09/2019 – Fachartikel Swiss Infosec AG

Was tun mit einer E-Mail-Nachricht und Aufforderung, wenn man nicht der richtige Empfänger ist?

E-Mail-Disclaimer-Hinweis

Erhalten auch Sie E-Mails mit einem Disclaimer-Hinweis am Ende einer E-Mail-Nachricht (eingebunden mit der E-Mail-Signatur), mit dem Ihnen untersagt wird, die Informationen der Nachricht zu verwenden oder weiterzugeben, falls Sie nicht der rechtmässige Empfänger sind – teils sogar unter Androhung rechtlicher Konsequenzen? Sind solche Disclaimer sinnvoll oder überflüssig?

Wer kennt es nicht: Ein falscher Klick, und ein E-Mail (wie auch allfällige Anhänge dazu) landen irgendwo, nur nicht beim gewünschten Empfänger. Eine solche Verwechslung kann zumindest zu einer fahrlässigen Verletzung des Datenschutzgesetzes führen. Man möchte es am liebsten ungeschehen machen.

Immer häufiger sieht man nun am Ende von E-Mails sogenannte Disclaimer, wie das folgende Beispiel:
Diese E-Mail sowie ev. Beilagen enthalten möglicherweise vertrauliche und/oder gesetzlich geschützte Daten oder Informationen. Zum Empfang derselben ist (sind) ausschliesslich die genannte(n) Person(en) bestimmt. Falls Sie diese E-Mail irrtümlich erhalten haben, benachrichtigen Sie bitte umgehend die absendende Person und vernichten Sie diese E-Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail sind nicht gestattet.

Kurz gesagt: Eine Aufforderung an den Empfänger, wie mit der E-Mail umzugehen ist und was er machen soll, wenn er nicht der richtige Empfänger ist.

Haben solche E-Mail-Disclaimer überhaupt eine (rechtliche) Wirkung?
Ein Disclaimer ist juristisch betrachtet ein Haftungsausschluss bzw. eine Haftungsfreizeichnung. Durch den Disclaimer will sich der E-Mail-Absender (bzw. das Unternehmen) also vor dem Schaden schützen, der entstehen kann, weil vertrauliche oder geschützte Informationen durch einen Unberechtigten zur Kenntnis genommen werden. Zudem werden Empfänger aufgefordert, die E-Mail sofort zu löschen und den Absender zu benachrichtigen. Eine Menge zu tun für jemanden, der unaufgefordert eine fremde E-Mail erhält. Nur: Den eigentlichen Fehler beging der E-Mail-Absender und nicht der Empfänger. Geht das überhaupt?

E-Mail-Disclaimer dürfen grundsätzlich von jedem verwendet werden. Dies bedeutet jedoch nicht, dass der E-Mail-Absender seine Haftung für solche Verstösse ausschliessen kann. Wer ein E-Mail verschickt, ist und bleibt verantwortlich dafür, dass das Datenschutzgesetz eingehalten wird. Die an den unberechtigten Empfänger des E-Mails gerichtete Bitte, die E-Mail zu löschen und den Absender über den Irrtum zu benachrichtigen, hat rechtlich keinerlei Wirkung und verpflichtet den Empfänger nicht. Immerhin aber könnte ein Bitte psychologische Wirkung haben und möglicherweise schadensmindernde Wirkung entfalten, nach dem Motto: Nützt es nichts, so schadet es (wenigstens) nicht, ist ja kein grosser Aufwand. Damit ein Disclaimer aber verbindlich würde, müsste ihr der Empfänger ausdrücklich zustimmen. Einseitige Erklärungen, wie Disclaimer, können rechtsverbindlich nur Selbstverpflichtungen enthalten, verschlechtern also tendenziell die eigene Position.

Unser Fazit

E-Mail-Disclaimer sind aus rechtlicher Sicht weitestgehend entbehrlich. Es handelt sich um einseitige Erklärungen, die einen Empfänger nicht binden. Vielmehr sind sie der (untaugliche) Versuch, einen irrtümlichen Adressaten zu einem datenschutzfreundlichen Verhalten anzuhalten. Trotzdem wäre es aber unzulässig, ein irrtümlich erhaltenes E-Mail zu verwenden oder unbefugt weiterzugeben. Gerade, wenn es sich um vertrauliche oder gesetzlich geschützte Informationen handelt, kann eine Verwendung rechtliche Konsequenzen nach sich ziehen. Dies jedoch nicht wegen des Disclaimers im Mail, sondern weil die missbräuchliche Verwendung gegen das Datenschutzgesetz oder andere Gesetze verstösst. Darauf müssen Sie aber die Empfänger Ihrer E-Mails nicht via Disclaimer hinweisen – die gesetzlichen Regelungen gelten auch so.

Vertrauliche oder geheime Informationen sollten ohnehin nicht über herkömmliche E-Mails, sondern verschlüsselt (z.B. Verschlüsselung mittels SSL/TLS) oder mit Hilfe sicherer Datenübertragung versendet werden, um eine unberechtigte Kenntnisnahme auszuschliessen oder jedenfalls deutlich zu erschweren.

Gerne beantworten wir all Ihre spezifischen Fragen zu Disclaimer und Haftungsausschluss und zu allen weiteren datenschutzrechtlichen Fragen in Ihrem Unternehmen. Wir unterstützen Sie bei der Einhaltung des DSG und der DSGVO nach Best Practice: «Genau so viel, wie Sie brauchen und angemessen ist!»

