilligung
– Zweckbindung
– Transparenz (Informationen, Benachrichtigung)
– Korrekturrechte (Berichtigung, Sperrung, Löschung, Widerspruch)
– Datensicherung (Schutz vor Verlust, Sabotage, unbefugter Zugriff)
– Kontrolle
(intern durch Datenschutzbeauftragten, extern durch
Aufsichtsbehörde)
– Bußgeld, Strafe, Schadensersatz
22. 22/27
osborneclarke.com
Auftragsdatenverarbeitung
• Übermittlung nach § 28 BDSG
• Zulässig, wenn:
– Für Vertragsverhältnis zwischen Betroffenen
und verantwortlicher Stelle erforderlich (in
der Regel nicht gegeben) oder
– zur Wahrung berechtigter Interessen der
verantwortlichen Stelle erforderlich und kein
Grund zu der Annahme, dass
schutzwürdiges Interesse des Betroffenen
an dem Ausschluss der Verarbeitung oder
Nutzung überwiegt (u.U. riskante Lösung,
da Aufsichtsbehörde Interessen anders
gewichten kann)
• Auftragsdatenverarbeitung nach § 11 BDSG
• Zulässig, wenn:
– Vereinbarung zur
Auftragsdatenverarbeitung besteht, die
– schriftlich abgeschlossen wurde,
– den übrigen Anforderungen des § 11 BDSG
genügt
– (selbstverständlich:) auch eingehalten wird
• RZ wird dann als „verlängerter Arm“ des
Diensteanbieters gesehen.
Datentransfer zwischen Diensteanbieter und RZ ist entweder
Endkunde
(„Betroffener“)
Diensteanbieter
(„verantwortliche Stelle“)
RZ
23. 23/27
osborneclarke.com
Auftragsdatenverarbeitung
Seit dem 1. September 2009 ist in § 11 BDSG gesetzlich festgelegt, welche
Inhalte zwingend in einer Vereinbarung zur Auftragsdatenverarbeitung enthalten
sein müssen (Zehn-Punkte-Liste).
§ 43 BDSG – Bußgeldvorschriften
(1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig
[…] entgegen § 11 Absatz 2 Satz 2 einen Auftrag nicht richtig, nicht vollständig oder nicht in
der vorgeschriebenen Weise erteilt oder entgegen § 11 Absatz 2 Satz 4 sich nicht vor
Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen
technischen und organisatorischen Maßnahmen überzeugt,
(3) Die Ordnungswidrigkeit kann im […] mit einer Geldbuße bis zu fünfzigtausend Euro […]
geahndet werden. Die Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus der
Ordnungswidrigkeit gezogen hat, übersteigen. Reichen die in Satz 1 genannten Beträge
hierfür nicht aus, so können sie überschritten werden.
24. 24/27
osborneclarke.com
Datentransfer in Nicht-EU-Länder
Datentransfer in Länder außerhalb der EU:
• EU-Kommission: Außerhalb der EU besteht grundsätzlich kein adäquates
Datenschutzniveau
• Hintergrund: Kaum ein Land der Welt hat mit EU-Recht vergleichbare Datenschutz-
Standards
• Konsequenz:
Jeder Transfer personenbezogener Daten aus einem EU-Mitgliedsstaat in ein Nicht-
EU-Land bedarf zusätzlicher Sicherungsmaßnahmen
Endkunde Diensteanbieter RZ
25. 25/27
osborneclarke.com
Datentransfer in Nicht-EU-Länder
– Mögliche Sicherungsmaßnahmen:
– Einwilligung der Betroffenen
– Safe Harbor-Zertifizierung (nur USA) – möglicherweise bald nicht mehr
ausreichend
– Corporate Binding Rules
– Beste Lösung: Standardvertragsklauseln der EU vertraglich zwischen
Diensteanbieter und RZ vereinbaren
– Ohne eine dieser Maßnahmen ist ein Transfer
personenbezogener Daten ins Nicht-EU-Ausland grundsätzlich
unzulässig!
26. 26/27
osborneclarke.com
Datenschutz
Fazit:
– Datenverarbeitung für Kunden ist in der Regel mindestens
Auftragsdatenverarbeitung. Ergebnis:
Auftragsdatenverarbeitungsvereinbarung ist zwingend erforderlich!
– Bei Verarbeitung im Nicht-EU-Ausland sind weitere Maßnahmen
erforderlich
27. E-Mail-Marketing, Spam, E-Mail-Filterung
und Datenschutz – was ist erlaubt, was nicht?
Dr. Hendrik Schöttle
Rechtsanwalt | Fachanwalt für IT-Recht
T +49 (0) 89 5434 8078
hendrik.schoettle@osborneclarke.de
www.osborneclarke.de
OSDC Nürnberg | 7. April 2011