Kennen Sie den Entwurf des DSG bereits? Wir halten Sie gerne auf dem Laufenden. Kontaktieren Sie uns unter +41 41 984 12 12, infosec@infosec.ch

08/2019 – Fachartikel Swiss Infosec AG

Eine Einführung in die datenschutzrechtlichen Überlegungen

Betreiben eines Online-Shops: Welche datenschutzrechtlichen Vorgaben muss ich einhalten?

Wenn Sie eine Webseite betreiben, welche auch Produkte oder Dienstleistungen zum Kauf anbietet, sind nebst rechtlichen Vorgaben wie dem allgemeinen Obligationenrecht auch die Datenschutzvorschriften zu beachten. Richtet sich Ihr Webshop-Angebot auch an Personen, welche sich in der EU befinden, ist die DSGVO anwendbar.

Nachfolgend zeigen wir Ihnen auf, welche Punkte Sie besonders zu beachten haben, wenn Sie zur Umsetzung der DSGVO für Ihren Online-Shop verpflichtet sind:

Datenschutzerklärung für Betreiber von Online-Shops

Haben Sie auf Ihrer Webseite eine Datenschutzerklärung in präziser, transparenter, verständlicher und leicht zugänglicher Form? 

Kontakt- und weitere Formulare

Wenn Sie den Kunden und Webseitenbesuchern Formulare zur Verfügung stellen, um mit Ihnen in Kontakt zu treten: Informieren Sie diese Personen vor der Benutzung dieses Formulars über Art, Umfang und Zweck der Datenabfrage sowie die Verwendung und Verarbeitung der abgefragten personenbezogenen Daten? Halten Sie das Prinzip der Datenminimierung nach Art. 5 DSGVO ein, d.h. fragen Sie nur die wirklich benötigten Personenangaben ab?

Newsletter-Versand

Wissen Sie, ob Ihr Newsletter-Prozess in Übereinstimmung mit den DSGVO-Vorschriften ist? Benutzen Sie das Double-Opt-In-Verfahren?

Analyse-Tools

Lassen Sie Webseitenbesucher statistisch durch entsprechende Tools erfassen (beispielsweise mittels Google Analytics)? Wenn ja, ist darauf zu achten, dass die jeweiligen IP-Adressen der Besucher anonymisiert werden und der Webseitenbesucher die Möglichkeit hat, der Erfassung durch das Tool zu widersprechen.

Cookie-Banner für Webshops

Verwendet Ihr Webshop Cookies? Die überwiegende Lehrmeinung geht davon aus, dass bei Verwendung von Tracking Cookies die Einwilligung der betroffenen Person nötig ist, für alle anderen Cookies das berechtigte Interesse des Webseitenbetreibers als Rechtsgrundlage genüge. Fairness gebietet es aber grundsätzlich, Besucher einer Webseite mittels Cookie-Banner darüber zu informieren, welche Auswirkung der Webseitenbesuch hat und wie die personenbezogenen Daten verwendet werden. Die Verwendung von Cookie-Hinweisen ist eine vertrauensbildende Massnahme, die Seriosität ausstrahlt und heute best practice ist. Weitere Informationen dazu finden Sie unter diesem Link https://www.infosec.ch/blog/cookie-consent-banner-die-aktuelle-rechtslage/.

Nachweis per Dokumentation

Nach Art. 5 Abs. 2 DSGVO müssen Webshop-Betreiber die Einhaltung der gesetzlichen Vorschriften nachweisen können. Weiter verpflichtet die DSGVO zur Führung eines Verzeichnisses nach Art. 30 DSGVO, in welchem die Verarbeitungsvorgänge transparent nachgewiesen werden.

Verschlüsselte Datenübertragung

Erfolgt die Datenübertragung auf Ihrer Webseite per SSL-Verschlüsselung?

Schutz für Minderjährige

Nach Art. 8 DSGVO dürfen personenbezogene Daten von unter 16-Jährigen nur verarbeitet werden, wenn die explizite Einwilligung durch einen Erziehungsberechtigten vorliegt. Ist Ihr Kaufprozess des Online-Shops mittels technischen Massnahmen entsprechend ausgestaltet?

Auftragsverarbeitung

Beziehen Sie externe Dienstleister mit ein, um Ihr Angebot wirtschaftlich gestalten zu können, beispielsweise für den Newsletter-Versand oder das Besucher-Tracking? Falls ja, müssen Sie mit den Dienstleistern einen Auftragsverarbeitungsvertrag abschliessen, da diese Zugriff auf die personenbezogenen Daten erhalten.

Unser Fazit

Prüfen Sie Ihre Online-Shop-Prozesse auf die Übereinstimmung mit den datenschutzrechtlichen Vorschriften. Durch die Umstellung auf eine DSGVO-konforme Arbeitsweise erhalten Sie als Online-Shop-Betreiber die Sicherheit, dass Sie zum einen Ihren gesetzlichen Verpflichtungen nachkommen und zum anderen Ihren Online-Shop-Besuchern einen angemessenen Datenschutz einräumen.

Gerne beantworten wir Ihre Fragen und unterstützen Sie bei der Einhaltung der Schweizer Datenschutzvorschriften und der DSGVO.